Publicystyka - ngo.pl

Obowiązująca od 4 maja 2019 roku nowelizacja wielu ustaw (zobacz: Nowelizacja. Cz. 1) w związku z wdrożeniem przepisów RODO(1) wprowadza nowe przepisy regulujące działania w internecie. Co to oznacza dla organizacji pozarządowych aktywnych w sieci? W tym artykule dowiesz się, jak zmiany w przepisach wpływają na świadczenie usług drogą elektroniczną oraz prawo telekomunikacyjne.

Świadczenie usług drogą elektroniczną polega na „wykonywaniu usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pośrednictwem urządzeń do elektronicznego przetwarzania (…)”. Na przykład: usługodawcą będzie organizacja pozarządowa prowadząca sklep internetowy lub wysyłająca newsletter.

Przepisy ustawy wymagają, aby każdy usługodawca posiadał regulamin świadczenia usług drogą elektroniczną, który zawiera między innymi postanowienia dotyczące rodzajów i zakresu usług świadczonych drogą elektroniczną, warunki świadczenia tych usług czy tryb postępowania reklamacyjnego. Posiadanie takiego regulaminu jest niezależne od tego czy świadczone usługi są bezpłatne, czy też wiążą się odpłatnością.

W dotychczasowych przepisach regulamin musiał zawierać postanowienia dotyczące ochrony danych osobowych. Od 4 maja 2019 r. do przetwarzania danych stosuje się przepisy RODO z modyfikacjami wskazanymi w ustawie. Oznacza to, że konieczne jest znalezienie podstaw do przetwarzania danych osobowych (zob. przesłanki legalizacyjne). Może być to zgoda usługobiorcy (art. 6 ust. 1 lit. a RODO), jeżeli chcemy wysyłać newsletter (więcej o zgodzie), ale też wykonanie umowy, jeżeli przetwarzamy dane tylko do nadania paczki (art. 6 ust. 1 lit. b RODO) lub wykonanie obowiązku prawnego - jeśli dane potrzebne są do wystawienia faktury (art. 6 ust. 1 lit. c RODO).

Gdybyśmy jednak później chcieli korzystać z uzyskanych danych w celach reklamowych - na przykład informując o nowościach na naszej stronie, zapraszając do udziału w konkursach czy konferencjach - musimy pozyskać zgodę osoby, której dane dotyczą.

Ustawa o świadczeniu usług drogą elektroniczną nakłada obowiązek oznaczania danych osobowych, których podanie przez osobę korzystającą z usługi jest absolutnie konieczne do jej zrealizowania. Działanie to ma na celu realizację zawartej w RODO zasady minimalizacji pozyskiwanych danych oraz ma wyposażyć osobę, której dane są pozyskiwane, w uprawnienie do decydowania o ilości danych dodatkowych jakie decyduje się ona przekazać usługodawcy.

Na przykład jeżeli ktoś chce pobrać z naszej strony poradnik w formie e-booka, to musi podać adres mailowy - w przeciwnym razie, nie jest możliwe ściągnięcie danego pliku. Nie jest jednak konieczne abyśmy przetwarzali adres zamieszkania takiej osoby. Jednocześnie usługodawca może przetwarzać dane za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców, z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości swoich usług. Ale działanie takie będzie wymagało zawsze zgody usługobiorcy.

Ustawa ta reguluje kwestie związane z marketingiem bezpośrednim przy pomocy urządzeń telekomunikacyjnych – chodzi tu o przekazywanie informacji o charakterze handlowym przy pomocy telefonów, SMS, MMS, poczty elektronicznej czy komunikatorów internetowych. W przypadku NGO-sów trzeba pamiętać, że będzie to dotyczyło działań związanych zarówno z działalnością gospodarczą, jak i odpłatną działalnością pożytku publicznego.

Do przesyłania takich informacji niezbędne jest przetwarzanie danych osobowych. W przypadku komunikatów handlowych zbieranie danych osobowych odbywa się na podstawie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Zatem nie potrzebna jest zgoda osoby, której dane przetwarzamy. 

Potrzebna jest za to zgoda na przesłanie komunikatu. Jej brak grozi karą w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Karę nakłada Prezes Urzędu Komunikacji Elektronicznej.

Jednocześnie w art. 174 jest wyrażona reguła, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Przypomnijmy więc: RODO definiuje pojęcie zgody jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Osoba, do której kierowane są komunikaty, ma także prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem działań, które zostały podjęte na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, musi być o tym poinformowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Domyślnie zaznaczane pole oznaczające „zgodę” (suwak, checkbox etc.), to zgoda nieważna, pozyskana bezprawnie. Podobnie jest, gdy domyślna zgoda jest ukryta w regulaminie, którego użytkownik nie może negocjować(2).

Trzeba pamiętać, że regulacje zawarte w prawie telekomunikacyjnym dotyczą sytuacji, w której niezamówione komunikaty marketingowe są generowane automatycznie - to znaczy przy pomocy specjalnych programów do obsługi masowych wysyłek. W przypadku gdy informacja przesyłana jest przez człowieka, reguły dotyczące przetwarzania danych osobowych pozostają takie same, ale zmienia się podstawa prawna dotycząca zgody. Jest nią wówczas art. 10 ustawy o świadczeniu usług drogą elektroniczną, który mówi że wysyłanie komunikatów jest możliwe jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Trzeba również zwrócić uwagę na zjawisko tak zwanego spamu niekomercyjnego. Są to wszystkie niechciane przez odbiorcę wiadomości, które odnoszą się do promowania określonych postaw lub idei społecznych, a także apele społeczne czy prośby o udział w zbiórce. Działanie takie nie będzie podlegać regulacją Prawa telekomunikacyjnego, ani ustawy o świadczeniu usług drogą elektroniczną, ale może zakończyć się blokowaniem listów przez dostawców internetowych poprzez uznanie ich za spam. To działanie jest również uważane za nieprzestrzeganie zwyczajowych reguł posługiwania się internetem, co może powodować negatywne skutki wizerunkowe.

Warto zwrócić uwagę na ten aspekt planując kampanie promocyjne organizacji pozarządowych.

(1) Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 

(2) Jolanta Ojczyk, RODO dla blogerów, czyli jak chronić dane użytkowników,  artykuł na Prawo.pl z 17 sierpnia 2018 r.