_Cookie walls_ niezgodne z RODO

„Cookie walls” niezgodne z RODO! 

Na początku maja 2020 r. Europejska Rada Ochrony Danych (EROD) wydała wytyczne dotyczące zgody jako podstawy przetwarzania danych osobowych[1] na gruncie ogólnego rozporządzenia o ochronie danych (RODO)[2]. Opublikowany dokument stanowi zaktualizowaną wersję poprzednich zaleceń, przyjętych jeszcze przez Grupę Roboczą Art. 29 przed datą rozpoczęcia stosowania RODO. Z uwagi na upływ czasu, a także coraz nowsze sposoby wykorzystywania technologii na potrzeby przetwarzania danych osobowych, w tym w oparciu o zgodę podmiotu danych, EROD zdecydowała się uzupełnić wytyczne o kilka praktycznych wskazówek.

 

Zgoda jako podstawa przetwarzania danych osobowych

Przetwarzanie danych osobowych w oparciu o zgodę podmiotu danych wymaga spełnienia szeregu warunków wynikających z RODO. Przede wszystkim administrator powinien przeanalizować, czy odbierana przez niego zgoda, stanowiąca podstawę przetwarzania danych osobowych, realizuje kryteria wskazane w definicji zgody, zawartej w art. 4 pkt 11 RODO. Zgoda musi bowiem stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym podmiot danych przyzwala na przetwarzanie jego danych osobowych. Ponadto zgoda powinna być złożona w formie oświadczenia lub wyraźnego działania potwierdzającego. Warunki wyrażenia zgody zostały również sprecyzowane w art. 7 RODO, który wymaga m.in. aby oświadczenie o wyrażeniu zgody było wyodrębnione od innych oświadczeń składanych przez podmiot danych, a także aby odwołanie zgody było równie łatwe jak jej udzielenie. Dodatkowe wymagania w odniesieniu do zgody wynikają z art. 8 RODO dotyczącego wyrażania zgody przez dziecko w przypadku usług społeczeństwa informacyjnego.

Ocena czy zgoda na przetwarzanie danych osobowych została wyrażona w sposób prawidłowy, tzn. z uwzględnieniem wszystkich wymogów warunkujących jej ważność, bywa trudna w praktyce. Dotychczas liczne problemy pojawiały się w związku z uzależnianiem przez niektórych operatorów platform internetowych dostępu do witryn serwisu od udzielenia zgody przez użytkownika na instalację plików cookie, i to nie tylko tych niezbędnych do funkcjonowania strony internetowej. Rozbieżne poglądy w tym zakresie były prezentowane przez niektóre krajowe organy nadzorcze w państwach członkowskich, co dodatkowo nie sprzyjało budowaniu jednolitej wykładni przepisów rozporządzenia[3]. Do wątpliwości tych odniosła się zatem EROD w zaktualizowanych wytycznych.

 

Zgoda na przetwarzanie danych osobowych a pliki cookie

Zgoda na przetwarzanie danych osobowych musi spełniać kryterium dobrowolności (ang. freely given). Przy ocenie, czy zgoda została wyrażona w sposób dobrowolny, bierze się pod uwagę to, czy od „zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy” (zob. art. 7 ust. 4 RODO). W praktyce oznacza to, że odbieranie zgody na przetwarzanie danych osobowych nie powinno być powiązane np. z zaakceptowaniem regulaminu czy warunków świadczenia usługi (poprzez zaznaczenie tego samego, jednego okienka zgody). Z kolei brak wyrażenia zgody na przetwarzanie danych osobowych, które nie są niezbędne do świadczenia usługi lub wykonania umowy, nie powinien wiązać się z negatywnymi konsekwencjami dla podmiotu danych, takimi jak przykładowo odmowa świadczenia usług. Takie podejście i rozumienie przesłanki dobrowolności zgody potwierdziła EROD w swoich wytycznych, jednocześnie podkreślając, że w sytuacji, gdy przetwarzanie danych osobowych jest niezbędne do wykonania umowy, podstawą takiego przetwarzania nie powinien być art. 6 ust. 1 lit. a RODO, lecz art. 6 ust. 1 lit. b RODO, czyli niezbędność przetwarzania do wykonania umowy. Przyjęcie właściwej podstawy przetwarzania danych osobowych przez administratora powinno być w tym przypadku poprzedzone szczegółową analizą zakresu przetwarzanych danych osobowych oraz celu ich przetwarzania[4].

Pytanie o dobrowolność zgody na przetwarzanie danych osobowych ma istotne znaczenie w kontekście stosowania plików cookie. Bardzo częstą praktyką wśród operatorów witryn internetowych jest ustawianie tzw. cookie wall, czyli skryptu pojawiającego się tuż po otwarciu witryny, zawierającego informację o stosowanych ciasteczkach oraz ich celach. Bez wyrażenia zgody na instalację plików cookie i dostęp do zgromadzonych za ich pośrednictwem danych, dostęp do strony jest niemożliwy. W takich przypadkach administratorzy nierzadko tłumaczą, że użytkownik samodzielnie podejmuje decyzję, z jakich witryn internetowych korzysta. Skoro nie decyduje się otworzyć innej podobnej strony, do której dostęp nie jest uzależniony od akceptacji plików cookie, lecz stronę, do której przeglądania wymagana jest zgoda na przetwarzanie danych osobowych, to taka decyzja spełnia kryterium dobrowolności. Jak wskazała EROD, powyższy argument jest nietrafny, ponieważ swoboda wyboru byłaby wówczas zależna od działań podejmowanych przez inne podmioty na rynku oferujące podobne usługi. Aby zgoda na przetwarzanie danych została udzielona dobrowolnie, administrator nie może więc udostępniać usług i funkcji pod warunkiem uzyskania zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych na urządzeniu końcowym użytkownika[5].

 

Scrollowanie strony również nie oznacza zgody na przetwarzanie danych

Z przesłanką dobrowolności zgody na przetwarzanie danych osobowych ściśle powiązana jest jeszcze inna przesłanka wynikająca wprost z definicji zgody z art. 4 pkt 11 RODO, do której również w zaktualizowanych wytycznych nawiązała EROD. Przesłanką tą jest wyrażenie zgody poprzez jednoznaczne okazanie woli w postaci wyraźnego działania potwierdzającego. Spełnienie tego warunku wymaga więc od podmiotu danych wyraźnego i aktywnego działania. Zgoda na przetwarzanie danych osobowych będzie zatem nieważna, jeśli jest odbierana w drodze domyślnie zaznaczonych okienek wyboru (ang. pre-ticked checkboxes), co potwierdził także Trybunał Sprawiedliwości w wyroku wydanym w dniu 1 października 2019 r. w sprawie C-673/17 Planet49[6]. Analogiczne stanowisko zajęła EROD, stwierdzając dodatkowo, że administrator nie może przyjmować, iż podmiot danych wyraził zgodę na instalację i dostęp do danych gromadzonych za pośrednictwem plików cookie jedynie na podstawie zachowania tego podmiotu, polegającego na kontynuowaniu przeglądania strony internetowej. Jest to również bardzo często stosowana przez operatorów witryn praktyka, będąca swoistą alternatywą dla cookie wall. W ocenie EROD przewijanie strony internetowej lub inne podobne działanie użytkownika nie może być traktowane jako udzielenie zgody na przetwarzanie danych osobowych przynajmniej z dwóch przyczyn[7]. Po pierwsze, trudno takie działanie odróżnić od innych działań lub interakcji podejmowanych przez użytkownika; w konsekwencji nie tylko nie można odróżnić udzielonej w ten sposób zgody od innych aktywności, ale też nie można stwierdzić, że taka zgoda miałaby charakter jednoznaczny. Po drugie, w takim przypadku trudno zapewnić użytkownikowi możliwość cofnięcia zgody na przetwarzanie w sposób równie łatwy jak jej wyrażenie.

 

Nowe wytyczne w praktyce

Niewątpliwie jednoznaczne zajęcie stanowiska przez EROD w kwestii sposobów pozyskiwania zgody na przetwarzanie danych osobowych za pomocą plików cookie porządkuje rozbieżne zapatrywania w tym zakresie, zwłaszcza prezentowane przez krajowe organy nadzorcze. Takie stanowisko EROD nie jest też zaskoczeniem, ponieważ podobny pogląd zaprezentowała już w oświadczeniu dotyczącym zmiany rozporządzenia w sprawie prywatności i łączności elektronicznej oraz jego wpływu na ochronę osób fizycznych w zakresie prywatności i poufności komunikacji[8]. Konsekwencją takiego podejścia powinna być zmiana sposobu funkcjonowania wielu witryn internetowych. Niestety blokowanie dostępu do treści zamieszczonych na stronie jest powszechną praktyką. Pytanie, czy zalecenia EROD będą respektowane w środowisku internetowym, pozostaje zatem otwarte.

 

[1] Guidelines 05/2020 on consent under Regulation 2016/679, ver. 1.1, przyjęte w dn. 4.05.2020 r. (wytyczne).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.5.2016 r.

[3] Zob. decyzja Austriackiego Urzędu Ochrony Danych Osobowych z dnia 30.11.2018 r., nr: DSB-D122.931/0003-DSB/2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00.html (dostęp: 28.05.2020 r.).
Por. Ostrzeżenie wydane przez Brytyjski Organ Nadzorczy wobec Washington Post, w którym organ krytykuje oferowaną przez gazetę możliwość nieinstalowania plików cookie tylko przy płatnej subskrypcji, więcej informacji: https://www.theregister.co.uk/2018/11/19/ico_washington_post/ (dostęp: 28.05.2020 r.).

[4] Zob. pkt 26-32 wytycznych.

[5] Zob. pkt 38-41 wytycznych.

[6] ECLI:EU:C:2019:801.

[7] Zob. pkt 86 wytycznych.

[8] Dostępne na stronie:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_pl.pdf (dostęp: 25.05.2020 r.).

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

adrianna michalowicz

Adrianna Michałowicz
Aplikant
adrianna.michalowicz@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej