Pliki cookies a dane osobowe: sytuację może zmienić dopiero rozporządzenie ePrivacy

Część organów nadzorczych krajów członkowskich zajęła jednoznaczne stanowisko w sprawie cookie walls, stwierdzając, że naruszają one przepisy dotyczące ochrony danych osobowych.

„Strona korzysta z plików cookies. Klikając »Przejdź dalej« wyrażasz zgodę na przetwarzanie przez nas twoich danych”. Brzmi znajomo? Informacja, którą wciąż stosunkowo często można spotkać odwiedzając różne strony internetowe, to nic innego jak cookie wall. Ich cechą charakterystyczną jest uniemożliwienie użytkownikowi dostępu do treści zawartych na witrynie bez uprzedniego wyrażenia zgody na wykorzystanie plików cookies. Tym samym nasz wybór sprowadza się do krótkiej frazy Take it or leave it.

OBOWIĄZUJĄCE RAMY PRAWNE

Problematyka cookies wciąż budzi pewne kontrowersje, choć wydaje się, że aktualnie nie ma już wątpliwości, że określone rodzaje plików cookies będziemy postrzegać jako dane osobowe. Wskazuje na to m.in. motyw 30 RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; DzU UE L z 2016 r. Nr 119, str. 1 ze zm.), gdzie pliki cookies są wymieniane w jednym rzędzie z adresami IP jako identyfikatory internetowe, które w połączeniu z innymi informacjami uzyskiwanymi przez serwisy, mogą być wykorzystywane do tworzenia profili i identyfikowania osób.

Drugim kluczowym aktem prawnym w kontekście plików cookies jest dyrektywa ePrivacy (2002/58/EC), potocznie nazywana „prawem cookies” (ang. cookie law), która stawia wymóg, aby użytkownicy zostali prawidłowo poinformowani o plikach cookies oraz mieli możliwość wyrażenia zgody na ich wykorzystanie. Warto wspomnieć, że od kilku lat trwają prace nad rozporządzeniem ePrivacy, które ma stanowić dopełnienie dla regulacji RODO.

Część organów nadzorczych krajów członkowskich zajęła jednoznaczne stanowisko w sprawie cookie walls, stwierdzając, że naruszają one przepisy dotyczące ochrony danych osobowych. Główne źródło naruszenia w przypadku cookie walls stanowi wadliwość udzielanej zgody. Zgodnie bowiem z definicją, zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w odniesieniu do przetwarzania danych. Natomiast oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy m.in. od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (art. 7 ust. 4 RODO). W tym duchu swoje zdanie wyraził m.in. holenderski AP (Autoriteit Persoonsgegevens), brytyjski ICO (Information Commissioner’s Office) czy francuski CNIL (Commission nationale de l’informatique et des libertés).

W nieco odmiennym tonie wypowiedział się natomiast austriacki organ ochrony danych DSB (Datenschutzbehörde), który uznał, że cookie walls nie są per se zakazane na gruncie obowiązujących przepisów, o ile zapewniona jest dobrowolność zgody. W stanie faktycznym, na kanwie którego zapadła decyzja, dostęp do strony internetowej jednej z gazet był możliwy na dwa sposoby: bezpłatnie, pod warunkiem akceptacji wszelkich plików cookies, bądź w ramach płatnej subskrypcji. Przy czym opłata wynosiła 6 euro w skali roku, a użytkownik w ten sposób unikał zbierania marketingowych czy analitycznych cookies. Organ uznał, że w tym konkretnym przypadku brak jest niekorzystnych skutków dla użytkowników. Będąc odpowiednio poinformowani mogli oni bowiem dokonać świadomej oraz – co ważniejsze – dobrowolnej decyzji co do zbierania plików cookies. W literaturze określa się to mianem kryterium rozsądnej alternatywy (Lubasz Dominik. Art. 7. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018).

ZGODA NA GRUNCIE RODO

Pomimo coraz bardziej ugruntowanego podejścia w odniesieniu do cookie walls, w najnowszych wytycznych 05/2020 przyjętych 4 maja 2020 r. Europejska Rada Ochrony Danych postanowiła odnieść się to tej problematyki. Świadczy to o tym, że temat wciąż budzi pewne wątpliwości. Można przypuszczać, że nie ulegnie to zmianie do momentu uchwalenia wspomnianego wcześniej rozporządzenia ePrivacy. Same wytyczne potwierdzają jedynie wcześniejsze głosy. Tym samym dostęp do usług i funkcjonalności nie powinien być uzależniony od zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych na urządzeniu końcowym użytkownika. Takie działanie pozbawia bowiem zgody przymiotu dobrowolności.

W nieco innym kontekście należy wspomnieć o decyzji Rady Stanu z 19 czerwca 2020 r. Organ ten jest najwyższym organem sądownictwa administracyjnego we Francji. W 2019 roku CNIL wydał wytyczne, które poruszały problematykę cookie walls. Organ nadzorczy kategorycznie zakazał stosowania tego rodzaju rozwiązań jako działań naruszających regulacje dotyczące ochrony danych osobowych. W tej sytuacji Rada Stanu uznała, że CNIL przekroczył swoje uprawnienia. Wytyczne jako przykład miękkiego prawa (ang. soft law) nie mogą stanowić źródła praw i obowiązków dla adresatów norm, w szczególności źródła bezwzględnych zakazów.

Oczywiście nie można w tym miejscu przyjąć, że Rada Stanu dała zielone światło dla stosowania cookie walls. Decyzja dotyczyła jedynie określonych kwestii kompetencyjnych. Sąd potwierdził uprawnienie organu do udzielenia wskazówek dotyczących warunków zgody, okresów retencji czy obowiązków informacyjnych.

MACIEJ JAKUBOWSKI PRAWNIK W LUBASZ I WSPÓLNICY – KANCELARIA RADCÓW PRAWNYCH SP.K.

Pomimo stosunkowo jednolitych poglądów wciąż brakuje odpowiednich narzędzi, aby przysłowiowo przebić głową mur. Zwrot akcji może stanowić uchwalenie długo wyczekiwanego rozporządzenia ePrivacy. Konkretne rozwiązania w nim zawarte pozwoliłyby uciąć wszelkie niejasności. Nie powtórzyłaby się także sytuacja z Francji, gdzie działania organu mające na celu zakazanie cookie walls zostały uznane za przekroczenie wyznaczonych prawem kompetencji. Do tego czasu pozostaje funkcjonowanie w realiach obowiązujących przepisów, które pozostawiają pewne pole do interpretacji. Tym niemniej administratorzy, którzy nie chcą stwarzać ryzyka naruszenia praw i wolności użytkowników strony internetowej, powinni w swojej działalności unikać stosowania cookie wall, a jeżeli się na to zdecydują, to muszą zadbać o zapewnienie dobrowolnego charakteru zgody na pliki cookies.

Artykuł ukazał się w papierowym i internetowym wydaniu dziennika ,,Rzeczpospolita”

Czytaj także: Bazy danych mają często globalny charakter