Akt o usługach cyfrowych a procesy przetwarzania danych osobowych
W dniu 19.10.2022 r. został uchwalony jeden z najważniejszych w ostatnich dwudziestu latach aktów prawnych z zakresu prawa Internetu, tj. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Akt o usługach cyfrowych, AUC). Rozporządzenie zostało opublikowane w Dzienniku Urzędowym UE w dniu 27.10.2022 r. i weszło w życie w dniu 16.11.2022 r. Zdecydowana część jego przepisów będzie natomiast obowiązywała od 17.2.2024 r. (art. 93 ust. 2).
Przepisy AUC będą miały wpływ na procesy przetwarzania danych osobowych. Do najważniejszych regulacji w tym zakresie zaliczyć należy:
1) zakaz stosowania przez dostawców platform internetowych tzw. „zwodniczych interfejsów” (dark patterns). Zgodnie z art. 25 ust. 1 AUC, zabronione jest w szczególności „projektowanie, organizowanie lub obsługiwanie interfejsów internetowych platform w sposób, który wprowadza w błąd użytkowników lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność do podejmowania przez nich wolnych i świadomych decyzji”. Praktyki te mogą być wykorzystywane w celu nakłonienia użytkowników do niepożądanego zachowania lub do podejmowania niepożądanych decyzji, które mają dla nich negatywne skutki. Przykładem może być traktowanie naciśnięcia przycisku na stronie internetowej jako wyrażenia zgody na przetwarzanie danych osobowych w sytuacji, gdy administrator strony nie przekazał informacji o tym, że tak będzie traktował taką czynność;
2) zakaz prowadzenia przez dostawców platform internetowych reklamy opartej na profilowaniu (reklama targetowana) w rozumieniu art. 4 pkt 4 RODO, z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni (art. 28 ust. 2 AUC). Równocześnie w AUC podkreślono, że z realizacją tego zakazu nie wiąże się obowiązek przetwarzania dodatkowych danych osobowych w celu oceny, czy odbiorca usługi jest małoletni (art. 28 ust. 3). Innymi słowy, dostawca platformy internetowej nie jest zobowiązany do zbierania dodatkowych informacji o wieku użytkownika tylko po to, aby ustalić, czy jest małoletni;
3) w art. 26 ust. 3 AUC wprowadzono z kolei zakaz prowadzenia reklamy targetowanej opartej na profilowaniu danych wrażliwych w rozumieniu art. 9 RODO. Warto w związku z tym podkreślić, że zakaz ten – inaczej niż wyżej opisany zakaz z art. 28 ust. 2 AUC – dotyczy profilowania nie tylko informacji o małoletnich, ale danych o wszystkich użytkownikach, niezależnie od ich wieku.
[oprac. X. Konarski]
