Akt o usługach cyfrowych nazywany często także konstytucją internetu, który w całości zaczął obowiązywać 17 lutego br., nie tylko dokonał harmonizacji zasad prowadzenia działalności przez dostawców usług pośrednich na całym rynku wewnętrznym UE, lecz także wprowadził nowe gwarancje dla praw podstawowych odbiorców takich usług.
Część przepisów wspomnianego unijnego rozporządzenia nakłada na pośredników internetowych – w szczególności dostawców platform internetowych – dodatkowe obowiązki, które mają zwiększyć zakres autonomii informacyjnej użytkowników. Co więcej, realizacja niektórych wymogów AUC przez dostawców usług pośrednich wiąże się z powstaniem nowych procesów przetwarzania danych osobowych lub koniecznością aktualizacji już istniejących procesów. A obowiązki wynikające z RODO oraz AUC w wielu aspektach wzajemnie na siebie oddziałują. Przedstawiamy najważniejsze zagadnienia dotyczące stosowania przepisów o ochronie danych osobowych w związku z realizacją wymogów wynikających z AUC.
BEZ LEX SPECJALIS, ALE Z OKREŚLONYMI ROLAMI
Unijny prawodawca wskazał, że akt o usługach cyfrowych tj. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz.Urz. UE z 2022 r. L. 217, s. 1; dalej: AUC), pozostaje „bez uszczerbku” dla przepisów o ochronie danych osobowych. Co się jednak kryje za tym stwierdzeniem? Otóż oznacza ono, że unijny prawodawca wykluczył możliwość automatycznego traktowania AUC jak lex specialis modyfikującego ogólne obowiązki pośredników internetowych w zakresie przetwarzania danych osobowych. W konsekwencji, jeżeli w związku z realizacją wymogów AUC przez dostawców usług pośrednich dojdzie do przetwarzania danych osobowych użytkowników lub osób trzecich, takie operacje na danych muszą być zgodne odpowiednio z przepisami RODO lub przepisami krajowymi stanowiącymi transpozycję dyrektywy ePrivacy (art. 2. ust. 4 lit. G AUC). W praktyce oznacza to m.in. konieczność zapewnienia przez dostawców usług pośrednich właściwej podstawy prawnej dla przetwarzania danych osobowych, które będzie mieć miejsce przy spełnianiu obowiązków z AUC.
Stosowanie AUC oznacza też konieczność określenia ról dostawcy usługi pośredniej w procesie przetwarzania danych osobowych. Dostawca usługi pośredniej może potencjalnie pełnić rolę administratora lub współadministratora (art. 4 pkt 7 RODO) lub podmiotu przetwarzającego (art. 4 pkt 8 RODO). Każdorazowo należy jednak oceniać, kto rzeczywiście decyduje o celach i sposobach przetwarzania danych osobowych.
Kiedy dostawca usługi pośredniej będzie administratorem
Dostawca usługi może pełnić rolę administratora danych w szczególności w następujących sytuacjach:
• przetwarzania danych osobowych odbiorców usługi pośredniej będących osobami fizycznymi (np. użytkowników portalu społecznościowego, gier mobilnych),
• przetwarzania danych osobowych osób fizycznych niebędących odbiorcami usługi w związku z realizacją wymogów AUC (np. udostępniania tożsamości osób fizycznych, w imieniu których jest prezentowana reklama na interfejsie internetowym dostawcy platformy internetowej),
• przetwarzania danych osobowych stron (osób fizycznych) umowy zawieranej z wykorzystaniem platformy internetowej umożliwiającej konsumentom zawieranie z przedsiębiorcami umów na odległość,
• przetwarzania danych osobowych konsumentów w związku z informowaniem konsumentów o nielegalnym charakterze nabytych usług lub towarów oferowanych przez konkretnego przedsiębiorcę – przez dostawców ww. platform internetowych. ©℗
Ramka 1
A to nie koniec. Dostawca usługi pośredniej może bowiem też pełnić rolę podmiotu przetwarzającego w odniesieniu do danych osobowych przetwarzanych na zlecenie odbiorców usługi będących administratorami danych. Taka sytuacja może mieć miejsce np., jeżeli dostawca usługi pośredniej będzie udostępniał przestrzeń do przechowywania informacji w chmurze obliczeniowej, która będzie służyć do wymiany plików. W przypadku gdy dostawca usługi pośredniej przetwarza dane osobowe w imieniu innych podmiotów, konieczne jest zawarcie umowy powierzenia spełniającej wymogi z art. 28 RODO.
