Spis treści
Na jakie elementy Schrems zwracał uwagę? Przede wszystkim na brak okienka „odrzuć” w pierwszej warstwie, wprowadzający w błąd design linków, wprowadzające w błąd kolory przycisków, wprowadzający w błąd kontrast przycisków oraz niemożność łatwego wycofania zgody. Czy jego uwagi były słuszne? Zapraszamy do lektury naszego artykułu.
Ustawa prawo telekomunikacyjne i RODO –
gdzie przebiega granica
Ochronę poufności komunikacji w związku z wykorzystaniem plików cookie i podobnych rozwiązań regulują przede wszystkim:
- Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej „Dyrektywa 2002/58/WE”) oraz implementująca ją do polskiego porządku prawnego ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171 poz. 1800 z późn. zm., dalej „UPT”).
- Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).
Z racji nakładających się obowiązków określonych w przywołanych wyżej przepisach, pierwszą rzeczą jest określenie relacji między nimi. W tym zakresie pragnę zwrócić uwagę na dwa postanowienia:
- Motyw 10 Dyrektywy 2002/58/WE: (…) Dyrektywę 95/46/WE (zgodnie z treścią art. 94 ust. 1 RODO Dyrektywa 95/46/WE została uchylona ze skutkiem od 25.5.2018 r., a zakres jej regulacji przekazano pod reżim RODO) stosuje się w szczególności do wszystkich spraw dotyczących ochrony podstawowych praw i wolności, które nie są szczegółowo objęte przepisami niniejszej dyrektywy, włączając zobowiązania nałożone na kontrolera oraz prawa jednostek.
- Motyw 173 RODO: Niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają szczególnym obowiązkom mającym ten sam cel określonym w dyrektywie Parlamentu
Powyższe jest zgodne z doktryną, że prawo regulujące kwestie szczegółowe (lex specialis) ma pierwszeństwo przed prawem regulującym jedynie kwestie ogólne (lex generalis). Zatem bezpośrednie zastosowanie w zakresie zapisywania lub uzyskiwania dostępu do plików cookie zapisanych na urządzeniu końcowym abonenta lub użytkownika końcowego będzie miał art. 173 i 174 UPT. RODO będzie miało zastosowanie w całości, wyłączając kwestie uregulowane szczegółowo w UPT, dotyczące przede wszystkim warunków uzyskania zgody abonenta lub użytkownika końcowego.
Pozostałe przepisy RODO, w tym zasady określające jakość danych, prawa osób, których dane dotyczą, poufność i bezpieczeństwo przetwarzania oraz kwestie przekazywania danych osobowych do państw trzecich będą miały zastosowanie w całej rozciągłości.
Najedź na schemat i zobacz kolejne kroki
Zgoda (UPT)
Ograniczenie celu (RODO)
Minimalizacja danych (RODO)
Prawidłowość (RODO)
Ograniczenie przechowywania (RODO)
Integralność i poufność (RODO)
Jak odebrać zgodę na pliki cookies?
Przedmiotem dalszej analizy pozostaje zatem jedynie kwestia warunków odebrania zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego (rzutuje bezpośrednio na istotę wskazanego we wstępie rozstrzygnięcia). Bez znaczenia dla dalszej analizy pozostaje fakt, czy informacje przechowywane na urządzeniu końcowym abonenta lub użytkownika końcowego (np. pliki cookie) stanowią dane osobowe, czy nie, gdyż zgodnie z orzeczeniem TSUE (C 673/17 w sprawie Planet49) sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 Dyrektywy 2002/58/WE w związku z art. 2 lit. h) Dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) RODO, nie powinien być różny w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe na gruncie art. 173 ust. 1 UPT. Instalowanie plików cookie oraz korzystanie z informacji już zapisanych na urządzeniu końcowym dopuszczalne jest po wyrażeniu zgody przez abonenta lub użytkownika końcowego. Przed wyrażeniem zgody użytkownik musi zostać poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:
- Celu przechowywania i uzyskiwania dostępu do tych informacji (np. plików cookie).
- Możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji za pomocą ustawień oprogramowania, zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
Art. 173 ust. 2 UPT wskazuje, że abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, dodając równocześnie (art. 174 UPT), że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych, a zatem powinna ona stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Równocześnie należy zaznaczyć, że UPT obejmuje swoim zakresem regulacji działania o różnej naturze i rozmaitym charakterze. W konsekwencji, szczególnego znaczenia nabiera wymóg konkretności w kontekście zgód wyrażanych na mocy UPT (P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).
Na gruncie art. 4 pkt 11 RODO możliwe jest odebranie zgody na przetwarzanie danych osobowych poprzez wyraźne działanie potwierdzające (z takim działaniem mamy do czynienia w sytuacji uzyskiwania zgody za pomocą ustawień przeglądarki). Grupa Robocza Art. 29 w opinii 2/2010 w sprawie internetowych reklam behawioralnych wskazuje, że zgoda może zostać udzielona na różne sposoby – jeśli jest to możliwe z technicznego punktu widzenia, skuteczne i zgodne z innymi obowiązującymi wymogami – zaznaczając równocześnie, że w przypadku zgody odbieranej poprzez ustawienia przeglądarki jedynie w bardzo nielicznych sytuacjach pozostanie ona skuteczna, ponieważ:
- Nie można domniemywać zgody użytkowników na podstawie faktu, że nabyli lub wykorzystali przeglądarkę lub inną aplikację działającą w określony sposób. Takie podejście oznacza, że zgoda zależy głównie od budowy aplikacji opracowanych przez strony trzecie, takich jak wyszukiwarki, lub od sposobu ich wprowadzenia na rynek, tj. z ustawieniami prywatności nastawionymi na akceptowanie plików cookie. Jak wskazano powyżej, co do zasady, przeciętni użytkownicy nie są świadomi zbierania danych i śledzenia ich zachowania, celów takiego śledzenia itp. Złudzeniem byłoby oczekiwanie, że brak działania użytkownika uznać można za jasne i jednoznaczne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie.
-
E-learning RODO to już standard!
Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.ZOBACZ WIĘCEJ - Zgoda wyrażona poprzez ustawienie wyszukiwarki na przyjmowanie wszystkich plików cookie pozwala założyć, że użytkownicy akceptują przyszłe przetwarzanie mimo, że nie mają żadnej wiedzy o jego celach i zastosowaniach plików cookie. Takie zezwolenie na wszelkiego rodzaju przyszłe przetwarzanie bez wiedzy o jego okolicznościach nie może stanowić ważnej zgody.
Powyższe prowadzi do wniosku, że jedynie zastosowanie mechanizmu opt-in gwarantuje odbieranie zgody w sposób zgodny z przepisami o ochronie danych osobowych.
Jak żyć?
W celu zapewnienia zgodności sposobu zapisywania i dalszego wykorzystania plików cookie z przepisami o ochronie danych osobowych oraz orzecznictwem rekomendujemy:
- Implementację na stronie internetowej narzędzia klasy CMP (Consent Management Platform), umożliwiającego selektywne pozyskanie wymaganych zgód (m.in. w zakresie wykorzystania funkcjonalnych, reklamowych, analitycznych plików cookies).
- Stworzenie okienek zawierających zgodę na cookies zgodnie z zasadą przejrzystości poprzez:
- umożliwienie zaakceptowania, odrzucenia lub modyfikacji preferencji plików cookie już z poziomu pierwszej warstwy,
- jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) design przycisków,
- jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) kolor przycisków,
- jednakowy dla każdej opcji (zaakceptuj, odrzuć, modyfikuj) kontrast przycisków,
- umożliwienie wycofania zgody na stosowanie plików cookie poprzez wyświetlanie małej ikony zapewniającej użytkownikom powrót do ich ustawień prywatności i modyfikację złożonych oświadczeń.