Zgoda na „ciasteczka” musi być wyraźna
Wyrok TSUE zapadł na kanwie wątpliwości niemieckiego Federalnego Trybunału Konstytucyjnego, co do postanowienia zawartego w regulaminie loterii internetowej, zgodnie z którym by wziąć udział we wspomnianej loterii, użytkownik musi zgodzić się na instalację plików cookie bądź zgodzić się na kontakt w celach marketingowych. To właśnie ta „wymuszona zgoda”, będąca świetnym przykładem oksymoronu, spowodowała wątpliwości niemieckiego organu i w efekcie skierowanie pytania prejudycjalnego do TSUE.
TSUE dokonując wykładni prawa europejskiego z zakresu ochrony prywatności w sektorze łączności elektronicznej orzekł, że zgoda użytkownika witryny internetowej na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeżeli została wymuszona, udzielona za pomocą domyślnie zaznaczonego okienka wyboru albo jeśli zastosowano mechanizm „opt out”. Trybunał wyraźnie orzekł, że mechanizm jaki powinien obowiązywać przy stosowaniu plików cookies to mechanizm „opt in”. Ponadto bez znaczenia pozostaje fakt, czy zbierane i przechowywane informacje w urządzeniu końcowym użytkownika stanowią dane osobowe – w tym wypadku ochrona tych informacji jest taka sama i wymagana jest „akcja” użytkownika, aby pliki cookies zainstalować.
Zgoda musi być dobrowolna i konkretna
Dokonując analizy, TSUE stwierdził że aby zgoda na instalowanie cookies była ważna musi być ona dobrowolna i konkretna. Jeżeli zatem okienko zezwalające na instalację zostało domyślnie zaznaczone, nie dojdzie do skutecznego wyrażenia zgody. Powyższe stanowisko jest argumentowane wymogami szczególnej ochrony użytkowników przed niechcianą ingerencją z zewnątrz, a w szczególności dbałością o zapobieżenie ryzyku wprowadzenia do urządzeń bez wiedzy użytkowników ukrytych identyfikatorów lub innych podobnych narzędzi służących do profilowania użytkowników i prezentowania im treści np. reklamowych.
Ponadto TSUE podkreślił, że zgoda powinna być konkretna. W stanie faktycznym, na kanwie którego zapadł wyrok, TSUE wskazał, że okoliczność aktywowania przez użytkownika przycisku uczestnictwa w loterii promocyjnej nie może być wystarczająca do uznania, że zgoda na zainstalowanie ciasteczek została skutecznie wyrażona.
Poinformowanie użytkownika
TSUE wskazał również, że podmiot instalujący ciasteczka musi poinformować użytkownika, czy osoby trzecie mogą uzyskać dostęp do tych plików oraz wskazać ich ewentualnych odbiorców. Ponadto należy podać okres przez jaki pliki będą działać. W swoim orzeczeniu TSUE podkreślił, że zbyt długi lub nieograniczony okres funkcjonowania ciasteczek oznacza, że zgromadzona zostanie duża ilość informacji dotyczących zwyczajów i zainteresowań użytkowników związanych z przeglądaniem stron internetowych.
Wyrok TSUE a polski porządek prawny
Z przepisów obowiązujących w polskim systemie prawnym, tj. art. 22 RODO oraz treści art. 173 ustawy prawo telekomunikacyjne również wynika, że na tego typu przetwarzanie danych należy uzyskać wyraźną zgodę osoby, której dane dotyczą. Powyższa zgoda w związku z treścią art. 173 ust. 2 ustawy prawo telekomunikacyjne może zostać wyrażona za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym urządzeniu końcowym lub konfiguracji usługi tj. za pomocą ustawień przeglądarki.
Jednakże, aby taka zgoda była skutecznie wyrażona, należy poinformować użytkownika o celu przechowywania i uzyskiwania dostępu do tej informacji, a także możliwości określenia przez niego warunków przechowywania za pomocą przeglądarki. Brak zgody użytkownika, albo niepełne poinformowanie go o stosowaniu plików cookies sprawi, iż powyższe dane będą w sposób nieuprawniony przetwarzane, a co za tym idzie, w przypadku ewentualnej kontroli, istnieje ryzyko nałożenia kary pieniężnej.
Podsumowując, wyrok TSUE nie wprowadza rewolucji do polskiej praktyki stosowania „ciasteczek”. Należy jednak mieć na względzie cenne wskazówki, które płyną z treści wyroku, w szczególności w zakresie domyślności zgód w regulaminach, tj.:
- Niedopuszczalne jest domyślne zaznaczenie okienka zgody, a zgoda udzielona w ten sposób jest nieważna,
- Zgoda nie może iść w parze z niczym innym, np. zgodą na wzięcie udziału w loterii,
- Do stwierdzenia powyższego nie ma znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe czy też tylko dane statystyczne,
- Usługodawca powinien wyraźnie poinformować użytkownika strony internetowej o okresie, przez jaki pliki cookies będą działać, a także wskazać cel w jakim są instalowane oraz odbiorców, którym zebrane dane zostaną udostępnione.
Orzeczenie TSUE z 1 października 2019 roku, w sprawie C-673/17.
AUTOR WPISU
E: magdalena.keska@pl.Andersen.com
T: +48 32 731 68 50