Dane Osobowe
Aleksandra Maciejewicz
Aleksandra Maciejewicz
Zadaj pytanie
12 maja 2021

Cookies w pytaniach i odpowiedziach

Dane Osobowe E-commerce Nowe Technologie i Branża IT

Jak wygląda prawo odnośnie cookies i dlaczego musimy tak ciągle klikać zgody?

 

Coż, prawo w tym zakresie prawo to niezły chaos. Aktualnie stosowanie cookies reguluje przede wszystkim RODO i ustawa Prawo telekomunikacyjne, w tym zakresie implementująca unijną dyrektywę o prywatności i łączności elektronicznej. W przygotowaniu są z kolei unijne rozporządzenie E-privacy oraz krajowe Prawo komunikacji elektronicznej. Dodatkowo mamy różne organy, które mniej lub bardziej wiążąco interpretują ww. przepisy, są to m.in. EROD (czyli Europejska Rada Ochrony Danych), polski PUODO, TSUE (Trybunał Sprawiedliwości Unii Europejskiej) oraz nasze polskie sądy.

 

Dlaczego ciągle musimy klikać zgody? Myślę, że w tym zakresie najbardziej namieszał wyrok TSUE z października 2019 r., który zrównał zgodę na cookies z RODO-wską zgodą na przetwarzanie danych osobowych. Do tej pory podmioty z UE musiały „po prostu” zapewnić, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika było dozwolone tylko pod warunkiem, że użytkownik wyraził zgodę, po otrzymaniu, jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. To wyrażenie zgody było jednak różnie interpretowane, ponieważ sam przepis nie zawiera wskazówek co do sposobu wyrażenia zgody. Tak więc interpretacje były różnorodne, również w praktyce dopuszczało się tzw. domniemaną zgodę, wyrażoną np. poprzez rozpoczęcie używanie strony, na której umieszczona była dolna belka z informacjami dot. wszystkich cookie.

 

Z kolei ww. wyrok TSUE, oprócz tego, że stwierdził, że mówimy tu o zgodzie w rozumieniu RODO, która co za tym idzie musi być swobodnym, konkretnym i świadomym wyrażeniem woli użytkownika, to również dokonał dalszego zacieśnienia interpretacji takiej zgody. Wykluczył m.in. możliwość wyrażenia zgody poprzez milczenie (kontynuowanie przeglądania strony internetowej), okienka domyślnie zaznaczone lub niepodjęcie działania.

 

Jakie są rodzaje cookies. Które zgody dotyczą jakich ciastek?

 

Jako prawnik zapewne mam ograniczoną wiedzę jakie są rodzaje cookies, myślę, że wyczerpującą listę rodzajów cookies mogłaby przedstawić bardziej techniczna osoba. Dla mnie cookies dzielą się na te technicznie niezbędne do funkcjonowania strony internetowej oraz wszystkie inne. Ponieważ owe jedynie niezbędne pliki cookies mogą zadziałać zanim użytkownik wyrazi zgodę. Wszystkie pozostałe wymagają zgody. Chociaż dodam jeszcze, że znana jest mi interpretacja, że również cookies funkcjonalne nie wymagają zgody.

 

Co więcej, proszę zauważyć, że nie podzieliłam tutaj cookies na anonimowe i te mogące stanowić naszą daną osobową. Mianowice aktualnie uważa się, że wszelkie informacje przechowywane w urządzeniach końcowych użytkownika sieci łączności elektronicznej nalezą do sfery prywatnej tego użytkownika, która podlega ochronie na mocy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Ochrona ta ma zastosowanie do wszelkich informacji przechowywanych w takich urządzeniach końcowych, niezależnie od tego, czy są to dane osobowe, i ma na celu w szczególności, jak stwierdzono w tym samym motywie, ochronę użytkowników przed ryzykiem wprowadzenia ukrytych identyfikatorów lub innych podobnych narzędzi do urządzeń końcowych użytkowników bez ich wiedzy (i jest to cytat z wyroku TSUE, nie zaś moja indywidualna interpretacja).

 

Dlaczego zgody nie są zapisywane i za każdym razem trzeba je „odklikać”?

 

Nie wiem, musiałabym zapytać o to właściciela lub administratora witryny, gdzie taka praktyka jest stosowana. Mogę się jednak domyślić, że może to wynikać z kilku przyczyn, m.in. cel lub zakres cookies ulega zmianie, a więc poprzednia zgoda przestała obejmować taką zmianę, albo przeglądarka automatycznie „czyści” co jakiś czas cookies, a więc konieczne jest ponawianie zgody.

 

Jakie obowiązki związane z cookies ciążą na wydawcy serwisu?

 

Tak jak wspomniałam na wstępie, są to przede wszystkim obowiązki informacyjne obejmujące m.in. wskazanie celu i okresu (lub, jeżeli nie jest to możliwe, kryteriów ustalania tego okresu) funkcjonowania plików cookie, jak też określenie, czy osoby trzecie mogą mieć dostęp do tych plików. Dodatkowo informacje te muszą zostać przedstawione w sposób jasny i wyczerpujący.

 

Kolejna kwestia to zapewnienie odpowiedniej formy wyrażenia zgody, jak również wprowadzenie odpowiednich rozwiązań technicznych, które umożliwią użytkownikowi korzystanie ze strony zgodnie z wyrażoną przez niego zgodą. Co ważne, nawet jeżeli zgoda będzie udzielona jedynie na ustawianie niezbędnych technicznie cookies, użytkownik musi mieć dostęp do strony internetowej.

 

Dlaczego jedni mają stronę najeżoną zakładkami do odklikania, a inni znacznie przyjaźniejszą odbiorcom, np. kilka kliknięć pozwala mi na zrezygnowanie ze wszystkich śledzących mnie ciastek?

 

Zapewne zależy to od ich własnej interpretacji wspomnianych przeze mnie przepisów oraz związanych z nimi wytycznymi. Jeżeli metoda używana przez danego administratora umożliwia ustalenie w sposób obiektywny, czy użytkownik strony internetowej rzeczywiście wyraził zgodę na przetwarzanie oraz czy zgoda ta została udzielona w sposób świadomy, to należy uznać ją za prawidłową. A to w jakiej formie metoda ta została zaimplementowana, należy uznać za mniej lub bardziej twórcze podejście administratora lub właściciela strony.

 

Odnośnie zaś liczby kliknięć nie jest zatem ważna, to należy wskazać, że wyrażenie woli musi być w szczególności „konkretne”, to znaczy musi odnosić się dokładnie do określonego przetwarzania danych i nie może zostać wywnioskowane z treści wyrażenia woli mającego inny cel. Czyli teoretycznie – co cel, to odrębna zgoda.

 

Plus, jeżeli doda się do tego, że zgoda nie jest zatem ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej zostały zaakceptowane za pomocą zaznaczonego domyślnie przez usługodawcę okienka wyboru (którego zaznaczenie użytkownik musi usunąć, aby odmówić udzielenia zgody) to daje nam właśnie tę liczbę kliknięć.

 

Z czego wynikają rozbieżności w interpretowaniu przepisów dotyczących plików cookies?

 

Od różnych przepisów i różnych organów je interpretujących. Na tym polu wyróżnia się przykładowo francuski organ nadzorczy ds. ochrony danych osobowych (Commission nationale de l’informatique et des libertés), który w grudniu 2020 r. nałożył karę za cookies na spółki Google (100 mln Euro) oraz Amazon (35 mln Euro). Wcześniej tego roku nałożył też wielomilionowe kary na Carrefour.

 

Na pewno kwestię tę ujednolici rozporządzenie E-privacy, a do momentu jego wdrożenia, liczmy na kompleksowe wytyczne EROD, które w całości zostaną poświęcone praktykom związanym z cookies lub chociaż wskazanie w tym zakresie wytycznych przez PUODO.

 

Czy istnieje coś takiego jak dobre praktyki wydawców?

 

Dobre praktyki są wewnętrznymi zaleceniami różnych podmiotów lub ich grup, to tzw. akty prywatne i nie są powszechnie obowiązującymi regulacjami prawnym. Co innego zatwierdzone kodeksy postępowania lub zatwierdzony mechanizmy certyfikacji, które są usankcjonowane przez RODO. RODO wręcz w preambule wskazuje, że należy zachęcać zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania, by ułatwiać skuteczne stosowanie RODO, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w niektórych sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W takich kodeksach można w szczególności dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie.

 

Co to jest „uzasadniony interes” w przypadku cookies?

 

Przed wspomnianym wyrokiem TSUE oraz wytycznymi EROD (mianowicie Guidelines 05/2020 on consent under Regulation 2016/679 z 4 maja 2020), uważano, że zgoda na cookies nie jest konieczna, jeżeli podstawą ich stosowania jest uzasadniony interes, o którym wspomina RODO. Jako owy uzasadniony interes traktowano również marketing własnych usług czy ich ulepszanie na bazie profilowania użytkowników. Aktualnie w odniesieniu do cookies rozpatruje się to pod kątem, czy używanie witryny będzie technicznie możliwe czy też nie, bez danych cookies. Niektórzy uważają też, że o uzasadnionym interesie możemy mówić w przypadku cookies funkcjonalnych ułatwiających korzystanie z danego serwisu poprzez m.in. zapamiętywanie haseł lub ustawień danego użytkownika. Przy czym równie często pojawiają się opinie, że w ich przypadku konieczna jest zgoda.

 

Czy można uzależnić dostęp do strony od wyrażenia zgody?

 

Nie, a wyraźnie w tamtym roku potwierdziła to EROD, mianowicie że ustawianie tzw. cookie wall jest niedozwolone. Zgoda musi być dobrowolna, a nie da się zaprzeczyć, że cookie walls ją wymuszają.

Podziel się

Artykuły

Dane Osobowe
RODO dla startupu
Startupy, niezależnie od ich branży, formy prawnej czy wielkości, od samego początku stają przed koniecznością

Bądź na bieżąco ze zmianami w prawie

Zapisz się do naszego newslettera

facebook twitter linkedin search-icon close-icon