Posted on

Zgoda na instalację cookies. Czy ciasteczka zaczynają się kruszyć?

W ostatnim czasie wydano dwa ważne orzeczenia dotyczące wykorzystania plików cookie przez operatorów witryn.

W pierwszej, Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Planet49, dotyczący standardów zgody i przejrzystości w zakresie stosowania plików cookie i podobnych technologii w kontekście dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) stwierdzając, że zgoda na instalację, poprzez zaznaczone domyślnie pole wyboru jest niewystarczająca do uzyskania standardowej zgody RODO na instalowanie plików cookies.

W drugiej, hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 30 000 € na hiszpańską linię lotniczą Vueling za zmuszanie odwiedzających jej stronę internetową do zaakceptowania instalacji plików cookies na ich urządzeniu, w celu kontynuacji przeglądania strony.

Poniżej przedstawiamy podsumowanie obu rozstrzygnięć, które wskazują najnowsze podejście sądów i europejskich organów ochrony danych w kwestii zgody na pliki cookies.

TSUE wydaje wyrok w sprawie Planet49

1 października 2019 r. TSUE wydał wyrok w sprawie Planet49, który dotyczył standardów zgody i przejrzystości korzystania z plików cookie i podobnych rozwiązań w kontekście dyrektywy o prywatności i łączności elektronicznej oraz RODO.

Trybunał orzekł, że domyślnie zaznaczona zgoda na udział loterii za pomocą wcześniej zaznaczonego pola wyboru nie jest wystarczająca do uzyskania standardowej zgody RODO na przechowywanie plików cookie użytkownika wymaganej przez dyrektywę o prywatności i łączności elektronicznej.

Tytułem wstępu – Planet49 GmbH to niemiecka firma zajmująca się produkcją gier online, która w oferowała loterię promocyjną. Aby wziąć udział w loterii użytkownicy musieli w formularzu podać m.in. swoje dane osobowe (imię, nazwisko, adres). Poniżej formularza znajdowały się dwa pola do wyboru:

  1. Pierwsze dotyczyło zaznaczenia zgody użytkownika na udostępnianie danych osobowych partnerom handlowym przez Planet49 i przekazywanie tych treści marketingowych. By wziąć udział w loterii użytkownik musiał zaznaczyć to pole.
  2. Drugie było wstępnie zaznaczone, jednak umożliwiało użytkownikom zrezygnowanie z akceptacji plików cookie poprzez jego odznaczenie. Instalacja plików cookies była potrzebna, by umożliwić Planet49 i dostawcom analityki internetowej wyświetlanie użytkownikom ukierunkowanych reklam behawioralnych. Udział w loterii był możliwy niezależnie od tego, czy to pole pozostało zaznaczone.

Najważniejsze kwestie kształtują się następująco:

  • Po pierwsze, wstępnie wybrane pole wyboru, które użytkownik musi odznaczyć, aby zapobiec wyrażeniu zgody na instalację cookies, nie stanowi ważnej zgody na mocy dyrektywy o prywatności i łączności elektronicznej oraz RODO, ponieważ zgoda taka nie jest konkretna. Trybunał podkreślił, że użytkownik mógł nie widzieć pola wyboru lub nie przeczytał informacji przed kontynuowaniem i udzieleniem „zgody”. Ponadto, biorąc pod uwagę motyw 32 preambuły RODO, który wyraźnie stanowi że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody, dziwiłoby gdyby TSUE doszedł do innych wniosków.

W związku z tym TSUE stwierdził również, że zgoda musi być konkretna. Fakt, że użytkownik kliknął przycisk „weź udział”, aby uczestniczyć w loterii promocyjnej nie może stanowić zgody na cele marketingowe i przetwarzanie plików cookies. Każdy zgoda musi zostać wyrażona osobno. Co ciekawe, Trybunał nie zajął się kwestią czy zgoda została udzielona dobrowolnie w kontekście pierwszego pola (zgody marketingowej).

  • Po drugie TSUE uznał, że nie ma znaczenia, czy informacje przechowywane lub uzyskiwane za pośrednictwem plików cookie stanowią dane osobowe. Standard zgody RODO powinien mieć również zastosowanie do zgody wynikającej z dyrektywy o prywatności i łączności elektronicznej. Jednak w tym przypadku dane cookie były w rzeczywistości danymi osobowymi, ponieważ łączyły imię, nazwisko i adres użytkownika z informacjami cookie za pomocą nadanego numeru rejestracyjnego.
  • Wreszcie, operatorzy stron internetowych muszą zapewnić użytkownikom jasne i wyczerpujące informacje, poprzedzające decyzję co do zgody na wykorzystanie plików cookie. W szczególności TSUE uważa, że ​​operatorzy stron internetowych muszą informować użytkowników o czasie działania plików cookie oraz o tym, czy podmioty trzecie będą miały dostęp do nich dostęp a jeśli tak, to wskazać te podmioty.

Vueling ukarany grzywną z powodu przymusowego akceptowania plików cookie przez użytkowników podczas odwiedzania jego strony www

W dniu 6 września 2019 r. hiszpański organ ochrony danych osobowych nałożył karę pieniężną w wysokości 30 000 € na hiszpańskie linie lotnicze Vueling za zmuszenie odwiedzających ich witrynę do przymusowego zaakceptowania instalacji plików cookie na ich urządzeniach w celu kontynuowania przeglądania witryny. Odwiedzający stronę Vueling został poinformowani jedynie, że:

„ może skonfigurować przeglądarkę w taki sposób, aby domyślnie akceptowała lub odrzucała wszystkie pliki cookie”,

lub

może w dowolnym momencie cofnąć zgodę na wykorzystanie plików cookie przez Vueling … [lub dostosować] ustawienia przeglądarki, w taki sposób aby zapobiec instalacji plików cookie”.

AEPD uznał, że informacja o możliwości zarządzania plikami cookies w przeglądarce jest niewystarczająca, a zgoda wyrażona poprzez kliknięcie okna kontynuuj przeglądanie nieważna – ponieważ Vueling nie oferował użytkownikom narzędzia, która umożliwia zarządzanie plikami cookies w ramach strony internetowej.

Grzywnę w wysokości 30 000 EUR zmniejszono później do 18 000 EUR ponieważ Vueling uznał, że naruszył prawo oraz zobowiązał się do szybkiej zapłaty grzywny. Co istotne, grzywnę nałożono za naruszenie ustawy krajowej a nie RODO. Dlatego operatorzy witryn powinni upewnić się, że każda zgoda na pliki cookie jest zgodna nie tylko z RODO, ale także z przepisami państw członkowskich UE.

Wnioski

Zarówno orzeczenie TSUE, jak i ustalenia AEPD w dużej mierze odzwierciedlają najnowszy kierunek regulacyjny w kwestii uzyskania wyraźnej (konkretnej) zgody na stosowanie plików cookie i podobnych technologii (np. wytyczne francuskiego i brytyjskiego organu ochrony danych osobowych).

Dla tych, którzy nadal polegają na standardach „miękkiej akceptacji” lub rezygnacji z plików cookie, wyrok TSUE i niedawne hiszpańskie działania regulacyjne w zakresie nadzoru, sygnalizują wyraźny ogólnoeuropejski komunikat, aby priorytetowo traktować zgodę na instalację plików cookies zgodnie z wymogami RODO.

Mając na względzie analizowane orzeczenia operatorzy witryn internetowych powinni rozważyć przejrzenie swoich procesów uzyskiwania zgody, zasad i powiadomień dotyczących plików cookie oraz przeprowadzić audyty plików cookie, aby zapewnić odpowiedni poziom zgody zgodnie z zaleceniami nie tylko organów krajowych, ale też europejskich.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *