iSecure logo
Blog

Marketing i cookies w projekcie „Prawo komunikacji elektronicznej”

Bartosz Migas

“Nowe prawo komunikacji elektronicznej – zapraszamy do konsultacji” – tak brzmi nagłówek informacji, która pojawiła się na stronie Ministerstwa Cyfryzacji 29 lipca 2020. Rzecz dotyczy projektu ustawy Prawo komunikacji elektronicznej (Pke), której przyjęcie ma być wdrożeniem dyrektywy o Europejskim Kodeksie Łączności Elektronicznej (EKŁE) z 11 grudnia 2018 roku. Projekt jest bardzo obszerny – to 411 przepisów (266 stron) ustawy właściwej i 94 przepisy (54 strony) ustawy wprowadzającej (do tego jeszcze uzasadnienia, odpowiednio 164 i 43 strony). Bez wątpienia jest co czytać i o czym dyskutować, ale pewnie na obszerne komentarze, choćby ze względu na rozmiar projektowanej regulacji, trzeba będzie jeszcze poczekać.

Już dziś możemy jednak sprawdzić, w jakim kierunku idą propozycje uregulowania dwóch szczególnie istotnych z punktu widzenia RODO i praktyki biznesowej tematów: zagadnień marketingu elektronicznego i używania plików cookies. W tych zakresach mamy do czynienia z jednej strony z podtrzymaniem dotychczasowych rozwiązań, a z drugiej z pojawieniem się nowych, interesujących zapisów.

 

Marketing i informacja handlowa

Art. 360 Pke oraz jego uzasadnienie brzmią następująco:

Art. 360. 1. Zakazane jest:

  1. używanie automatycznych systemów wywołujących lub
  2. używanie telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej 

– dla celów przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, w tym marketingu bezpośredniego, do oznaczonego odbiorcy, będącego użytkownikiem końcowym, chyba że uprzednio wyraził on na to zgodę.

2. Zgoda, o której mowa w ust. 1, może być wyrażona przez udostępnienie przez użytkownika końcowego identyfikującego go adresu poczty elektronicznej.

3. Używanie środków, o których mowa w ust. 1, dla przesyłania niezamówionej informacji handlowej, w tym marketingu bezpośredniego, nie może odbywać się na koszt użytkownika końcowego.

4. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. 

 

Uzasadnienie:

Postanowienia art. 360 stanowią o ochronie użytkowników końcowych przed nękaniem w związku z marketingiem bezpośrednim lub przesyłaniem niezamówionej informacji handlowej. Przepisy zastąpią obowiązujące regulacje art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 – dalej w tym wpisie „uśude”) oraz art. 172 ustawy Prawo telekomunikacyjne (dalej w tym wpisie „Pt”). Wraz z wprowadzeniem art. 360 uchylany jest art. 10 ustawy o świadczeniu usług drogą elektroniczną. Automatyczne systemy wywołujące są to zautomatyzowane połączenia komunikacji głosowej, które łączą się z użytkownikiem końcowym i przekazują przygotowane uprzednio nagranie. Analogicznie mogą to być inne komunikaty. Marketing bezpośredni oraz przesyłanie niezamówionej informacji handlowej mogą odbywać się w różnej formie, w szczególności: wiadomości poczty elektronicznej, telefony do użytkowników końcowych, wiadomości SMS lub MMS, jak również wszelkie inne formy komunikacji.

Co do zasady, zakazany jest marketing bezpośredni oraz przesyłanie niezamówionej informacji handlowej. Regulacja dotyczy wszystkich, nie tylko przedsiębiorców komunikacji elektronicznej.

Marketing elektroniczny lub przesyłanie niezamówionej informacji handlowej są dopuszczalne, jeżeli użytkownik wyraził zgodę na ich otrzymywanie. Zgoda może nie być wyraźna, jeżeli użytkownik końcowy udostępnił w ww. celach identyfikujący go adres elektroniczny. Komunikacja nie może odbywać się na koszt użytkownika końcowego.

