10 listopada 2024 r. weszła w życie ustawa Prawo komunikacji elektronicznej, która zastąpiła dotychczas obowiązującą ustawę Prawo telekomunikacyjne. Nowa regulacja nakłada na dostawców usług komunikacji elektronicznej obowiązek wdrożenia szeregu działań zapewniających bezpieczeństwo przetwarzania danych osobowych.

Wprowadza również dodatkowe wymogi dotyczące specyfiki usług telekomunikacyjnych i komunikacji elektronicznej.

W naszym artykule wskażemy, o czym należy pamiętać w przypadku przesyłania informacji handlowej oraz stosowania plików cookie – uwzględniając zarówno Prawo komunikacji elektronicznej, jak i RODO.

Kim jest dostawca usług komunikacji elektronicznej?

Dostawcą usług komunikacji elektronicznej jest podmiot świadczący publicznie dostępne usługi telekomunikacyjne lub usługi komunikacji interpersonalnej, które nie wykorzystują numerów.

Przykłady dostawców usług komunikacji elektronicznej w rozumieniu ustawy to:

  • Operatorzy telekomunikacyjni,
  • Dostawcy usług internetowych – np. podmioty oferujące dostęp do Internetu szerokopasmowego,
  • Dostawcy usługi komunikacji internetowej – np. platformy i aplikacje mobilne umożliwiające bezpośrednią wymianę informacji między użytkownikami,
  • Dostawcy usługi komunikacji maszyna-maszyna (M2M) – np. systemy monitorowania urządzeń w czasie rzeczywistym, automatyczne systemy alarmowe, urządzenia IoT (Internet rzeczy),
  • Dostawcy usługi transmisji sygnałów dla nadawców – platformy zajmujące się nadawaniem sygnałów radiowych lub telewizyjnych, takie jak telewizje kablowe, usługi streamingu, które umożliwiają przesyłanie treści do szerokiej publiczności.

Jakie są kluczowe obowiązki dostawców usług komunikacji elektronicznej w zakresie ochrony danych osobowych?

Dostawcy usług komunikacji elektronicznej są zobowiązani do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych swoich użytkowników. Zgodnie z art. 401 PKE, dostawcy muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo tych danych. Środki te powinny obejmować co najmniej:

  1. kontrolę dostępu do danych, tak aby tylko osoby upoważnione przez administratora danych mogły mieć dostęp do danych osobowych użytkowników,
  2. ochronę danych osobowych przed przypadkowym lub nieuprawnionym dostępem, zniszczeniem, zmianą, utratą lub ujawnieniem,
  3. wdrożenie polityki bezpieczeństwa.

Zgodnie z artykułami 402 i 405 PKE, dostawcy usług komunikacji elektronicznej są zobowiązani do niezwłocznego powiadomienia Prezesa Urzędu Ochrony Danych Osobowych (UODO) o każdym naruszeniu danych osobowych. Ustawa doprecyzowuje, że w przypadku, gdy naruszenie danych osobowych może wpłynąć na prawa abonentów lub użytkowników końcowych, dostawcy są również zobowiązani do poinformowania ich o zaistniałym incydencie. Ponadto, dostawcy usług muszą prowadzić rejestr naruszeń danych osobowych, zawierający szczegółowe informacje dotyczące naruszenia, podjętych działań naprawczych oraz ewentualnego powiadomienia abonentów.

Chociaż powyższe obowiązki są zasadniczo zgodne z przepisami RODO, istnieją pewne różnice, w tym:

  • możliwość uzyskania zgody Prezesa UODO, w drodze decyzji, na późniejsze zawiadomienie abonenta lub użytkownika końcowego o naruszeniu danych osobowych,
  • precyzyjne określenie przypadków, w których wymagane jest zawiadomienie podmiotu danych o naruszeniu, takich jak nieuprawnione posługiwanie się danymi osobowymi, szkoda majątkowa, naruszenie dóbr osobistych, ujawnienie tajemnicy bankowej lub innej chronionej prawem tajemnicy zawodowej,
  • wskazanie sytuacji, w których dostawca usług komunikacji elektronicznej może odstąpić od powiadomienia abonenta o naruszeniu.

Google news

Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

Jakie są ograniczenia w przesyłaniu informacji handlowych drogą elektroniczną?

Prawo komunikacji elektronicznej wprowadza istotne zmiany w zakresie przesyłania informacji handlowych. Mają one na celu ochronę przed niechcianymi wiadomościami zawierającymi informacje handlowe, a także wpłyną na sposób prowadzenia działań marketingowych przez przedsiębiorców – w szczególności w ramach tzw. cold mailingu.

W poprzednich regulacjach zawartych w Prawie telekomunikacyjnym zakazane było przesyłanie niezamówionych informacji handlowych przy użyciu urządzeń telekomunikacyjnych oraz automatycznych systemów wywołujących, chyba że odbiorca wyraził na to zgodę. Użycie spójnika „i” mogło budzić wątpliwości, czy oba środki – urządzenia telekomunikacyjne i systemy wywołujące – musiały być stosowane łącznie, aby działanie uznano za zabronione.

W Prawie komunikacji elektronicznej przepis został doprecyzowany. Zgodnie z art. 398 PKE, wystarczy, że spełniony zostanie choćby jeden z wymienionych warunków (użycie urządzeń telekomunikacyjnych lub automatycznych systemów wywołujących), by takie działanie uznano za naruszenie prawa – o ile nie uzyskano uprzedniej zgody odbiorcy. Dotyczy to nie tylko wiadomości e-maili, ale również ofert przedstawianych telefonicznie bądź za pośrednictwem innych komunikatorów elektronicznych.

Ważny fragment

Warto zwrócić uwagę, że zakaz przesyłania niezamówionej informacji handlowej nie dotyczy tylko przesyłania informacji osobom fizycznym, ale także innym podmiotów, do których mogą być kierowane komunikaty handlowe – w tym podmiotów publicznych czy spółek prawa handlowego. Oznacza to, że przedsiębiorcy nie będą mogli wysyłać niezamówionych informacji handlowych nawet do potencjalnych kontrahentów, chyba że uzyskają w tym celu ich uprzednią zgodę.

Jakie są ograniczenia w stosowaniu plików cookie?

Biorąc pod uwagę regulacje Prawa telekomunikacyjnego oraz Prawa komunikacji elektronicznej dot. plików cookie – przepisy w tym zakresie nie uległy zmianie.

Zgodnie z art. 399 PKE stosowanie plików cookie, jak i innych podobnych technologii, które zakładają przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym (jak np. telefon, komputer, tablet) abonenta lub użytkownika końcowego, jest dozwolone, pod warunkiem że:

  • abonent lub użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: celu przechowywania i uzyskiwania dostępu do tej informacji, możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi,
  • abonent lub użytkownik końcowy, po otrzymaniu wspomnianych informacji wyrazi na to zgodę,
  • przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Obowiązku uzyskania zgody abonenta lub użytkownika końcowego nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do: wykonania transmisji komunikatu elektronicznego za pośrednictwem publicznej sieci telekomunikacyjnej lub dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Ważny fragment

Wskazany wyjątek ma zatem odniesienie do niezbędnych plików cookie. Natomiast w przypadku takich plików cookie jak: funkcjonalne, analityczne czy marketingowe będzie istniał opisany powyżej obowiązek uzyskania zgody użytkownika końcowego.

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te powinny przekazywane w formie elektronicznej, za pomocą strony internetowej, w szczególności w sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w Internecie.

Skorzystaj z naszych usług z zakresu: Ochrona danych osobowych (RODO)

Jak pozyskać zgodę zgodnie z przepisami ochrony danych osobowych?

Zgodnie z nowymi przepisami, przedsiębiorcy będą zobowiązani do uzyskania zgody przed przesłaniem niezamówionych informacji handlowych, jak i stosowaniem plików cookie. Co istotne, zgoda musi być zgodna z przepisami RODO (art. 400 PKE), a więc dobrowolna, jednoznaczna, konkretna i świadoma. Warto również pamiętać, że przedsiębiorcy powinni posiadać dowód na to, że zgoda została wyrażona (np. w formie wiadomości e-mail lub nagrania rozmowy telefonicznej w przypadku informacji handlowej, czy w panelu ustawień plików cookie).

Warto przy tym zwrócić uwag na motyw 32 RODO, zgodnie z którym zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, która ma na przykład formę pisemnego (w tym elektronicznego) oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Obowiązek pobrania zgody w zakresie niezamówionej informacji handlowej nie dotyczy sytuacji, w której klient lub kontrahent sam zgłasza się z chęcią przedstawienia oferty lub podaje swój adres elektroniczny celem przesłania mu informacji handlowej. Co więcej w odniesieniu do plików cookie abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi (np. za pomocą ustawień przeglądarki internetowej czy aplikacji).

Zgody na przesyłanie niezamówionej informacji handlowej zebrane na podstawie dotychczasowych przepisów Prawa telekomunikacyjnego zachowują ważność, jeżeli pierwotny sposób wyrażenia zgody odpowiada warunkom Prawa komunikacji elektronicznej.

Jakie sankcje grożą za naruszenie przepisów?

Prawo komunikacji elektronicznej przewiduje surowe kary za naruszenie zakazu obowiązków wynikających z tej ustawy. W przypadku:

  • niewypełniania obowiązku uzyskania zgody użytkownika końcowego przy przesyłaniu niezamówionych informacji handlowych,
  • przechowywania informacji w urządzeniach końcowych abonenta lub użytkownika końcowego lub uzyskania dostęp do informacji przechowywanych na tych urządzeniach,

kara pieniężna nakładana przez prezesa UKE może wynieść aż do 3% rocznego obrotu przedsiębiorcy lub do kwoty 1 miliona złotych, w zależności od tego, która z tych kwot będzie wyższa.

Natomiast w przypadku podmiotu, który nie wypełnia obowiązków: wdrożenia technicznych i organizacyjnych środków ochrony, zawiadamiania Prezesa UODO o naruszeniu danych osobowych oraz prowadzenia rejestru naruszeń danych osobowych – podlega on karze pieniężnej nakładanej przez Prezesa UODO, w drodze decyzji, w wysokości do 3 % przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

Ważny fragment

Warto podkreślić, że niezależnie od kar finansowych nakładanych na podmiot, odpowiedzialność mogą ponosić także osoby kierujące przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego. Zgodnie z art. 444 ust. 4 PKE, osoby te mogą zostać obciążone dodatkową karą finansową w wysokości do 300% miesięcznego wynagrodzenia, liczonego na podstawie ekwiwalentu za urlop wypoczynkowy.

Wejście w życie Prawa komunikacji elektronicznej, to oprócz dostosowania organizacji do nowych przepisów także odpowiedni moment na dokonanie weryfikacji lub aktualizacji dotychczasowej dokumentacji ochrony danych osobowych związanej z prowadzeniem marketingu, jak i stosowaniem plików cookie. Bez właściwie opracowanych zgód dot. przesyłania informacji handlowej i stosowania plików cookie, bannerów cookie klauzul informacyjnych czy polityk prywatności przedsiębiorcy mogą narazić się na wysokie kary pieniężne. Należy przy tym pamiętać o przejrzystości przygotowywanych dokumentów oraz zabezpieczeniu danych osobowych.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.