Obecnie prawie każda organizacja posiada swoją stronę internetową, a coraz więcej z nich wchodzi również w bardziej interaktywne relacje z odbiorcami ich treści w Internecie. Warto w takim przypadku zadbać o właściwą politykę dotyczącą plików „cookies” (ciasteczek).
Poniżej zapraszam do artykułu Marzeny Dobner, świetnie zapowiadającej się przyszłej prawnik, w którym autorka szczegółowo analizuje wymogi prawne i praktyczne aspekty używania plików „cookies”. Artykuł powstał w ramach współpracy z kancelarią 4NGO Kancelaria Radcy PrawnegoPiotr Jaros.
Prawne aspekty polityki „cookies” w kontekście RODO
Witryny internetowe bardzo często korzystają z małych plików tekstowych zwanych „cookies” (ciasteczek), zawierających dane o urządzeniu końcowym użytkownika, takim jak komputer lub smartfon. Ze względu na funkcje istnieją zarówno ciasteczka ułatwiające poprawne ładowanie strony internetowej na konkretnym urządzeniu, niezbędne do poprawnego korzystania z witryny, jak również wykorzystujące dane związane bezpośrednio z konkretnym użytkownikiem.
Są to zarówno dane autoryzacji użytkownika (hasła, koszyki zakupów) lub inne dane identyfikacyjne (takie jak np. odwiedzane przez użytkownika witryny i czas na nich spędzony, kliknięte bannery reklamowe). Pierwszy typ danych, gromadzonych dla celów ściśle technicznych i warunkujących prawidłowość świadczonej usługi, wymaga jedynie określenia zakresu pobieranych informacji w polityce prywatności. Natomiast problematyczne w perspektywie ochrony danych osobowych są dwa ostatnie typy danych – dane autoryzacji i inne dane identyfikacyjne – umożliwiające powiązanie aktywności w sieci z konkretnym, społecznie identyfikowalnym użytkownikiem i jego preferencjami. Tego typu dane są często wykorzystywane w celach pozatechnicznych, takich jak reklama behawioralna, czyli dostosowana do preferencji konkretnego użytkownika na podstawie wykorzystywania plików „cookies”.
„Cookies” a ePrivacy
Kwestię zastosowania tychże narzędzi i wynikających z nich obowiązków właścicieli witryn internetowych stosujących „ciasteczka” uzasadnia motyw 25 unijnego Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego orazochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej),
dalej jako: ePrivacy.
Właściciele witryn stosujących „ciasteczka” – będący zwykle jednocześnie administratorami danych – co do zasady nie łamią prawa. Wykorzystują w istocie narzędzia, które są nie tylko użyteczne – m.in. w analizowaniu skuteczności projektu strony internetowej i reklamy oraz w sprawdzaniu tożsamości użytkowników prowadzących transakcje w systemie on-line – ale także prawnie dopuszczalne, jeśli służą do prawnie dopuszczalnych celów, takich jak ułatwienie dostarczania usług społeczeństwa informacyjnego. Poza uzasadnionym interesem administratora danych mieszczą się wszelkie przejawy nadmiernej ingerencji w prywatność użytkownika. Niedopuszczalne jest więc np. permanentne zbieranie
informacji o lokalizacji lub integrowanie danych z innych źródeł, a także
przekazywanie zebranych danych podmiotom trzecim bez zgody użytkownika. Tym niemniej warunkiem legalności zastosowania „cookies”
w witrynach powinno być spełnienie przez właściciela serwisu szeregu obowiązków informacyjnych.
Zgodnie z zapisami motywu 25 ePrivacy informacje udzielone na temat polityki stosowania „ciasteczek” lub podobnego narzędzia (np. Web storage – technologia podobna do ciasteczek – i IndexedDB, czyli baza danych przechowywana lokalnie przez przeglądarkę) powinny być umieszczone na użytkowanym przez nich terminalu. Komunikaty te muszą przy tym być na tyle wyraźne i dokładne, by użytkownik mógł zapoznać się ze skonkretyzowanym celem stosowania „cookies” lub innego narzędzia podobnego typu oraz skutecznie zawiadomić właściciela, że został zapoznany z polityką „ciasteczek” i wyraża zgodę na jego stosowanie w tymże konkretnym celu. Owa zgoda nie może być dorozumiana, ale musi być świadoma, dobrowolna i jednoznaczna. W praktyce po zapoznaniu się z informacjami od właściciela witryny użytkownik musi np. mieć możliwość samodzielnego oznaczenia w interfejsie pola z oświadczeniem o akceptacji warunków polityki „cookies” lub analogicznego, osobnego pola o braku zgody na „ciasteczka”. Co istotne, metody udostępniania informacji wymagające udzielenia takiej zgody powinny być jak najbardziej przyjazne dla użytkownika. Sam interfejs udzielenia zgody powinien kierować do użytkownika precyzyjne informacje, czego zgoda dotyczy i jakie są konsekwencje jej podjęcia. Odgórne zaznaczanie stosownych okienek na formularzach internetowych lub bazowanie na domyślnych ustawieniach przeglądarki jest niedopuszczalne.
Bardzo ważna jest także kwestia umożliwienia użytkownikowi udzielenia
odmowy na sposób przechowywania „ciasteczek”, i to jeszcze przed ustawianiem i używaniem identyfikatorów przez właściciela witryny. Użytkownicy powinni mieć więc możliwość wyraźnego oświadczenia, że nie wyrażają zgody na przechowywanie „cookies” lub stosowanie podobnego narzędzia w ich terminalu. Uprawnienie do odmowy jest
szczególnie istotne w sytuacji, jeśli dostęp do terminali i przechowywanych na nich danych, zawierających informacje szczególnie chronione ze względu na prywatność, mają także inni użytkownicy niż dany użytkownik początkowy. Informacja i prawo do odmowy mogą być oferowane jednorazowo dla różnego rodzaju narzędzi instalowanych w terminalu użytkownika w czasie tego samego połączenia oraz mogą obejmować wszelkie dalsze korzystanie z tych narzędzi w trakcie kolejnych połączeń.
Właściciele witryn muszą również umożliwić użytkownikom cofnięcie już udzielonej zgody. Również metody udostępniania informacji, oferujące prawo do odmowy, powinny być nie tylko wyraźne i dokładne, ale również jak najbardziej przyjazne dla użytkownika.
Podsumowując, zgodnie z motywem 25 ePrivacy na właścicielach witryn stosujących „ciasteczka” ciążą obowiązki informacyjne wobec użytkowników terminali. O ile dane techniczne, warunkujące możliwość poprawnego korzystania z serwisu internetowego, wymagają jedynie określenia zakresu gromadzonych danych w polityce prywatności, o tyle dane związane z identyfikacją preferencji konkretnego użytkownika wymagają spełnienia pewnych konkretnych wymogów:
- akceptowanym prawnie celem przetwarzania „cookies”jest monitorowanie treści przeglądanych w internecie przez konkretnego użytkownika, ale bez nadmiernej ingerencji w jego prywatność;
- jeszcze przed przetwarzaniem „cookies” właściciel witryny w sposób wyraźny i dokładny, a także jak najbardziej przyjazny wobec użytkownika musi powiadomić go o konkretnym celu przetwarzania danych z „ciasteczek”;
- właściciel witryny musi umożliwić użytkownikowi wyrażenie świadomej, dobrowolnej i jednoznacznej zgody na przetwarzanie danych „cookies” oraz analogicznie świadomej, dobrowolnej i jednoznacznej odmowy na przetwarzanie „ciasteczek”;
- użytkownik musi mieć możliwość cofnięcia wcześniej udzielonej zgody na przetwarzanie danych „cookies”, podlegającą tym samym przesłankom, co wyrażenie zgody lub odmowy.
„Cookies” a RODO
Sytuację skomplikowało jednak wejście w życie unijnego rozporządzenia 2016/679 o ochronie danych osobowych (RODO), zawierającego m.in. rozbudowany katalog obowiązków administratorów danychosobowych oraz dość ogólnie precyzujące stosunek tychże regulacji do dyrektywy
ePrivacy (por. art. 95 RODO). Zdaniem ekspertów, RODO ma jednak pierwszeństwo przed zapisami niezaktualizowanej jeszcze ePrivacy i znajduje zastosowanie także do polityki „cookies”. Wdrażaniu nowych regulacji towarzyszą więc liczne kontrowersje. Wciąż brak jest bowiem
unijnej nowelizacji rozporządzenia ePrivacy, komplementarnej z RODO. Z art. 95 RODO wynika wprost, że „Niniejsze rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE”.
Wytyczne wydane przez zgromadzenie organów ochrony danych osobowych ze wszystkich państw UE, zwane Grupą Roboczą Art. 29 (aktualnie Europejska Rada Ochrony Danych), określiły zgodę na przetwarzanie danych z „cookies” jako warunek wstępny legalnego przetwarzania danych, a nie za nowy obowiązek. Przetwarzanie danych z „cookies” podlega zatem ogólnym warunkom dotyczącym uzyskania ważnej zgody, sformułowanym w dyrektywie RODO. Ponieważ warunki te są mocno rozbudowane, stanowisko to w kontekście przetwarzania „cookies” eksperci określają jako zbyt rygorystyczne. W jego świetle każde zaprezentowanie reklamy, jako działanie z zakresu profilowania kwalifikowanego, wymagałoby udzielenia świadomej, dobrowolnej i jednoznacznej zgody użytkownika na przetwarzanie jego danych, pod groźbą skargi użytkownika do organu nadrzędnego, jakim w Polsce jest Urząd Ochrony Danych Osobowych (por. art. 77 i n. RODO). Interpretując przepisy, warto zatem mieć na uwadze ogólne zasady administrowania danymi zawarte w motywie 47 RODO, precyzujące istotę uzasadnionego interesu prawnego administratora. Jeśli zatem „w czasie i w kontekście, w którym zbierane są dane osobowe”, użytkownik „ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym [określonym przez administratora danych – M.D.] celu”, czyli np. zostanie w sposób wyraźny i dokładny poinformowany, kto jest administratorem danych, komu zostaną przekazane te dane, oraz umożliwi wyrażenie aktywnej zgody na przetwarzanie tychże danych, odmowę jej udzielenia
oraz określi zasady cofnięcia tejże zgody, wówczas ów uzasadniony interes prawny administratora ma rację bytu. Co istotne, w jego zakresie mieści się także przetwarzanie danych osobowych do celów marketingu bezpośredniego oraz działania „bezwzględnie niezbędne do zapobiegania oszustwom”. Granicę uzasadnianego interesu administratora stanowi natomiast działalność publicznoprawna („prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji
swoich zadań”).
Podstawą prawną do rozluźnienia obowiązku udzielania zgody użytkownika na przetwarzanie danych z „cookies” może być także art. 11 RODO, zgodnie z którym jeśli cele przetwarzania danych nie wymagają zidentyfikowania osoby, której dane dotyczą (czyli użytkownika), administrator nie ma obowiązku ich przetwarzania tylko po to, by uczynić zadość regulacjom RODO.
Właściciele witryn, tworząc rozwiązania z zakresu polityki „cookies”, powinni zatem brać pod uwagę przede wszystkim interes użytkowników jako osób, których dane dotyczą (w tym prawo do wyrażenia świadomej zgody lub odmowy na przetwarzanie danych oraz jej cofnięcia), jak
również obowiązek wyraźnego informowania o konkretnym celu przetwarzania danych.
Źródła Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), Dz.U.UE.L.2002.201.37 z dnia 2002.07.31, z późn. zm. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U.UE.L.2016.119.1 z dnia 2016.05.04. S. Wikariak, RODO: Zalew wyskakujących okienek. Czy zgody na cookies są konieczne?, http://prawo.gazetaprawna.pl/artykuly/1110815,czy-na-cookies-sa-konieczne-ochrona-danych-rodo.html (dostęp: 21.12.2018). J. Ojczyk, K.
Kubicka-Żach, RODO: mniej absurdów, więcej praktycznych pytań, prawy.pl, za: https://sip.lex.pl/#/external-news/1795480879 keyword=eprivacy&cm=SFIRST (dostęp: 21.12.2018). Cookies (informacje śledzące) a RODO, https://panoptykon.org/wiadomosc/cookies-informacje-sledzace-rodo (dostęp: 21.12.2018).
