Częstuj „ciasteczkami” tylko za wyraźną zgodą
Polskie Prawo telekomunikacyjne w zasadzie jasno mówi, na jakich zasadach można stosować tzw. ciasteczka. RODO z kolei określa, jak należy uzyskać zgodę na ich zainstalowanie na komputerze internauty. Niedawno TSUE potwierdził te wymagania. Ci, którzy ich nie spełniają, powinni wziąć sobie do serca jego wyrok. Bo to może słono kosztować.
Zgoda na instalowanie i udostępnianie plików cookies nie będzie ważna, jeśli do jej wyrażenia służy domyślnie zaznaczone na stronie internetowej okienko wyboru. Czyli nie można z góry przyjąć, że jej użytkownik po prostu się na to godzi. Taka jest wymowa październikowego wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE), który zapadł w sprawie C-673/17 – wydanego w odpowiedzi na pytania prejudycjalne niemieckiego Federalnego Trybunału Konstytucyjnego.
Jak informować o plikach cookies…
Źródłem niejasności prawnych okazał się spór konsumentów ze spółką organizującą gry online. Osoby chcące zagrać w loterii, musiały przystać na przekazanie swoich danych innym firmom dla celów reklamowych. Mogły to zrobić, zaznaczając z własnej woli odpowiednie okienko. Mogły też – alternatywnie – zgodzić się na instalację ciasteczek, jednak w tym przypadku było to domyślnie, automatycznie zaznaczone po kliknięciu na decyzję o wejściu do gry.
Niemiecki trybunał uznał za konieczne wyjaśnienie zasad wyrażania zgody na instalowanie ciasteczek z punktu widzenia unijnych regulacji, czyli dyrektywy o ochronie prywatności (2002/58/WE) oraz ogólnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). TSUE w wydanym wyroku przypomniał, że zgodnie z unijnymi przepisami administrator danych musi przekazać osobie, od której je pobiera, nie tylko informacje o jego tożsamości i celach przetwarzania, ale też o odbiorcach lub kategoriach odbiorców danych, jeżeli to niezbędne do zapewnienia rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą. Co ważne, informacje te, w szczególności na temat celów przetwarzania, muszą być jasne i wyczerpujące – tak, aby użytkownik, który zgadza się na wykorzystanie swoich danych, mógł łatwo ustalić konsekwencje tej zgody. Innymi słowy, musi być ona udzielona przy pełnej znajomości stanu rzeczy. Przekazane informacje muszą więc pozwolić zrozumieć także funkcjonowanie plików cookies.
…i jak przyjmować akceptację na ciasteczka
To, jak powinna być udzielona sama zgoda, opisano w RODO. Wynika z niego, że musi być ona jednoznaczna, dobrowolna, świadoma – wyrażona na przykład w formie pisemnego (w tym elektronicznego) lub ustnego oświadczenia. W rozporządzeniu wskazano, że tego warunku nie spełniają okienka domyślnie zaznaczone. TSUE wyraźnie to potwierdził w swoim wyroku. Ale płyną z niego też inne wymagania.
Co mówi RODO o domyślnej zgodzie?
Motyw 32 rozporządzenia:
„Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy”.
Kto powinien zmienić komunikat?
Trybunał zwrócił uwagę, że osoba, której dane są pozyskiwane, musi również wiedzieć, jak długo będą one przechowywane. Jeżeli nie jest to możliwe, należy ją poinformować o kryteriach ustalania tego czasu. TSUE orzekł, że usługodawca powinien udzielić użytkownikowi strony internetowej informacji o okresie działania plików cookies oraz określić, czy osoby lub podmioty trzecie mogą uzyskać dostęp do takich plików.
Ta sprawa ma praktyczne znaczenie dla administratorów i właścicieli stron internetowych. Powinni przyjrzeć się swoim komunikatom na temat stosowania ciasteczek i je zmienić, jeśli nie odpowiadają kryteriom płynącym z wyroku TSUE.
Barbara Bil, adwokat z Kancelarii Bil podkreśla, że w informacji o plikach cookies należy przede wszystkim podać, że będą one wykorzystywane. Poza tym trzeba określić cel ich zbierania i wskazać, jak użytkownik może wyłączyć lub zablokować te pliki w przeglądarce, której używa na swoim urządzeniu. Zwraca też uwagę, że zgoda na instalowanie ciasteczek nie może być zaznaczona na stronie internetowej w chwili, gdy ktoś na nią wchodzi, a chcąc odmówić jej udzielenia, musi on usunąć zaznaczenie. Zdaniem Barbary Bil, jednak nie w każdym przypadku może być konieczna zmiana treści komunikatu o plikach cookies.
– Użytkownik może nadal zaznaczać odpowiednie pole wyboru w celu udzielenia zgody, np. za pomocą ustawień oprogramowania zainstalowanego na urządzeniu, którego używa lub poprzez odpowiednią konfigurację usługi. Pozwala na to art. 173 ust. 2 Prawa telekomunikacyjnego
– wyjaśnia.
Podkreśla ona, że zmian należy dokonać, jeśli dotychczas użytkownik zgadzał się na instalowanie ciasteczek za pomocą domyślnie zaznaczonego okienka wyboru, a także gdy pliki te zbierają dane osobowe. W takiej sytuacji treść i forma udzielania zgody muszą zostać dostosowane do RODO.
Co mówi Prawo telekomunikacyjne?
Art. 173 [Przechowywanie danych informatycznych]
A.
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1. Abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
- celu przechowywania i uzyskiwania dostępu do tej informacji,
- możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji
2. Abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt. 1, wyrazi na to zgodę;
3. Przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
B.
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
Prawo telekomunikacyjne określa też sankcje za jego naruszenia. Podmiot, który nie zastosuje się do reguł określonych w art. 173, czyli nie wypełnia obowiązków związanych z uzyskaniem zgody na instalowanie plików cookies, podlega karze grzywny. Może ona wynieść 3 proc. rocznego przychodu osiąganego przez właściciela strony internetowej.