Cyfrowe usługi „za darmo” w zamian za dane osobowe to dziś codzienność – korzystamy z nich, rejestrując się w aplikacjach, serwisach społecznościowych czy platformach VOD. Ale czy na pewno są one za darmo? Coraz częściej mówi się o „zapłacie danymi” – nowoczesnym modelu rozliczenia, który ma swoje konsekwencje prawne. W tym poradniku wyjaśniam, jakie prawa ma konsument, a jakie obowiązki ciążą na przedsiębiorcy, gdy w grę wchodzi wymiana danych osobowych na dostęp do treści cyfrowych lub usług online.
🧩 Na czym polega zapłata danymi osobowymi?
Zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/770, a także przepisami ustawy z 30 maja 2014 r. o prawach konsumenta, umowa o dostarczenie treści cyfrowych lub usługi cyfrowej może polegać nie tylko na klasycznej zapłacie pieniężnej, ale również na przekazaniu przez konsumenta danych osobowych.
Przykład 1:
🧑🎓 Alicja rejestruje się w aplikacji językowej i w zamian za darmowy dostęp do kursu zgadza się na przetwarzanie swoich danych (wiek, lokalizacja, zainteresowania) w celach marketingowych. Firma wykorzystuje te dane do personalizacji reklam i sprzedaży powierzchni reklamowej.
Przykład 2:
🧑💼 Michał zakłada konto na platformie streamingowej, podając imię, e-mail i datę urodzenia. Zgadza się na śledzenie jego preferencji, co pozwala firmie lepiej targetować reklamy i oferty sponsorowane.
Takie modele biznesowe są legalne – ale tylko wtedy, gdy spełniają określone warunki prawne.
📌 Co musi wiedzieć przedsiębiorca?
1. Treść cyfrowa musi być zgodna z umową
Jeśli przedsiębiorca oferuje usługę cyfrową w zamian za dane osobowe, musi spełniać wszystkie obowiązki wynikające z przepisów dotyczących zgodności z umową. Oznacza to m.in., że:
- treść/usługa musi działać tak, jak została opisana,
- konsument ma prawo do aktualizacji,
- w przypadku niezgodności – może dochodzić roszczeń.
📌 Przepisy stosuje się nawet wtedy, gdy nie ma klasycznej zapłaty pieniężnej – wystarczy, że konsument udostępnia dane osobowe do innych celów niż realizacja umowy lub wymogi prawne.
2. Odpowiedzialność za niezgodność usługi
Zgodnie z art. 13 i 14 dyrektywy 2019/770, jeżeli treść cyfrowa nie zostanie dostarczona lub jest wadliwa (np. niedostępna aplikacja, błędne działanie platformy), konsument ma prawo do:
- doprowadzenia usługi do zgodności,
- obniżenia świadczenia (jeśli była płatna),
- odstąpienia od umowy, jeśli błąd jest istotny i nieusuwalny.
🧩 Przykład 3:
Platforma edukacyjna oferuje kurs wideo w zamian za zgodę marketingową. Po tygodniu część filmów znika, a inne przestają się odtwarzać. Użytkownik może zażądać przywrócenia dostępu lub – jeśli problem się utrzymuje – zakończyć umowę.
⚖️ Czy zmiana celu przetwarzania danych zmienia warunki umowy?
To jeden z najczęstszych błędów firm: dane zostały zebrane tylko do wykonania usługi, ale później są wykorzystywane do innych celów – np. sprzedaży partnerom biznesowym.
RODO dopuszcza zmianę celu przetwarzania danych osobowych, ale tylko pod określonymi warunkami (art. 6 ust. 4 RODO). Jeśli te warunki nie są spełnione, może dojść do naruszenia zarówno przepisów RODO, jak i prawa konsumenckiego, ponieważ zmiana celu oznacza zmianę warunków umowy.
📌 Przedsiębiorca, który:
- zmienia cel przetwarzania danych,
- rozszerza zakres danych,
- lub przekazuje je osobom trzecim,
powinien traktować to jak zmianę umowy, a konsument musi wyrazić nową, świadomą zgodę.
🧩 Przykład 4:
Firma X oferuje aplikację mobilną do zarządzania budżetem domowym. Na początku dane były zbierane wyłącznie w celu świadczenia usługi. Po kilku miesiącach firma zaczyna je wykorzystywać do tworzenia profili klientów i sprzedaje je partnerom reklamowym. Konsumenci, którzy nie zostali o tym jasno poinformowani i nie wyrazili zgody, mogą powołać się na naruszenie warunków umowy i żądać jej rozwiązania.
⚠️ Co z odpowiedzialnością przy rozwiązywaniu umowy?
Dyrektywa 2019/770 nakłada obowiązki na przedsiębiorcę również w przypadku rozwiązania umowy:
- dane muszą zostać usunięte, jeśli nie ma innej podstawy prawnej do ich dalszego przetwarzania,
- użytkownik powinien otrzymać jasne informacje o sposobie usunięcia danych lub ich zwrocie (jeśli to technicznie możliwe),
- przedsiębiorca nie może dalej wykorzystywać danych w celach marketingowych, jeśli zgoda została cofnięta.
🧩 Przykład 5:
Po zakończeniu korzystania z aplikacji dietetycznej, użytkowniczka cofa zgodę na przetwarzanie danych. Firma nadal wysyła jej e-maile reklamowe. To naruszenie RODO i prawa konsumenckiego – może zgłosić skargę do UODO i żądać odszkodowania.
🔄 Czy można zmieniać zakres usługi cyfrowej lub sposób przetwarzania danych?
Dyrektywa 2019/770 (art. 19) dopuszcza możliwość zmian treści cyfrowej lub usługi cyfrowej w trakcie trwania umowy – ale pod warunkiem, że:
- umowa wyraźnie to przewiduje,
- konsument został o tym poinformowany,
- zmiana jest uzasadniona (np. z technicznych, prawnych lub bezpieczeństwa),
- nie pogarsza sytuacji konsumenta, lub jeśli tak – daje mu prawo odstąpienia od umowy.
Podobnie jest w przypadku zmiany celu przetwarzania danych osobowych. Zgodnie z art. 6 ust. 4 RODO, administrator musi m.in. wziąć pod uwagę:
- cel, w jakim dane zebrano i nowy cel,
- kontekst zbierania danych (czy osoba spodziewała się innego przetwarzania),
- charakter danych (czy są to dane wrażliwe),
- możliwe konsekwencje dla osoby,
- zastosowane zabezpieczenia (np. szyfrowanie).
🧩 Przykład 6:
Firma oferująca aplikację do planowania wakacji zmienia swój model – od teraz, poza planowaniem podróży, zbiera też dane lokalizacyjne i łączy je z historią wyszukiwań użytkownika, by wysyłać mu spersonalizowane oferty. Jeśli wcześniej użytkownik nie został o tym poinformowany i nie wyraził zgody – taka zmiana może być uznana za nielegalną.
🧠 Jak głęboka może być ingerencja w prywatność?
Europejska Rada Ochrony Danych (EROD) wielokrotnie podkreślała, że legalność „zapłaty danymi” zależy od stopnia ingerencji w prywatność.
✔ Dopuszczalne:
- przetwarzanie danych do wewnętrznego marketingu, o ile zgoda jest świadoma i dobrowolna,
- personalizacja oferty usługowej (np. rekomendacje seriali na podstawie wcześniejszych wyborów),
- targetowanie reklam, ale bez profilowania krzyżowego (czyli łączenia danych z innych platform i źródeł bez zgody).
✖ Niedopuszczalne:
- tworzenie profili użytkowników w oparciu o dane z wielu źródeł bez ich wiedzy,
- wymaganie zgody na przetwarzanie danych marketingowych jako warunku dostępu do usługi – bez realnej alternatywy,
- przetwarzanie wrażliwych danych (np. zdrowotnych, religijnych) bez wyraźnej zgody.
⚖️ TSUE oraz EROD podkreślają, że samo „dofinansowanie usługi przez reklamę” nie uzasadnia automatycznie legalności gromadzenia danych. Przetwarzanie musi być niezbędne, proporcjonalne i świadome.
✅ Praktyczne wytyczne dla przedsiębiorców
Aby legalnie korzystać z modelu „zapłaty danymi osobowymi”, przedsiębiorca powinien:
📌 1. Prawidłowo poinformować użytkownika
- Celem przetwarzania,
- Zakresem danych,
- Okresem ich przechowywania,
- Możliwością wycofania zgody i jej skutkami.
📌 2. Umożliwić dostęp do usługi bez zgody
Jeśli zgoda ma być warunkiem dostępu – musi istnieć realna, równoważna alternatywa, np.:
- płatna wersja bez reklamy,
- wersja bez personalizacji.
📌 3. Przetwarzać dane wyłącznie w niezbędnym zakresie
- Bez zbędnego profilowania,
- Bez sprzedaży danych dalej bez wyraźnej zgody,
- Z uwzględnieniem ochrony prywatności w fazie projektowania usługi.
📌 4. Dbać o bezpieczeństwo danych
- Stosuj szyfrowanie, pseudonimizację, ograniczenia dostępu,
- Regularnie aktualizuj polityki prywatności i regulaminy.
📚 Podstawa prawna
- art. 3 ust. 1 pkt 11, art. 43i pkt 2 – ustawa z dnia 30 maja 2014 r. o prawach konsumenta
- art. 6, art. 13–14, art. 16–17, art. 19 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770
- art. 6 ust. 1 lit. a, b, f oraz art. 6 ust. 4 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
🔖 Tematy porad zawartych w poradniku:
- zapłata danymi osobowymi
- prawa konsumenta usługi cyfrowe
- odpowiedzialność usług cyfrowych RODO
- marketing a dane osobowe 2025
- dyrektywa 2019/770 w praktyce