Wczoraj wieczorem, na stronach Rządowego Centrum Legislacji, pojawił się długo oczekiwany projekt dwóch ustaw – Prawa komunikacji elektronicznej (PKE) oraz ustawy wprowadzającej Prawo Komunikacji elektronicznej (wdrażająca PKE):
O obydwu projektach pisałem na blogu w kwietniu 2020 r., kiedy to wskazywałem, że proste przepisanie regulacji dotyczących marketingu bezpośredniego i przesyłania informacji handlowych nie załatwi problemów rynku:
Nowe rygory telemarketingu-znamy projekt Prawa komunikacji elektronicznej
Czasu na wprowadzenie przepisów jest, mimo wszystko, bardzo mało. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej zobowiązuję kraje członkowskie do dostosowania swoich przepisów do 21.12.2020 r.
Jak wygląda obecny projekt?
411 przepisów na 266 stronach, a do tego 164 strony uzasadnienia w zakresie Prawa komunikacji elektronicznej oraz 94 przepisy na 54 stronach i 43 strony uzasadnienia w zakresie ustawy wdrażającej Prawo komunikacji elektronicznej.
Tytaniczna praca po stronie Ministerstwa Cyfryzacji! Uważam, że jest to ustawa pisana na kilkanaście lat, o ile Rozporządzenie e-privacy nie na miesza, jeśli kiedykolwiek powstanie. Obecnie przepisy prawa telekomunikacyjnego pochodzą z 2004 roku, a wdrażają m.in. Dyrektywę 2002/58/WE z 2002 r.
Już tutaj powiem, że obecny projekt jest dużo dokładniej napisany i widać, że przyłożono się do zagadnień, które mnie interesują najbardziej – zgoda na przesyłanie informacji handlowych i marketingu bezpośredniego.
Jedna zgoda na marketing i informację handlową?
Przechodząc do sedna – projektowany art. 360 ust. 1 PKE połączył w swojej treści przepis obowiązującego art. 172 prawa telekomunikacyjnego oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną:
Jak widać pojawia się nam niezdefiniowane w PKE pojęcie „oznaczonego odbiorcy”, a wypada znane nam pojęcie „abonenta”. Nie będę poruszać zagadnienia „uprzedniej” zgody, bo na ten temat napisano już wystarczająco wiele, aby nadal nie wiedzieć co ono oznacza w praktyce.
W projektowanym art. 2 pkt 1 PKE abonent został określony jako użytkownik końcowy, który jest stroną umowy o świadczenie publicznie dostępnych usług komunikacji elektronicznej zawartej z dostawcą usług komunikacji elektronicznej, a nie jako „podmiot” jak brzmi obecnie obowiązująca definicja abonenta (art. 2 pkt 1 Pt).
Uważam, że różnica ta jest zasadnicza i wskazuję krąg podmiotów wobec, których będzie istnieć zakaz przesyłania niezamówionej informacji handlowej, w tym marketingu bezpośredniego.
Z uzasadnienia do PKE w zakresie art. 360 dowiadujemy się, że:
- postanowienia art. 360 stanowią o ochronie użytkowników końcowych przed nękaniem w związku z marketingiem bezpośrednim lub przesyłaniem niezamówionej informacji handlowej. Przepisy zastąpią obowiązujące regulacje art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344) oraz art. 172 Pt.
- wraz z wprowadzeniem art. 360 uchylany jest art. 10 ustawy o świadczeniu usług drogą elektroniczną. Automatyczne systemy wywołujące są to zautomatyzowane połączenia komunikacji głosowej, które łączą się z użytkownikiem końcowym i przekazują przygotowane uprzednio nagranie – a co jeśli nie będzie to nagranie, a połączenie z „żywym” pracownikiem Call Center?
- analogicznie mogą to być inne komunikaty. Marketing bezpośredni oraz przesyłanie niezamówionej informacji handlowej mogą odbywać się w różnej formie, w szczególności: wiadomości poczty elektronicznej, telefony do użytkowników końcowych, wiadomości SMS lub MMS, jak również wszelkie inne formy komunikacji – czy to znaczy, że omawianym przepisem będą objęte np. powiadomienia push – moim zdaniem tak.
- co do zasady, zakazany jest marketing bezpośredni oraz przesyłanie niezamówionej informacji handlowej.
- regulacja dotyczy wszystkich, nie tylko przedsiębiorców komunikacji elektronicznej.
