O stopniu przestrzegania obowiązków prawnych decyduje w znacznym stopniu poziom restrykcyjności represji, przewidywanych w razie ich naruszenia
W obecnym stanie prawnym brak jest realnych i efektywnych sankcji za naruszenie przepisów ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 – dalej: u.o.d.o.). Oprócz rzadko egzekwowanych sankcji karnych pociągnięcie administratora danych (lub innego podmiotu odgrywającego rolę w procesie przetwarzania danych osobowych) do jakiejkolwiek odpowiedzialności – np. finansowej – wiąże się z długotrwałą procedurą sądową. Jednocześnie nakładane kary nie mają waloru odstraszającego, w porównaniu do tych stosowanych np. w prawie konsumenckim. Czym jest bowiem dla przedsiębiorcy kara w wysokości 5 tys. zł za naruszenie zasad ochrony danych, w porównaniu z odpowiedzialnością przewidzianą za naruszenie praw konsumentów, mogącą osiągnąć wysokość nawet 10 proc. jego rocznych przychodów?
Można więc zadać pytanie, czy naruszenie niektórych z przepisów u.o.d.o. nie może być sankcjonowane jako naruszenie reguł prawa konsumenckiego. Pozytywna odpowiedź na to pytanie mogłaby stanowić rewolucję w skutecznym egzekwowaniu przestrzegania zasad ochrony prywatności, przewidzianych w u.o.d.o. Kwestia ta nie była jednak dotąd przedmiotem pogłębionej analizy orzecznictwa czy doktryny.
Cechy świadczenia
Podejmując próbę odpowiedzi na powyższe pytanie, w pierwszej kolejności należy zwrócić uwagę na zbliżony krąg adresatów ochrony powyższych regulacji. Przeciętny użytkownik sklepu internetowego (osoba dokonująca z przedsiębiorcą czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową) podlega bowiem ochronie zarówno prawa konsumenckiego, jak i przepisów ustawy o ochronie danych osobowych (oraz innych ustaw w tym zakresie). Z kolei podstawowym i tradycyjnym instrumentem ochrony konsumenta jest ochrona przez informacje. Potwierdza (i rozszerza) ten model ochrony ustawa o prawach konsumenta (Dz.U. z 2014 r. poz. 827). Przedsiębiorca obowiązany jest bowiem do przekazania konsumentowi szerokiej gamy informacji, w tym związanych z głównymi cechami świadczenia (art. 12 ust. 1 pkt 1 tejże ustawy). W coraz większym natomiast stopniu to przekazanie danych osobowych i ich dalsze przetwarzanie (w określonym celu) jest istotnym elementem umowy, również nierzadko quasi-zapłatą za świadczenie przedsiębiorcy np. za możliwość ściągnięcia aplikacji mobilnej. Konieczność przetwarzania danych osobowych może być jednak także elementem tego świadczenia, jak w przypadku usług lokalizacyjnych. W tych przypadkach udostępnienie danych osobowych i ich przetwarzanie jest konieczne dla zawarcia umowy.
Ten związek pomiędzy informacją o cechach świadczenia i problematyką przetwarzania danych osobowych został wprost wyartykułowany w odniesieniu do umów o dostarczanie treści cyfrowych. Jak wskazano w dyrektywie 2011/83/UE w sprawie praw konsumenta (motyw 19), przedsiębiorca powinien informować konsumenta o funkcjonalnościach i interoperacyjności (kompatybilności) dostarczonych treści cyfrowych. Pojęcie funkcjonalności treści cyfrowych odnosi się w szczególności do możliwych sposobów wykorzystywania pozyskanych treści – na przykład do śledzenia zachowania konsumenta (przykład technicznego sposobu przetwarzania danych osobowych).
Jak się więc zdaje, realizacją powyższych obowiązków informacyjnych (dotyczących głównych cech świadczenia, w szczególności funkcjonalności treści cyfrowych) może być prawidłowe przekazanie informacji wymaganych przez u.o.d.o. Zgodnie z treścią art. 24 tej ustawy administrator danych zobowiązany jest bowiem poinformować podmiot danych w szczególności o celu i zakresie wykorzystania przekazanych przez niego informacji.
Rachunek zysków
Biorąc powyższe pod uwagę, należy przyjąć, iż co najmniej w odniesieniu do umów, których wykonanie związane jest z przetwarzaniem danych osobowych, informacje z u.o.d.o. określają istotne cechy świadczenia. Przy takim ujęciu naruszenie wymogów informacyjnych z u.o.d.o. stanowiłoby równocześnie naruszenie przepisów konsumenckich. Nie bez znaczenia pozostaje również fakt, że powyższe można traktować jako naruszenie ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym (Dz.U. z 2007 r. nr 171 poz. 1206), zgodnie z którą za taką praktykę uznaje się również zaniechanie wprowadzające w błąd, jeżeli pomija istotne informacje potrzebne przeciętnemu konsumentowi do podjęcia decyzji dotyczącej umowy i tym samym powoduje lub może powodować podjęcie przez niego decyzji, której inaczej by nie podjął.
We wskazanych przypadkach istnieje więc możliwość przyjęcia, że naruszenie przewidzianych w u.o.d.o. obowiązków informacyjnych może podlegać rygorystycznym sankcjom prawa konsumenckiego. Przyjęcie takiej praktyki przez Urząd Ochrony Konkurencji i Konsumentów stanowiłoby istotny element zwiększenia poziomu ochrony danych osobowych w naszym kraju. Nie jest bowiem tajemnicą, że o stopniu przestrzegania obowiązków prawnych decyduje w znacznym stopniu poziom restrykcyjności represji przewidywanych w razie ich naruszenia. Powyższe dotyczy w szczególności sektora usług elektronicznych – usługodawcy ograniczają bowiem treści prawne serwisów WWW do niezbędnego minimum, poprzestając głównie na tych, których naruszenie może w znaczny sposób wpłynąć na utratę ich zysków.