BLOG

Dowiedz się co jest naprawdę ważne.

Problematyka ochrony danych osobowych przy umowach e-commerce

przez

Artykuł dotyczy problematyki prawnej w zakresie ochrony danych osobowych, która dotyczy umów zawieranych na potrzeby e-commerce. Rozumie się przez to kontrakty zawierane na potrzeby handlu elektronicznego.

Co do zasady, przyjmuje się, że z e-commerce mamy do czynienia, gdy umowa jest zawierana za pośrednictwem środków przekazu elektronicznego, niezależnie od tego czy jej przedmiot będzie realizowany w Internecie czy poza nim. Tym samym w celu całościowego ujęcia nakreślonej problematyki niniejszy tekst dotyczy zarówno umów zawieranych drogą elektroniczną oraz umów o świadczenie usług drogą elektroniczną.

Umowy zawierane drogą elektroniczną

Możliwość zawierania umów drogą elektroniczną wynika bezpośrednio z przepisów Kodeksu cywilnego[i]. W ich świetle oświadczenie woli może być złożone również w formie elektronicznej. Moment dokonania takiego oświadczenia woli następuje w momencie wprowadzenia go do środka komunikacji elektronicznej (czyli np. sieci internetowej) w taki sposób, aby osoba, której jest ono składane mogła zapoznać się z jego treścią. Tym samym, podjęcie takiej czynności może stanowić również formę zawarcia umowy.

Umowy zawierane na podstawie oświadczeń woli składanych drogą elektroniczną posiadają ugruntowaną pozycję w obrocie gospodarczym, która wynika z postępującej cyfryzacji rzeczywistości społecznej. Stosunki prawne tego typu wiążą się chociażby z powszechnym w Europie zamawianiem produktów przez Internet. Fakt, że umowy zawierane drogą elektroniczną posiadają współcześnie wysoką popularność nie wpływa na ograniczenie wątpliwości prawnych, również w zakresie ochrony danych osobowych, jakie wiążą się ze specyfiką takich konstrukcji prawnych. Przekłada się to również na trudności w dostosowywaniu rozwiązań w zakresie zapewnienia zgodności z przepisami Rozporządzenia 2016/679[ii]. Rozbieżności wśród praktyków występują, w szczególności w zakresie podstaw prawnych wskazywanych w ramach spełniania względem osób, których dane dotyczą, obowiązków informacyjnych. Administratorzy mają problemy zarówno z rozpoznawaniem, że dane czynności wynikające z oświadczeń woli składanych drogą elektroniczną są umowami jak i z prawidłowym dostosowywaniem do nich przesłanek legalizujących przetwarzanie danych osobowych.

Pamiętać należy, że nie wszystkie umowy polegają na świadczeniach wzajemnych. Polskie prawo dopuszcza również zawieranie umów jednostronnie zobowiązujących. Ponadto umowa nie musi mieć charakteru odpłatnego. Pomimo tego, że wydaje się to oczywiste, zdarzają się problemy z dostrzeżeniem występowania umowy w niektórych konfiguracjach stanu faktycznego. gdy do świadczenia zobowiązana jest tylko jedna strona, samo świadczenie nie jest odpłatne, a całość odbywa się w sieci internetowej. Co do zasady przepisy nie ograniczają możliwości zawierania umów drogą elektroniczną ze względu na charakter poszczególnej umowy. Wyjątek stanowić może zastrzeżenie formy szczególnej dokonania czynności prawnej. Co prawda, w świetle art. 781 Kodeksu cywilnego forma elektroniczna wymaga opatrzenia oświadczenia woli kwalifikowanym podpisem elektronicznym, jednakże jak wskazuje się w doktrynie wymóg ten dotyczy jedynie czynności prawnych obarczonych ustawowo sankcją nieważności lub zakazem dowodowym za niedochowanie właściwej formy (tak m.in. P. Nazaruk, G. Stojek). W zakresie czynności prawnych, które nie są obarczone takimi wymaganiami, wystarczające jest oświadczenie woli złożone bez wykorzystania kwalifikowanego podpisu elektronicznego.