- marketing elektroniczny lub przesyłanie niezamówionej informacji handlowej są dopuszczalne, jeżeli użytkownik wyrazili zgodę na ich otrzymywanie. Zgoda może nie być wyraźna, jeżeli użytkownik końcowy udostępnili w ww. celach identyfikujący go adres elektroniczny.
- komunikacja nie może odbywać się na koszt użytkownika końcowego.
- przedmiotowy przepis jest implementacją przepisów dwóch dyrektyw. Pierwszą jest art. 13 ust. 1 i 3 dyrektywy 2002/58, zgodnie z którym automatycznych systemów wywołujących i systemów łączności bez ludzkiej ingerencji (automatyczne urządzenia wywołujące), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedynie wobec użytkowników końcowych, którzy uprzednio wyrazili na to zgodę.
- przepisy te równolegle implementują art. 10 dyrektywy 2002/65/WE Parlamentu Europejskiego I Rady z dnia 23 września 2002 r. dotyczącej sprzedaży konsumentom usług finansowych na odległość oraz zmieniającej dyrektywę Rady 90/619/EWG oraz dyrektywy 97/7/WE i 98/27/WE. Zgodnie z tą dyrektywą Warto zwrócić uwagę, że zgodnie z dyrektywą 2002/65/WE (art. 2 lit. e) “środki porozumiewania się na odległość” oznaczają wszelkie środki, które bez jednoczesnej fizycznej obecności dostawcy i konsumenta mogą być wykorzystywane do sprzedaży na odległość usługi pomiędzy tymi stronami.
Ustawa wdrażająca PKE zawiera przepis uchylający art. 10 ustawy o świadczeniu usług drogą elektroniczną, a uzasadnienie takiego działania rzuca nowe światło na pojęcia informacji handlowej i marketingu bezpośredniego:
- obok zmian wynikających z konieczności uaktualnienia odesłań do przepisów Pt, w ustawie tej uchyla się art. 10 dotyczący niezamówionych informacji handlowych.
- wynika to z potrzeby uregulowania zagadnień marketingu bezpośredniego w jednym akcie prawnym, tj. wyłącznie w Pke (art. 360 Pke). Obecnie materia ta jest przedmiotem dwóch ustaw: art. 172 Prawa telekomunikacyjnego oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną (uśude).
- powoduje to wątpliwości interpretacyjne, dotyczące tego czy przedsiębiorca ma obowiązek uzyskać dwie odrębne zgody na komunikację marketingową, czy też obowiązek uzyskiwania różnych zgód na komunikację zależy od środka komunikacji.
- należy wskazać, że obecny art. 172 Pt oraz art. 10 uśude (jak również projektowany art. 360 Pke) stanowią transpozycję do polskiego porządku prawnego regulacji art. 13 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dyrektywa o e-prywatności).
- w tym sensie cel obu regulacji jest dokładnie ten sam i ma za swoją podstawę jeden przepis regulacji unijnych.
- przy czym art. 10 uśude reguluje węższą materię od art. 172 Pt.
- art. 10 uśude odnosi się swoim zakresem wyłącznie do przesyłania informacji handlowej drogą elektroniczną. Z kolei art. 172 odnosi się również do innych rodzajów komunikacji – w szczególności do telemarketingu (podobnie jak art. 360 Pke).
- obowiązujący art. 172 Pt i projektowany art. 360 Pke dokonują transpozycji do polskiego porządku prawnego nie tylko art. 13 ust. 1 dyrektywy o e-prywatności, ale również art. 13 ust. 3 tejże dyrektywy. Przepis art. 13 ust. 3 dyrektywy daje państwom członkowskim prawo wyboru (w szczególności w kontekście telemarketingu), czy w stosunku do innych form komunikacji niż komunikacja elektroniczna zastosują w swoim porządku prawnym system optin (wymagana zgoda, aby móc się komunikować) czy system opt-out (wymagany sprzeciw, aby przestano się komunikować). Poszczególne państwa w Unii Europejskiej przyjęły różne systemy w tym obszarze.
- mając na uwadze powyższe, w tym trudności w stosowaniu art. 172 Pt i art. 10 uśude oraz jeden cel i jedną podstawę w prawie unijnym, zasadne wydaje się uregulowanie tego zagadnienia w jednym przepisie art. 360 Pke, który zastąpi art. 172 Pt oraz uchylenie art. 10 uśude.
Ustawienia przeglądarki jako zgoda na pliki cookies?
W zakresie regulacji dotyczącej przechowywania, w urządzeniach końcowych, plików cookies nie dochodzi do większych zmian – obecny art. 173 ust. 2 Pt otrzymuje numer 361 ust. 2 PKE:
Moim zdaniem spowoduję to zakończenie akademickich dyskusji dotyczących konieczności przygotowywania rozbudowanych interfejsów do zarządzania poszczególnymi celami przechowywania plików cookies.
