Nowa krucjata Schremsa – pliki cookies

Austriacki aktywista Max Schrems, odpowiedzialny m.in. za doprowadzenie do uchylenia „Tarczy Prywatności”, czyli programu, który pozwalał w dosyć prosty sposób przekazywać dane osobowe z UE do USA, podjął działania zmierzające do uregulowania stosowania plików cookie. Na przełomie maja i czerwca przesłał ponad 500 skarg do firm, które jego zdaniem stosują na swoich stronach internetowych niezgodne z prawem okienka zawierające zgodę na cookies oraz planuje uczynić to w stosunku do 10 000 kolejnych podmiotów

Na jakie elementy Schrems zwracał uwagę? Przede wszystkim na brak okienka „odrzuć” w pierwszej warstwie, wprowadzający w błąd design linków, wprowadzające w błąd kolory przycisków, wprowadzający w błąd kontrast przycisków oraz niemożność łatwego wycofania zgody. Czy jego uwagi były słuszne? Zapraszamy do lektury naszego artykułu.

Ustawa prawo telekomunikacyjne i RODO –
gdzie przebiega granica

Ochronę poufności komunikacji w związku z wykorzystaniem plików cookie i podobnych rozwiązań regulują przede wszystkim:

  1. Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

    Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
    ODBIERZ PAKIET
    Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej „Dyrektywa 2002/58/WE”) oraz implementująca ją do polskiego porządku prawnego ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171 poz. 1800 z późn. zm., dalej „UPT”).
  2. Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).

Z racji nakładających się obowiązków określonych w przywołanych wyżej przepisach, pierwszą rzeczą jest określenie relacji między nimi. W tym zakresie pragnę zwrócić uwagę na dwa postanowienia:

  1. Motyw 10 Dyrektywy 2002/58/WE: (…) Dyrektywę 95/46/WE (zgodnie z treścią art. 94 ust. 1 RODO Dyrektywa 95/46/WE została uchylona ze skutkiem od 25.5.2018 r., a zakres jej regulacji przekazano pod reżim RODO) stosuje się w szczególności do wszystkich spraw dotyczących ochrony podstawowych praw i wolności, które nie są szczegółowo objęte przepisami niniejszej dyrektywy, włączając zobowiązania nałożone na kontrolera oraz prawa jednostek.
  2. Motyw 173 RODO: Niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają szczególnym obowiązkom mającym ten sam cel określonym w dyrektywie Parlamentu

Powyższe jest zgodne z doktryną, że prawo regulujące kwestie szczegółowe (lex specialis) ma pierwszeństwo przed prawem regulującym jedynie kwestie ogólne (lex generalis). Zatem bezpośrednie zastosowanie w zakresie zapisywania lub uzyskiwania dostępu do plików cookie zapisanych na urządzeniu końcowym abonenta lub użytkownika końcowego będzie miał art. 173 i 174 UPT. RODO będzie miało zastosowanie w całości, wyłączając kwestie uregulowane szczegółowo w UPT, dotyczące przede wszystkim warunków uzyskania zgody abonenta lub użytkownika końcowego.

Pozostałe przepisy RODO, w tym zasady określające jakość danych, prawa osób, których dane dotyczą, poufność i bezpieczeństwo przetwarzania oraz kwestie przekazywania danych osobowych do państw trzecich będą miały zastosowanie w całej rozciągłości.

Najedź na schemat i zobacz kolejne kroki

Krok #1

Zgoda (UPT)

 
Krok #2

Ograniczenie celu (RODO)

 
Krok #3

Minimalizacja danych (RODO)

 
Krok #4

Prawidłowość (RODO)

 
Krok #5

Ograniczenie przechowywania (RODO)

 
Krok #6

Integralność i poufność  (RODO)

 

Jak odebrać zgodę na pliki cookies?

Przedmiotem dalszej analizy pozostaje zatem jedynie kwestia warunków odebrania zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego (rzutuje bezpośrednio na istotę wskazanego we wstępie rozstrzygnięcia). Bez znaczenia dla dalszej analizy pozostaje fakt, czy informacje przechowywane na urządzeniu końcowym abonenta lub użytkownika końcowego (np. pliki cookie) stanowią dane osobowe, czy nie, gdyż zgodnie z orzeczeniem TSUE (C 673/17 w sprawie Planet49) sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 Dyrektywy 2002/58/WE w związku z art. 2 lit. h) Dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) RODO, nie powinien być różny w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią d Na gruncie art. 173 ust. 1 UPT instalowanie plików cookie oraz korzystanie z informacji już zapisanych na urządzeniu końcowym dopuszczalne jest po wyrażeniu zgody przez abonenta lub użytkownika końcowego. Przed wyrażeniem zgody użytkownik musi zostać poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:

  1. Celu przechowywania i uzyskiwania dostępu do tych informacji (np. plików cookie).
  2. Możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji za pomocą ustawień oprogramowania, zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art. 173 ust. 2 UPT wskazuje, że abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, dodając równocześnie (art. 174 UPT), że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych, a zatem powinna ona stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Równocześnie należy zaznaczyć, że UPT obejmuje swoim zakresem regulacji działania o różnej naturze i rozmaitym charakterze. W konsekwencji, szczególnego znaczenia nabiera wymóg konkretności w kontekście zgód wyrażanych na mocy UPT (P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).

Na gruncie art. 4 pkt 11 RODO możliwe jest odebranie zgody na przetwarzanie danych osobowych poprzez wyraźne działanie potwierdzające (z takim działaniem mamy do czynienia w sytuacji uzyskiwania zgody za pomocą ustawień przeglądarki). Grupa Robocza Art. 29 w opinii 2/2010 w sprawie internetowych reklam behawioralnych wskazuje, że zgoda może zostać udzielona na różne sposoby – jeśli jest to możliwe z technicznego punktu widzenia, skuteczne i zgodne z innymi obowiązującymi wymogami – zaznaczając równocześnie, że w przypadku zgody odbieranej poprzez ustawienia przeglądarki jedynie w bardzo nielicznych sytuacjach pozostanie ona skuteczna, ponieważ:

  1. Nie można domniemywać zgody użytkowników na podstawie faktu, że nabyli lub wykorzystali przeglądarkę lub inną aplikację działającą w określony sposób. Takie podejście oznacza, że zgoda zależy głównie od budowy aplikacji opracowanych przez strony trzecie, takich jak wyszukiwarki, lub od sposobu ich wprowadzenia na rynek, tj. z ustawieniami prywatności nastawionymi na akceptowanie plików cookie. Jak wskazano powyżej, co do zasady, przeciętni użytkownicy nie są świadomi zbierania danych i śledzenia ich zachowania, celów takiego śledzenia itp. Złudzeniem byłoby oczekiwanie, że brak działania użytkownika uznać można za jasne i jednoznaczne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie.
  2. E-learning RODO to już standard!

    Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
    ZOBACZ WIĘCEJ
    Jeśli ustawienia przeglądarki miałyby umożliwiać wyrażenie świadomej zgody, nie powinno być możliwe „ominięcie” decyzji podjętej przez użytkownika podczas ustawiania wyszukiwarki. W praktyce jednak usunięte pliki cookie mogą zostać poddane tzw. respawningowi za pomocą plików typu flash cookie, co pozwala dostawcy sieci reklamowej kontynuować monitorowanie użytkownika.
  3. Zgoda wyrażona poprzez ustawienie wyszukiwarki na przyjmowanie wszystkich plików cookie pozwala założyć, że użytkownicy akceptują przyszłe przetwarzanie mimo, że nie mają żadnej wiedzy o jego celach i zastosowaniach plików cookie. Takie zezwolenie na wszelkiego rodzaju przyszłe przetwarzanie bez wiedzy o jego okolicznościach nie może stanowić ważnej zgody.

Powyższe prowadzi do wniosku, że jedynie zastosowanie mechanizmu opt-in gwarantuje odbieranie zgody w sposób zgodny z przepisami o ochronie danych osobowych.

Jak żyć?

W celu zapewnienia zgodności sposobu zapisywania i dalszego wykorzystania plików cookie z przepisami o ochronie danych osobowych oraz orzecznictwem rekomendujemy:

  1. Implementację na stronie internetowej narzędzia klasy CMP (Consent Management Platform), umożliwiającego selektywne pozyskanie wymaganych zgód (m.in. w zakresie wykorzystania funkcjonalnych, reklamowych, analitycznych plików cookies).
  2. Stworzenie okienek zawierających zgodę na cookies zgodnie z zasadą przejrzystości poprzez:
    - umożliwienie zaakceptowania, odrzucenia lub modyfikacji preferencji plików cookie już z poziomu pierwszej warstwy,
    - jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) design przycisków,
    - jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) kolor przycisków,
    - jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) kontrast przycisków,
    - umożliwienie wycofania zgody na stosowanie plików cookie poprzez wyświetlanie małej ikony zapewniającej użytkownikom powrót do ich ustawień prywatności i modyfikację złożonych oświadczeń.

Czytaj także:

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".