Poradnik Przedsiębiorcy

Zgoda na pliki cookie w świetle najnowszego stanowiska TSUE

Choć w maju 2020 r. upłyną dwa lata od czasu implementacji przepisów RODO, poprawna interpretacja rozporządzenia nadal budzi spore wątpliwości. Administratorzy danych zostali obciążeni poważnymi obowiązkami w zakresie konieczności zapewnienia przetwarzanym danym osobowym należytego stopnia bezpieczeństwa. Naruszenie przepisów RODO grozi wysokimi karami finansowymi, stąd ich należyte stosowanie ma kluczowe znaczenie z punktu widzenia każdego przedsiębiorcy. Sprawdź, jak wygląda zgoda na pliki cookie w świetle najnowszego stanowiska TSUE

Zgoda na pliki cookie musi być świadoma

1 października 2019 r. Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie w sprawie o sygnaturze C-673/17, które ma doniosłe znaczenie z praktycznego punktu widzenia. Zgodnie z najnowszym stanowiskiem TSUE, zgoda na pliki cookie musi być wyrażona przez każdego użytkownika strony internetowej (oraz każdego serwisu internetowego).

Fragment orzeczenia Trybunału Sprawiedliwości Unii Europejskiej z 1 października 2019 r.
„[…] zgoda użytkownika, do celów tej dyrektywy, może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez »zaznaczenie okna wyboru podczas przeglądania witryny internetowej«”.
Trybunał zaznaczył jednocześnie, że forma i sposób wyrażenia zgody nie ma znaczenia i może być to na przykład „zaznaczenie okna wyboru”, o ile zgoda jest:

  • swobodna,
  • konkretna i 
  • świadoma.

Stan faktyczny sporu o pliki cookie

Aby prawidłowo ocenić tło sporu, który zaowocował przedstawionym powyżej orzeczeniem, konieczne jest cofnięcie się do roku 2013. Wówczas bowiem niemiecka spółka Planet49 zorganizowała za pośrednictwem strony internetowej loterię. Formularz konkursowy wymagał podania określonych danych (imienia oraz adresu) oraz wyrażenia zgody na przesyłanie informacji przez sponsorów i partnerów organizatora listownie, telefonicznie lub e-mailem/SMS-em o ofertach z obszaru ich działalności. Formularz zawierał okno wyboru, które użytkownik strony musiał zaznaczyć, aby wziąć udział w loterii. Wyrażenie zgody na otrzymywanie materiałów reklamowych było warunkiem udziału w konkursie.

Formularz konkursowy zawierał również informację o drugiej zgodzie – oświadczenie dotyczące zgody na „stosowanie wobec użytkownika strony usługi analizy internetowej. Skutkuje to tym, że organizator loterii promocyjnej po zarejestrowaniu uczestnika w loterii instaluje pliki cookie. Umożliwi to organizatorowi ocenę zachowania użytkowników w zakresie odwiedzania i korzystania ze stron internetowych partnerów reklamowych i dopasowanie reklam do preferencji użytkownika”. Oświadczenie zawierało również informację, że użytkownik może usunąć pliki cookie w dowolnym czasie oraz odesłanie do kolejnej strony internetowej, która zawierała dodatkowe informacje dotyczące procedury analizy internetowej. Wskazywano tam między innymi, że pliki cookie to „pliki, które dostawca strony internetowej instaluje na komputerze użytkownika tej strony i do których może on uzyskać ponowny dostęp, gdy użytkownik odwiedzi stronę ponownie, w celu ułatwienia przeglądania Internetu lub transakcji lub w celu uzyskania informacji na temat zachowania użytkownika”. Zgoda na pliki cookie była zaznaczona domyślnie. 

Organizator loterii został wezwany przez związek organizacji konsumenckich do zaprzestania stosowania wskazanych powyżej oświadczeń jako sprzecznych z niemieckimi przepisami dotyczącymi ochrony konsumentów. Sprawa znalazła swój finał w sądzie, który przyznał rację organizatorowi loterii, wskazując, że zamieszczone oświadczenia są jasne i czytelne, a każdy użytkownik strony ma świadomość, że zgoda na pliki cookie może zostać usunięta domyślnie. Sąd apelacyjny, w związku z wątpliwościami, jakie powstały na tle prawidłowej interpretacji obowiązujących przepisów, zwrócił się do TSUE z pytaniem prawnym dotyczącym dwóch istotnych kwestii:

  1. Czy zgoda wyrażona w sposób domyślny (tj. poprzez automatycznie zaznaczone okienko wyboru, z którego użytkownik musi usunąć zaznaczenie, jeżeli nie zgadza się na instalację plików cookie) jest skuteczna? 

oraz

  1. Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z przepisami Dyrektywy o prywatności i łączności elektronicznej, w tym czy informacje te obejmują również okres ważności plików cookie oraz kwestię dostępu osób trzecich do plików cookie?

Zgoda na pliki cookie identyfikuje użytkownika strony

Odnośnie do pierwszego z zagadnień, tj. skuteczności zgody wyrażonej w sposób domyślny, TSUE wskazał, że zgoda na pliki cookie instalowane na urządzeniu osoby, która korzysta ze strony internetowej, zawierają numer przypisany do danych podawanych przez użytkownika strony. Połączenie tego numeru wraz z danymi użytkownika powoduje personalizację danych przechowywanych przez pliki. Z uwagi na tę okoliczność zbieranie danych za pośrednictwem tzw. ciasteczek jest przetwarzaniem danych osobowych.Instalowanie plików cookie na urządzeniu należącym do użytkownika strony internetowej z uwagi na skutki w postaci rejestracji danych tego użytkownika jest przetwarzaniem danych osobowych.W takim przypadku przepisy obowiązujące na terenie państw członkowskich Unii Europejskiej wymagają udzielenia użytkownikowi jasnej i wyczerpującej informacji o zasadach i celach przetwarzania danych oraz przyznania prawa do odmówienia zgody na takie przetwarzanie przez administratora danych.Udzielenie zgody na przetwarzanie danych osobowych (w tym na instalację plików cookie) musi być zachowaniem czynnym, a nie biernym.Domyślnie zaznaczone okienko wyboru nie jest uznawane za zachowanie czynne. Aby skutecznie wyrazić zgodę na stosowanie plików cookie, użytkownik strony internetowej musi wyrazić zgodę samodzielnie i swobodnie poprzez wybór odpowiedniej opcji na stronie internetowej.

TSUE zauważył również, że w zasadzie niemożliwym jest sprawdzenie, czy osoba korzystająca ze strony internetowej w rzeczywistości wyraziła zgodę na przetwarzanie swoich danych osobowych poprzez pozostawienie domyślnie zaznaczonego okienka wyboru – w tym czy użytkownik w istocie wyraził zgodę w sposób świadomy zgodnie z obowiązującymi przepisami. TSUE zakłada, że większość osób korzystających z internetu nie czyta informacji załączonych do zawartych na stronach oświadczeń.

Trybunał jednoznacznie wskazał, że zgoda na pliki cookie wyrażona w sposób domyślny nie jest ważna – administrator danych nie może stosować formularzy zawierających zaznaczone okienko wyboru, które użytkownik musi usunąć, aby odmówić wyrażenia zgody. Zgoda będzie ważna tylko wówczas, gdy zostanie złożona w sposób aktywny, poprzez działanie samego zainteresowanego.

Obowiązek uzyskania „aktywnej” zgody użytkownika na instalację plików cookie nie jest jedynym obowiązkiem nałożonym na administratora danych.

Zgodnie z drugim punktem orzeczenia TSUE właściciel witryny internetowej musi informować również użytkownika o:

  • tożsamości administratora danych;
  • celach przetwarzania danych osobowych zebranych poprzez instalację plików cookie;
  • odbiorcach lub kategoriach odbiorców danych;
  • czasie przetwarzania danych oraz
  • okolicznościach dodatkowych, jeżeli są one niezbędne do zapewnienia rzetelnego przetwarzania danych

Administrator danych, który pobiera od użytkownika strony internetowej zgodę na instalację plików cookie, ma względem tego użytkownika obowiązek informacyjny.TSUE wskazał, że wydłużony (albo nawet nieograniczony) czas przetwarzania informacji zgromadzonych wskutek instalacji plików cookie powoduje zgromadzenie znacznej liczby informacji „na temat zwyczajów danego użytkownika”, głównie w zakresie przeglądania określonych stron internetowych (a zatem np. potencjalnych preferencji zakupowych, informacji na temat zdrowia czy zatrudnienia). Z uwagi na potencjalne niebezpieczeństwo płynące z pozyskania tak dużej liczby informacji niezbędne jest wyczerpujące informowanie użytkownika o celach i zasadach przetwarzania jego danych, również tych pozyskanych wskutek instalacji ciasteczek.