Zaakceptowanie ustawień plików cookies pozwoli na ich pozostawienie w przeglądarce użytkownika. Wybranie przez użytkownika krzyżyka, czy zaakceptowanie wszystkich ustawień będzie uważane za wyrażenie zgody na zainstalowanie plików cookies.
I będzie tak mimo tego, że ETS w wyroku Planet49 wskazał, że „że zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody„.
Czy dotychczas zebrane zgody zachowają ważność?
Każdy z nas pamięta dyskusję z czasu przed stosowaniem RODO, kiedy to rozważano czy dotychczas zebrane zgody na przetwarzanie danych osobowych spełniają warunki obowiązujące w RODO. Taka sama dyskusja czeka nas po przyjęciu przepisów PKE. Artykuł 83 ustawy wdrażającej PKE jest bardzo podobnie napisany, co motyw 171 RODO:
Ustawą, o której jest mowa w art. 1 jest projektowane Prawo komunikacji elektronicznej. Zgody o jakich tutaj mowa dotyczą zarówno „zgody na przesyłanie niezamówionej informacji handlowej zebrane na podstawie obecnego art. 10 uśude oraz zgody na marketing bezpośredni zebrane na podstawie obecnego art. 172 Pt zachowały ważność, jeżeli pierwotny sposób wyrażenia zgody odpowiada warunkom określonym w Pke” (str. 43 uzasadnienia do ustawy wdrażającej PKE).
Chcąc uniknąć konieczności zbierania w grudniu 2020 r. nowych zgód na przesyłanie informacji handlowych i używania automatycznych systemów wywołujących lub używania telekomunikacyjnych urządzeń końcowych dla celów przesyłania marketingu bezpośredniego należy już teraz stosować „odpowiednio przepisy o ochronie danych osobowych” – patrz projektowany art 362 PKE oraz obowiązujący art. 174 Pt i art. 4 ŚUDE.
Kary pieniężne także od Prezesa UODO
Na koniec – ciekawy przypadek umożliwiający „oberwanie” przez przedsiębiorcę telekomunikacyjnego dwa razy za to samo. W projektowanym PKE wprowadza się tożsamy, z obowiązujący od 4.05.2019 r. przepisem art. 210a Prawa telekomunikacyjnego, przepis art. 411 ust. 1 PKE.
Zgodnie z tym przepisem Prezes Urzędu Ochrony Danych Osobowych, a nie Prezes UKE będzie nadal upoważniony do nakładania pieniężnej kary w wysokości do 3 % przychodu osiągniętego w poprzednim roku kalendarzowym za nie wypełnienie obowiązku:
1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 363,
2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym
mowa w art. 364 ust. 1,
3) informacyjnego, względem użytkownika, o którym mowa w art. 364 ust. 4,
4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 367 ust. 1
Czy w takim razie przedsiębiorca telekomunikacyjny może być dwa razy ukarany za to samo naruszenie? Wydaje się, że tak jeżeli wdrożenie technicznych i organizacyjnych środków ochrony wskazanych w art. 363 PKE będzie wynikać także z m.in. art. 32 RODO. Tylko, że w przypadku przepisów dotyczących ochrony danych osobowych kara, w zależności od dokonanego naruszenia, może wynosić 10 000 000 euro albo do 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 4 RODO).
Zgodnie z uzasadnieniem do ustawy PKE przepis art. 411 reguluje kwestię sankcji za naruszenie obowiązków dotyczących bezpieczeństwa przetwarzania danych osobowych, w tym wdrożenia technicznych i organizacyjnych środków ochrony, obowiązków informacyjnych względem Prezesa Urzędu Ochrony Danych Osobowych oraz użytkownika (w przypadku naruszenia danych osobowych), a także obowiązków dotyczących prowadzenia rejestru naruszeń danych osobowych. Obowiązki te zostały nałożone na podstawie projektowanych art. 363, 364 Pke na dostawcę publicznie dostępnych usług komunikacji elektronicznej.
Konsultacje
Zachęcam wszystkich do przesyłania konstruktywnych uwag do Ministerstwa Cyfryzacji – jest na to 30 dni. Wierzę, że takie uwagi wyjdą także z naszego Stowarzyszenia Praktyków Ochrony Danych Osobowych.
Jednak czym więcej pomysłów na to jak m.in. pogodzić „uprzednią zgodę” z celami biznesowymi tym lepiej!