Wskazówka: W związku z tym, że wdrożenie AUC oznacza w praktyce konieczność przetwarzania danych osobowych w nowych procesach przetwarzania danych, podmioty zobowiązane do jego stosowania powinny w pierwszej kolejności dokonać inwentaryzacji nowych procesów przetwarzania danych osobowych. Następnie powinny odpowiednio uzupełnić:
• rejestr czynności przetwarzania (art. 30 ust. 1 RODO), jeżeli działają jako administratorzy lub współadministratorzy, bądź
• rejestr kategorii czynności (art. 30 ust. 2 RODO), jeżeli działają jako podmioty przetwarzające.
wdrożenie wymogów AUC to konieczność spełnienia obowiązków informacyjnych z RODO
Przepisy AUC nakładają na dostawców usług pośrednich dodatkowe wymogi dotyczące informacji i przejrzystości. Realizacja części z nich może się wiązać z udostępnieniem odbiorcom usługi danych osobowych osób fizycznych. Przykładowo zgodnie z art. 26 ust. 1 lit. b i c AUC dostawcy platform internetowych, którzy prezentują reklamy na swoich interfejsach internetowych, zapewniają, aby odbiorcy usługi – w odniesieniu do każdej konkretnej reklamy prezentowanej każdemu indywidualnemu odbiorcy – byli w stanie w sposób jasny, wyraźny, zwięzły i jednoznaczny oraz w czasie rzeczywistym stwierdzić, w imieniu jakiej osoby fizycznej lub prawnej jest prezentowana reklama oraz kto za nią zapłacił, jeżeli sponsorem reklamy jest podmiot trzeci. A zatem wykonanie tego obowiązku wymaga od dostawcy platformy internetowej ujawnienia tożsamości osób fizycznych, z inicjatywy których dany komunikat marketingowy został wyświetlony użytkownikom platformy.
Z perspektywy stosowania przepisów o ochronie danych osobowych oznacza to konieczność spełnienia obowiązku informacyjnego przez dostawcę platformy wobec reklamodawcy lub sponsora reklamy będącego osobą fizyczną przed takim udostępnieniem jego danych. Informacje o przetwarzaniu danych osobowych reklamodawcy lub sponsora reklamy w związku z ujawnieniem jego tożsamości użytkownikom platformy muszą zawierać treści wymagane w art. 13 lub 14 RODO, w tym powinny określać podstawę prawną takiego przetwarzania oraz okres retencji danych.
Przekazanie informacji o przetwarzaniu danych osobowych z art. 13 lub 14 RODO przez dostawcę usługi pośredniej jest również wymagane wobec odbiorców usługi będących osobami fizycznymi, którzy korzystają z mechanizmów wprowadzonych w konkretnej usłudze w związku ze stosowaniem AUC. Przykładem takich sytuacji może być udostępnianie odpowiednich klauzul informacyjnych osobom korzystających z funkcjonalności do zgłaszania nielegalnych treści w usłudze lub rozwiązań umożliwiających składanie użytkownikom platformy internetowej oświadczeń, czy przekazywane treści są informacjami handlowym lub zawierają takie informacje.
Wskazówka: Dostawcy usług pośrednich powinni zatem zaktualizować lub opracować nowe klauzule informacyjne z art. 13 lub 14 RODO, których treść będzie odpowiadała nowym procesom przetwarzania danych, powstałym w związku z dostosowaniem świadczonej usługi do wymogów AUC. Warto pamiętać, że jeżeli usługa pośrednia jest skierowana przede wszystkim do osób małoletnich lub gdy tacy odbiorcy korzystają z niej w głównej mierze, to dostawca usługi pośredniej także powinien opracować odpowiednie klauzule informacyjne w języku zrozumiałym dla dzieci.
ograniczenia dla dostawców platform internetowych w zakresie profilowania odbiorców usług
W art. 26 ust. 3 i art. 28 ust. 2 AUC zostały zawarte dwa istotne zakazy dla dostawców platform internetowych z zakresu wykorzystywania danych osobowych na potrzeby wyświetlania odbiorcom usługi reklam wykorzystujących profilowanie. Pierwszy ze wskazanych przepisów (art. 26 ust. 3 AUC) zabrania dostawcom platform internetowych wykorzystywania danych szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, aby prezentować odbiorcom platform targetowane reklamy. Natomiast art. 28 ust. 2 AUC przesądza o tym, że dostawcy platform internetowych nie mogą prezentować na swoim interfejsie reklam opartych na profilowaniu z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni.
Na marginesie warto wskazać, że oprócz ograniczeń w zakresie profilowania osób fizycznych w ww. przepisach dostawcy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, którzy korzystają z systemów rekomendacji, muszą zapewniać dla każdego ze swoich systemów rekomendacji co najmniej jedną opcję, która nie jest oparta na profilowaniu. Jest to uzupełnienie obowiązku zachowania przejrzystości systemów rekomendacji. Taka opcja, zgodnie z motywem 94 do AUC, powinna być dostępna za pośrednictwem interfejsu internetowego, na którym odbiorcy usługi są przedstawiane propozycje.
Dla zrozumienia zakresu powyższych zakazów podstawowe znaczenie ma pojęcie profilowania, w zakresie którego unijny prawodawca odsyła wprost do definicji zawartej w art. 4 pkt 4 RODO. Wskazuje ona, że profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
• Jak można stwierdzić, że w danej sytuacji doszło do profilowania?
O tym decyduje spełnienie kumulatywnie trzech przesłanek, czyli:
- występowanie zautomatyzowanego przetwarzania,
- obejmowanie zautomatyzowanym przetwarzaniem danych osobowych,
- zautomatyzowane przetwarzanie danych osobowych służące ocenie czynników osobowych, takich jak analiza lub prognoza efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się danej osoby fizycznej. Są to wyłącznie przykłady czynników osobowych wskazane w art. 4 pkt 4 RODO.
Zwykła klasyfikacja osób fizycznych na podstawie takich cech jak wiek, płeć czy wzrost nie zawsze będzie oznaczać, że dochodzi do profilowania. Kluczowy jest cel dokonywania takiej oceny.
Do profilowania nie będzie dochodziło, jeżeli celem klasyfikacji klientów jest przeprowadzenie wyłącznie badań statystycznych bez prognozowania lub wyciągania wniosków na temat konkretnych osób fizycznych.
Natomiast typowym przykładem profilowania jest gromadzenie informacji dotyczących preferencji i aktywności użytkowników serwisów internetowych (w tym platform internetowych) w celu utworzenia spersonalizowanej oferty.
Warto jeszcze wskazać, że dla wspomnianego wyżej zakazu wynikającego z art. 26 ust. 3 AUC, zgodnie z którym dostawcy platform internetowych nie mogą prezentować reklam opartych na profilowaniu z wykorzystywaniem szczególnych kategorii danych, ma znaczenie sposób rozumienia tych kategorii z art. 9 ust. 1 RODO.
Ramka 2
Szczególne kategorie danych wynikające z art. 9 ust. 1 RODO
Do szczególnych kategorii danych należą dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Wśród szczególnych kategorii danych należy wyróżnić również:
• dane wyraźne, czyli dane wprost wynikające z dostępnych informacji podanych przez użytkownika platformy (np. informacja o przynależności do partii politycznej lub związku zawodowego), oraz
• dane wywnioskowane lub połączone.
Ale to nie wszystko. Szczególne kategorie danych mogą bowiem zostać również wywnioskowane z danych, które nie mają takiego statusu, lub powstać w wyniku połączenia wielu informacji dotyczących tej samej osoby fizycznej. Takie podejście wynika z wyroków Trybunału Sprawiedliwości UE w sprawach C-184/20, OT (wyrok z 1 sierpnia 2022 r. w sprawie OT przeciwko Vyriausioji tarnybinės etikos komisija) oraz C-252/21 (wyrok z 4 lipca 2023 r. w sprawie Meta Platforms Inc., dawniej Facebook Inc., Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd., Facebook Deutschland GmbH przeciwko Bundeskartellamt), w których analizowano pojęcie szczególnych kategorii danych z art. 9 ust. 1 RODO. ©℗
mylące interfejsy
Zgodnie z art. 25 ust. 1 AUC dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. A zgodnie z art. 25 ust. 2 AUC zakaz przewidziany w ust. 1 nie ma zastosowania do praktyk objętych RODO.
