Strony internetowe muszą dawać realną możliwość zarządzania zgodami na cookies – uznał hiszpański organ nadzoru. Polscy przedsiębiorcy powinni zmienić praktyki, bo nasze UODO ma podobne zdanie.
Piotr Drobek dyrektor zespołu analiz i strategii w Urzędzie Ochrony Danych Osobowych / DGP
Hiszpański organ ds. ochrony danych osobowych nałożył karę 30 tys. euro (maksymalną) na linie lotnicze Vueling Airlines za łamanie postanowień ustawy będącej odpowiednikiem polskiego prawa telekomunikacyjnego. Zaskarżona przez jednego z użytkowników witryna przewoźnika zawierała baner informujący o zbieraniu przez nią danych osobowych z ciasteczek (ang. cookies; pliki śledzące poczynania internautów w sieci). Baner informuje dość ogólnie, w jakim celu zbierane są ciasteczka, i daje możliwość wyrażenia zbiorczo wszystkich zgód, w tym na przekazywanie danych współpracującym z przewoźnikiem podmiotom trzecim. Na banerze znajduje się również link prowadzący do osobnej strony zawierającej dodatkowe informacje pod szyldem „Polityka Cookies”. Firma informuje tam, że użytkownik może zmienić ustawienia używanej przez siebie przeglądarki internetowej w celu wyłączenia możliwości zbierania ciasteczek przez witrynę internetową lub współpracujące z nią podmioty albo całkowicie zablokować instalowanie ciasteczek.
Hiszpański organ nadzorczy uznał, że baner odsyłający do ogólnych ustawień przeglądarki internetowej to za mało. W takich warunkach internauta nie miał możliwości udzielenia świadomej zgody na określone mechanizmy śledzenia jego poczynań na stronie. Organ wskazał też, że użytkownik powinien mieć możliwość blokowania i usuwania zebranych danych z ciasteczek bezpośrednio na stronie internetowej. – Organ zakwestionował tym samym powszechnie stosowany, także w Polsce, mechanizm polegający wyłącznie na informowaniu użytkowników o możliwości dokonania zmian ustawień zarządzania plikami cookies w przeglądarce internetowej i w ten sposób wyrażania zgody na ich instalowanie w urządzeniu internauty, a w konsekwencji przetwarzania jego danych osobowych – wyjaśnia adwokat Paweł Tobiczyk, senior associate w praktyce ochrony prywatności kancelarii Maruta Wachta sp.j.
‒ Decyzja hiszpańskiego organu daje sygnał, że administrator strony musi zapewnić jej użytkownikom prawo do dokonania wyboru. Pójście na skróty, w tym odsyłanie do zbiorczych ustawień przeglądarki, nie zapewnia użytkownikom odpowiedniego poziomu kontroli nad wyrażanymi zgodami – mówi z kolei Dariusz Czuchaj, counsel w warszawskim biurze kancelarii Dentons. Podobną ocenę przedstawia Urząd Ochrony Danych Osobowych. [opinia]

opinia eksperta

W wydanym 1 października 2019 r. wyroku w sprawie Planet 49 GmbH, sygn. C-673/17, TSUE potwierdził, że zgoda na instalację plików cookie musi wynikać z czynnego i świadomego zachowania użytkownika strony internetowej. Ta zasada ma również zastosowanie do przewidzianej w art. 173 ust. 2 prawa telekomunikacyjnego możliwości wyrażenia zgody za pomocą ustawień przeglądarki internetowej. Jak podkreśliła Grupa Robocza art. 29 w opinii 2/2010 w sprawie internetowej reklamy behawioralnej, wskazanie przez ustawodawcę takiej możliwości nie jest wyjątkiem od zasady uzyskiwania zgody, lecz przypomnieniem, że można ją wyrazić w środowisku cyfrowym na różne sposoby, jeśli jest to technicznie możliwe, skuteczne i zgodne z kryteriami dotyczącymi ważności takiej zgody. Z tej perspektywy braku działania użytkownika, który nie zmienił ustawień przeglądarki w ten sposób, aby odrzucała pliki cookie, wyrażenie zgody nie może być uznane za ważne. Ponadto, jak wskazuje Grupa Robocza art. 29, jeśli ustawienia przeglądarki są z góry skonfigurowane tak, aby akceptować wszystkie pliki cookie, to taka zgoda co do zasady nie może stanowić rzeczywistego wyrażenia zgody osoby, której dane dotyczą, gdyż ani nie jest ona konkretna, ani świadoma.
Wielu administratorów nie zgadza się z taką interpretacją. Mimo wejścia w życie RODO w prawie telekomunikacyjnym pozostał bowiem art. 173 ust. 2, dający użytkownikom możliwość wyrażenia zgody na cookies za pomocą „ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”. Dariusz Czuchaj uważa, że ten bałagan w interpretacji przepisów może rozwiązać dopiero procedowane w Komisji Europejskiej rozporządzenie ePrivacy, które ma uregulować kwestie cookies.
Jak zatem powinno wyglądać pole zarządzania cookies na stronie internetowej? Eksperci przyznają, że do tej pory żaden organ nadzorczy nie dał jednoznacznych wskazówek. Zdaniem Pawła Tobiczyka witryna może informować w dotychczasowy sposób o zbieraniu ciasteczek, a nawet dać możliwość wyrażenia zgody na wszystkie cele ich przetwarzania umożliwione przez ustawienia przeglądarki użytkownika. Jednak przed wyrażeniem zgody, choćby poprzez kliknięcie odpowiedniego przycisku w banerze lub inne jednoznaczne działanie użytkownika, ciasteczka nie mogą być instalowane. ‒ Gdyby zaś internauta chciał dowiedzieć się więcej na temat ciasteczek, zgodzić się wyłącznie na konkretne cele wykorzystania cookies lub zmienić swoje preferencje w tym zakresie, powinien otrzymać taką możliwość, klikając na odpowiednie pole w banerze, odsyłające do podstrony lub kolejnego baneru. Niewątpliwie w świetle decyzji hiszpańskiego organu oraz niedawno wydanego wyroku Trybunału Sprawiedliwości UE w sprawie Planet 49, sygn. C-673/17 niewystarczające jest wyłącznie odesłanie do ustawień przeglądarki – wskazuje mec. Tobiczyk.
Podstawa prawna
• art. 173 ust. 2 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2018 r. poz. 1954; ost.zm. Dz.U. z 2019 r. poz. 2005)