Ponadto istnieje kilka sposobów zawarcia umowy drogą elektroniczną. Należą do nich m.in. możliwości przedstawienia oferty lub ogólnych warunków umowy za pośrednictwem komunikacji elektronicznej, które przewidział ustawodawca w Kodeksie cywilnym. Zastosowanie trybów tych wiąże się ze szczególnymi obowiązkami, które muszą zostać spełnione. Ich prawidłowe wypełnienie przekłada się również na legalność przetwarzania danych, o czym dalej.

Umowy o usługi świadczone drogą elektroniczną

Umowy o usługi świadczone drogą elektroniczną, choć nie ma takiego wymogu, najczęściej są zawierane za pośrednictwem elektronicznych środków przekazu danych.

Kwestia ochrony danych osobowych związana ze świadczeniem usług tego typu była przedmiotem analizy Europejskiej Rady Ochrony Danych Osobowych. Organ ten w treści Wytycznych 2/2019[iii] bazował przede wszystkim na przepisach Dyrektywy 2015/1535[iv]. Zgodnie z powyższym aktem prawnym, usługą społeczeństwa informacyjnego jest normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Autorzy Wytycznych wskazują przy tym, że odpłatność tych usług nie musi polegać na bezpośrednich świadczeniach pieniężnych, do których zobowiązany byłby odbiorca usługi. Może ona opierać się na czynnościach marketingowych, które pomimo, że teoretycznie są bezpłatne, przynoszą ich nadawcy korzyści ekonomiczne.

Przyjęcie takiej kwalifikacji za organem prowadzi do uznania niektórych usług za świadczone na podstawie zobowiązań umownych, pomimo tego, że dotychczas rzadko były tak postrzegane. Przykładem takiej usługi jest newsletter. Jego kwalifikacja jako usługi świadczonej drogą elektroniczną na podstawie umowy wpływa również na podstawę prawną przetwarzania danych osobowych. W takim przypadku, jak wskazuje Europejska Rada Ochrony Danych, jest nią niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, a nie prawnie uzasadniony interes administratora, ani zgoda takiej osoby.

Opisywane usługi generują również konieczność zapewnienia zgodności z przepisami ustawy o świadczenie usług drogą elektroniczną[v]. Warto wspomnieć, że krajowa regulacja nie wyłącza z zakresu swojego stosowania przypadków, gdy przedmiotem umowy są świadczenia nieodpłatne. Jednocześnie przepisy powyższego aktu prawnego wskazują, że źródłem usług świadczonych drogą elektroniczną zawsze jest umowa. Oczywiście nie każda umowa zawarta drogą elektroniczną wymaga zapewnienia zgodności z przepisami ustawy o świadczeniu usług drogą elektroniczną. Stosownie do art. 2 pkt 4) powyższego aktu normatywnego, usługa świadczona drogą elektroniczną musi być usługą świadczoną bez jednoczesnej obecności stron, poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej. Tym samym umowa zawarta drogą elektroniczną, ale świadczona przy równoczesnej obecności stron nie będzie już przedmiotem właściwości powyższej ustawy.

Warto odnotować, że ustawa o świadczenie usług drogą elektroniczną sama w sobie zawiera normy dotyczące przetwarzania danych osobowych. Nakłada ona również dodatkowe obowiązki informacyjne na usługodawcę. Należy do nich m.in. obowiązek sporządzenia i publikacji regulaminu świadczenia usług drogą elektroniczną, który często wspólnie z treścią obowiązku informacyjnego wynikającego z przepisów Rozporządzenia 2016/679 staje się częścią polityki prywatności. Ustawa o świadczeniu usług drogą elektroniczną przewiduje również zakaz przesyłania niezamówionej informacji handlowej. Podkreślić trzeba jednak, że stosownie do art. 10 ust. 2 powyższej ustawy, informacji handlowej nie uważa się za niezamówioną, jeżeli odbiorca wyrazi zgodę na otrzymywanie takiej informacji w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Odnotowania wymaga jednak, że w świetle Wytycznych, zgoda taka nie jest tożsama ze zgodą w rozumieniu art. 6 ust. 1 lit. a) Rozporządzenia 2016/679. Oznacza to, że sam fakt wyrażenia zgody na przetwarzanie danych osobowych przez podmiot danych nie jest równoznaczny z wyrażeniem zgody na otrzymywanie informacji handlowej.

Przepisy ustawy o świadczenie usług drogą elektroniczną tworzą własny katalog danych osobowych, który przetwarzać może usługodawca na potrzeby realizacji usługi. Mieszczą się w nim takie dane usługobiorcy jak: imię i nazwisko, numer PESEL (lub inny numer identyfikacyjny), adres zameldowania na pobyt stały, adres korespondencyjny, dane służące do weryfikacji podpisu elektronicznego i adresy elektroniczne. Usługodawcy przysługuje również uprawnienie do przetwarzania innych danych, jeżeli będzie on w stanie wykazać niezbędność ich przetwarzania dla danej usługi. Art. 18 powyższej ustawy wskazuje, że kategorie danych zawarte w katalogu są danymi niezbędnymi do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między stronami. Oznacza to, że przepis ten stanowi lex specialis do art. 6 ust. 1 lit. b) Rozporządzenia 2016/679. Taka decyzja ustawodawcy zapewnia administratorowi komfort wiążący się z tym, że zyskuje on możliwość przetwarzania danych znajdujących się w katalogu bez konieczności wykazywania innej niż niezbędność dla wykonania umowy przesłanki legalizacyjnej. Podkreślić jednak trzeba, że zgodnie z tym przepisem usługodawca może przetwarzać dane zawarte w katalogu. Nie jest jednak do tego zobowiązany.

Podkreślić należy, że art. 18 ustawy o świadczenie usług drogą elektroniczną nie tworzy obowiązku, lecz uprawnienie. Tym samym podstawą prawną do przetwarzania tych danych nie może być przesłanka obowiązku prawnego do przetwarzania danych ciążącego na administratorze. W związku z tym względem danych uregulowanych w katalogu stosować należy zasadę minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c) Rozporządzenia 2016/679. Okazać się bowiem może, że nie wszystkie powyższe dane są niezbędne dla realizacji poszczególnej umowy.

Podstawy prawne celów przetwarzania danych

Wspomniane zostało już w niniejszym artykule, że prawidłową podstawą prawną do przetwarzania danych osobowych na potrzeby umów elektronicznych (niezależnie od tego czy sama usługa będzie świadczona drogą elektroniczną) jest przesłanka niezbędności przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą. Wymaga jednak doprecyzowania, że przepis art. 6 ust. 1 lit. b) Rozporządzenia 2016/679 nie legalizuje wszystkich operacji na danych osobowych, które są podejmowane w związku z takim przetwarzaniem. Jak wskazuje Europejska Rada Ochrony Danych w Wytycznych 2/2019, sam fakt klasyfikacji danego stosunku jako wynikającego z umowy elektronicznej, nie pozwala na stosowanie powyższej podstawy prawnej do legalizacji przetwarzania, którego zakres wykracza poza niezbędność do wykonania takiej umowy.

Tym samym, jeżeli administrator planuje przetwarzać dane w innych celach, powinien on poinformować o tym osobę, której dane dotyczą na etapie spełniania obowiązku informacyjnego oraz zapewnić, aby przetwarzanie takie mogło opierać się na innej przesłance legalizacyjnej. Przykładowo, jeżeli usługodawca chciałby prowadzić badania satysfakcji klienta to powinien uprzednio uzyskać zgodę osoby, której dane dotyczą lub oprzeć takie przetwarzanie na prawnie uzasadnionym interesie administratora po przeprowadzeniu testu równowagi.

Warto jednak wspomnieć, że zdaniem Europejskiej Rady Ochrony Danych przetwarzanie danych w celach zapewnienia gwarancji lub prawa do zwrotu towaru może opierać się na przesłance, o której mowa w art. 6 ust. 1 lit. b) RODO. Wymaga to jednak poinformowania osoby, której dane dotyczą na etapie projektowania klauzuli informacyjnej. Organ wskazuje również, że analogiczna sytuacja ma miejsce, gdy administrator planuje przetwarzać dane po wyczerpaniu zasadności opierania się na przesłance niezbędności do wykonania umowy.

Ostatecznie wspomnieć należy, że cel przetwarzania danych musi pozostać konkretny, wyraźny i prawnie uzasadniony, niezależnie od istnienia ważnej podstawy prawnej do przetwarzania danych. Szczególnie interesująca jest przy tym ostatnia z wymienionych powyżej właściwości prawidłowego celu. Znaczenie wskazanych pojęć zostało rozstrzygnięte przez Grupę Roboczą Art. 29 w Opinii 03/2013[vi]. W świetle powyższego stanowiska, cel prawnie uzasadniony to taki, który zarówno jest zgodny z przesłankami legalizującymi przetwarzanie jak również z całokształtem systemu prawa powszechnie obowiązującego. Ma to szczególne znaczenie dla umów zawieranych drogą elektroniczną. Zwłaszcza, jeżeli strony decydują się na zawieranie takiego stosunku prawnego na podstawie instrumentów takich jak oferta złożona w formie elektronicznej czy ogólne warunki umów przedstawiane drogą elektroniczną. Tryby takie przewidują bowiem szereg wymogów, które decydują o prawidłowości ich stosowania. Co więcej, z treści Wytycznych 2/2019 wynika, że przetwarzanie na podstawie art. 6 ust. 1 lit. b) Rozporządzenia 2016/679 będzie niedopuszczalne, jeżeli umowa będzie niezgodna z normami obowiązującego w danym państwie prawa regulującego materię zobowiązań. Przykładowo, jeżeli umowę zawrzemy na podstawie oferty złożonej w postaci elektronicznej, która nie spełniała wymogów określonych w art. 661 Kodeksu cywilnego, to naruszymy nie tylko przepisy prawa cywilnego, ale również doprowadzimy do naruszenia ochrony danych osobowych polegającego na przetwarzaniu danych bez ważnej podstawy prawnej. Podobna sytuacja będzie miała miejsce, jeżeli umowa będzie zawierała niedozwolone klauzule umowne, lub w inny sposób będzie naruszać przepisy o ochronie konkurencji i konsumenta.

Słowem podsumowania

Podsumowując, aby zapewnić zgodność przetwarzania danych z przepisami prawa ochrony danych osobowych przy umowach e-commerce, usługodawcy zobowiązani są do dokładnej analizy innych przepisów regulujących materię takich zobowiązań. Okazać się bowiem może, że pomimo prawidłowo spełnionych obowiązków wynikających z Rozporządzenia 2016/679, przetwarzanie danych będzie niezgodne z przepisami prawa z racji na niedopełnienie innych wymogów prawnych. Szczególnie istotne pozostają przy tym zwłaszcza przepisy aktów normatywnych takich jak Kodeks cywilny, ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne[vii] czy ustawa o ochronie konkurencji i konsumenta[viii].

 

 

[i] Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2019 r. poz. 1145);

[ii] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.);

[iii] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects;

[iv] Dyrektywa (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (ujednolicenie) (Dz. U. UE. L. z 2015 r. Nr 241, str. 1);

[v] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2019 r. poz. 123 z późn. zm.);

[vi] Opinion 03/2013 on purpose limitation (00569/13/EN WP 203);

[vii] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2018 r. poz. 1954 z późn. zm.);

[viii] Ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j. Dz. U. z 2019 r. poz. 369 z późn. zm.).

Źródła:
  • Art. 60 Kodeksu cywilnego;
  • Art. 61 § 2 Kodeksu cywilnego;
  • Art. 661 Kodeksu cywilnego;
  • Art. 73 Kodeksu cywilnego;
  • Art. 781 Kodeksu cywilnego;
  • Nazaruk Piotr. Art. 78(1). W: Kodeks cywilny. Komentarz. Wolters Kluwer Polska, 2019;
  • Art. 1 ust. 1 lit. b) Dyrektywy 2015/1535;
  • Wytyczne 2/2019;
  • Art. 6 ust. 1 lit. a) Rozporządzenia 2016/679;
  • Art. 6 ust. 1 lit. b) Rozporządzenia 2016/679;
  • Art. 6 ust. 1 lit. c) Rozporządzenia 2016/679;
  • Art. 13 i n. Rozporządzenia 2016/679;
  • Art. 2 pkt. 4) ustawy o świadczeniu usług drogą elektroniczną;
  • Art. 5 i n. ustawy o świadczeniu usług drogą elektroniczną;
  • Art. 7 pkt. 1) lit. b) ustawy o świadczeniu usług drogą elektroniczną;
  • Art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną;
  • Art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną;
  • Opinia 03/2013.