W listopadzie w polskim prawie pojawi się nowa ustawa, która będzie niezwykle ważna dla branży e-commerce, marketingu oraz contact center. Przestanie obowiązywać Prawo telekomunikacyjne, a zastąpią je nowe regulacje – Prawo komunikacji elektronicznej („PKE”). Wchodzi ono w życie już 10.11.2024 r. Nowe przepisy są istotne m.in. dlatego, iż obejmują wymogi prawne dla działań marketingowych (m.in. e-mail marketingu, reklamy internetowej opartej na na cookies) oraz procesów zdalnej obsługi klienta (contact center).
W artykule znajdziesz informacje na temat kluczowych kwestii wynikających z Prawa komunikacji elektronicznej, czyli:
- Jakie będą wymogi prawne dla działań marketingowych oraz procesów zdalnej obsługi klienta (contact center)?
- Jakie będą wymogi prawne dla reklamy internetowej opartej na cookies i podobnych narzędziach?
- Czy dotychczas uzyskane zgody marketingowe będą przez cały czas ważne?
- Jakie usługi komunikacji elektronicznej podlegają nowym przepisom?
- Co muszą zrobić firmy, które będą uznawane za przedsiębiorców komunikacji elektronicznej?
- Nowe wymogi w zakresie cyberbezpieczeństwa
- Kiedy nowe przepisy wchodzą w życie?
- Jakie najważniejsze działania trzeba podjąć – checklista
- Co grozi za naruszenie nowych regulacji?
1. Jakie będą wymogi prawne dla działań marketingowych oraz procesów zdalnej obsługi klienta (contact center)?
Zgodnie z nowymi regulacjami, bezpośredni kontakt marketingowy w ramach komunikacji elektronicznej będzie wymagał zgody odbiorcy (model opt-in). Przykładami takiego bezpośredniego kontaktu marketingowego są m.in. wiadomości e-mail oraz połączenia telefoniczne, ale także wiadomości w ramach komunikatora lub wideorozmowy.
„Bezpośredni kontakt marketingowy” trzeba rozumieć szerzej niż przedstawianie oferty zakupu określonych produktów lub usług. Będzie nim każdy kontakt, który obejmuje treści marketingowe, reklamowe lub promocyjne i jest skierowany do konkretnego odbiorcy. A więc jest to m.in. reklama, choćby o ile nie jest połączona z ofertą, ani nie określa ceny, czy też komunikat promujący akcję marketingową lub wydarzenie.
Co bardzo istotne, nowe przepisy dotyczą również marketingu w relacji B2B.
Zgodnie z uzasadnieniem do nowej ustawy, marketing bezpośredni nie obejmuje komunikatów technicznych lub obsługowych. Kontakt z klientem w tych celach (tj. technicznych, obsługowych itp.) nie jest zatem objęty nowymi regulacjami.
Po wejściu w życie Prawa komunikacji elektronicznej będzie ono jedynym aktem prawnym, który dotyczy wymagań prowadzenia bezpośredniego kontaktu marketingowego. Uchylone zostaną przepisy ustawy o świadczeniu usług drogą elektroniczną, które dotyczą zgody na przesyłanie informacji handlowych.
2. Jakie będą wymogi prawne dla reklamy internetowej opartej na cookies i podobnych narzędziach?
Stosowanie plików cookies i podobnych narzędzi (m.in. piksele, tagi, dane w local storage itp.) będzie wymagało uzyskania zgody użytkownika. Zgoda będzie musiała być wyrażona przed rozpoczęciem działań opartych na cookies lub podobnych narzędziach (tzn. dopiero wtedy, kiedy użytkownik kliknie „tak”, „akceptuję” lub inny analogiczny przycisk).
Zgoda użytkownika będzie wymagana dla wszelkich rodzajów cookies i podobnych rozwiązań. Mowa tutaj np. o narzędziach analitycznych, marketingowych (reklamowych), a także pisekli/tagów związanych z platformami społecznościowymi. Wyjątkiem od obowiązku uzyskania zgody będą technicznie niezbędne pliki cookies, np. te odpowiadające za utrzymanie sesji logowania lub zawartości koszyka zakupowego, a także za zapewnienie bezpieczeństwa.
W Prawie komunikacji elektronicznej został utrzymany przepis, zgodnie z którym użytkownik może wyrazić zgodę na stosowanie u niego cookies i podobnych narzędzi za pośrednictwem ustawień przeglądarki.
Odradzamy jednak opieranie reklamy internetowej na tak uzyskiwanej zgodzie, ponieważ nie będzie ona spełniała wymagań przepisów o ochronie danych osobowych i nie jest również akceptowana przez największych dostawców usług z zakresu analityki i reklamy internetowej.
W obu opisanych wariantach działań marketingowych zgoda odbiorcy/użytkownika musi spełniać wymogi przepisów o ochronie danych osobowych (RODO), a zatem być świadoma, dobrowolna, konkretna, jednoznaczna i możliwa do odwołania (w każdym czasie i w tak samo łatwy sposób, w jaki została wyrażona).
3. Czy dotychczas uzyskane zgody marketingowe będą przez cały czas ważne?
Dotychczas uzyskane zgody marketingowe pozostaną ważne pod warunkiem, iż spełniają wymagania nowych przepisów. Jest to rozwiązanie analogiczne do tego, które kilka lat temu zostało zastosowane przy wprowadzaniu RODO.
Oznacza to, iż każda firma opierająca swoje działania marketingowe na zgodzie odbiorców powinna dokonać weryfikacji, czy dotychczas uzyskane zgody spełniają wymagania nowych przepisów. Taka weryfikacja powinna obejmować nie tylko treść samych zgód, ale też sposób ich zbierania (np. projekt interfejsu użytkownika strony internetowej lub aplikacji mobilnej, skrypt rozmowy telefonicznej). Ponadto, zweryfikować trzeba również tryb wycofywania zgody pod kątem tego, czy nie jest trudniejszy od wcześniejszego jej wyrażenia.
Jako kancelaria prawna CORE Law dostarczamy usługi związane z audytowaniem i wdrażaniem zmian do procesów związanych ze zgodami marketingowymi – nie tylko po kątem treści samych zgód, ale też pod kątem zarządzania całym procesem (m.in. wsparcie w projektowaniu interfejsu użytkownika oraz opracowaniu ścieżek przekazywania informacji o wyrażonej zgodzie oraz jej ewentualnym wycofaniu w ramach wewnętrznych systemów, np. CRM).
4. Jakie usługi komunikacji elektronicznej podlegają nowym przepisom?
Już teraz pod Prawo telekomunikacyjne podlegają firmy z branży marketingowej, e-commerce oraz contact center, które dostarczają usługi telekomunikacyjne, np.:
- sprzedają we własnym imieniu i na własny rachunek usługi wykonywane przez innego dostawcę
- dostarczają usługi głosowe w technologii VoIP
- dostarczają udogodnienia towarzyszące – interfejsy programów aplikacyjnych.
Obecne przepisy określają ich jako „przedsiębiorców telekomunikacyjnych”. W ramach Prawa komunikacji elektronicznej firmy te będą miały status „przedsiębiorcy komunikacji elektronicznej”. Co jednak bardzo istotne, „przedsiębiorcami komunikacji elektronicznej” będą w ramach PKE również dostawcy publicznie dostępnych usług komunikacji interpersonalnej niewykorzystujących numerów. Chodzi tutaj np. o dostawców poczty elektronicznej oraz komunikatorów internetowych, z których może korzystać ogół użytkowników. Chodzi także o narzędzia służące do organizowania spotkań online, w których możliwa jest bezpośrednia i obustronna komunikacja uczestników.
Nowymi regulacjami nie jest jednak objęta usługa komunikatora, jeżeli stanowi on wyłącznie nieznaczny dodatek do innej usługi oraz z obiektywnych przyczyn technicznych nie może być użytkowany bez usługi głównej. Przepisy unijne jako przykład takiej sytuacji podają kanał komunikacyjny w grach internetowych.
