adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

„Cookie walls” niezgodne z RODO! 

Dodano: czerwiec 8, 2020 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Adrianna Michałowicz

Na początku maja 2020 r. Europejska Rada Ochrony Danych (EROD) wydała wytyczne dotyczące zgody jako podstawy przetwarzania danych osobowych[1] na gruncie ogólnego rozporządzenia o ochronie danych (RODO)[2]. Opublikowany dokument stanowi zaktualizowaną wersję poprzednich zaleceń, przyjętych jeszcze przez Grupę Roboczą Art. 29 przed datą rozpoczęcia stosowania RODO. Z uwagi na upływ czasu, a także coraz nowsze sposoby wykorzystywania technologii na potrzeby przetwarzania danych osobowych, w tym w oparciu o zgodę podmiotu danych, EROD zdecydowała się uzupełnić wytyczne o kilka praktycznych wskazówek.

 

Zgoda jako podstawa przetwarzania danych osobowych

Przetwarzanie danych osobowych w oparciu o zgodę podmiotu danych wymaga spełnienia szeregu warunków wynikających z RODO. Przede wszystkim administrator powinien przeanalizować, czy odbierana przez niego zgoda, stanowiąca podstawę przetwarzania danych osobowych, realizuje kryteria wskazane w definicji zgody, zawartej w art. 4 pkt 11 RODO. Zgoda musi bowiem stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym podmiot danych przyzwala na przetwarzanie jego danych osobowych. Ponadto zgoda powinna być złożona w formie oświadczenia lub wyraźnego działania potwierdzającego. Warunki wyrażenia zgody zostały również sprecyzowane w art. 7 RODO, który wymaga m.in. aby oświadczenie o wyrażeniu zgody było wyodrębnione od innych oświadczeń składanych przez podmiot danych, a także aby odwołanie zgody było równie łatwe jak jej udzielenie. Dodatkowe wymagania w odniesieniu do zgody wynikają z art. 8 RODO dotyczącego wyrażania zgody przez dziecko w przypadku usług społeczeństwa informacyjnego.

Ocena czy zgoda na przetwarzanie danych osobowych została wyrażona w sposób prawidłowy, tzn. z uwzględnieniem wszystkich wymogów warunkujących jej ważność, bywa trudna w praktyce. Dotychczas liczne problemy pojawiały się w związku z uzależnianiem przez niektórych operatorów platform internetowych dostępu do witryn serwisu od udzielenia zgody przez użytkownika na instalację plików cookie, i to nie tylko tych niezbędnych do funkcjonowania strony internetowej. Rozbieżne poglądy w tym zakresie były prezentowane przez niektóre krajowe organy nadzorcze w państwach członkowskich, co dodatkowo nie sprzyjało budowaniu jednolitej wykładni przepisów rozporządzenia[3]. Do wątpliwości tych odniosła się zatem EROD w zaktualizowanych wytycznych.

 

Zgoda na przetwarzanie danych osobowych a pliki cookie

Zgoda na przetwarzanie danych osobowych musi spełniać kryterium dobrowolności (ang. freely given). Przy ocenie, czy zgoda została wyrażona w sposób dobrowolny, bierze się pod uwagę to, czy od „zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy” (zob. art. 7 ust. 4 RODO). W praktyce oznacza to, że odbieranie zgody na przetwarzanie danych osobowych nie powinno być powiązane np. z zaakceptowaniem regulaminu czy warunków świadczenia usługi (poprzez zaznaczenie tego samego, jednego okienka zgody). Z kolei brak wyrażenia zgody na przetwarzanie danych osobowych, które nie są niezbędne do świadczenia usługi lub wykonania umowy, nie powinien wiązać się z negatywnymi konsekwencjami dla podmiotu danych, takimi jak przykładowo odmowa świadczenia usług. Takie podejście i rozumienie przesłanki dobrowolności zgody potwierdziła EROD w swoich wytycznych, jednocześnie podkreślając, że w sytuacji, gdy przetwarzanie danych osobowych jest niezbędne do wykonania umowy, podstawą takiego przetwarzania nie powinien być art. 6 ust. 1 lit. a RODO, lecz art. 6 ust. 1 lit. b RODO, czyli niezbędność przetwarzania do wykonania umowy. Przyjęcie właściwej podstawy przetwarzania danych osobowych przez administratora powinno być w tym przypadku poprzedzone szczegółową analizą zakresu przetwarzanych danych osobowych oraz celu ich przetwarzania[4].

Pytanie o dobrowolność zgody na przetwarzanie danych osobowych ma istotne znaczenie w kontekście stosowania plików cookie. Bardzo częstą praktyką wśród operatorów witryn internetowych jest ustawianie tzw. cookie wall, czyli skryptu pojawiającego się tuż po otwarciu witryny, zawierającego informację o stosowanych ciasteczkach oraz ich celach. Bez wyrażenia zgody na instalację plików cookie i dostęp do zgromadzonych za ich pośrednictwem danych, dostęp do strony jest niemożliwy. W takich przypadkach administratorzy nierzadko tłumaczą, że użytkownik samodzielnie podejmuje decyzję, z jakich witryn internetowych korzysta. Skoro nie decyduje się otworzyć innej podobnej strony, do której dostęp nie jest uzależniony od akceptacji plików cookie, lecz stronę, do której przeglądania wymagana jest zgoda na przetwarzanie danych osobowych, to taka decyzja spełnia kryterium dobrowolności. Jak wskazała EROD, powyższy argument jest nietrafny, ponieważ swoboda wyboru byłaby wówczas zależna od działań podejmowanych przez inne podmioty na rynku oferujące podobne usługi. Aby zgoda na przetwarzanie danych została udzielona dobrowolnie, administrator nie może więc udostępniać usług i funkcji pod warunkiem uzyskania zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych na urządzeniu końcowym użytkownika[5].

 

Scrollowanie strony również nie oznacza zgody na przetwarzanie danych

Z przesłanką dobrowolności zgody na przetwarzanie danych osobowych ściśle powiązana jest jeszcze inna przesłanka wynikająca wprost z definicji zgody z art. 4 pkt 11 RODO, do której również w zaktualizowanych wytycznych nawiązała EROD. Przesłanką tą jest wyrażenie zgody poprzez jednoznaczne okazanie woli w postaci wyraźnego działania potwierdzającego. Spełnienie tego warunku wymaga więc od podmiotu danych wyraźnego i aktywnego działania. Zgoda na przetwarzanie danych osobowych będzie zatem nieważna, jeśli jest odbierana w drodze domyślnie zaznaczonych okienek wyboru (ang. pre-ticked checkboxes), co potwierdził także Trybunał Sprawiedliwości w wyroku wydanym w dniu 1 października 2019 r. w sprawie C-673/17 Planet49[6]. Analogiczne stanowisko zajęła EROD, stwierdzając dodatkowo, że administrator nie może przyjmować, iż podmiot danych wyraził zgodę na instalację i dostęp do danych gromadzonych za pośrednictwem plików cookie jedynie na podstawie zachowania tego podmiotu, polegającego na kontynuowaniu przeglądania strony internetowej. Jest to również bardzo często stosowana przez operatorów witryn praktyka, będąca swoistą alternatywą dla cookie wall. W ocenie EROD przewijanie strony internetowej lub inne podobne działanie użytkownika nie może być traktowane jako udzielenie zgody na przetwarzanie danych osobowych przynajmniej z dwóch przyczyn[7]. Po pierwsze, trudno takie działanie odróżnić od innych działań lub interakcji podejmowanych przez użytkownika; w konsekwencji nie tylko nie można odróżnić udzielonej w ten sposób zgody od innych aktywności, ale też nie można stwierdzić, że taka zgoda miałaby charakter jednoznaczny. Po drugie, w takim przypadku trudno zapewnić użytkownikowi możliwość cofnięcia zgody na przetwarzanie w sposób równie łatwy jak jej wyrażenie.

 

Nowe wytyczne w praktyce

Niewątpliwie jednoznaczne zajęcie stanowiska przez EROD w kwestii sposobów pozyskiwania zgody na przetwarzanie danych osobowych za pomocą plików cookie porządkuje rozbieżne zapatrywania w tym zakresie, zwłaszcza prezentowane przez krajowe organy nadzorcze. Takie stanowisko EROD nie jest też zaskoczeniem, ponieważ podobny pogląd zaprezentowała już w oświadczeniu dotyczącym zmiany rozporządzenia w sprawie prywatności i łączności elektronicznej oraz jego wpływu na ochronę osób fizycznych w zakresie prywatności i poufności komunikacji[8]. Konsekwencją takiego podejścia powinna być zmiana sposobu funkcjonowania wielu witryn internetowych. Niestety blokowanie dostępu do treści zamieszczonych na stronie jest powszechną praktyką. Pytanie, czy zalecenia EROD będą respektowane w środowisku internetowym, pozostaje zatem otwarte.

 

[1] Guidelines 05/2020 on consent under Regulation 2016/679, ver. 1.1, przyjęte w dn. 4.05.2020 r. (wytyczne).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.5.2016 r.

[3] Zob. decyzja Austriackiego Urzędu Ochrony Danych Osobowych z dnia 30.11.2018 r., nr: DSB-D122.931/0003-DSB/2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00.html (dostęp: 28.05.2020 r.).
Por. Ostrzeżenie wydane przez Brytyjski Organ Nadzorczy wobec Washington Post, w którym organ krytykuje oferowaną przez gazetę możliwość nieinstalowania plików cookie tylko przy płatnej subskrypcji, więcej informacji: https://www.theregister.co.uk/2018/11/19/ico_washington_post/ (dostęp: 28.05.2020 r.).

[4] Zob. pkt 26-32 wytycznych.

[5] Zob. pkt 38-41 wytycznych.

[6] ECLI:EU:C:2019:801.

[7] Zob. pkt 86 wytycznych.

[8] Dostępne na stronie:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_pl.pdf (dostęp: 25.05.2020 r.).

Post Views: 5 996

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.