Nie da się prowadzić – w sposób konkurencyjny – działalności w internecie bez informacji o tym jak użytkownicy korzystają z platform internetowych, w co klikają? Co czytają? Jak długo przebywają na naszej stronie? Logika działania większości tych narzędzi analitycznych i marketingowych powstała wiele lat temu, np. mechanizm pozyskiwania danych poprzez pliki cookies. I można powiedzieć, że jest cechą współczesnego internetu.
Czytaj też: Cookies to dane osobowe? Spór o stosowanie RODO>>
Granice prywatności użytkowników Internetu
Równolegle toczy się dyskusja nad kwestiami prywatności użytkowników internetu. Ma ona kilka płaszczyzn:
- RODO – czy dochodzi do przetwarzania danych osobowych i które informacja i dla kogo są danymi osobowymi?
- e-privacy – toczą się (w zasadzie przedłużają) prace nad rozporządzeniem, które kompleksowo ureguluje kwestie m.in. pozyskiwania danych z urządzeń użytkowników (np. poprzez mechanizm cookies) i zastąpi obecne rozwiązania;
- sporów pomiędzy użytkownikami i przedsiębiorcami (właścicielami stron internetowych), którzy korzystają z narzędzi dostarczanych przez Bigtech (największe spółki technologiczne m.in. Google, czy Facebook).
Na to wszystko nakłada się płaszczyzna ochrony konkurencji i postępowań (wszczętych w wielu krajach UE) o nadużywanie pozycji dominującej (ze względu na „monopolizacje” danych) przez spółki technologiczne (np. Facebooka), które jak do tej pory nie przyniosły zasadniczej zmiany, chociaż wpłynęły na próbę zmiany podejścia np. Google na rozpoczął prace nad zmianą obecnego modelu wykorzystywania informacji o użytkownikach (tzw. federated learning of cohorts), który być może zastąpi obecny mechanizm oparty o pliki cookies.
Sprawdź w LEX: Czy przy wejściu na stronę internetową każdej firmy powinna pojawiać się informacja o plikach cookies? >
Ze względu na brak efektywnych działań na poziomie legislacyjnym oraz regulacyjnym (przez organy nadzorcze) względem Bigtech spory przenoszą się na płaszczyznę relacji: użytkownik – przedsiębiorca wykorzystujący narzędzia dostarczane przez tych gigantów. Spory te coraz częściej rozstrzygane są przez organy nadzorcze ze względu na skargi użytkowników. Jedną z tych spraw jest przypadek opisywany na przypadek opisywany przez Prawo.pl. Wskazana sprawa będzie mieć w tym zakresie najpewniej precedensowy charakter. W opisywanej sprawie pojawiły się problemy, których rozstrzygnięcie (niezależnie od kierunku rozstrzygnięcia) będzie mieć charakter precedensowy i wpłynie na przyszłe (podobne) sprawy.
Zobacz w jaki sposób chronić dane osobowe w firmie >>>
Przyjęcie, że w każdej sytuacji i dla każdego z aktorów korzystających z tych technologii informacje z cookies są danymi osobowymi nie jest uzasadnione. Inna jest pozycja (i do innych informacji ma dostęp) właściciela strony www, a inna dostawcy danego narzędzia technologicznego.
