Bierna zgoda na cookies czyli ciacho w erze RODO
Bierna zgoda na „cookies”: możliwa czy nie?
„Skoro nie mają chleba, to niech jedzą ciastka” – miała powiedzieć królowa Maria Antonina, chociaż nie ma nawet pół dowodu na to, że faktycznie tak zrobiła. Jak widać ciastka, czyli angielskie „cookies” nie od dziś są problematyczne. Obecnie może nawet bardziej niż kiedyś, bo poza tymi, które idą w boczki, brzuchy i co tam jeszcze chcesz, mamy też wirtualne ciasteczka. I to jeszcze takie, na które wymagają zgody. Ostatnio Trybunał Sprawiedliwości Unii Europejskiej wziął cookies na warsztat. I przy okazji rozciągnął stosowanie pewnych zapisów RODO na dane, które osobowymi nie są. Taki „RODO effect”.
COOKIES: CO TO JEST ?
Dobra wiadomość jest taka, że definicja plików cookie nie wzbudza kontrowersji choć w prawie unijnym czy polskim jej nie ma. Bo to po prostu termin techniczny.
Ciasteczka to drobne pliki tekstowe umieszczane na dysku twardym komputera – trwale lub tymczasowo – podczas odwiedzin strony internetowej, powiadamiające serwer, że w przeszłości wysyłano już z tego samego komputera zapytanie o dany adres WWW.
Ciacho jest tworzone przez przeglądarkę internetową użytkownika, ale odbywa się to na żądanie serwera strony, która określa zawartość pliku. Czyli serwer wysyła plik, ale tak naprawdę ciasteczko zostaje na Twoim komputerze i to on nim „rządzi”, że tak powiem. Serwer strony internetowej korzysta za to z informacji zapisanych w cookie, a ponieważ wcześniej sam określił treść ciasteczka, to najczęściej tylko ten serwer jest w stanie odczytać owo ciacho. I to dlatego musisz się miliard razy zgadzać na cookies bo co strona to inny serwer i inne ciasteczka.
BIERNA ZGODA NA COOKIES CZYLI PLANET24 GmbH ORGANIZUJE LOTERIĘ
Zaczęło się od tego, że niemiecka firma Planet24 GmbH zorganizowała loterię online. Można było wygrać macbooka. Żeby wziąć udział, zainteresowany musiał podać swój adres kontaktowy. Pod polami do wpisania adresu były dwa oświadczenia wraz z okienkami wyboru.
Jeśli zaznaczyłeś pierwsze okienko, to oświadczałeś, że się zgadzasz na otrzymywanie „listownie lub telefonicznie, lub emailem/SMS-em” informacji o ofertach z obszaru działalności sponsorów i partnerów loterii. Oczywiście zgodę mogłeś w każdej chwili cofnąć, a lista tych partnerów i sponsorów była znana. Żeby się zgodzić, musiałeś „zaptaszkować” okienko przy tym oświadczeniu.
Drugie oświadczenie, było wyrażeniem zgody na zastosowanie wobec uczestnika loterii usługi analizy internetowej. Jako uczestnik loterii dowiadywałeś się, że po zarejestrowaniu Planet24 zainstaluje Ci pliki cookie po to, żeby na podstawie Twojego zachowania w zakresie odwiedzania stron partnerów reklamowych Planet24 dopasować dopasować reklamy do Twoich preferencji. Oczywiście zgodę na instalację ciasteczek mogłeś cofnąć w każdej chwili. Do tego firma bardzo obszernie wyjaśniała czym są pliki cookies i jakie konkretnie informacje na temat Twoich zachowań będą zbierać.
Szkopuł tkwił w tym, że okienko wyboru przy tej zgodzie na cookies było już wypełnione. „Zaptaszkowane”. Żeby odmówić zgody na ciasteczka, musiałeś więc je „odptaszkować”.
I to się nie spodobało niemieckim organizacjom broniącym praw konsumentów. Uznały, że takie wypełnianie okienka zgody i zmuszanie użytkownika do usunięcia zaznaczenia w celu niewyrażenia zgody na ciasteczka jest sprzeczne z niemieckim prawem cywilnym, prawem ochrony konkurencji, a do tego jeszcze unijną dyrektywą 95/46 o ochronie danych osobowych oraz dyrektywą 2002/58 o prywatności i łączności elektronicznej, Zdaniem niemieckich organizacji konsumenckich takie uprzednie „zaptaszkowanie” zgody na ciasteczka, które zbierają od użytkownika dane osobowe w celu dopasowania reklam to bierna zgoda na cookies i w ich ocenie taka forma zgody jest zabroniona.
BIERNA ZGODA NA COOKIES NIEMOŻLIWA? WĄTPLIWOŚĆ NIEMIECKIEGO SĄDU
Jak czytasz mojego bloga to już się domyślasz co było dalej. No jasne, że sprawa przetoczyła się przez parę instancji, aż wreszcie dotarła do Federalnego Trybunału Sprawiedliwości Niemiec, który miał poważne wątpliwości co do treści prawa unijnego no i w ten sposób sprawa wylądowała w trybie pytania prejudycjalnego przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE) pod sygnaturą C-673/17. Wyrok w tej sprawie jest świeżutki, bo zapadł 1 października 2019 r.
Niemiecki Trybunał zapytał TSUE między innymi o to:
- czy zgodnie z dyrektywą 2002/58 58 o prywatności i łączności elektronicznej w ogóle można uznać, ze użytkownik się zgodził na dostęp do informacji na jego komputerze gdy okienko zgody jest zaznaczone domyślnie i trzeba je „odptaszkować” żeby zgody odmówić?
- Czy na to czy taka bierna zgoda na cookies jest dozwolona ma jakiś wpływ to czy te informacje pobierane przez ciasteczka z komputera użytkownika to dane osobowe czy inne dane?
- Czy wyrażenie takiej biernej, uprzednio „zaptaszkowanej” zgody na cookies jest zgodne z art. 6 ust.1 lit a) rozporządzenia 2016/679 czyli słynnego RODO. Innymi słowy czy delikwent się może ten sposób skutecznie zgodzić na przetwarzanie swoich danych osobowych zakładając, że ciasteczka faktycznie będą zbierać dane osobowe?
BIERNA ZGODA NA COOKIES PRZY DANYCH OSOBOWYCH ODPADA
Jeśli jako tako orientujesz się w orzecznictwie TSUE na temat dyrektywy 95/46 o ochronie danych osobowych i masz blade pojęcie o RODO, to wiesz że co do takiego uprzedniego „zaptaszkowania” zgody na dostęp ciasteczek do danych osobowych odpowiedź jest tylko jedna. Nic z tego. Taka zgoda na przetwarzanie danych osobowych nie jest skuteczna zdaniem TSUE.
Dlaczego? Ano zgodnie z orzecznictwem TSUE możesz skutecznie wyrazić zgodę na przetwarzanie swoich danych osobowych tylko czynnie, konkretnie i jednoznacznie.
I tak, zgodnie z art. 7 lit a) dyrektywy 95/46, zgoda na przetwarzanie danych osobowych musi być jednoznacznie wyrażona. Sam wymóg jednoznaczności oznacza w ocenie TSUE tylko czynne zachowanie. Musisz coś zrobić a nie powstrzymać się od robienia żeby taką zgodę dać. Co więcej ten wymóg czynności przy udzielaniu zgody wynika tez zdaniem TSUE z art. 5 ust 3 dyrektywy 2002/58. Zgodnie z tym artykułem Ty jako użytkownik powinien eś mieć możliwość udzielenia zgody na przetwarzanie danych osobowych „po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania”.
Samo „wyrażenie zgody” oznacza zdaniem TSUE, że nie da się tego zrobić w bierny sposób. Musisz zadziałać żeby zgodę dać. Uprzednio „zaptaszkowane” okienko tego wymogu nie spełnia bo to jest bierna zgoda na cookies, które będą przetwarzać Twoje dane osobowe. Poza tym takie uprzednio wypełnione okienko zgody wprowadza wątpliwość: w żaden sposób nie da się stwierdzić, czy to Ty zostawiłeś „ptaszka” celowo czy po prostu nie doczytałeś do końca i ominąłeś takie oświadczenie. I w te oto posty sposób żadnej zgody w czynny sposób nie wyrażasz, a jednak na przeważanie swoich danych osobowych się zgodziłeś. Coś tu ewidentnie nie gra, prawda? I trudno się z TSUE nie zgodzić.
Do tego zgodnie z dyrektywą 2002/58 oraz 95/46, Twoja zgoda musi być konkretna, czyli odnosić się dokładnie do określonego przetwarzania Twoich danych osobowych i niedopuszczalne jest żadne gdybanie na co to się zgodziłeś.
Po wejściu w życie RODO, taka konieczność działania, czynnego zachowania dla skutecznego wyrażenia zgody na przetwarzanie danych osobowych jest jeszcze bardziej oczywista. W art. 4 ust. 11 RODO wyczytasz wprost, że Twoja zgoda to mus być wyrażenie woli. Do tego taką wolę musisz OKAZAĆ dobrowolnie, konkretnie, świadomie i jednoznacznie, w formie oświadczenia lub wyraźnego działania potwierdzającego, że zgadzasz się na przetwarzanie Twoich danych osobowych.
Tak, że bierna zgoda na cookies, które będą zbierać Twoje dane osobowe jest wykluczona już w zasadzie w samym przepisie RODO. Śmiem twierdzić, że orzeczenia TSUE już nawet nie są tu potrzebne.
A CO GDY „COOKIES” NIE ZBIERAJĄ TWOICH DANYCH OSOBOWYCH ?
Czyli co do zbierania przez „ciasteczka” Twoich danych osobowych sprawa jest jasna. Żadne uprzednio zakreślone okienko zgody nie wchodzi w grę. Ale co jeśli „cookies” nie zbierają Twoich danych osobowych? Co jeśli będą przetwarzać dane, które w żadne sposób Cię nie zidentyfikują albo identyfikacja będzie bardzo utrudniona?
Czy zgoda na przetwarzanie takich danych też może być uprzednio
„zaptaszkowana” ? Otóż daniem TSUE: nie, nie może.
Dlaczego? Bo zdaniem TSUE nie ma znaczenia, czy przechowywane lub udostępniane informacje stanowią dane osobowe. Czemu?
Ano spójrz jak brzmi art. 5 ust.3 dyrektywy 2002/58:
„3. Państwa członkowskie zapewniają, aby PRZECHOWYWANIE INFORMACJI LUB UZYSKANIE DOSTĘPU DO INFORMACJI już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone WYŁĄCZNIE POD WARUNKIEM ŻE DANY ABONENT LUB UŻYTKOWNIK WYRAZIŁ ZGODĘ ZGODNIE Z DYREKTYWĄ 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. (..)”
W ustępie 3 nie jest wcale powiedziane, że te informacje użytkownika co to ma mieć do nich dostęp, albo tylko je przechowywać, osoba trzecia to muszą być dane osobowe. Chodzi o jakiekolwiek informacje i ochrona jest identyczna czyli zgoda na dostęp albo przechowanie takich informacji musi być wyrażona zgodnie z dyrektywą 95/46 o ochronie danych osobowych. A że dyrektywę od maja 2018 zastąpiło RODO, to zgodnie z RODO.
Widzisz, co się właśnie stało? Trybunał rozciągnął „efekt RODO” na informacje, które nie są danymi osobowymi. Co z tego wynika?
Ano, że w Unii nie ma prawnej możliwości skutecznego wyrażenia zgody na „ciasteczka” w inny sposób niż czynnie, jednoznacznie i konkretnie . I zawsze, ZAWSZE przez działanie. Bierna zgoda na cookies jest wykluczona.
Tak, że żadnego uprzedniego „zaptaszkowywania”. Odpada.
I widzisz jak to jest? Z jednej strony czasem się wydaje, że cały internet nie robi nic innego tylko zbiera dane na Twój temat i to często w mocno nieoczekiwany sposób jak pisałam we wpisie o problemach z wtyczkami. A z drugiej strony mamy trend zwiększania prawnej ochrony prywatności w sieci. Na razie chyba punkt dla tych co zbierają informacje, bo, jak pisałam ostatnio, z usunięciem informacji z sieci globalnie są potężne kłopoty.
Pozdrawiam ciasteczkowo, Prawstoria
