Specyfika świadczenia usług drogą elektroniczną często wymaga przetwarzania przez firmę szerszego zakresu danych niż przy tradycyjnej sprzedaży. Z drugiej strony usługodawców internetowych obowiązuje zasada minimalizacji danych.

Zgodnie z art. 18 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (UŚUDE), usługodawca może przetwarzać dane osobowe usługobiorcy, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego.

W ustawie znajdziemy takie przykładowe dane jak:

1. nazwisko i imiona usługobiorcy;
2. numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
3. adres zameldowania na pobyt stały;
4. adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
5. dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
6. adresy elektroniczne usługobiorcy.

Należy przyjąć, że przedsiębiorca internetowy nie ma ogólnego upoważnienia ustawowego do przetwarzania wszystkich powyższych rodzajów danych, a tylko tych, które są niezbędne dla świadczenia określonej usługi. Dane takie jak PESEL lub adres zameldowania na pobyt stały nie będą potrzebne w każdym przypadku, nie wspominając o danych służących do weryfikacji podpisu elektronicznego usługobiorcy.

Ponadto, w celu realizacji umowy lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać także inne dane osobowe, pod warunkiem że jest to niezbędne z uwagi na właściwość świadczonej usługi lub sposób jej rozliczenia.

W zakresie danych zaliczanych do tej drugiej grupy, od dnia 4 maja 2019 r. usługodawca będzie mieć obowiązek wyróżnić i oznaczyć te sposób danych, których podanie jest niezbędne do świadczenia usług drogą elektroniczną. Inne dane będą mogą być przetwarzane za zgodą usługobiorcy. Dotyczyć to będzie przetwarzania danych osobowych dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia usług świadczonych przez usługodawcę.

Oznacza to, że usługodawca będzie zobowiązany do uzyskania zgody w celu profilowania użytkowników serwisu na potrzeby realizacji powyższych celów (np. wyświetlania spersonalizowanych reklam).

Co więcej, do ustawy zostanie dodany przepis, zgodnie z którym jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. Taka zgoda powinna zatem spełniać wymogi RODO analogiczne jak dla zgody na przetwarzanie danych osobowych. Przedsiębiorca powinien również zapewnić, aby zgoda taka została utrwalona.

Powyższe wymogi są bardziej rygorystyczne i nie do końca zgodne z RODO. Wcześniej Europejska Rada Ochrony Danych uznała, że profilowanie użytkowników do celów marketingowych lub polepszania świadczonej usługi mogą być realizowane w ramach prawnie uzasadnionego interesu administratora.

Zmiany w UŚUDE mogą wprowadzić spore zamieszanie. Dopuszczalność profilowania użytkowników serwisów w celach reklamowanych (i nie tylko) na dotychczasowych zasadach staje pod dużym znakiem zapytania.