Zobacz omówienie orzecznicza w LEX: Zgoda internautów na pliki cookies musi być wyraźna. Omówienie wyroku TS z dnia 1 października 2019 r., C-673/17 (Planet49) >
Przegląd polityk prywatności instytucji publicznych wskazuje, że nawet one nie traktują informacji z cookies jako danych osobowych (przy najmniej nie dla siebie):
- strona www Europejskiego Inspektora Ochrony Danych (https://edps.europa.eu/about-edps/legal-notices_en);
- strona www Europejskiej Radcy Ochrony Danych (https://edpb.europa.eu/about-edpb/legal-notices/cookies_en);
- strona www Komisji Europejskiej (https://ec.europa.eu/info/cookies_pl);
- strona gov.pl (korzysta m.in. z Google Analitycs) https://www.gov.pl/web/gov/polityka-dotyczaca-cookies - brak informacji o przetwarzaniu danych osobowych;
- brytyjski organ nadzorczy ds. ochrony danych osobowych (ICO) (korzysta m.in. z Google Analitycs) https://support.google.com/analytics/answer/6004245; - brak informacji o przetwarzaniu danych osobowych;
Takie kontekstowe podejście (określona informacja może być dla jednego podmiotu daną osobową a dla innego nie) prezentuje NSA (I OSK 2063/17): (…) Zauważyć należy, że numer rejestracyjny ponieważ jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny dla bliżej nieokreślonej liczby osób. Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. Wskazać bowiem należy, że często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązać numer rejestracyjny pojazdu z konkretną osobą - właściciela (lub posiadacza) pojazdu (…).
Postępowanie dotyczące wykorzystania informacji z plików cookies powinno zmierzać nie tylko do ustalenia czy te informacje są danymi (i przede wszystkich dla kogo) ale także w jakiej roli występuje właściciel strony internetowej a w jakiej dostawca narzędzia. Bez tego ustalenia co do legalności przetwarzania danych (bez weryfikacji na kim ciążą / jakie obowiązki) są przedwczesne.
Kompetencja w zakresie spraw dotyczących cookies
W opisywanej na Prawo.pl sprawie Prezes UODO oparł swoje rozstrzygnięcie dotyczące konieczności pozyskania zgody i konsekwencji jej braku poprzez odwołanie do regulacji art. 173 oraz 174 prawa telekomunikacyjnego. W tym miejscu należy zwrócić uwagę, że są to przepisy znajdujące się poza treścią RODO. Dodatkowo nie stanowią wdrożenia RODO do krajowego porządku prawnego. Wskazane przepisy stanowią implementację (art. 5) dyrektywy UE 2002/58. Czy w związku z tym Prezes UODO jest właściwy do orzekania o zgodności zachowania Skarżącej z treścią tych przepisów? Należy przyjąć, że nie. Takie stanowisko uzasadnione jest treścią samego RODO jak i – wyjaśniającymi jego treść – stanowiska Europejskiej Radcy Ochrony Danych (EROD).
Wskazany powyżej problem został omówiony w opinii EROD nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych (przyjęta 12 marca 2019 r.) – źródło https://edpb.europa.eu/sites/default/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_pl.pdf.
EROD w cytowanej opinii wskazała, że: organ ochrony danych nie może automatycznie powoływać się na zadania i uprawnienia przewidziane w RODO, aby podjąć działania mające na celu egzekwowanie krajowych przepisów dotyczących prywatności i łączności elektronicznej, ponieważ wspomniane zadania i uprawnienia przewidziane w RODO są związane z egzekwowaniem RODO. Prawo krajowe może powierzać zadania i uprawnienia inspirowane RODO, ale może również powierzyć organowi ochrony danych inne zadania i uprawnienia w celu egzekwowania krajowych przepisów dotyczących prywatności i łączności elektronicznej zgodnie z art. 15a dyrektywy o prywatności i łączności elektronicznej (nb. 66).
Sprawdź system do detekcji, retencji i anonimizacji wrażliwych danych
W kontekście powyższego należy zwrócić uwagę, że na gruncie prawa polskiego brak przepisów, które przyznałyby Prezesowi UODO kompetencje nadzorcze w zakresie stosowania art. 173-174 prawa telekomunikacyjnego. Natomiast Prezes UODO w zaskarżanej decyzji odwoływał się do tych przepisów jako istotnych dla rozstrzygnięcia sprawy.
Autor: Dr Mirosław Gumularz radca prawny w GKK Gumularz Kozik, wykładowca WSB w Warszawie
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.