W naszej ocenie może wystąpić sytuacja, w której nieprawidłowe zaprojektowanie interfejsów internetowych będzie naruszeniem zarówno art. 25 ust. 1 AUC, jak i przepisów RODO. Wprawdzie w motywie 67 do AUC wskazano, że przepisy dotyczące zwodniczych interfejsów należy interpretować w taki sposób, aby obejmowały zakazane praktyki wchodzące w zakres stosowania AUC w zakresie, w jakim te praktyki nie są już objęte zakresem stosowania RODO (co oznaczałoby, że w razie zastosowania RODO nie mają zastosowania przepisy art. 25 AUC). Jednak w praktyce – ze względu na brak precyzji art. 25 ust. 2 AUC – może dojść do sytuacji, w której zarówno organ nadzorczy ds. ochrony danych, jak i organ właściwy ds. egzekwowania stosowania przepisów AUC będą chciały pociągnąć do odpowiedzialności podmiot, który stosuje nieprawidłowo zaprojektowany interfejs. To potencjalnie przekłada się na możliwość nałożenia odrębnych kar na podstawie dwóch reżimów prawnych, tj. :
- z art. 83 RODO (za naruszenie przepisów o ochronie danych) oraz
- z przepisów AUC. Przy czym należy pamiętać, że art. 25 AUC ma węższy zakres zastosowania podmiotowego i dotyczy tylko dostawców platform internetowych, podczas gdy na gruncie RODO odpowiedzialny może być każdy administrator.
Ramka 3
Wytyczne Europejskiej Rady Ochrony Danych
Warto zwrócić uwagę na to, że Europejska Rada Ochrony Danych (EROD) zajmowała się już w swoich wytycznych tzw. zwodniczymi interfejsami projektowymi.
W wytycznych 03/2022 o zwodniczych interfejsach projektowych w interfejsach platform mediów społecznościowych EROD wskazała m.in., że analiza zgodności interfejsów z przepisami RODO powinna się opierać na zasadach określonych w art. 5 RODO, art. 4 pkt 11 w zw. z art. 7 RODO, art. 12 RODO oraz art. 25 RODO. Wytyczne również mogą służyć jako przewodnik do przygotowywania interfejsów w innego rodzaju aplikacjach czy na stronach internetowych pod kątem ich zgodności z przepisami o ochronie danych osobowych. EROD wyróżnił następujące podstawowe kategorie możliwych naruszeń:
• overloading, czyli przeciążenie treścią – występuje, jeżeli użytkownicy otrzymują zbyt dużo żądań, informacji, opcji lub możliwości. Takie działanie ma na celu skłonienie użytkownika do udostępnienia większej liczby danych,
• skipping, czyli pomijanie – oznacza zaprojektowanie interfejsu użytkownika w taki sposób, aby użytkownicy zapomnieli lub nie przemyśleli aspektów związanych z ochroną danych osobowych,
• stirring, czyli wpływanie na wybór użytkownika przez odwołania do emocji lub bodźce wizualne,
• obstructing, czyli utrudnianie lub blokowanie użytkownikom możliwości uzyskania informacji lub zarządzania własnymi danymi osobowymi,
• fickle – co oznacza, że interfejs jest niespójny i niejasny, co utrudnia użytkownikowi korzystanie z narzędzi do kontroli danych osobowych,
• „left in the dark” – co oznacza, że interfejs został zaprojektowany tak, aby ukryć informacje lub narzędzia służące do kontroli nad przetwarzaniem danych osobowych. Zastosowanie takiego wzorca projektowania może służyć również do pozostawienia użytkownika w niepewności co do tego, jak są przetwarzane jego dane osobowe oraz jak może kontrolować wykonywanie swoich praw.
