Co reguluje art. 9 rozporządzenia P2B?
Art. 9 rozporządzenia (UE) 2019/1150 (P2B) wymaga, by marketplace opisał w regulaminie politykę dostępu do danych — zarówno dostęp marketplace do danych sprzedawcy i klientów, jak i dostęp sprzedawcy do swoich danych i danych zagregowanych z całej platformy.
Art. 9 nie tworzy prawa dostępu. Wymaga przejrzystości polityki dostępu — marketplace może w pełni odmówić udostępniania danych, ale musi to wprost ujawnić w regulaminie. Art. 9 ust. 3 wprost zachowuje stosowanie RODO i e-Privacy.
Czy art. 9 daje sprzedawcy prawo dostępu do danych?
Nie. Art. 9 ust. 1 wymaga jedynie opisu dostępu w regulaminie — może to być opis pełnego dostępu, ograniczonego dostępu, albo wprost informacja o braku dostępu.
Dostawcy usług pośrednictwa internetowego zamieszczają w swoich warunkach korzystania z usług opis technicznego i umownego dostępu użytkowników biznesowych — lub informację o braku takiego dostępu — do wszelkich danych osobowych lub innych danych. (art. 9 ust. 1)
Z naszego doświadczenia operatorzy marketplace najczęściej popełniają jeden błąd: nie opisują wcale dostępu do danych w regulaminie, zostawiając tę kwestię w domyśle. Tymczasem art. 9 wymaga aktywnej decyzji operatora — co udostępniam, co nie udostępniam, na jakich warunkach.
Jakie cztery elementy musi zawierać opis z art. 9 ust. 2?
Opis musi zawierać cztery elementy: dostęp marketplace do danych, dostęp sprzedawcy do swoich danych, dostęp do danych zagregowanych z całej platformy oraz informacje o przekazywaniu danych stronom trzecim.
- Lit. a — Dostęp marketplace do danych
- Czy marketplace ma dostęp do danych osobowych lub innych danych dostarczanych przez sprzedawców i konsumentów lub generowanych w wyniku świadczenia usług. Jeżeli tak — do jakich kategorii i na jakich warunkach.
- Lit. b — Dostęp sprzedawcy do swoich danych
- Czy sprzedawca ma dostęp do danych dostarczonych przez niego oraz danych generowanych w wyniku świadczenia usług na jego rzecz i konsumentów jego towarów lub usług.
- Lit. c — Dostęp do danych zagregowanych z całej platformy
- Czy sprzedawca ma dostęp do danych — w tym w formie zagregowanej — dostarczanych w ramach lub generowanych w wyniku świadczenia usług na rzecz wszystkich sprzedawców i konsumentów ich towarów lub usług. Jeżeli tak — do jakich kategorii i na jakich warunkach.
- Lit. d — Przekazywanie danych stronom trzecim
- Czy dane są przekazywane stronom trzecim. W przypadku transferów nieobowiązkowych do funkcjonowania usług — cel udostępniania danych i możliwości odmowy ze strony sprzedawcy.
Naszym zdaniem szczególnie interesujący jest punkt lit. d. P2B daje sprzedawcy realne narzędzie — jeżeli marketplace przekazuje dane sprzedawcy stronom trzecim w celu nieobowiązkowym (np. dla analityki marketingowej zewnętrznego dostawcy), sprzedawca musi mieć możliwość odmowy. Mechanizm ten jest też istotny w kontekście skarg sprzedawcy, jeśli marketplace nie zapewni opt-outu.
Jak art. 9 P2B ma się do RODO?
Art. 9 P2B i RODO nakładają się i działają równolegle. Art. 9 ust. 3 P2B wprost zachowuje pełne stosowanie RODO oraz innych aktów ochrony danych.
| Wymiar | RODO (rozporządzenie 2016/679) | P2B art. 9 (rozporządzenie 2019/1150) |
|---|---|---|
| Cel | Ochrona praw osób, których dane dotyczą | Przejrzystość relacji B2B w obszarze danych |
| Adresat ochrony | Konsumenci, sprzedawcy jako osoby fizyczne, pracownicy | Sprzedawcy (użytkownicy biznesowi) |
| Treść obowiązku | Podstawy prawne, prawa podmiotów danych, bezpieczeństwo, transfery | Opis dostępu w regulaminie marketplace |
| Kara za naruszenie | Do 20 000 000 EUR lub 4% obrotu | Sankcje krajowe (art. 15 P2B), nieważność klauzul (art. 3 ust. 3) |
| Klauzula nakładania | Adresowana do wszystkich podmiotów przetwarzających dane osobowe | Art. 9 ust. 3: bez uszczerbku dla RODO i e-Privacy |
Z naszego doświadczenia warto myśleć o tych dwóch reżimach jako o uzupełniających się. Pytanie, czy marketplace jest administratorem czy podmiotem przetwarzającym wobec danych klientów — to pytanie z RODO, nie z P2B. Pytanie, czy sprzedawca może dostać kopię swoich historycznych raportów sprzedażowych po zamknięciu konta — to pytanie z P2B (art. 9), choć z elementem RODO, jeżeli raporty zawierają dane osobowe.
Co P2B mówi o danych po wygaśnięciu umowy?
Tę kwestię reguluje art. 8 lit. c P2B, nie art. 9. Marketplace musi opisać w regulaminie dostęp techniczny i umowny do danych sprzedawcy przechowywanych po wygaśnięciu umowy — lub informację o braku takiego dostępu.
Art. 8 lit. c stanowi, że marketplace „zamieszcza w swoich warunkach korzystania z usług opis technicznego i umownego dostępu — lub informację o braku takiego dostępu — do informacji przekazanych lub wygenerowanych przez użytkownika biznesowego, które przechowują po wygaśnięciu umowy".
- Czas trwania umowy
- Reguluje art. 9 P2B — opis dostępu sprzedawcy do swoich danych i danych zagregowanych podczas korzystania z marketplace.
- Po wygaśnięciu umowy
- Reguluje art. 8 lit. c P2B — opis dostępu sprzedawcy do danych przechowywanych przez marketplace po zakończeniu umowy.
- Po cofnięciu decyzji o zawieszeniu
- Reguluje art. 4 ust. 3 P2B — przywrócenie dostępu do danych sprzedawcy po cofnięciu decyzji o ograniczeniu/zawieszeniu/zakończeniu usług.
Najczęstsze błędy operatorów marketplace przy wdrażaniu art. 9
- Brak opisu dostępu do danych w regulaminie B2B — operator ogranicza się do polityki prywatności RODO. Tymczasem art. 9 ust. 1 wymaga umieszczenia opisu w warunkach korzystania z usług, czyli w regulaminie B2B.
- Pomijanie lit. c (dane zagregowane) — operator opisuje dane indywidualne sprzedawcy, ale milczy o danych zagregowanych z całej platformy.
- Brak mechanizmu odmowy w lit. d — operator opisuje transfer danych do stron trzecich (np. dostawcy analityki), ale nie zapewnia mechanizmu odmowy w przypadkach nieobowiązkowych.
- Nakładanie regulaminu B2B z polityką prywatności bez wzajemnego odniesienia — sprzedawca otrzymuje dwa dokumenty, które nie tworzą spójnego obrazu jego praw względem danych.
- Pomijanie obowiązku z art. 8 lit. c (dane po wygaśnięciu umowy) — operator nie opisuje tego osobnego obszaru.
Najważniejsze działania do podjęcia
- Zmapuj wszystkie kategorie danych przetwarzanych na marketplace — dane sprzedawców, dane konsumentów, dane generowane w wyniku świadczenia usług, dane zagregowane platformy.
- Dla każdej kategorii odpowiedz na cztery pytania z art. 9 ust. 2 (lit. a–d).
- Dla każdego transferu do strony trzeciej, który nie jest konieczny do funkcjonowania usług, zapewnij sprzedawcy mechanizm odmowy — i opisz go w regulaminie.
- Włącz opis dostępu do danych do regulaminu marketplace osobnym rozdziałem. Nie zostawiaj tej kwestii wyłącznie w polityce prywatności.
- Zsynchronizuj opis art. 9 P2B z polityką prywatności RODO — by sprzedawca rozumiał oba aspekty: B2B i ochronę danych osobowych.
- Pamiętaj o art. 8 lit. c — dodaj opis dostępu do danych po wygaśnięciu umowy.