5. Co muszą zrobić firmy, które będą uznawane za przedsiębiorców komunikacji elektronicznej?
Przedsiębiorcy komunikacji elektronicznej muszą złożyć wniosek o wpis do Rejestru przedsiębiorców komunikacji elektronicznej albo – jeżeli byli już wpisani do Rejestru przedsiębiorców telekomunikacyjnych – zaktualizować swój wpis do rejestru.
Dotychczasowy wpis do Rejestru przedsiębiorców telekomunikacyjnych pozostaje ważny, ale wpisane do niego firmy mają 6 miesięcy od wejścia w życie PKE na uzupełnienie swojego wpisu, m.in. o dane osoby wyznaczonej do kontaktu z Prezesem UKE, opis świadczonych usług czy adres strony internetowej. UWAGA: za niezrealizowanie tego obowiązku w terminie grozi wykreślenie z rejestru!
Przedsiębiorcy telekomunikacyjni już na gruncie obecnych przepisów podlegają opłacie telekomunikacyjnej. W ramach Prawa komunikacji elektronicznej zostanie ona podniesiona. w tej chwili opłata ta może wynieść maksymalnie 0,05% rocznych przychodów, przy czym uiszczana jest dopiero po przekroczeniu progu 4 milionów zł rocznego przychodu z tytułu działalności telekomunikacyjnej. Prawo komunikacji elektronicznej trzykrotnie podnosi próg opłaty – do 0,15% rocznych przychodów. Podnosi również próg przychodów do 1000-krotności przeciętnego wynagrodzenia (obecnie około 8 milionów zł).
Jeśli przedsiębiorcy komunikacji elektronicznej dostarczają swoje usługi konsumentom, mikro- lub małym przedsiębiorcom lub organizacjom pozarządowym, to muszą pilnie wdrożyć zmiany do wzorów umów oraz innych dokumentów stosowanych w relacji ze swoimi klientami. Nowe regulacje wprowadzają bowiem m.in. następujące zasady:
- dostawcy usług komunikacji elektronicznej będą mieć ograniczone możliwości dokonania jednostronnej zmiany warunków umowy z abonentem
- nowe warunki umowy muszą być przekazywane konsumentom z co najmniej miesięcznym wyprzedzeniem
- umowy dotyczące usług komunikacji elektronicznej nie mogą być zawierane z konsumentami, mikro- lub małymi przedsiębiorcami oraz organizacjami pozarządowymi na okres dłuższy niż 24 miesiące
- przed zawarciem umowy dotyczącej usług komunikacji elektronicznej konsument, mikro- lub mały przedsiębiorca oraz organizacja pozarządowa powinni otrzymywać zwięzłe podsumowanie najważniejszych warunków umowy (tzw. one-pager), obejmujące m.in. zamówione usługi, należne opłaty oraz czas trwania umowy
- konsumenci będą mieć prawo do zwrotu niewykorzystanych środków z usług przedpłaconych
- konsumenci przed automatycznym przedłużeniem umowy będą musieli otrzymywać od dostawcy usług informacje związane z tym przedłużeniem oraz o najkorzystniejszej ofercie dostawcy oraz czy przedłużenie umowy jest dla konsumenta opłacalne; po przedłużeniu umowy takie informacje będą musiały być przesyłane co najmniej raz w roku
- umowne odszkodowania za zerwanie umowy przez konsumenta nie będą mogły przekraczać sumy opłat abonamentowych do końca czasu trwania umowy
- umowy dotyczące usług komunikacji elektronicznej nie będą mogą być zawierane podczas nieumówionej wizyty w miejscu zamieszkania lub zwykłego pobytu konsumenta.
Mikro- i mały przedsiębiorca oraz organizacja pozarządowa mogą najpóźniej w chwili zawarcia umowy o świadczenie usług komunikacji elektronicznej wyrazić zgodę na rezygnację z ww. uprawnień, także w ramach samej umowy.
6. Nowe wymogi w zakresie cyberbezpieczeństwa
Prawo komunikacji elektronicznej określa również środki zapewniające bezpieczeństwo przetwarzania danych osobowych, które muszą wdrożyć przedsiębiorcy komunikacji elektronicznej. Oprócz wymagań zawartych w RODO, środki te powinny obejmować m.in. wdrożenie polityki bezpieczeństwa dotyczącej przetwarzania danych osobowych.
Przedsiębiorcy komunikacji elektronicznej będą również zobowiązani do informowania Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych na bardziej restrykcyjnych zasadach niż standardowo wynikające z RODO.
Warto dodać, iż przedsiębiorcy komunikacji elektronicznej, zgodnie z przygotowywanymi przepisami wdrażającymi unijną dyrektywę NIS 2 dotyczącą cyberbezpieczeństwa będą, niezależnie od wielkości, uznawani za tzw. podmioty najważniejsze lub ważne. Oznacza to, iż będą mieli obowiązek m.in.:
- zbierania informacji o zagrożeniach i podatnościach na incydenty systemu, który wykorzystują do dostarczania swojej usługi
- systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem
- stosowania odpowiednich i proporcjonalnych do ryzyka środków bezpieczeństwa, które uwzględniają m.in. najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów;
- zarządzania incydentami.
7. Kiedy nowe przepisy wchodzą w życie?
Prawo komunikacji elektronicznej oraz powiązane z nim zmiany do innych ustaw wchodzą w życie 10 listopada 2024 r.
Niektóre przepisy, na zasadzie wyjątku, mają inny termin wejścia w życie (np. ograniczenie czasu trwania umów do 24 miesięcy obowiązuje już od 17 sierpnia 2024 r.)
8. Jakie najważniejsze działania trzeba podjąć – checklista
- Weryfikacja czy dotychczas uzyskane zgody marketingowe spełniają wymagania nowych przepisów
- Analiza portfolio świadczonych usług, zwłaszcza usług internetowych, pod kątem tego, czy podlegają nowej ustawie
- W przypadku spełnienia przesłanek dla uznania za przedsiębiorcę komunikacji elektronicznej – złożenie wniosku o wpis w Rejestrze przedsiębiorców telekomunikacyjnych/komunikacji elektronicznej lub o aktualizację dotychczasowego wpisu
- W przypadku spełnienia przesłanek dla uznania za przedsiębiorcę komunikacji elektronicznej – analiza dotychczas stosowanych wzorów dokumentów umownych w relacjach z klientami i wdrożenie niezbędnych poprawek, a w przypadku świadczenia usług dla konsumentów – wdrożenie działań wymaganych przez Prawo komunikacji elektronicznej
- W przypadku spełnienia przesłanek dla uznania za przedsiębiorcę komunikacji elektronicznej – uważna analiza regulacji wynikających z dyrektywy NIS 2, monitorowanie procesu jej wdrażania w Polsce oraz realizacja prac mających na celu zapewnienie zgodności z wynikającymi z niej wymaganiami w zakresie cyberbezpieczeństwa
Jako kancelaria prawna CORE Law zapraszamy do kontaktu w sprawie zapewnienia przez nas wsparcia przy każdym z opisanych powyżej działań.
9. Co grozi za naruszenie nowych regulacji?
W przypadku niezrealizowania lub niewłaściwego wykonania większości obowiązków wynikających z PKE, Prezes UKE będzie miał podstawę do nałożenia kary finansowej wynoszącej choćby do 3% przychodu uzyskanego przez daną firmę w ubiegłym roku kalendarzowym.
W przypadku prowadzenia kontaktu marketingowego bez uzyskania zgody odbiorcy, Prezes UKE przy nakładaniu kary nie będzie brał pod uwagę dotychczasowej działalności danego podmiotu oraz jego możliwości finansowych, a jedynie okoliczności samego naruszenia.