W sprawozdaniu przedstawiono uzgodnioną przez powyższe organy interpretację przepisów dyrektywy o prywatności i łączności elektronicznej oraz RODO w takich kwestiach, jak wstępnie zaznaczone pola wyboru, wygląd banerów, przyciski „Odrzuć pliki cookie” lub ikony „Wycofaj zgodę”.
Warto zaznaczyć, że grupa zadaniowa wyróżniła także katalog niewłaściwych praktyk w zakresie wykorzystywania plików cookie oraz stosowania banerów cookie. Praktyki te zostały opisane
w dalszej części artykułu.
Praktyka typu A – brak przycisku odrzucającego na pierwszym poziomie
Grupa zadaniowa wskazała, że domyślnie żadne pliki cookie wymagające zgody nie mogą być bez niej ustawiane. Zgodę tę użytkownik musi wyrazić przez zatwierdzenie. W tym kontekście należy podkreślić, że zdecydowana większość organów uznała, że brak możliwości odmowy przechowywania plików cookie, odrzucenia ich i wyrażenia na nie zgody jest niezgodny z wymogami dotyczącymi ważnej zgody, a tym samym stanowi naruszenie. Zdecydowana mniejszość organów stanęła na stanowisku, że w tym przypadku nie ma naruszenia, ponieważ art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej nie wspomina wyraźnie o „opcji odrzucenia” zgody na deponowanie plików cookie.
Praktyka typu B – wstępnie zaznaczone pola
Członkowie grupy zadaniowej potwierdzili, że wstępnie zaznaczone pola wyboru nie prowadzą do wyrażenia ważnej zgody, o której mowa w RODO (w szczególności w motywie 32 RODO, zgodnie z którym milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody) lub w art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej.
Praktyka typu C – nieprecyzyjne sformułowanie informacji na banerze cookie
Członkowie grupy zadaniowej zgodnie stwierdzili, że w każdym przypadku na banerze powinno być jasno wskazane, czego on dotyczy, w jakim celu uzyskiwana jest zgoda na pliki cookie oraz w jaki sposób jest ona wyrażana.
Dodatkowo podkreślili, że aby zgoda była ważna, użytkownik powinien być w stanie zrozumieć, na co wyraża tę zgodę i w jaki sposób ma to zrobić. Ustalili także, że aby zgoda mogła być udzielona dobrowolnie, w żadnym wypadku właściciel serwisu nie może po pierwsze projektować banerów cookie w sposób, który sprawiałby wrażenie, że użytkownik musi wyrazić zgodę na dostęp do treści serwisu, a po drugie – wyraźnie nakłaniać użytkownika do wyrażenia zgody (np. uzależniać od tego zezwolenia na kontynuację nawigacji bez plików cookie pierwszego poziomu).
Praktyki typu D i E – mylące kolory przycisków oraz mylący kontrast przycisków
Niektóre banery cookie są tak konfigurowane pod kątem kolorów i kontrastów przycisków (współczynnik kontrastu między przyciskiem „Akceptuj” a tłem – praktyka typu D), że dochodzi do wyraźnego podświetlenia przycisku „Akceptuj wszystko” w porównaniu z innymi dostępnymi opcjami. Praktyka typu E odnosi się natomiast do stosowania mylących kolorów przycisków, np. czerwony kolor przycisku, który sugerowałby odrzucenie wszystkich plików cookie zostały zastosowany do przycisku wyrażającego zgodę na wszystkie pliki cookie.
Jednak członkowie grupy zadaniowej zgodzili się, że administratorom danych nie można narzucić ogólnego standardu banerów dotyczącego koloru i/lub kontrastu. Każdorazowo należałoby przeprowadzić indywidualną weryfikację w celu sprawdzenia, czy zastosowany kontrast i kolory nie wprowadzają użytkowników w oczywisty sposób w błąd i nie powodują wyrażenia przez nich niezamierzonej, a tym samym nieważnej zgody.
Praktyka typu H – prawnie uzasadniony interes administratora jako podstawa prawna przetwarzania danych
Niektórzy administratorzy wprowadzili baner, który podkreśla możliwość akceptacji operacji odczytu lub zapisu na jego pierwszym poziomie, ale nie zawiera opcji odmowy na tym poziomie. Może to prowadzić użytkownika serwisu internetowego do wniosku, że w ogóle nie ma on możliwości wyrażenia sprzeciwu wobec przechowywania plików cookie, a przy okazji – późniejszego przetwarzania danych, które z tego wynika.
Dodatkowo na drugim poziomie banera administratorzy często dokonują rozróżnienia między odmową udzielenia zgody na operację odczytu lub zapisu a potencjalnym wyrażeniem sprzeciwu wobec dalszego przetwarzania, uznając, że mieści się to w zakresie prawnie uzasadnionego interesu administratora danych. W takich przypadkach wydaje się, że:
- administratorzy opierają się na prawnie uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f RODO w odniesieniu do różnych czynności przetwarzania, takich jak np. „utwórz spersonalizowany profil treści” lub „wybierz spersonalizowane reklamy”, przy czym można uznać, że dla takich czynności przetwarzania nie istnieje żaden nadrzędny prawnie uzasadniony interes;
- włączenie pojęcia prawnie uzasadnionego interesu do późniejszego przetwarzania „na dalszym poziomie banera” mogłoby być mylące dla użytkowników, którym mogłoby się wydawać, że muszą dwukrotnie odmówić przetwarzania danych osobowych.
Członkowie grupy zadaniowej zgodzili się, że zgodność z prawem dalszego przetwarzania w oparciu o pliki cookie wymaga ustalenia, czy:
- przechowywanie informacji lub uzyskanie dostępu do informacji za pośrednictwem plików cookie lub podobnych technologii odbywa się zgodnie z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej (oraz przepisami krajowymi);
- wszelkie dalsze przetwarzanie odbywa się zgodnie z RODO.
Ponadto potwierdzili, że podstawą prawną umieszczania lub odczytywania plików cookie na podstawie art. 5 ust. 3 dyrektywy o prywatności i łączności nie mogą być prawnie uzasadnione interesy administratora.
Praktyka typu I – niedokładnie sklasyfikowane niezbędne pliki cookie
Ocena plików cookie w celu określenia, które z nich są niezbędne, w praktyce często stwarza trudności. W szczególności wynika to z tego, że cechy plików cookie zmieniają się regularnie, co uniemożliwia ustalenie stabilnej i wiarygodnej listy takich niezbędnych plików cookie.
W sprawozdaniu omówiono istniejące narzędzia do ustalania listy plików cookie używanych przez witrynę internetową, a także nałożono odpowiedzialność na właścicieli witryn internetowych za prowadzenie takich list i udostępnianie ich właściwym organom na żądanie oraz w celu wykazania niezbędności wymienionych plików cookie.
Członkowie grupy zadaniowej przywołali również opinię nr 04/2012 w sprawie wyłączenia zapisywania plików cookie spod zasady pozyskiwania zgody w odniesieniu do wymienionych kryteriów oceny tego, które pliki cookie są niezbędne. W szczególności zwrócili uwagę na to, że za niezbędne należy uznać pliki cookie umożliwiające właścicielom stron internetowych zachowanie preferencji wyrażonych przez użytkowników w odniesieniu do usługi.
Praktyka typu K – brak ikony wycofania zgody
Praca dobrymi narzędziami RODO to nie praca!
Zdaniem członków grupy zadaniowej właściciele serwisów internetowych powinni wprowadzić łatwo dostępne rozwiązania umożliwiające użytkownikom cofnięcie zgody w dowolnym momencie, takie jak stale widoczna ikona lub link umieszczony w widocznym i ustandaryzowanym miejscu.
Odniesienie w dyrektywie o prywatności i łączności elektronicznej do zgody w RODO obejmuje zarówno definicję zgody (art. 4 RODO), jak i jej warunki (art. 7 RODO). Oprócz wymogów dotyczących ważności zbierania zgód zgodnie z RODO i art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej obowiązkowe są trzy dodatkowe warunki, które muszą być spełnione kumulatywnie, tj.:
- możliwość wycofania zgody;
- możliwość wycofania zgody w dowolnym momencie;
- możliwość wycofania zgody w sposób równie łatwy jak przy jej wyrażaniu.
W ocenie członków grupy zadaniowej zawsze konieczna będzie indywidualna analiza dostępnego rozwiązania służącego do wycofania zgody. W ramach tej analizy należy zbadać, czy spełniony jest prawny wymóg zapewnienia tego, że cofnięcie zgody jest dla użytkownika serwisu internetowego równie łatwe jak jej wyrażenie.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Zgodnie ze stanowiskiem wyrażonym przez członków grupy zadaniowej ds. banerów cookie: