Bierna zgoda na „cookies”: możliwa czy nie?

„Skoro nie mają chleba, to niech jedzą ciastka” – miała powiedzieć królowa Maria Antonina, chociaż  nie ma nawet pół dowodu na to, że faktycznie tak zrobiła. Jak widać ciastka, czyli angielskie „cookies” nie od dziś są problematyczne. Obecnie może nawet bardziej niż kiedyś, bo poza tymi, które idą w boczki, brzuchy i co tam jeszcze chcesz, mamy też wirtualne ciasteczka. I to jeszcze takie, na które wymagają zgody. Ostatnio  Trybunał Sprawiedliwości Unii Europejskiej wziął cookies na warsztat. I przy okazji rozciągnął stosowanie  pewnych zapisów RODO na dane, które osobowymi nie są. Taki „RODO effect”.

 

 

Tradycyjne ciasteczka idą w "boczki" za to wirtualne mogą wręcz wyjść bokiem

Tradycyjne ciasteczka idą w „boczki” za to wirtualne mogą wręcz wyjść bokiem

 

 

COOKIES: CO TO JEST ?

 

 

 

 Dobra wiadomość  jest taka, że  definicja plików cookie nie wzbudza kontrowersji choć w prawie  unijnym czy polskim jej nie ma. Bo to po prostu termin techniczny.

 

Ciasteczka to drobne pliki tekstowe umieszczane na dysku twardym komputera – trwale lub tymczasowo – podczas odwiedzin strony internetowej, powiadamiające serwer, że w przeszłości wysyłano już z tego samego komputera zapytanie o dany adres WWW.

Ciacho  jest tworzone przez przeglądarkę internetową użytkownika, ale odbywa się to  na żądanie serwera strony, która określa zawartość pliku. Czyli serwer wysyła plik, ale  tak naprawdę ciasteczko zostaje na Twoim  komputerze i to on nim „rządzi”, że tak powiem.   Serwer strony internetowej korzysta za to z  informacji zapisanych w cookie, a ponieważ wcześniej  sam określił treść ciasteczka,  to najczęściej tylko ten serwer jest w stanie odczytać owo ciacho.  I to dlatego musisz się miliard razy zgadzać na  cookies bo co strona to inny serwer i inne ciasteczka.

 

 

 

bierna zgoda na cookies to chyba niemożliwe co?

Makaroniki. te sympatyczne, kolorowe ciasteczka, jak wieść niesie, pochodzą z Francji

 

 

 

 

 

 

BIERNA ZGODA NA COOKIES CZYLI PLANET24 GmbH ORGANIZUJE LOTERIĘ

 

Zaczęło się od tego, że  niemiecka firma Planet24 GmbH zorganizowała loterię online. Można  było wygrać macbooka. Żeby wziąć udział, zainteresowany musiał podać swój adres  kontaktowy. Pod polami do wpisania adresu  były dwa  oświadczenia wraz z okienkami wyboru. 

Jeśli zaznaczyłeś pierwsze okienko, to oświadczałeś, że się zgadzasz na otrzymywanie „listownie lub telefonicznie, lub emailem/SMS-em” informacji o ofertach z obszaru działalności sponsorów i partnerów loterii. Oczywiście zgodę  mogłeś w każdej chwili cofnąć, a lista tych partnerów i sponsorów była znana.  Żeby się zgodzić, musiałeś „zaptaszkować” okienko  przy tym  oświadczeniu.

Drugie oświadczenie, było wyrażeniem zgody na zastosowanie wobec uczestnika loterii usługi analizy internetowej. Jako uczestnik loterii dowiadywałeś się, że po zarejestrowaniu Planet24 zainstaluje Ci  pliki cookie po to, żeby na podstawie Twojego zachowania  w zakresie  odwiedzania stron partnerów reklamowych Planet24 dopasować dopasować reklamy do Twoich preferencji. Oczywiście zgodę na instalację ciasteczek mogłeś cofnąć w każdej chwili. Do  tego firma bardzo obszernie wyjaśniała czym są pliki cookies i jakie konkretnie informacje  na temat Twoich zachowań  będą zbierać.

Szkopuł tkwił w tym, że  okienko wyboru przy tej zgodzie na cookies  było już wypełnione. „Zaptaszkowane”. Żeby  odmówić zgody na ciasteczka, musiałeś więc je „odptaszkować”. 

I to się nie spodobało niemieckim organizacjom broniącym  praw konsumentów. Uznały, że  takie  wypełnianie okienka zgody i zmuszanie użytkownika do   usunięcia zaznaczenia w celu niewyrażenia zgody na ciasteczka  jest sprzeczne z niemieckim prawem cywilnym, prawem ochrony konkurencji, a do tego jeszcze unijną dyrektywą 95/46 o ochronie danych osobowych oraz dyrektywą 2002/58 o prywatności i łączności elektronicznej, Zdaniem niemieckich organizacji konsumenckich  takie uprzednie „zaptaszkowanie” zgody  na ciasteczka, które  zbierają od użytkownika dane osobowe w celu dopasowania reklam  to bierna zgoda na cookies  i w ich ocenie  taka forma zgody  jest zabroniona.

 

 

Bierna zgoda na cookies? Nie jeśli to pierniczki.

Bierna zgoda na „cookies”? Stanowczo odpada w przypadku pierniczków. Pierniczki konsumuje tylko czynnie.

 

 

 

BIERNA ZGODA NA COOKIES NIEMOŻLIWA?  WĄTPLIWOŚĆ NIEMIECKIEGO SĄDU

 

 

 

 

Jak  czytasz mojego bloga to już się domyślasz co  było dalej. No jasne, że sprawa przetoczyła się przez parę instancji, aż wreszcie dotarła do  Federalnego Trybunału Sprawiedliwości Niemiec, który  miał poważne wątpliwości  co do treści prawa unijnego  no i  w ten sposób sprawa wylądowała w trybie pytania prejudycjalnego  przed Trybunałem Sprawiedliwości  Unii Europejskiej (TSUE)  pod sygnaturą  C-673/17. Wyrok w tej sprawie jest świeżutki, bo zapadł 1 października  2019 r.

 Niemiecki  Trybunał zapytał TSUE  między innymi o to:

  • czy zgodnie z dyrektywą 2002/58  58 o prywatności i łączności elektronicznej w ogóle można uznać, ze użytkownik  się zgodził na dostęp do informacji na jego komputerze gdy  okienko zgody jest zaznaczone domyślnie i trzeba  je „odptaszkować” żeby zgody odmówić?

  • Czy na to czy taka bierna zgoda na cookies jest  dozwolona ma  jakiś wpływ to czy te informacje pobierane przez ciasteczka z komputera użytkownika  to  dane osobowe  czy inne dane?

  • Czy  wyrażenie takiej biernej, uprzednio  „zaptaszkowanej” zgody na cookies jest  zgodne z art. 6 ust.1 lit a)  rozporządzenia 2016/679  czyli słynnego RODO. Innymi słowy czy  delikwent się może  ten sposób skutecznie  zgodzić  na  przetwarzanie swoich danych osobowych  zakładając, że ciasteczka faktycznie będą zbierać dane osobowe?

Jeszcze więcej ciasteczek

 

 

 

 

 

BIERNA ZGODA NA COOKIES PRZY DANYCH OSOBOWYCH ODPADA

 

 

Jeśli  jako tako orientujesz się w orzecznictwie  TSUE na temat dyrektywy 95/46 o ochronie danych osobowych  i masz  blade pojęcie o RODO, to wiesz że  co do  takiego uprzedniego „zaptaszkowania” zgody  na dostęp ciasteczek do danych osobowych  odpowiedź jest tylko jedna. Nic z tego. Taka zgoda  na przetwarzanie danych osobowych nie jest skuteczna zdaniem TSUE.

Dlaczego?  Ano zgodnie z orzecznictwem TSUE  możesz skutecznie wyrazić zgodę na  przetwarzanie swoich danych osobowych tylko  czynnie,  konkretnie i jednoznacznie.

 

 I tak, zgodnie z art. 7 lit a) dyrektywy 95/46, zgoda na przetwarzanie danych osobowych   musi być jednoznacznie wyrażona.  Sam wymóg  jednoznaczności oznacza w ocenie TSUE tylko czynne zachowanie. Musisz coś zrobić a nie powstrzymać się od robienia żeby taką zgodę dać.   Co więcej  ten  wymóg czynności  przy  udzielaniu zgody  wynika tez zdaniem TSUE z art.  5 ust 3 dyrektywy 2002/58. Zgodnie z  tym artykułem Ty jako użytkownik powinien  eś mieć możliwość   udzielenia zgody na przetwarzanie danych osobowych „po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania”.

 Samo „wyrażenie  zgody” oznacza zdaniem TSUE, że nie da się tego zrobić w bierny sposób. Musisz zadziałać żeby zgodę dać.   Uprzednio „zaptaszkowane”  okienko tego wymogu nie spełnia bo to jest bierna zgoda na cookies, które będą przetwarzać Twoje dane osobowe. Poza tym  takie uprzednio wypełnione okienko zgody  wprowadza wątpliwość: w żaden sposób nie da się stwierdzić, czy to Ty  zostawiłeś „ptaszka” celowo  czy po prostu nie doczytałeś  do końca i  ominąłeś  takie oświadczenie.   I w te oto posty sposób  żadnej zgody w czynny sposób nie wyrażasz, a jednak na przeważanie  swoich danych  osobowych się  zgodziłeś. Coś tu ewidentnie nie gra, prawda? I trudno się z TSUE nie zgodzić.

Do tego zgodnie  z dyrektywą 2002/58 oraz 95/46, Twoja zgoda musi być konkretna, czyli  odnosić się dokładnie do określonego  przetwarzania Twoich danych osobowych  i niedopuszczalne jest żadne gdybanie  na co to się zgodziłeś.

 Po wejściu w życie RODO, taka konieczność  działania, czynnego zachowania dla skutecznego wyrażenia zgody na przetwarzanie danych osobowych  jest jeszcze bardziej oczywista.  W art. 4 ust. 11 RODO   wyczytasz wprost, że  Twoja zgoda to mus być wyrażenie woli.  Do tego taką wolę musisz OKAZAĆ dobrowolnie, konkretnie, świadomie i jednoznacznie, w formie oświadczenia lub wyraźnego działania potwierdzającego, że  zgadzasz się  na przetwarzanie Twoich danych osobowych. 

Tak, że  bierna zgoda na cookies, które będą zbierać Twoje dane osobowe jest wykluczona  już w zasadzie w samym przepisie RODO.  Śmiem twierdzić, że   orzeczenia TSUE już nawet nie są  tu potrzebne.

 

 

Nie ma to jak kawal tortu.

Ciasteczka, ciasteczkami, ale bądźmy szczerzy : nie ma to jak kawał tortu:)

 

 

 

A CO  GDY „COOKIES” NIE ZBIERAJĄ TWOICH DANYCH OSOBOWYCH ? 

 

 

Czyli co do zbierania przez „ciasteczka” Twoich danych osobowych sprawa jest jasna. Żadne uprzednio zakreślone okienko  zgody nie wchodzi w grę. Ale co  jeśli „cookies” nie zbierają  Twoich danych osobowych? Co  jeśli  będą przetwarzać  dane, które  w żadne sposób Cię nie zidentyfikują  albo identyfikacja będzie bardzo utrudniona? 

Czy zgoda  na  przetwarzanie takich danych też może być  uprzednio

„zaptaszkowana” ? Otóż daniem  TSUE: nie, nie może.

Dlaczego?  Bo zdaniem  TSUE nie ma znaczenia, czy przechowywane lub udostępniane informacje stanowią dane osobowe. Czemu?

Ano spójrz jak brzmi art. 5 ust.3 dyrektywy 2002/58:

3. Państwa członkowskie zapewniają, aby PRZECHOWYWANIE INFORMACJI  LUB  UZYSKANIE DOSTĘPU DO INFORMACJI już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone WYŁĄCZNIE POD WARUNKIEM ŻE DANY ABONENT LUB UŻYTKOWNIK WYRAZIŁ ZGODĘ ZGODNIE Z DYREKTYWĄ 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. (..)”

 W ustępie 3 nie jest wcale powiedziane, że te informacje  użytkownika co to ma mieć do nich dostęp, albo tylko je przechowywać, osoba trzecia to muszą  być dane osobowe. Chodzi o jakiekolwiek informacje i ochrona jest identyczna czyli zgoda na dostęp albo przechowanie  takich informacji musi być  wyrażona zgodnie z dyrektywą 95/46 o ochronie danych osobowych. A że  dyrektywę od maja 2018  zastąpiło RODO, to zgodnie z RODO.

Widzisz, co się właśnie stało?   Trybunał rozciągnął „efekt RODO” na informacje, które nie są danymi osobowymi.    Co z tego wynika?

Ano, że w Unii nie ma prawnej możliwości  skutecznego wyrażenia zgody na „ciasteczka”   w inny sposób niż czynnie, jednoznacznie i konkretnie .  I zawsze, ZAWSZE przez działanie. Bierna zgoda na cookies jest wykluczona.

Tak, że żadnego uprzedniego „zaptaszkowywania”. Odpada.

I  widzisz jak to jest? Z jednej strony  czasem się wydaje, że cały internet nie robi nic innego tylko zbiera dane na Twój temat i  to często w mocno nieoczekiwany sposób jak pisałam we wpisie o problemach z wtyczkami. A z drugiej strony  mamy trend  zwiększania prawnej ochrony  prywatności w sieci. Na razie  chyba punkt dla  tych co zbierają informacje, bo,  jak pisałam ostatnio,  z usunięciem  informacji z  sieci  globalnie  są potężne kłopoty.

Pozdrawiam ciasteczkowo, Prawstoria


Avatar

Prawstoria

Lepiej próbować i się mylić, niż siedzieć na czterech literach i narzekać. Jestem  typem, któremu zawsze mało. Stawiam na jakość , krytyczne myślenie i poczucie humoru. Nie chadzam na skróty, chyba, że nie mam wyboru. Jako kompletny  analfabeta techniczny zdecydowałam, że sama poprowadzę bloga. Strona techniczna tak  mnie wciągnęła, że  zaczęłam się na poważnie interesować prawem IT  i w ogóle nowych technologii.  W realnym świecie pracuję  w bardzo innowacyjnej branży, trzymam kilka srok za ogon i  nie zajmuję się wyłącznie prawem, bo umarłabym z nudów.

0 Komentarzy

Dodaj komentarz

Twój adres email nie zostanie opublikowany.