Związek Pracodawców Branży Internetowej IAB Polska w odpowiedzi na zaproszenie UOKiKu do konsultacji społecznych w sprawie projektu polityki konsumenckiej na lata 2014-2018, 7 marca 2014 r. skierował oficjalne stanowisko.
Zapraszamy do zapoznania się z dokumentem IAB Polska, odnoszącym się do projektu UOKiK polityki konsumenckiej.
Szanowna Pani Prezes
1.1.
Działając w imieniu Związku Pracodawców Branży Internetowej Interactive Advertising Bureau Polska (zwanego dalej jako „IAB Polska”) oraz w odpowiedzi na pismo z dnia 20.02.2014r. przedstawiamy stanowisko dot. „Polityki Konsumenckiej na lata 2014 – 2018”:
[priorytet 7 (nowe prawo dot. sprzedaży towarów i usług)]
[kampania informacyjna w zakresie nowej Ustawy o prawach konsumenckich]
1.2.
Zdaniem IAB Polska kampania informacyjna dot. nowych regulacji prawa konsumenckiego (tj. „Projekt Ustawy o prawie konsumenckim”, dalej „Projekt”) powinna być kompleksowa i nie może opierać się na przekazywaniu konsumentom informacji dotyczących tylko i wyłącznie przysługujących im praw oraz wybranych zmian. Powyższa kampania powinna bowiem również uwzględniać:
(a) pełną informację o obowiązkach konsumentów
(b) cały zakres wprowadzanych zmian, a także
(c) wpływ w/w zmian na wszystkie procesy obsługowe u przedsiębiorców.
[konieczność interpretacji pojęć o charakterze nieostrym jakich użyto w projekcie Ustawy o prawach konsumenckich]
1.3.
Ponadto podkreślenia wymaga fakt, że z uwagi na zastosowanie w Projekcie licznych pojęć o charakterze nieostrym i tym samym ocennym należy oczekiwać również stanowiska UOKiK w zakresie ich interpretacji oraz propozycji zastosowania. Takie stanowisko mogłoby zostać wypracowane np. w ramach konsultacji z przedsiębiorcami.
1.4.
W związku z powyższym oraz w kontekście m.in. następnych prac legislacyjnych należy wskazać na konieczność podjęcia przez UOKiK takiej aktywności, która doprowadzi do większej czytelności aktów prawnych poprzez m.in.
(a) każdorazową weryfikację danej regulacji pod kątem jej zrozumiałości;
(b) eliminację pojęć ocennych i wieloznacznych;
(c) eliminację zjawiska kolizji aktów prawnych; (d) ograniczenie, poprzez przyjęcie np. wykładni celowościowej, wymogów co do liczby czynności formalnych jakie mają zostać podjęte przez przedsiębiorców w ramach procesu sprzedaży;
(d) eliminowanie tych rozwiązań unijnych, które nie są obligatoryjne (tj. ustawodawca polski dysponuje w tym zakresie swobodą legislacyjną) oraz nie przystają do funkcjonującego w Polsce rynku konsumenckiego i porządku prawnego.
1.5.
Przedstawiony powyżej postulat wynika z faktu, że treść aktów prawnych, zarówno na poziomie unijnym jak i krajowym, przekłada się bezpośrednio na możliwość faktycznego realizowania przez przedsiębiorców stawianych im oczekiwań (tj. stosowania zrozumiałych, nieobszernych dokumentów konsumenckich), co w obecnym stanie prawnym jest znacznie utrudnione z uwagi na stawiane przedsiębiorcom kolejne wymagania np. rozbudowywanie katalogu obowiązków informacyjnych w zakresie trudnym do zrozumienia już na etapie regulacji oraz zobowiązywanie przedsiębiorców do powtarzania w umowach przepisów prawa (np. „informacje o odpowiedzialności za wady towaru”).
1.6.
Zauważamy bowiem, że – jak pokazują badania – realizacja w/w obowiązków nie przekłada się na podwyższenie poziomu ochrony konsumentów (przykładowo ponad połowa klientów w ogóle się z nimi nie zapoznaje wskazując że informacje są zbyt obszerne i niezrozumiałe).
[początkowy okres obowiązywania Ustawy o prawach konsumentów, a sankcje wobec przedsiębiorców]
1.7.
Mając z kolei na uwadze przyjęcie Dyrektywy 2011/83/UE już na poziomie UE oraz przyśpieszony tryb jej implementowania do krajowego porządku prawnego (co pozbawiło przedsiębiorców dostatecznych konsultacji i odpowiedniego czasu na analizę, a także wdrożenie zmian) proponujemy doprowadzenie do takiej sytuacji, że w początkowym okresie obowiązywania „Ustawy o prawach konsumentów” działanie po wdrożeniowej kontroli naruszeń tej regulacji nie będzie prowadzić do nakładania kar administracyjnych, a jedynie do wydawania zaleceń pokontrolnych, które pozwolą przedsiębiorcom wyeliminować zidentyfikowane braki.
[działalność edukacyjna]
1.8.
Na końcu IAB Polska podkreśla, że niezwykle istotna jest działalność edukacyjna i informacyjna UOKIK już na poziomie edukacji szkolnej. Taka działalność powinna być prowadzona w sposób kompleksowy tj. zarówno co do praw jak i obowiązków konsumentów, a także w odniesieniu do treści i całości regulacji, a nie jedynie wybiórczo i w zakresie zidentyfikowanych naruszeń w procesach obsługowych albo tylko w zakresie niektórych praw.
1.9.
Zdaniem IAB Polska bowiem to przede wszystkim brak zrozumienia trudnych kwestii zasad funkcjonowania i pojęć związanych z finansami i telekomunikacją (nowe technologie) prowadzi do zwiększenia poczucia niepewności po stronie konsumenta właśnie w tym obszarze i zwiększanie ilości informacji wymaganych od przedsiębiorców do przekazania tego stanu nie poprawia (tzn. nie prowadzi do większego zrozumienia), więc stanowi fikcyjną ochronę konsumenta.
1.10.
Działania UOKIK powinny zostać skierowane również w kierunku prowadzenia konsultacji i wsparcia dla tych przedsiębiorców, którzy nie mogą być pozostawieni sami sobie wobec konieczności dostosowania się do niezrozumiałych przepisów w krótkim czasie oraz pod groźbą kary finansowej.
1.11.
Aktywność UOKIK w zakresie eliminowania z rynku rozwiązań i praktyk, które w ocenie UOKIK stanowią zagrożenie interesów konsumenta, powinna być zatem podejmowana przede wszystkim poprzez wydawanie zaleceń i wytycznych kierunkowych oraz konsultacji z przedsiębiorcami. Powyższe powinno zapewnić zaufanie do organów administracji również po tej stronie relacji konsumenckich i zachęcić do przyjmowania rozwiązań pro – konsumenckich (m. in. Poprzez wyeliminowanie poczucia niepewności co do oceny UOKIK określonych rozwiązań przyjmowanych na rynku, szczególnie w zakresie nowych technologii i produktów).
1.12.
Wskazana jest również kontrola działalności Powiatowych (Miejskich) Rzeczników Konsumentów zarówno w zakresie ich aktywności jak i wiedzy merytorycznej, albowiem należy mieć na uwadze, że konsument zmuszony jest do kierowania spraw do Rzecznika działającego w jego regionie i w przypadku braku aktywności lub niekompetencji tego podmiotu zostaje pozbawiony ochrony na tym poziomie.
Stanowisko Związku Pracodawców Branży Internetowej IAB Polska w sprawie projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (projekt z dnia 2 października 2013 r.)
12 listopada 2013 r. IAB Polska zaprezentowało Ministerstwu Gospodarki stanowisko branży internetowej dotyczące projektu ustawy o ułatwieniu wykonywania działalności gospodarczej z 2 października 2013 r. Projekt ustawy bowiem, dokonuje m.in. zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.; dalej jako „uodo”), i ma znaczenie dla branży internetowej w Polsce.
