Przechodząc od ogółu do szczegółu: opublikowane w piątek przepisy nowelizujące szereg ustaw w związku z RODO (ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. z 2019 r. poz. 730) w istotny sposób dotykają sposób funkcjonowania i przetwarzania danych osobowych przez serwisy internetowe i usługodawców świadczących usługi drogą elektroniczną. Większość zmian sprowadza się do cięć w ustawie o świadczeniu usług drogą elektroniczną (której tekst ujednolicony znajdziecie tutaj), jednak jedna ze zmian niewątpliwie może spędzać sen z powiek nie tylko startutopistów — a to dlatego, że już za 2 tygodnie każda zgoda wyrażona przez usługobiorcę korzystającego z usługi świadczonej drogą elektroniczną musi być zgodna z RODO (znowelizowany art. 4 uośude).
art. 4 ustawy o świadczeniu usług drogą elektroniczną (w brzmieniu od 4 maja 2019 r.)
Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.
Jak to tłumaczyć z prawniczego na ludzkie? Ano tak, że następuje swoiste zrównanie definicyjne między pojęciem zgody w/g GDPR a zgodą w/g uośude, zatem (patrząc na motyw 32, art. 4 pkt 11 i art. 7 RODO):
- każda zgoda musi być wyrażona „w drodze jednoznacznej, potwierdzającej czynności” usługobiorcy — nie jest zatem zgodą działanie, które może być interpretowane w sposób wieloznaczny (w szczególności nie może być interpretowane jako zgoda);
- oświadczenie, które ma oznaczać zgodę użytkownika, musi odnosić się do określonej sytuacji — wynikać z kontekstu zapytania (treść zgody nie może być interpretowana w inny, zwłaszcza rozszerzający sposób) — zaś zapytanie takie musi być „jasne i zwięzłe”;
- każde przyzwolenie musi być „dobrowolne, świadome i jednoznaczne” — wykluczone są fabryczne pre-kliknięte ptaszki, nie jest dopuszczalne także stosowanie technik wykluczających dobrowolność udzielonej zgody (automagicznie zaklikujące się ptaszki; zgody „nieprzepuszczające” są wykluczone wskutek art. 7 ust. 4 RODO);
- zgoda wyrażona przez usługobiorcę nadal może mieć formę kliknięcia („polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej”);
- zezwolenie może też polegać na „wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego” (jak sądzę wróci dyskusja czy odesłanie do magicznych ustawień przeglądarki jest wystarczające);
- czy jest dopuszczalna zgoda domniemana? czyli taka, która polega na „zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała” propozycję usługodawcy? Mam pewną wątpliwość, a wynika ona z czegoś, co odbieram jako pewnego rodzaju wewnętrzną sprzeczność rozporządzenia (wyrażona w art. 4 pkt 11 RODO definicja zgody jest węższa, niż jej opis w motywie 32);
art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną
Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
- jednak być może moje wątpliwości nie mają podstawy: wszakże nie znowelizowano kluczowego przepisu (tego o zgodzie na przesyłanie informacji handlowych) — nadal przeto wyrażenie zgody na mejlingi polega („w szczególności”) na udostępnieniu identyfikującego go adresu elektronicznego;
- co sumarycznie można interpretować w ten sposób, że zgodą na otrzymywanie informacji handlowych jest już samo podanie adresu listelowego — oczywiście pod warunkiem, że usługodawca „jednoznacznie” i w „jasny” sposób poinformował, że będzie wysyłał reklamy — tak rozumiana zgoda nie wynika z ptaszka przy oświadczeniu, lecz z faktu, że wpisałem mój adres w stosowne pole i kliknąłem „tak, chcę dostawać dużo reklam”);
- dla jasności: chociaż art. 4 uośude zmieni brzmienie, zgoda wyrażana przez e-usługobiorcę nadal nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zaś użytkownik nadal będzie mógł odwołać swą zgodę w każdym czasie (art. 7 ust. 3 RODO) — a usługodawca cały czas będzie miał obowiązek umieć wykazać, że zgodę otrzymał (art. 7 ust. 1 RODO);
- dla przypomnienia: skoro RODO zmieniło nieco pozycję dzieci (poniżej 16 lat), to usługodawcy muszą brać pod uwagę i tę okoliczność (art. 8 RODO).