Przedmiotowo te przedstawione wyżej praktyki mogą się pokrywać z działaniami wskazanymi w art. 25 ust. 3 AUC jako przykłady stosowania mylących interfejsów, tj.:
• większe eksponowanie niektórych wyborów, gdy odbiorca usługi jest proszony o podjęcie decyzji,
• wielokrotne żądania od odbiorcy usługi dokonania wyboru, gdy wyboru takiego już dokonał, w szczególności przez pokazywanie wyskakujących okienek, które zakłócają środowisko użytkownika,
• sprawianie, że procedura zrezygnowania z usługi jest trudniejsza niż procedura jej subskrypcji. ©℗
egzekwowanie przepisów
Główną rolę w zakresie egzekwowania przepisów AUC ma wyznaczony w każdym państwie członkowskim koordynator ds. usług cyfrowych. Rozporządzenie przewiduje również możliwość wskazania przez krajowych ustawodawców (dodatkowych) właściwych organów, których zadaniem może być egzekwowanie przestrzegania wybranych przepisów AUC przez pośredników internetowych.
Jak to wygląda w Polsce? 15 marca 2024 r. Ministerstwo Cyfryzacji przedstawiło projekt ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw, który ma utworzyć otoczenie instytucjonalne i regulacyjne dla stosowania przepisów AUC w Polsce. Projektodawca jako koordynatora ds. usług cyfrowych wskazał prezesa Urzędu Komunikacji Elektronicznej. Prezes Urzędu Ochrony Konkurencji i Konsumentów został natomiast wskazany jako współdziałający z nim organ właściwy, który ma być odpowiedzialny za:
- sprawy dotyczące obowiązków dostawców platform internetowych umożliwiających konsumentom zawieranie z przedsiębiorcami umów zawieranych na odległość, o których mowa w art. 29–32 AUC oraz
- inne sprawy dotyczące ochrony konsumentów określonych w AUC.
W projekcie ustawy jako jeden z właściwych organów, które mogłyby monitorować przestrzeganie przepisów AUC, nie został wskazany prezes Urzędu Ochrony Danych Osobowych. Stało się tak mimo zawarcia w przepisach rozporządzenia wymogów dla dostawców usług pośrednich związanych bezpośrednio z ochroną danych osobowych, tj. zakazów dla dostawców platform internetowych dotyczących prezentowania odbiorcom reklam opartych na profilowaniu (art. 26 ust. 3 i art. 28 ust. 2 AUC). Nieuwzględnienie prezesa UODO wśród organów właściwych ds. AUC projektodawca uzasadnił zakresem stosowania RODO i dążeniem do utrzymania jednolitych zasad przeprowadzania postępowania, pewności prawa oraz potrzebą przeciwdziałania potencjalnej dyskryminacji określonych podmiotów czy nierównemu ich traktowaniu.
W naszym przekonaniu na etapie dalszych prac nad projektem ustawy należy jednak rozważyć zwiększenie roli prezesa UODO w egzekwowaniu przepisów AUC dotyczących profilowania odbiorców usługi przez dostawców platform internetowych w celu wyświetlania im reklam. Zakazy zawarte w art. 26 ust. 3 AUC i art. 28 ust. 2 AUC opierają się na pojęciach zdefiniowanych w RODO, których interpretowanie i egzekwowanie powinno pozostawać w gestii prezesa UODO, choćby ze względu na jego doświadczenie, wiedzę fachową oraz praktykę, np. w zakresie oceny tego, czy są przetwarzane szczególne kategorie danych osobowych lub czy ma miejsce profilowanie osób fizycznych.
Niezależnie od powyższego należy wskazać, że prezes UODO pozostaje organem właściwym dla oceny zgodności z przepisami o ochronie danych osobowych procesów przetwarzania danych osobowych, które mają miejsce w związku z realizacją wymogów AUC. ©℗
AUC i ochrona danych osobowych
Realizacja wymogów AUC może się wiązać z przetwarzaniem danych osobowych. W takich przypadkach dostawcy usług pośrednich muszą się poruszać w ramach ograniczeń ustanowionych w RODO i zapewnić zgodność nowych procesów przetwarzania danych osobowych z rozporządzeniem. Kompleksowe wdrożenie wymogów AUC przez podmioty do tego zobowiązane powinno być powiązane z przeglądem i realizacją obowiązków wynikających z RODO. W przeciwnym wypadku mimo wdrożenia AUC może istnieć ryzyko niezgodności podejmowanych działań z przepisami dotyczącymi ochrony danych osobowych.