Zgody na pliki cookies, polityki cookies, polityki prywatności – na pewno żadnemu użytkownikowi Internetu pojęcia te nie są obce. Każdy z Nas niejednokrotnie, aby wejść na stronę internetową, musiał przebrnąć przez wyskakujące zgody lub polityki do akceptacji. Popularne ciasteczka z jednej strony mogą być pomocne w korzystaniu z Internetu, np. umożliwiają personalizowanie strony, czyli wyświetlają reklamy stosowne do naszych preferencji, jednak z drugiej niekiedy w zbyt znacznym stopniu ingerują w sferę naszej prywatności. 1 października 2019 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok dotyczący tego, jak wyglądać powinna zgoda na pliki cookies.
Tło sporu o zgodę na pliki cookies
Sprawa rozpoczęła się we wrześniu 2013 roku w związku z loterią, którą zorganizowała spółka Planet49 na swojej stronie internetowej. Użytkownicy za pośrednictwem strony www.dein-macbook.de przed przestąpieniem do loterii, musieli podać swoje dane osobowe. Pod polem do wypełnienia znajdowały się dwie zgody.
Pierwsza z nich, z możliwością zaznaczenia – zgoda na otrzymywanie reklam od sponsorów i partnerów listownie / telefonicznie lub mailowo / SMS-em. Oznaczenie tej zgody było konieczne do wzięcia udziału w loterii.
Kolejna zgoda widniejąca na stronie internetowej, odnosiła się do wykonywania analizy internetowej, która związana była z instalacją plików cookies. Na tej podstawie Spółka miała możliwość oceny zachowania użytkownika na podstawie korzystania i odwiedzania stron internetowych partnerów. W taki sposób mogła ona zyskać możliwość dostosowywania wyświetlanych reklam do upodobań użytkowników.
W drugim przypadku okienko ze zgodą zostało w sposób domyślny zaznaczone. Przy każdej ze zgód, znajdował się link, w którym pojawiały się bardziej szczegółowe informacje np. dotyczące sponsorów i partnerów czy plików cookies, które mogą zostać zainstalowane.
Sprawa została skierowana przez niemiecki związek organizacji konsumentów na drogę sądową. Organizacja zarzucała, że pozyskiwanie w taki sposób oświadczeń, stoi w sprzeczności z przepisami prawa niemieckiego. W pozwie związek domagał się zaprzestania zbierania w taki sposób zgód oraz wypłaty na swoją rzecz odszkodowania. W pierwszej instancji sąd przyjął częściowo zasadność pozwu (wskazał na zaprzestanie dalszego przetwarzania), jednak Planet49 wniosła odwołanie.
Sąd drugiej instancji był odmiennego zdania i orzekł, że związek konsumencki nie ma racji, ponieważ w odniesieniu do drugiej ze zgód „[..]użytkownik jest świadomy możliwości usunięcia zaznaczenia tego okienka, a po drugie, oświadczenie to zostało sporządzone czytelnym drukiem, w sposób dostatecznie wyraźny, i podawało informacje na temat sposobów używania plików cookie[…]”.
Związek organizacji konsumenckich zaskarżył wyrok do Federalnego Trybunał Sprawiedliwości w Niemczech, który skierował do TSUE następujące pytania prejudycjalne.
Pytanie 1:
a) Czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) Dyrektywy [2002/58] w związku z art. 2 lit. h) Dyrektywy [95/46], w sytuacji, gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody?
b) Czy na stosowanie art. 5 ust. 3 i art. 2 lit. f) Dyrektywy [2002/58] w związku z art. 2 lit. h) dyrektywy [95/46] ma wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?
c) Czy w okolicznościach określonych w pytaniu [pierwszym] lit. a) została wyrażona skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a) Rozporządzenia [2016/679]?
Pytanie 2:
Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z art. 5 ust. 3 Dyrektywy [2002/58]? Czy informacje te obejmują również okres ważności plików cookie oraz kwestię dostępu osób trzecich do plików cookie?
Jakie stanowisko przyjął TSUE? Czy już powinniśmy wprowadzić jakieś zmiany?
Trybunał Sprawiedliwości odpowiadając na pytanie dotyczące ważności pozyskiwanej w opisywany powyżej sposób zgody odpowiedział, że jest to działanie nieprawidłowe. W wyroku wskazano, opierając się na Dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), że:
Zauważono, również, że wymieniona wyżej Dyrektywa w zakresie zgody odsyła do Dyrektywy 95/46, którą od 25 maja 2018 roku zastąpiło Ogólne rozporządzenie o ochronie danych.
W nawiązaniu do powyższego, omawiana zgoda na pliki cookies powinna spełniać wymogi wskazane w art. 4 ust. 11 RODO, a więc posiadać takie cechy jak dobrowolność, konkretność, świadomość, stanowić powinna jednoznaczne okazanie woli, które przejawia się jako złożenie oświadczenia lub wyraźne działanie potwierdzające. W tym miejscu należy mieć także na uwadze motyw 32 RODO, który wprost wyklucza możliwość pozyskiwania zgody poprzez okienka domyślnie zaznaczone, milczenie lub nie podjęcia żadnego działania.
Przedstawiciele doktryny wskazują, że omawiany wyrok nie jest niczym zaskakującym mając na uwadze uregulowania zawarte w RODO. Zwrócić należy jednak uwagę na fakt, że w polskim porządku prawnym kwestie te pozostają uregulowane w nieco odmienny sposób. Dyrektywa 2002/58/WE w Polsce została zaimplementowana przez między innymi przepisy Ustawy Prawo telekomunikacyjne. We wskazanej ustawie istnieje możliwość pozyskiwania zgody na instalowanie plików cookies poprzez ustawienia przeglądarki lub odpowiednie skonfigurowanie usługi.
Diametralne zmiany w tym zakresie wprowadzić może zapowiadane od jakiegoś czasu Rozporządzenie ePrivacy. Obowiązywało będzie ono na tych samych zasadach co RODO, a więc zastąpi krajowe przepisy, w tym Ustawę Prawo telekomunikacyjne.
Dodatkowo należy zauważyć, że zdaniem TSUE zgoda na pliki cookies powinna spełniać opisane wyżej kryteria, niezależnie od tego czy pozyskiwane są w związku z tym dane osobowe czy też nie. Przepisy chronić mają prywatność osób, bronić nas przed ingerencją w nasze życie poprzez śledzenie naszych zachowań i preferencji bez wiedzy oraz zgody.
W wyroku podkreślono, w odniesieniu do właściwych przepisów jak powyżej, że każdy użytkownik powinien zostać również poinformowany o tym jak długo pliki cookies będę funkcjonowały oraz kto będzie miał dostęp do danych w nich przechowywanych.
Klauzule informacyjne oraz klauzule zgód
Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.
Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.
Podsumowanie
Z jednej strony Trybunał Sprawiedliwość Unii Europejskiej stoi na stanowisku, że prawo powinno otaczać użytkowników ochroną przed instalowaniem bez wiedzy oraz zgody na ich urządzeniach narzędzi służących do ingerowania w ich prywatność.
Z drugiej jednak strony czy dobrym rozwiązaniem jest przytłaczanie użytkowników stron internetowych coraz to większymi ilościami tekstu traktujących na temat przetwarzania ich danych, które większość osób bezrefleksyjnie „przeklikuje” aby dostać się do treści artykułu lub informacji ich interesujących?
Zastanówmy się kto tak naprawdę z czystym sumieniem jest w stanie powiedzieć, że przeczytał wszystkie informacje, które „wyskakują” na stronach internetowych?
Źródła:
- Wyrok Trybunału (wielka izba) z dnia 1 października 2019 r. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. przeciwko Planet49 GmbH. Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dyrektywa 2002/58/WE – Rozporządzenie (UE) 2016/679 – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Cookies – Pojęcie zgody osoby, której dane dotyczą – Oświadczenie o wyrażeniu zgody za pomocą zaznaczonego domyślnie okienka wyboru. Sprawa C-673/17
- Opinia rzecznika generalnego M. Szpunara przedstawiona w dniu 21 marca 2019 r.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.