Szanowny Panie Ministrze,
W imieniu Związku Pracodawców Branży Internetowej Interactive Advertising Bureau Polska (zwanego dalej „IAB Polska”), w związku z opracowaniem projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (projekt z dnia 2 października 2013 r.; zwany dalej „Projektem”), dokonującego m.in. zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.; dalej jako „uodo”), przedstawiamy stanowisko IAB Polska (zwane dalej „Stanowiskiem”) w powyższym zakresie, mającym znaczenie dla branży internetowej w Polsce.
I. Zwolnienie administratora danych z obowiązku rejestracji zbiorów danych osobowych; rejestracja i funkcja administratora bezpieczeństwa informacji
IAB Polska zdecydowanie korzystnie ocenia próbę ograniczenia obowiązku rejestracji zbiorów danych osobowych przez administratorów danych. Instytucja ta stanowi istotne obciążenie administracyjne, nie zapewniając „w zamian” oczekiwanych korzyści, nie wpływając w szczególności na podniesienie poziomu ochrony danych osobowych. Proponowane zmiany oznaczać będą jednak jedynie niewielki postęp w tym zakresie. Dla porównania, projekt ogólnego unijnego rozporządzenia o ochronie danych zakłada całkowitą likwidację powszechnego obowiązku notyfikacji (rejestracji) zbiorów danych osobowych. Projektowane wyłączenie w zakresie zbiorów prowadzonych w sposób tradycyjny (tj. nie elektroniczny) nie będzie miało większego znaczenia praktycznego, w szczególności z punktu widzenia członków IAB Polska.
Ponadto, podstawowa propozycja wyłączenia obowiązku rejestracji zbiorów danych, związana z faktem powołania administratora bezpieczeństwa informacji (art. 43 ust. 1a) powiązana została z innego rodzaju obowiązkami, mogącymi skutkować znacznymi obciążeniami, w szczególności dla małych i średnich przedsiębiorców. Projekt przewiduje bowiem obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych administratora bezpieczeństwa informacji (dalej również jako „ABI”), nakłada ponadto na organ konieczność prowadzenia rejestru administratorów bezpieczeństwa informacji (art. 46c), wydawania zaświadczeń, itp. Tym samym, w rezultacie, jeden obowiązek rejestracyjny zastąpiony zostanie nowym, o zbliżonym charakterze, przy czym rodzącym dodatkowe trudności, wymagającym jego wcześniejszego poznania, „wdrożenia” się w niego – co po stronie podmiotów prowadzących działalność gospodarczą zawsze rodzi trudności organizacyjne, jak również koszty.
Trudno jest doszukać się uzasadnienia dla wprowadzenia takiego rozwiązania. W szczególności nie znajduje ono uzasadnienia w przepisach dyrektywy 95/46/WE, które nie uzależniają możliwości skorzystania ze zwolnienia z obowiązku „notyfikacyjnego” od prowadzenia odrębnego rejestru „urzędników do sprawach ochrony danych” (w art. 18 ust. 2 dyrektywy mowa jest jedynie o warunku prowadzenia wewnętrznego „rejestru operacji przetwarzania danych”). W uzasadnieniu do Projektu wskazano, że „system rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego”; zwrócono w tym zakresie również uwagę na postulat transparentności (str. 12). W ocenie IAB Polska system oparty na urzędowej rejestracji określnych osób (ABI) nie jest jedynym możliwym do zastosowania, a z pewnością nie jest on systemem mającym służyć ułatwieniu wykonywania działalności gospodarczej.
Wydaje się, że wystarczające powinno być w tym zakresie określenie wymogu wyznaczenia ABI (jako warunku skorzystania z wyłączenia spod obowiązku rejestracji), przy zachowaniu uprawnienia GIODO do następczej kontroli spełnienia tego wymogu, na zasadach analogicznych, zgodnie z którymi weryfikowane jest wypełnienie wszelkich innych obowiązków ustawowych. Ewentualnie – w celu realizacji wymogu zapewnienia transparentności możliwe jest wprowadzenie obowiązku upublicznienia stosownych danych osoby wyznaczonej jako ABI (lecz informacje te powinny ograniczać się do imienia, nazwiska oraz danych kontaktowych). Zwrócić należy uwagę, że projekt ogólnego rozporządzenia o ochronie danych przewiduje w tym zakresie obowiązek „zakomunikowania” organowi nadzorczemu oraz opinii publicznej o imieniu i nazwisku oraz danych kontaktowych „inspektora ochrony danych”, bez przesądzania w jaki sposób ma to nastąpić. Również w regulacjach innych państw, które korzystają z możliwości, jakie stwarza art. 18 ust. 2 dyrektywy, modele odpowiadające proponowanemu w Projekcie nie są stosowane.
W kontekście wymogów i zasad związanych z powołaniem administratora bezpieczeństwa informacji należy zwrócić uwagę dodatkowo na następujące wątpliwości, które wymagają doprecyzowania na poziomie ustawy (co wynika m.in. z brzmienia art. 36a ust. 1, zgodnie z którym administrator danych może „powołać” ABI):
możliwość „korzystania” przez podmioty podlegające krajowej regulacji z osób powołanych na stanowisko Data Privacy Officer (lub analogiczne stanowisko, odpowiadające stanowisku ABI) w innym państwie, np. w ramach grupy kapitałowej;
możliwość zlecenia na zewnątrz świadczenia usług związanych z zadaniami ABI (tzw. oursourcing funkcji ABI);
ustawa nie precyzuje również, co należy rozumieć pod obowiązkiem prowadzenia jawnego rejestru zbiorów danych (art. 36a ust. 2 pkt 2) – w szczególności czy konieczne jest zamieszczenie takiego rejestru w określonym miejscu, w określonej formie. Należy zauważyć, iż wymogu jawności takiego rejestru nie wprowadzono w przepisach dyrektywy (art. 18 ust. 2).
II. Przekazywanie danych osobowych do państw trzecich
IAB Polska korzystanie ocenia przyjęty kierunek zmian w zakresie zasad związanych z przekazywaniem danych osobowych do państw trzecich (art. 47-48 uodo). Ma on na celu usunięcie istniejących w tym zakresie rozbieżności z pierwowzorem unijnym (m.in. poprawienie brzmienia art. 48 ust. 1 uodo), jak również usprawnienie związane z korzystaniem przez podmioty krajowe z takich uznanych i powszechnie stosowanych instrumentów jak standardowe klauzule umowne oraz wiążące reguły korporacyjne. Na uznanie zasługuje w szczególności wyraźne przesądzenie, iż w sytuacji posłużenia się przez administratora danych standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejska lub wiążącymi regułami korporacyjnymi, zgoda Generalnego Inspektora nie jest wymagana (art. 48 ust. 2).
Zmiany, jakie zaproponowano – w kontekście wiążących reguł korporacyjnych (dalej również jako „BCR”) – wydają się jednak być mocno ograniczone, budzą one też dodatkowe wątpliwości. Zgodnie z aktualnie obowiązującymi przepisami prawa oraz przyjętą praktyką posłużenie się przez administratora danych wiążącymi regułami korporacyjnymi, zatwierdzonymi przez właściwy organ jednego z państw UE, nie stanowi wystarczającej podstawy do przekazywania danych osobowych do państw trzecich. Administrator zobligowany jest do wystąpienia do GIODO o zgodę na transfer danych, w oparciu o art. 48 uodo, co wymaga m.in. załączenia do wniosku kompletnej dokumentacji tworzącej wiążące reguły korporacyjne.
Projektowana zmiana ma usunąć tę zbędną procedurę poddawania kontroli ze strony organu krajowego instrumentu (BCR), który został już wcześniej właściwie oceniony (w tym również został poddany konsultacji z GIODO, w ramach tzw. procedury kooperacji) oraz został w sposób wiążący zatwierdzony przez właściwy organ ds. ochrony danych. Zmiana ta – w projektowanym kształcie – jest jednak ujęta w sposób bardzo wąski, ograniczony wyłącznie do tych BCR, które zostały zatwierdzone przez GIODO, lecz już nie przez właściwy organ z innego państwa członkowskiego. W praktyce oznaczać to będzie dalszą konieczność występowania o zgodę GIODO (na podstawie art. 48 ust. 1 uodo) na transfer danych osobowych w sytuacji posłużenia się przez administratora danych wiążącymi regułami korporacyjnymi zatwierdzonymi przez organ np. z Niemiec, Holandii czy Wielkiej Brytanii.
Powyższe skutkować będzie nierównym traktowaniem podmiotów, tak krajowych jak i unijnych, co budzić może wątpliwości w szczególności co do zgodności z prawem unijnym. Z dobrodziejstwa art. 48 ust. 2 ustawy korzystać będą mogły bowiem jedynie podmioty krajowe, które tworzą „polskie” grupy kapitałowe (korporacyjne) oraz ewentualnie podmioty wchodzące w skład grup międzynarodowych, o ile na terytorium Polski zlokalizowano główną siedzibę grupy (a w związku z tym zdecydują się na zatwierdzenie BCR przez GIODO). Przyjąć przy tym należy, iż przynajmniej w obecnym stanie rozwoju gospodarczego, na terytorium Polski tego rodzaju międzynarodowych grup kapitałowych jest zdecydowana mniejszość, w efekcie praktyczne znaczenie proponowanej zmiany będzie bardzo dalece ograniczone.
Postulowana zmiana nie odpowiada również aktualnym tendencjom legislacyjnym w Unii Europejskiej. Tytułem przykładu wskazać należy na propozycję zgłoszoną przez Komisję Europejską w projekcie ogólnego rozporządzenia o ochronie danych. Zgodnie z art. 42 ust. 3 tego projektu, operacja przekazywania danych osobowych na podstawie wiążących reguł korporacyjnych nie wymaga dodatkowego zezwolenia ze strony organu krajowego, przy czym nie ma tu znaczenia, który z organów zatwierdził BCR. Również w pochodzącej z 2013 r. ustawie słowackiej wprowadzono rozwiązania, zgodnie z którymi nie jest wymagana zgoda organu na transfer danych w przypadku posłużenia się przez administratora danych wiążącymi regułami korporacyjnymi (sekcja 31 ust. 9 ustawy), przy czym odniesiono to szeroko – do BCR zatwierdzonych przez organ ds. ochrony danych z któregokolwiek z państw członkowskich (por. sekcja 31 ust. 2 in fine ustawy słowackiej).
Dodatkowo – w kontekście propozycji dotyczącej wiążących reguł korporacyjnych (art. 48 ust. 3-5 ustawy) – należy poczynić następujące uwagi:
Projekt usuwa istotny brak występujący w ramach dotychczasowej regulacji krajowej – wyposażając krajowy organ w uprawnienie do zatwierdzania BCR (art. 48 ust. 3) – jednakże nie określono w żaden sposób, przynajmniej w sposób generalny m.in.: (i) wymogów w zakresie zawartości (treści) wiążących reguł korporacyjnych; (ii) wymogów w zakresie wniosku o zatwierdzenie BCR, jaki wymagany będzie od administratora danych/podmiotu przetwarzającego dane na zlecenie; (iii) procedury zatwierdzania tego instrumentu (poszczególnych etapów, konieczności – a nie tylko możliwości – przeprowadzania konsultacji z właściwymi organami z innych państw; perspektywy czasowej tego rodzaju procedury, itd.). Przy czym nie wydaje się, aby niezbędne było przyjmowanie odrębnego rozporządzenia wykonawczego w tym zakresie, kwestie te może bowiem określać dokument (rekomendacje, wytyczne) wydany przez organ, z wykorzystaniem m.in. dokumentów opracowanych w tym zakresie przez Grupę Roboczą Art. 29 dyrektywy 95/46/WE oraz prac nad projektem ogólnego rozporządzenia o ochronie danych. Na obecnym etapie rozwoju tego instrumentu prawnego, wydaje się szczególnie istotne doprecyzowanie tych zagadnień, co pozwoli usunąć wątpliwości przedsiębiorców oraz usprawnić procedurę tworzenia oraz zatwierdzania BCR.
Poważne wątpliwości budzi również konstrukcja przyjęta w art. 48 ust. 5 uodo. Wynika z niej, że procedurą zatwierdzania BCR przez GIODO mogą być objęte również wiążące reguły korporacyjne, które były już przedmiotem rozstrzygnięcia ze strony organu z innego państwa członkowskiego (tzn. BCR, które już wcześniej zostały zatwierdzone). Oznaczać może to oczekiwanie ze strony projektodawcy, iż administratorzy danych podlegający przepisom uodo zgłaszać będą w Polsce (w GIODO) BCR funkcjonujące już w grupie kapitałowej, do której należą. Przy czym oczekiwanie to dotyczy również tych BCR, które zostały już wcześniej – w sposób wiążący – zatwierdzone na obszarze UE/EOG. Nie wydaje się, aby konstrukcja ta była prawidłowa, celowa, jak również, aby w praktyce pozwoliła osiągnąć skutek w postaci zgłaszania GIODO wielu tego rodzaju instrumentów prawnych, i tym samym promocji tego instrumentu i podniesienia ogólnego poziomu ochrony danych osobowych. Należy bowiem zauważyć, iż procedura przyjmowania oraz zatwierdzania BCR jest niezwykle skomplikowana, wymagająca olbrzymich nakładów czasu i pracy (również ze strony organu). Nie wydaje się zatem, aby administratorzy danych decydowali się na korzystanie z tej procedury i de facto zatwierdzali po raz kolejny instrument, który wcześniej został już zatwierdzony w innym państwie. Z perspektywy administratorów zdecydowanie korzystniejsze będzie wystąpienie – tak jak ma to miejsce dotychczas – do GIODO o udzielenie zgody, w oparciu o art. 48 ust. 1 uodo, co stanowi również istotne utrudnienie w prowadzeniu działalności gospodarczej, jednak nieporównywalnie mniejsze niż konieczność ponownego zatwierdzania BCR. Wreszcie, przyjęte rozwiązanie (w tym wynikająca z art. 48 ust. 5 uodo możliwość, nie zaś konieczność uwzględnienia przez GIODO rozstrzygnięcia organu innego państwa) wydaje się nie uwzględniać specyfiki wiążących reguł korporacyjnych, które ze swej istotny pomyślane są jako instrument mający być stosowany jednolicie w ramach określonej grupy kapitałowej (m.in. w ramach międzynarodowej korporacji). Tymczasem przyjęta w art. 48 ust. 5 konstrukcja wydaje się zakładać, że mogą w praktyce funkcjonować – w ramach tej samej grupy – dwa różne zestawy BCR (różniące się w szczególności treścią): jeden przyjęty przez GIODO oraz drugi – przez organ z innego państwa.
Brzmienie art. 48 ust. 3 uodo budzi również wątpliwości – wynikać bowiem może z niego, że wiążące reguły korporacyjne mogą być opracowywane dla administratorów danych oraz (jednocześnie) dla tzw. processorów danych. Z uwagi na zasadnicze różnice w specyfice BCR przeznaczonych dla administratorów danych oraz BCR przeznaczonych dla processorów danych nie wydaje się zasadne opracowanie i promowanie w ustawie takich wiążących reguł, które byłyby przeznaczone „do należącego do tej samej grupy administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1”.
