W ostatnich dniach można było napotkać informacje mówiące o tym, że wyrok TSUE z 1 października 2019 roku był przełomowy. Dotyczył przetwarzania danych osobowych w sektorze łączności elektronicznej – a dokładniej domyślnej zgody na pliki cookie. Czy rzeczywiście jest przełomowy?
Podsumowanie
- Wymóg dotyczący czynnego wypełnienia tzw. okienka wyboru, funkcjonuje w ustawodawstwie dotyczącym RODO od co najmniej 3 lat.
- Większych zmian w polityce stosowania i przetwarzania plików cookie należy się spodziewać dopiero po wejściu w życie nowego rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej – ePrivacy (od ostatniego przeglądu dotychczasowej dyrektywy o nr 2002/58/WE w zakresie ePrivacy upłynęło już 10 lat).
- Nowe rozporządzenie w sprawie ePrivacy miało wejść w życie 25 maja 2018 roku, ale prace nad nim utknęły. Jednak kluczowe założenia tzw. „małego RODO dla usług elektronicznych” zostały zdefiniowane.
Sprawa, wobec której swoje stanowisko zajął Trybunał Sprawiedliwości Unii Europejskiej, dotyczy działania niemieckiej spółki, która oferowała gry online. Firma ta organizowała także loterię promocyjną, pobierając przy tym zgody na przekazanie danych osobowych uczestników loterii do swoich sponsorów i partnerów oraz na przechowywanie informacji i dostęp do informacji przechowywanych w urządzeniach końcowych uczestników (tzw. pliki cookie). Ponadto wymagała od internautów podania swojego kodu pocztowego, a następnie takiego użytkownika przekierowywano na inną stronę internetową, w której musiał on wprowadzić swoje dane osobowe do formularza (podstawowe dane kontaktowe).
Użytkownikom przedstawiono dwa okienka wyboru, z których pierwsze nie było zaznaczone domyślnie, ale już drugie – tak. Pierwsze dotyczyło zgody na otrzymywanie reklam od partnerów i sponsorów loterii w postaci listów, maili, czy też sms-ów. Drugie było domyślną zgodą na usługi analizy internetowej polegającej na instalacji plików cookie. Taka instalacja miała umożliwić organizatorowi loterii ocenę zachowania uczestnika zabawy w zakresie odwiedzania i korzystanie ze stron internetowych partnerów reklamowych i dopasowanie reklam do jego preferencji.
Spółka przekazywała internautom informacje o tym, iż pliki cookie mogą być usunięte w każdym czasie. Co istotne, udział w loterii był możliwy tylko wówczas, gdy zaznaczone zostało przynajmniej pierwsze okienko wyboru. Warto zwrócić uwagę, że oba okienka pozostawały w ścisłym związku, a pliki cookie nie odnosiły się do zapewnienia zwykłej funkcjonalności strony internetowej, ale do skierowania reklamy dopasowanej dla konkretnych osób fizycznych.
Czy zbieranie „ciasteczek” to zawsze przetwarzanie danych?
Analizując sprawę niemieckiej spółki (wspomnianej powyżej) należy w pierwszej kolejności zadać sobie pytanie, czy zbieranie plików cookie zawsze jest przetwarzaniem danych osobowych. W powyższym przypadku tak, ponieważ preferencje użytkownika budowane na podstawie jego aktywności podczas przeglądania strony internetowej, łączono z numerem rejestracyjnym użytkownika i wprowadzonymi przez niego danymi kontaktowymi, na które kierowano spersonalizowane reklamy. Jednak należy pamiętać, że wyodrębniony plik cookie nie zawsze daje możliwość identyfikacji osoby fizycznej. TSUE wyraźnie wskazuje, iż cookie w analizowanym przypadku miały znaczne szersze zastosowanie, tj. „zbieranie informacji do celów reklamowych w odniesieniu do produktów partnerów organizatora loterii promocyjnej”.
Czy wymóg czynnego wypełnienia okienka wyboru jest nowością?
W ustawodawstwie dotyczącym RODO co najmniej od 3 lat istnieją wymogi dotyczące czynnego wypełnienia tzw. okienka wyboru. Wystarczy zajrzeć choćby do Motywu 32 Ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (RODO), tj.: „Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
Ważny fragment
Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych (…)”.
Jak widać powyżej, ustawodawca odrzuca scenariusz, w którym okienko wyboru jest zaznaczone domyślnie. Nie powinno to być zatem zaskoczeniem dla omawianej tu niemieckiej firmy, ani osób analizujących wspomniany wyrok TSUE.
Jak postępować ze „standardowymi ciasteczkami”?
Jak zatem postępować ze „standardowymi ciasteczkami”, których działanie jest niezbędne dla poprawnego funkcjonowania strony internetowej i które nie łączą przetwarzanych informacji z danymi osobowymi konkretnego użytkownika? Obecnie obowiązująca dyrektywa o prywatności i łączności elektronicznej z dnia 12 lipca 2002 r., która docelowo ma zostać zastąpiona tzw. rozporządzeniem ePrivacy, wskazuje, że: „(…) tak zwane „cookies” stanowią prawnie dopuszczalne i użyteczne narzędzie, na przykład, w analizowaniu skuteczności projektu strony internetowej i reklamy oraz w sprawdzaniu tożsamości użytkowników prowadzących transakcje w systemie on-line. W przypadku gdy takie narzędzia, na przykład „cookies”, są przeznaczone do prawnie dopuszczalnych celów, takich jak ułatwienie dostarczania usług społeczeństwa informacyjnego, ich wykorzystywanie powinno być dozwolone pod warunkiem że użytkownicy otrzymają wyraźną i dokładną informację zgodnie z dyrektywą 95/46/WE o celu „cookies” lub podobnego narzędzia w celu zapewnienia, że użytkownicy zostali zapoznani z informacją umieszczaną na użytkowanym przez nich terminalu. Użytkownicy powinni mieć możliwość odmówienia przechowywania „cookies” lub podobnego narzędzia w ich terminalu.
Przy okazji warto pamiętać m.in. o art. 173 ust. 2 ustawy Prawo telekomunikacyjne, w którym jest napisane, że zgoda na przechowanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym może być wyrażona także poprzez ustawienia oprogramowania zainstalowanego w wykorzystywanym przez takiego użytkownika telekomunikacyjnym urządzeniu końcowym (tj. ustawienia przeglądarki) lub konfiguracji usługi (np. zmiany ustawień strony internetowej).
Pliki „cookie” we własnej organizacji
Porządkując kwestie dotyczące plików cookie we własnej organizacji należy przede wszystkim ustalić, czy mamy do czynienia z przetwarzaniem danych osobowych i dla jakich celów mają być użyte pliki cookie (jak dalece będzie to ingerowało w prywatność użytkownika). Nie ulega wątpliwości, że użytkownik musi być poinformowany o sposobie wykorzystania plików cookie, jak i o celu w jakim będą one wykorzystane. Z kolei to, czy taka informacja będzie miała kształt, o jakim mowa w art. 13 RODO, decyduje indywidualny przypadek.
W wyroku TSUE zwraca się ponadto uwagę na okres funkcjonowania plików oraz ewentualny dostęp osób trzecich, a zatem jest to kolejny element informacji, która powinna trafić do użytkownika.
Większych zmian w polityce stosowania i przetwarzania cookie należy spodziewać się dopiero po wejściu w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, uchylających dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej – ePrivacy).