Przedmiotowy przepis jest implementacją przepisów dwóch dyrektyw. Pierwszą jest art. 13 ust. 1 i 3 dyrektywy 2002/58, zgodnie z którym korzystanie z automatycznych systemów wywołujących i systemów łączności bez ludzkiej ingerencji (automatyczne urządzenia wywołujące), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedyniewobec użytkowników końcowych, którzy uprzednio wyrazili na to zgodę.

Przepisy te równolegle implementują art. 10 dyrektywy 2002/65/WE Parlamentu Europejskiego I Rady z dnia 23 września 2002 r. dotyczącej sprzedaży konsumentom usług finansowych na odległość oraz zmieniającej dyrektywę Rady 90/619/EWG oraz dyrektywy 97/7/WE i 98/27/WE. Zgodnie z tym aktem warto zwrócić uwagę, że w rozumieniu dyrektywy 2002/65/WE (art. 2 lit. e) “środki porozumiewania się na odległość” oznaczają wszelkie środki, które bez jednoczesnej fizycznej obecności dostawcy i konsumenta mogą być wykorzystywane do sprzedaży na odległość usługi pomiędzy tymi stronami.

 

Co się nie zmienia?

  • Nie zmienia się podejście polskiego regulatora do marketingu bezpośredniego w kontekście wyboru pomiędzy rozwiązaniami typu opt-in i opt-out, którą to swobodę wyboru daje krajom implementującym sama dyrektywa e-Privacy w art. 13 ust. 3. Oznacza to, że nadal przed wysłaniem niezamówionej informacji handlowej czy innego komunikatu marketingowego, będzie wymagana uprzednia zgoda użytkownika końcowego.
  • Prowadzenie akcji marketingowych wobec użytkowników bez ich zgody będzie traktowane jako czyn nieuczciwej konkurencji.

 

Co się zmienia?

  • Przepis art. 360 Pke będzie stanowić jedyną regulację dotyczącą niezamówionej informacji handlowej, łącząc w sobie przepis art. 10 uśude (który wraz z uchwaleniem Pke zostaje uchylony) oraz art. 172 Pt kończąc epokę sporów na temat wzajemnych relacji tych przepisów.
  • wraz z ujednoliceniem zapisów ujednolica się także zasady dotyczące zgód marketingowych i zgód na wysyłanie informacji handlowej – bez względu na to, czy dotyczy to osób fizycznych, czy przedsiębiorców, czy innych podmiotów prowadzących działalność gospodarczą. Wysyłanie komunikatów marketingowych do oznaczonych odbiorców musi poprzedzać ich zgoda, a co więcej na podstawie art. 362 Pke do zgód użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych, a to powoduje, że po wejściu w życie Pke wszystkie zgody muszą spełniać warunki z RODO (zgoda musi więc być dobrowolna, konkretna, świadoma i jednoznaczna). Kto korzysta jeszcze ze zgód niespełniających wymogów RODO, tego czeka powtórka z rozrywki ich zbierania.
  • Wymóg uprzedniej zgody dotyczy wszelkiej komunikacji na odległość, a więc wszelkich kanałów komunikacji (email, sms, połączenie telefoniczne, fax, ale także tzw. push notifications popularne zwłaszcza przy korzystaniu z aplikacji mobilnych). Intencje ustawodawcy w tym zakresie, biorąc pod uwagę ostatnie zdanie uzasadnienia, nie budzą wątpliwości.
  • Nowością jest wprowadzenie przepisu, który przewiduje, że zgoda może zostać wyrażona poprzez udostępnienie przez użytkownika identyfikującego go adresu poczty elektronicznej. W praktyce nie mamy wątpliwości, że jeśli np. użytkownik podaje swój adres email do otrzymywania newslettera czy informacji o promocjach, to nie trzeba odbierać odrębnej zgody na przesyłanie marketingu (jeśli oczywiście został uprzednio poinformowany, że komunikaty będą zawierać treści marketingowe). Otwarte pozostaje pytanie co do adresów email udostępnionych publiczne na stronie internetowej np. w przypadku adresu email kontakt@firma.pl. Czy na taki adres można wysłać email z informacją o produktach powołując się na art. 360 ust. 2 Pke? Tutaj dostrzegam pole do pewnych sporów – czy upublicznienie adresu może być rozumiane jako udostępnienie? Jeśli tak to czy takie upublicznienie jest wyrażeniem zgody na otrzymywanie informacji marketingowych, skoro zgodnie z RODO zgoda musi być konkretna tj. obejmować konkretny cel, a w uzasadnieniu do projektu czytamy “zgoda może nie być wyraźna, jeżeli użytkownik końcowy udostępnili w ww. celach identyfikujący go adres elektroniczny” a więc wyraźnie wskazuje, że udostępnienie musi być powiązane z konkretnym celem?

 

Pliki cookies w Pke

Art. 361. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego jest dozwolone, pod warunkiem że:

          1. użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

          a. celu przechowywania i uzyskiwania dostępu do tej informacji,

          b. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;

          2. użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;

          3. przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej. 

4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem, że użytkownik końcowy:

          1. przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;

          2. zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika;

          3. przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.

 

Uzasadnienie:

W art. 361 regulowane jest pozyskiwanie informacji z urządzeń końcowych. Uprzednio regulacja znajdowała się w art. 173 Pt. Pozyskiwanie informacji oraz uzyskiwanie dostępu do informacji przechowywanej na urządzeniach końcowych jest dopuszczalne po uprzednim przekazaniu informacji do użytkownika końcowego oraz pozyskaniu zgody na takie działania. Zgoda może być wyrażona przez odpowiednie ustawienia oprogramowania na urządzeniu końcowym. Przepis przewiduje wyjątek, tj. jeżeli przechowywanie lub uzyskanie informacji jest niezbędne do świadczenia transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub świadczenia usług komunikacji elektronicznej.

 

Co się nie zmienia?

  • Nie zmienia się zasada, że do korzystania z plików cookies wymagane jest uprzednie poinformowanie użytkownika o ich wykorzystywaniu i celu, w jakim zbierają one informacje, a także o sposobie, w jaki można określić warunki ich działania.
  • Nie zmienia się liberalne podejście do wyrażenie zgody na korzystanie z plików cookies, która to zgoda nadal może być wyrażona poprzez odpowiednie ustawienie przeglądarki. Nie zmienia się to podejście mimo wyraźnego kierunku, w którym podążały zalecenia i interpretacje europejskich organów nadzorczych, które: a) wymagały, aby zgoda na wykorzystywanie cookies spełniała wszelkie warunki zgody według RODO, a także była pozyskiwana przed instalowaniem takich plików na urządzeniu końcowym użytkownika i b) podważały możliwość jej wyrażenia przez same ustawienia (w tym kierunku szły wytyczne francuskiego CNIL z 28 lipca 2019, czy też irlandzkiego IDPC z kwietnia 2020, oraz wyrok TSUE ws Planet49 z 22 listopada 2019). Oznacza to akceptację praktyki polegającej na przedstawianiu krótkiej informacji o wykorzystywaniu plików cookies i poinformowaniu użytkownika, że może sobie ustawić szczegółowe rozwiązania u siebie w przeglądarce internetowej, bez konieczności tworzenia rozbudowanych systemów do zarządzania zgodami na wykorzystywanie cookies do poszczególnych celów lub pochodzących od poszczególnych podmiotów.

 

Konsultacje

Projekt ustawy Prawo komunikacji elektronicznej jest na etapie otwartych konsultacji – uwagi i opinie będą przyjmowane do 28 sierpnia 2020 na adres email konsultacje.pke@mc.gov.pl. Z pewnością pojawi się wiele uwag i wiele propozycji odmiennych rozwiązań poszczególnych kwestii. Bez względu na ilość skierowanych uwag czasu na ustalenie kształtu nowych przepisów nie ma zbyt wiele, bo dyrektywa EŁKE zmusza kraje członkowskie do jej implementacji do 21 grudnia 2020. Można więc już chyba powoli oswajać się z nową regulacją i przygotowywać do niezbędnych zmian, bo czasu nie ma też za wiele.

Pobierz wpis w wersji pdf

Podobne wpisy:

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

O przechowywaniu danych w chmurze…
Katarzyna Ułasiuk

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Katarzyna Ułasiuk

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki