2019-08-05
Lubasz i Wspólnicy – Kancelaria Radców Prawnych
W związku z wszechobecnością Internetu w naszym codziennym życiu, wszyscy doświadczamy natężenia wszelkiego rodzaju komunikatów o zawartości prawnej, które ukazują się naszym oczom przy przeglądaniu stron internetowych czy korzystaniu z aplikacji mobilnych.
Komunikaty o wykorzystywaniu przez witryny www plików cookies nie są niczym nowym. Wymóg ten – wynikający z art. 173 ustawy Prawo telekomunikacyjne – funkcjonuje w prawie polskim już od pewnego czasu jako efekt implementacji dyrektywy o nr WE 2002/58/WE.
To jednak wraz z RODO, które jest stosowane od 25 maja 2018 r. dotychczasowe, zwięzłe komunikaty wyewoluowały w stronę okien – „ścian tekstu”. Dodatkowo, część komunikatów została opatrzona sformułowaniami wskazującymi na wyrażanie przez użytkowników witryny zgód na przetwarzanie danych osobowych w celach marketingowych, często w połączeniu z domyślnie zaznaczonymi „suwakami” lub „checkboxami”, które opisywaną zgodę miałyby odzwierciedlać. Taka forma interakcji z odwiedzającym stronę www niejednokrotnie skutkuje irytującymi utrudnieniami w zakresie wyświetlenia czy wyłączenia komunikatu, co ma miejsce w sytuacjach złej optymalizacji witryny pod kątem działania na niektórych urządzeniach lub przeglądarkach.
Źródła powyższego stanu rzeczy nie należy upatrywać w prawidłowej realizacji obowiązków prawnych, a wręcz odwrotnie: znaczna część z powyżej opisywanych praktyk ma charakter działania sprzecznego z obowiązującym prawem.
„Ściany tekstu” zniechęcają czytających, wywołując zjawisko, które Grupa Robocza art. 29 (ciało doradcze, składające się przedstawicieli organów nadzorczych państw członkowskich UE) określiła mianem „zmęczenia informacyjnego”. Za podobną w skutkach należy uznać praktykę korzystania przez autorów komunikatów dotyczących RODO z hermetycznych określeń języka prawniczego, co w efekcie czyni tekst niezrozumiałym lub co najmniej nieprzystępnym dla przeciętnego czytelnika. Trzeba pamiętać, że RODO wymaga by tego typu komunikaty były nie tylko przystępne w formie, ale również napisane jasnym i prostym językiem.
Problematyka uchybień na polu stosowania zasady przejrzystości znajduje już pierwsze odzwierciedlenia w praktyce organów nadzorczych. Francuski odpowiednik polskiego Urzędu Ochrony Danych Osobowych – CNIL – uznał, że informacje kierowane przez Google w polityce prywatności do użytkowników są zbytnio rozproszone, znajdując się w różnych dokumentach, co świadczy o ich trudnej dostępności. Dodatkowo, organ dostrzegł, że odsyłanie przez poszczególne dokumenty do kolejnych podstron zawierających bardziej szczegółowe informacje sprawia, że użytkownik musi nie tylko zapoznać się z dużą ilością tekstu, ale też zestawić ze sobą informacje zaprezentowane w różnych dokumentach. Francuski urząd wytknął, że np. w celu zasięgnięcia informacji o przetwarzaniu danych na potrzeby personalizacji reklam wymaga się od użytkownika aż 5 kliknięć.
Reakcją na powyższe stanowisko organu nie musi być jednak ujęcie wszelkich procesów przetwarzania danych na jednej podstronie. Przy serwisach o złożonej strukturze, bez opracowania odpowiedniej systematyki dokumentu lub bez zastosowania odpowiednich narzędzi odsyłających lub wyszukujących treść, takie rozwiązanie potencjalnie skutkowałoby jeszcze większą nieczytelnością i nieprzystępnością informacji dotyczących danych osobowych, aniżeli w przypadku ich rozproszenia pomiędzy różne dokumenty w formie stosownych odnośników.
Ewolucja „komunikatów o cookies” w swoiste hybrydy polityki prywatności z oświadczeniami o zgodzie na przetwarzanie danych osobowych w celach marketingowych ma swoje podłoże w słusznym i powszechnym już przekonaniu, że duża część plików cookies stanowi dane osobowe w rozumieniu RODO. Jednocześnie, administratorzy zdając sobie sprawę z kontrowersji, jakie są związane z przetwarzaniem danych osobowych z wykorzystaniem cookies śledzących zachowania użytkownika na przesłance „prawnie usprawiedliwionego interesu administratora danych”, próbują dawne komunikaty o cookies wykorzystywać jako nośnik zgód na przetwarzanie danych osobowych w celach marketingowych. Do korzystania z instytucji zgody na przetwarzanie danych osobowych w okienkach „powitalnych” stron www administratorów skłaniają również obawy związane z brzmieniem art. 22 RODO (tzw. „prawo do niepodlegania profilowaniu”). W świetle tego przepisu, zgoda podmiotu danych byłaby bowiem również wymagana przy uznaniu, że obserwacja zachowań użytkownika na różnych stronach www jest równoznaczna z wywarciem na użytkownika „istotnego wpływu, podobnego do skutku prawnego”.
Wbrew zamysłom lub oczekiwaniom administratorów danych, „zgody”, które pojawiają się w komunikatach cookies zwykle nie są jednak jednocześnie dobrowolne, konkretne, świadome i jednoznaczne, co w świetle wymogu RODO czyni je wadliwymi. Najczęściej o bezprawności decyduje ich domyślne zaznaczenie (co godzi w wymóg dobrowolności zgody), ale dla przedsiębiorców korzystających z nowoczesnego marketingu internetowego opartego na cookies, najtrudniejszym zadaniem wydaje się uczynienie zgód konkretnymi i jednoznacznymi. Te wymogi mają zapewnić, by użytkownik Internetu wiedział, komu dokładnie udziela zgody na przetwarzanie swoich danych i na konkretnie jakie działania względem dotyczących go danych się godzi.
Uczynieniu zadość ww. obowiązkom bez wątpienia nie sprzyja specyfika marketingu internetowego, polegająca na angażowaniu w proces przetwarzania danych równocześnie kilku administratorów danych oraz dodatkowo niedostateczna transparentność samego procesu związanego z wykorzystaniem cookies reklamowych. W konsekwencji, paradoksalnie wiedza samych administratorów danych na temat przetwarzanych danych związanych z marketingowymi cookies jest niejednokrotnie bardzo ograniczona.
Obciążanie użytkowników obowiązkiem obszernej, niezrozumiałej lektury i licznymi „zgodami” w oknach powitalnych na stronach www nie leży w interesie ani użytkowników sieci, którzy komunikatów nie czytają, ani dostawców treści i usług w Internecie. Ci ostatni bowiem nie tylko nie niwelują swojego ryzyka prawnego z uwagi na bezprawność zbieranych zgód na przetwarzanie danych, ale dodatkowo w wyniku swojej praktyki muszą odczuwać skutki związane z niezadowoleniem lub często wręcz frustracją internautów w związku z utrudnianiem dostępu do oferowanej usługi lub narzędzia.
Działanie serwisów internetowych powinno i prawdopodobnie pod wpływem rozstrzygnięć organów nadzorczych będzie podlegać rewizji. Z jednej strony, postulować należy ograniczanie wymuszanej zgody jako przesłanki przetwarzania danych np. w odniesieniu do cookies pełniących funkcję analityczną czy mającą na celu dostosowywanie oferowanych usług do preferencji użytkowników. Z drugiej strony, rezygnacja ze zgody jako przesłanki legalizującej przetwarzanie danych winna wiązać się z jeszcze większym naciskiem na realizowanie obowiązków informacyjnych wobec użytkowników w sposób czytelny i zrozumiały. Sformułowanie obowiązku informacyjnego wynikającego z RODO w taki sposób, aby użytkownik miał nie tylko możliwość, ale i chęć zapoznania się z tekstem, ma bowiem konsekwencje natury prawnej. Przejrzyste i przystępne ujęcie obowiązków informacyjnych z całą pewnością będzie bowiem sprzyjać uznaniu, że użytkownik strony www miał rozsądne przesłanki, by spodziewać się przetwarzania danych w sposób podejmowany na odwiedzanej witrynie. Weryfikacja tej okoliczności jest z kolei kluczowym elementem oceny zgodności z prawem przetwarzania prowadzonego bez formalnej zgody podmiotu danych (tj. w oparciu o przesłankę tzw. usprawiedliwionego interesu administratora).
Artykuł ukazał się w internetowym wydaniu dziennika „Rzeczpospolita” w dniu 02-08-2019 r.