BLOG

Dowiedz się co jest naprawdę ważne.

Zgoda na instalację plików cookies nie może być domyślna

przez

Większość firm, które działają obecnie online korzysta z narzędzi, służących do profilowania i śledzenia użytkowników. Wiele darmowych portali informacyjnych tak naprawdę nie mogłoby działać bez tych ciasteczek, bo cały swój zysk czerpią z wyświetlanych reklam. Aby ich zwartość dostosować do konkretnego użytkownika, potrzebne są właśnie pliki cookies (pot. „ciasteczka”) monitorujące jego zachowania i preferencje. Uzyskują one informacje o odwiedzanych przez użytkownika stronach, zapamiętywaniu jego preferencji i personalizowaniu stron internetowych w zakresie wyświetlanych treści oraz dopasowania reklam. Informacje są wysyłane i zapisywane na urządzeniu końcowym (komputerze, laptopie, smartfonie), z którego użytkownik korzysta podczas przeglądania stron internetowych. Plik cookie pozwala stronie internetowej „zapamiętać” działania lub preferencje użytkownika przez pewien czas. Większość przeglądarek internetowych obsługuje pliki cookie, ale użytkownicy mogą ustawić w swoich przeglądarkach ich odrzucanie. Mogą oni również je usunąć, kiedy tylko chcą. Faktycznie wielu użytkowników wybiera takie ustawienia plików cookie w swoich przeglądarkach, by automatycznie usuwały one pliki cookie domyślnie przy zamykaniu okna przeglądarki. Najważniejsze jest, aby użytkownik mógł sam zdecydować jakie pliki cookie będą zainstalowane oraz był poinformowany jakie funkcje będą one spełniały. „Ciasteczka” stanowią część prywatnej sfery użytkownika i wymagana jest jego świadoma zgoda, aby ich zbieranie było zgodne z prawem.

W 2013 roku firma Planet49 oferująca gry online, zorganizowała loterię w której można było wygrać mcbooka. Użytkownicy, którzy chcieli wziąć udział w takiej loterii, musieli podać m.in. swoje dane osobowe (imię, nazwisko, adres). Regulamin przewidywał, że aby wziąć udział we wspomnianej loterii, użytkownik musi zgodzić się na instalację plików cookies bądź zgodzić się na kontakt w celach marketingowych. Aby wyrazić zgodę na kontakt z firmami reklamowymi, trzeba było samodzielnie zaznaczyć okienko oznaczające zgodę. Okienko wyrażające zgodę na cookies było już domyślnie zaznaczone. Taki stan rzeczy doprowadzał do sytuacji, w której każdy, kto wziął udział w loterii, automatycznie zgadzał się na instalację ciasteczek. Z kolei na urządzeniach mobilnych instalowane pliki cookies zawierały z m.in. numer przypisany do danych rejestracyjnych użytkownika czyli imienia oraz nazwiska, a także jego adresu zamieszkania. Zestawienie takich danych, które pozwalały zidentyfikować konkretnego użytkownika powodowały, że dochodziło do przetwarzania danych osobowych. Zgoda domyślnie zaznaczona przez organizatora loterii spółkę Planet49 miała więc skutkować akceptacją gromadzenia i przetwarzania danych osobowych, a nie informacji anonimowych.

Niemieckie organizację broniące praw konsumenckich złożyły pozew do Federalnego Trybunału Konstytucyjnego w Karlsruhe przeciwko firmie Planet49. Ten zaś skierował wniosek o wydanie orzeczenia w trybie prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Miał on rozstrzygnąć czy tak wyrażona zgoda jest skuteczna zgodnie z RODO, czy w tym wypadku ma znaczenie czy chodzi o dane osobowe, a także jakie informacje organizator loterii powinien udzielić zgodnie z art. 5 ust. 3 dyrektywy o ochronie prywatności. Wyrok TSUE w orzeczeniu z 1 października 2019 r. wskazał m.in.: czy istnieje różnica między ustawianiem plików cookies i dostępem do nich, a przetwarzaniem danych osobowych, a także które z przepisów dyrektywy o ochronie prywatności (2002/58/WE) oraz przepisów RODO, mają zastosowanie.

TSUE doszedł do wniosku, że aby zgoda na instalowanie cookies była ważna, musi zostać złożona w sposób dobrowolny. TSUE zarządziło, że zgoda nie jest ważna, jeśli została uzyskana poprzez domyślnie zaznaczone pole, które użytkownik musi odznaczyć, aby odmówić swojej zgody. TSUE zaznaczył również, że na firmie instalującej pliki cookies spoczywa obowiązek informacyjny w celu zapewnienia rzetelności i przejrzystości przetwarzania. Firmy muszą informować swoich użytkowników przez jaki okres ich dane będą przechowywane, ewentualnie kryteria wyznaczania tego okresu. W przypadku plików cookie będzie to wskazanie okresu ich funkcjonowania. Należy poinformować użytkowników czy osoby trzecie będą miały dostęp do ich danych.

W niektórych przypadkach trzeba zwrócić uwagę na inne regulacje prawne, które pomagają w zrozumieniu przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO). 15 marca 2019 r. Europejska Rada Ochrony Danych (EROD) opublikowała Opinię 5/2019 w sprawie wzajemnego oddziaływania między dyrektywą o prywatności (2002/58/WE) i łączności elektronicznej, a RODO. Dyrektywę 2002/58/WE stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w UE. W sytuacji, w której zbierane będą pliki cookies, przepisy dyrektywy będą mieć pierwszeństwo stosowania względem przepisów RODO. Zgodnie z przepisami Dyrektywy 2002/58/WE, przy ich pozyskiwaniu wymagana jest uprzednia zgoda użytkownika na wykonywanie określonych operacji przetwarzania danych. Administrator nie może prowadzić tych operacji powołując się na inne przewidziane przez RODO podstawy przetwarzania (np. umowę albo swój uzasadniony interes). Zgodnie z opinią EROD, Dyrektywa 2002/58/WE będzie miała pierwszeństwo nad RODO w tym przypadku gdyż jej przepisy stanowią uzupełnienie unijnego rozporządzenia.

W polskim prawodawstwie zasady przechowywania i uzyskiwania dostępu do ciasteczek serwowanych przeglądarkom przez serwisy internetowe, określa prawo telekomunikacyjne. Zgodnie z obecnym brzmieniem przepisu art. 174, zgoda użytkownika końcowego lub abonenta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, przy czym może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika oraz może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. Sama zaś ustawa o prawie telekomunikacyjnym pozwala prezesowi UKE (Urzędu Komunikacji Elektronicznej) nałożyć na podmiot karę w wysokości 3% przychodu osiągniętego w poprzednim roku kalendarzowym.

Przypadek spółki Planet49 nie jest jedynym w Europie, w której użytkownik witryny internetowej nie miał możliwości samodzielnego wyrażenia zgody na instalację plików cookies. 6 września 2019 roku, hiszpański organ ds. ochrony danych osobowych (AEPD) nałożył grzywnę (maksymalną) w wysokości 30 tys. euro na linie lotnicze Vueling Airlines za zmuszanie odwiedzających jej stronę internetową do zaakceptowania instalacji plików cookies na ich urządzeniu, w celu kontynuacji przeglądania strony. Mechanizm polegał wyłącznie na informowaniu użytkowników o możliwości dokonania zmian ustawień zarządzania plikami cookies w przeglądarce internetowej. Użytkownik strony nie miał jednak wyboru odnośnie rodzajów akceptowanych przez niego mechanizmów śledzących. Cookie banner oferował jedynie opcję przyjęcia do wiadomości faktu ich istnienia lub możliwości odrzucenia poprzez zmianę ustawień przeglądarki użytkownika. Organ (AEPD) uznał, że Vueling Airlines nie oferował użytkownikom narzędzia, która umożliwia zarządzanie plikami cookies w ramach strony internetowej, a informacja o możliwości zarządzania plikami cookies w przeglądarce jest niewystarczająca. Co istotne, wysokość grzywny została udzielona za łamanie postanowień ustawy będącej odpowiednikiem polskiego prawa telekomunikacyjnego, a nie RODO. Veuling Airlines uznał, że naruszył prawo i zobowiązał się do szybkiej spłaty grzywny dlatego postanowiono ostatecznie zmniejszyć karę do 18 tys. euro.

Dopiero po wejściu w życie przepisów rozporządzenia e-privacy, uchylającego dyrektywę 2002/58/WE, należy spodziewać się większych zmian w polityce stosowania i przetwarzania cookie. Rozporządzenie e-privacy ma być aktem, który będzie regulował kwestię przetwarzania danych w Internecie. Pracę nad nim trwają już od kilku lat i miały zakończyć się jego wejściem w życie równocześnie z RODO jednak brak spójności przepisami Ogólnego Rozporządzenia o Ochronie Danych (RODO) opóźnia jego uchwalenie. Rozporządzenie e-privacy stosuje pojęcia i terminy w znacznym stopniu różniące się od tych obecnych w ogólnym rozporządzeniu o ochronie danych, a ponadto kreuje dodatkowe przesłanki, wymogi i zakazy nieznane RODO.

Mając na względzie analizowane orzeczenia operatorzy witryn internetowych, zbierając pliki cookies, powinni pamiętać aby:

  • otrzymać uprzednią zgodę na użycie plików cookies – jedynie niezbędne pliki cookies mogą być ustawione zanim użytkownik wyrazi zgodę. Nawet jeśli udzielona zostanie jedynie zgoda na ustawianie niezbędnych technicznie plików cookie, musi istnieć możliwość odwiedzenia strony internetowej. Niektóre funkcje strony internetowej mogą wtedy nie działać prawidłowo, jeśli nie zostanie udzielona zgoda;
  • dostarczyć informacji, w jasno zrozumiałym dla użytkownika języku, o celach użycia plików cookies i jaki jest ich dalszy cykl życia;
  • zapewnić możliwość konfiguracji ustawień plików cookies na stronie, a w razie wycofania zgody przez użytkownika na ich użycie, należy usunąć jego dane. Witryna powinna zawierać listę poszczególnych plików cookie lub – jeśli jest ich zbyt wiele – przynajmniej poszczególnych kontekstów (konieczne technicznie pliki cookie, pliki cookie do analizy, pliki cookie do celów reklamowych itp.);
  • przechowywać potwierdzenie wyrażenia zgody na przetwarzanie plików cookies udzielone przez użytkowników.