Czy możliwa jest „zapłata” za usługę danymi osobowymi? – kilka refleksji EDPS

W związku z trwającą dyskusją nad regulacjami konsumenckimi, Europejski Inspektor Ochrony Danych (dalej: „EDPS”) w Opinii 8/2018 wypowiedział się w sprawie zmian dyrektywy 2011/83/UE o prawach konsumenta, m.in. w zakresie proponowanego podejścia do monetyzacji danych osobowych. Co warto podkreślić, podstawowym założeniem zaprezentowanej opinii jest potrzeba zapewnienia odpowiedniej ochrony konsumentów oraz zapobieżenie nieuczciwym praktykom rynkowym poprzez zapewnienie kompatybilności przepisów z dziedziny ochrony praw konsumenta z przepisami dotyczącymi ochrony danych osobowych.

Nowelizacja dyrektywy zakłada rozszerzenie zakresu obowiązywania jej postanowień o nowe kategorie umów, tj. umowy dostarczania treści cyfrowych na niematerialnym nośniku, a także umowy świadczenia usług cyfrowych, które świadczone są nie tylko za wynagrodzeniem pieniężnym, ale również pod warunkiem udostępnienia przez konsumenta jego danych osobowych. W związku z powyższym, konsumenci udostępniający swoje dane w zamian za usługi cyfrowe mają korzystać z takiej samej ochrony, jaką dyrektywa zapewnia konsumentom w przypadku odpłatności pieniężnej.

Katarzyna Sawicka, Managing Associate, Deloitte

Jak zauważa Komisja Europejska w proponowanej nowelizacji – z uwagi na rosnącą wartość danych osobowych dla przedsiębiorców, usługi takie jak możliwość magazynowania danych w chmurze czy korzystanie z portali społecznościowych nie mogą być traktowane jako usługi darmowe. Konsumenci powinni mieć takie samo prawo do informacji czy odstąpienia od umowy, bez względu na to, czy wymaga się od nich wynagrodzenie pieniężnego, czy też udostępnienia danych. Ponadto, EDPS wskazał, że prezentacja usług, dla których świadczenia dostawca wymaga udostępnienia danych osobowych, jako darmowych wprowadza w błąd, nie informuje o rzeczywistych konsekwencjach, które ponoszą konsumenci w wyniku przekazania swoich danych, jak również zniekształca proces decyzyjny, negatywnie wpływając nie tylko na konsumentów, ale i na konkurencję.

EDPS zauważa, że pomimo coraz częstszego traktowania danych osobowych jako towaru (a tym samym ich monetyzacji), legislacja unijna nie powinna rozumieć danych wyłącznie jako pewnej formy „zapłaty”. Unijny organ ochrony danych zwraca uwagę, że proponowane podejście legislacyjne może sprowadzać dane osobowe jedynie do roli środka płatniczego, nie uwzględniając ich podstawowego znaczenia dla zapewnienia praw podstawowych jednostek. Organ przypomina, że ochrona danych osobowych jest podstawowym składnikiem prawa do prywatności i równocześnie zaznacza, że definicje zawarte w projekcie zmian w przepisach konsumenckich, traktujące dane osobowe jako „walutę” są mylące. Odwracają bowiem uwagę od ich rzeczywistej natury.

W zakresie ochrony danych podmiotów będącymi stronami umowy o tzw. „bezpłatne usługi” EDPS zwraca uwagę na konieczność stosowania postanowień RODO. Ważną kwestią podnoszoną przez organ są możliwe nadużycia w związku z traktowaniem danych jako środka zapłaty. Istnieje ryzyko niewłaściwej interpretacji postanowień RODO, m.in. poprzez przyjęcie przesłanki niezbędności wykonania umowy o świadczenie usług cyfrowych jako podstawy przetwarzania danych konsumentów. Tymczasem wspomnianą podstawą powinna być zgoda podmiotu danych. W konsekwencji EDPS wskazuje na konieczność zapewnienia konsumentom rzeczywistej możliwości realizacji praw przyznanych przez RODO i tym samym określa relację miedzy prawem konsumenckim a prawem ochrony danych. EPDS zwrócił uwagę na obowiązek administratora danych polegający na umożliwieniu wycofania zgody w każdym czasie. Przestrzega również przed interpretowaniem postanowień prawa konsumenckiego w sposób ograniczający prawa podmiotu danych, wskazując chociażby na fakt, że 14-dniowy termin na odstąpienie od umowy nie powinien prowadzić do ograniczenia prawa do wycofania zgody na przetwarzanie danych osobowych w każdym czasie.

Opinia EDPS przypomina, że konsument jest również podmiotem danych, którego pozycja prawna jest zagrożona w przypadku kiedy kontrola nad własnymi danymi jest ograniczona poprzez działania silniejszych podmiotów. Ponadto, co również podkreśla unijny organ, gwarancje ochrony danych osobowych zapewnione są nie tylko przez RODO, ale przede wszystkim przez Kartę Prawa Podstawowych czy Traktat o funkcjonowaniu Unii Europejskiej.