Zgoda na pliki cookies w kontekście wyroku TSUE

Zgody na pliki cookies, polityki cookies, polityki prywatności – na pewno żadnemu użytkownikowi Internetu pojęcia te nie są obce. Każdy z Nas niejednokrotnie, aby wejść na stronę internetową, musiał przebrnąć przez wyskakujące zgody lub polityki do akceptacji. Popularne ciasteczka z jednej strony mogą być pomocne w korzystaniu z Internetu, np. umożliwiają personalizowanie strony, czyli wyświetlają reklamy stosowne do naszych preferencji, jednak z drugiej niekiedy w zbyt znacznym stopniu ingerują w sferę naszej prywatności. 1 października 2019 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok dotyczący tego, jak wyglądać powinna zgoda na pliki cookies.

Tło sporu o zgodę na pliki cookies

Sprawa rozpoczęła się we wrześniu 2013 roku w związku z loterią, którą zorganizowała spółka Planet49 na swojej stronie internetowej. Użytkownicy za pośrednictwem strony www.dein-macbook.de przed przestąpieniem do loterii, musieli podać swoje dane osobowe. Pod polem do wypełnienia znajdowały się dwie zgody.

Pierwsza z nich, z możliwością zaznaczenia – zgoda na otrzymywanie reklam od sponsorów i partnerów listownie / telefonicznie lub mailowo / SMS-em. Oznaczenie tej zgody było konieczne do wzięcia udziału w loterii.

Kolejna zgoda widniejąca na stronie internetowej, odnosiła się do wykonywania analizy internetowej, która związana była z instalacją plików cookies. Na tej podstawie Spółka miała możliwość oceny zachowania użytkownika na podstawie korzystania i odwiedzania stron internetowych partnerów. W taki sposób mogła ona zyskać możliwość dostosowywania wyświetlanych reklam do upodobań użytkowników.

W drugim przypadku okienko ze zgodą zostało w sposób domyślny zaznaczone. Przy każdej ze zgód, znajdował się link, w którym pojawiały się bardziej szczegółowe informacje np. dotyczące sponsorów i partnerów czy plików cookies, które mogą zostać zainstalowane.

Sprawa została skierowana przez niemiecki związek organizacji konsumentów na drogę sądową. Organizacja zarzucała, że pozyskiwanie w taki sposób oświadczeń, stoi w sprzeczności z przepisami prawa niemieckiego. W pozwie związek domagał się zaprzestania zbierania w taki sposób zgód oraz wypłaty na swoją rzecz odszkodowania. W pierwszej instancji sąd przyjął częściowo zasadność pozwu (wskazał na zaprzestanie dalszego przetwarzania), jednak Planet49 wniosła odwołanie.

Sąd drugiej instancji był odmiennego zdania i orzekł, że związek konsumencki nie ma racji, ponieważ w odniesieniu do drugiej ze zgód „[..]użytkownik jest świadomy możliwości usunięcia zaznaczenia tego okienka, a po drugie, oświadczenie to zostało sporządzone czytelnym drukiem, w sposób dostatecznie wyraźny, i podawało informacje na temat sposobów używania plików cookie[…]”.

Związek organizacji konsumenckich zaskarżył wyrok do Federalnego Trybunał Sprawiedliwości w Niemczech, który skierował do TSUE następujące pytania prejudycjalne.

Pytanie 1:

a) Czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) Dyrektywy [2002/58] w związku z art. 2 lit. h) Dyrektywy [95/46], w sytuacji, gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody?

b) Czy na stosowanie art. 5 ust. 3 i art. 2 lit. f) Dyrektywy [2002/58] w związku z art. 2 lit. h) dyrektywy [95/46] ma wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?

c) Czy w okolicznościach określonych w pytaniu [pierwszym] lit. a) została wyrażona skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a) Rozporządzenia [2016/679]?

Pytanie 2:

Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z art. 5 ust. 3 Dyrektywy [2002/58]? Czy informacje te obejmują również okres ważności plików cookie oraz kwestię dostępu osób trzecich do plików cookie?

Jakie stanowisko przyjął TSUE? Czy już powinniśmy wprowadzić jakieś zmiany?

Trybunał Sprawiedliwości odpowiadając na pytanie dotyczące ważności pozyskiwanej w opisywany powyżej sposób zgody odpowiedział, że jest to działanie nieprawidłowe. W wyroku wskazano, opierając się na Dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), że:

[..]sformułowanie „wyrazić zgodę” powinno jednak podlegać wykładni językowej, zgodnie z którą do wyrażenia zgody niezbędne jest działanie użytkownika. W tym względzie z motywu 17 Dyrektywy 2002/58 wynika, że zgoda użytkownika, do celów tej Dyrektywy, może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez „zaznaczenie okna wyboru podczas przeglądania witryny internetowej.

Zauważono, również, że wymieniona wyżej Dyrektywa w zakresie zgody odsyła do Dyrektywy 95/46, którą od 25 maja 2018 roku zastąpiło Ogólne rozporządzenie o ochronie danych.

W nawiązaniu do powyższego, omawiana zgoda na pliki cookies powinna spełniać wymogi wskazane w art. 4 ust. 11 RODO, a więc posiadać takie cechy jak dobrowolność, konkretność, świadomość, stanowić powinna jednoznaczne okazanie woli, które przejawia się jako złożenie oświadczenia lub wyraźne działanie potwierdzające. W tym miejscu należy mieć także na uwadze motyw 32 RODO, który wprost wyklucza możliwość pozyskiwania zgody poprzez okienka domyślnie zaznaczone, milczenie lub nie podjęcia żadnego działania.

Przedstawiciele doktryny wskazują, że omawiany wyrok nie jest niczym zaskakującym mając na uwadze uregulowania zawarte w RODO. Zwrócić należy jednak uwagę na fakt, że w polskim porządku prawnym kwestie te pozostają uregulowane w nieco odmienny sposób. Dyrektywa 2002/58/WE w Polsce została zaimplementowana przez między innymi przepisy Ustawy Prawo telekomunikacyjne. We wskazanej ustawie istnieje możliwość pozyskiwania zgody na instalowanie plików cookies poprzez ustawienia przeglądarki lub odpowiednie skonfigurowanie usługi.

 art. 173 ust. 2 Ustawy Prawo telekomunikacyjne
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Diametralne zmiany w tym zakresie wprowadzić może zapowiadane od jakiegoś czasu Rozporządzenie ePrivacy. Obowiązywało będzie ono na tych samych zasadach co RODO, a więc zastąpi krajowe przepisy, w tym Ustawę Prawo telekomunikacyjne.

Dodatkowo należy zauważyć, że zdaniem TSUE zgoda na pliki cookies powinna spełniać opisane wyżej kryteria, niezależnie od tego czy pozyskiwane są w związku z tym dane osobowe czy też nie. Przepisy chronić mają prywatność osób, bronić nas przed ingerencją w nasze życie poprzez śledzenie naszych zachowań i preferencji bez wiedzy oraz zgody.

W wyroku podkreślono, w odniesieniu do właściwych przepisów jak powyżej, że każdy użytkownik powinien zostać również poinformowany o tym jak długo pliki cookies będę funkcjonowały oraz kto będzie miał dostęp do danych w nich przechowywanych.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Podsumowanie

Z jednej strony Trybunał Sprawiedliwość Unii Europejskiej stoi na stanowisku, że prawo powinno otaczać użytkowników ochroną przed instalowaniem bez wiedzy oraz zgody na ich urządzeniach narzędzi służących do ingerowania w ich prywatność.

Z drugiej jednak strony czy dobrym rozwiązaniem jest przytłaczanie użytkowników stron internetowych coraz to większymi ilościami tekstu traktujących na temat przetwarzania ich danych, które większość osób bezrefleksyjnie „przeklikuje” aby dostać się do treści artykułu lub informacji ich interesujących?

Zastanówmy się kto tak naprawdę z czystym sumieniem jest w stanie powiedzieć, że przeczytał wszystkie informacje, które „wyskakują” na stronach internetowych?

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
rodo faq
Szkolenia RODO – jak skutecznie budować świadomość ochrony danych osobowych?
Jak zarejestrować IOD? Czyli wypełnianie e-formularza zawiadomienia UODO krok-po-kroku

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO