We wtorek 1 października Trybunał Sprawiedliwości Unii Europejskiej uznał, że zgoda na instalowanie i udostępnianie plików cookies jest nieważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. I nie ma przy tym znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe. Prawo unijne ma bowiem chronić użytkowników przed każdą ingerencją w ich prywatność, a w szczególności przed ryzykiem wprowadzenia do ich urządzeń bez ich wiedzy ukrytych identyfikatorów lub innych podobnych narzędzi.

TSUE wskazał, że czynna zgoda jest wyraźnie przewidziana w RODO. Zgodnie zaś z jego motywem 32, zgodę można wyrazić w szczególności poprzez zaznaczenie okienka wyboru przy przeglądaniu strony internetowej. Wyraźnie zaś wyklucza on możliwość wyrażenia zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania”. Czy to oznacza, że serwisy internetowe zasypią nas wyskakującymi okienkami z prośbą o wyrażenie zgody na przetwarzanie ciasteczek? Prawnicy mówią zgodnie, że nie, bo w Polsce cały czas jest przepis sprawiający, że za zgodę uważa się domyślne ustawienia przeglądarki. Serwisy więc nie muszą się bać, że nie zbierają zgód na instalowanie ciasteczek. Tyle, że po wyroku TSUE właściciele serwisów internetowych muszą przeanalizować, czy informują swoich użytkowników, np. o tym, komu przekazują dane i jak długo działają ciasteczka.

Domyślne ustawienia przeglądarki wystarczą

Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński podkreśla, że orzeczenie TSUE nie zaskakuje, bo RODO wprost zabrania zbierania zgody przez domyślnie zaznaczone okienka. Pozostaje jednak pytanie, czy nadal można stosować mechanizm zbierania zgody przez „ustawienia przeglądarki”. Zdaniem mec. Litwińskiego taka możliwość nadal istnieje, ponieważ wynika wprost z obowiązujących polskich przepisów. - Odejście od niej może nastąpić dopiero w rozporządzeniu ePrivacy, nad którym pracuje Unia – podkreśla Paweł Litwiński.

Podobnie uważa Tomasz  Ochocki, kierownik zespołu merytorycznego w ODO 24. Jego zdaniem orzeczenie TSUE nie wpłynie diametralnie na funkcjonowanie polskich organizacji. - Obowiązek odebrania czynnej zgody użytkownika sieci na instalowanie plików cookies wynika już z art. 174 prawa telekomunikacyjnego, który mówi, że do uzyskania zgody stosuje się RODO. Zgodnie jednak z art. 173 zgoda na instalowanie plików cookies może być wyrażona przez użytkownika sieci za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji samej usługi – podkreśla Tomasz Ochocki.

Co to oznacza w praktyce? Obecnie, gdy wchodzimy na jakiś portal internetowy, akceptujemy zwykle taki komunikat: „Ta witryna używa plików cookies w celach statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia” lub „Ta strona używa plików cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień cookies w przeglądarce”. Jeśli ktoś chce być "śledzony" przez cookies, po prostu nie wyłącza ich obsługi w przeglądarce. Jeśli ktoś chce się dowiedzieć więcej o tym, co administrator robi na ich podstawie, kto jeszcze korzysta z tych danych, musi przeczytać politykę prywatności.

Ciasteczka mogą zdradzać więcej

Dopiero, gdy pliki cookies mogą mieć charakter danych osobowych, należy dostosować do RODO formę zgody i treść informacji podawanych przy okazji ich instalowania. I tak też  było w sprawie, którą zajmował się TSUE. Pliki cookies instalowane na komputerach, tabletach czy smarfonach uczestników  loterii promocyjnej zawierały numer przypisany do danych rejestracyjnych użytkownika, który w formularzu uczestnictwa podawał swoje imię i nazwisko oraz adres. Skojarzenie numeru z tymi danymi powodowało personalizację danych przechowywanych przez pliki cookies, a zatem przetwarzano dane osobowe.  Zgoda domyślnie zaznaczona przez organizatora loterii spółkę Planet49 miała więc skutkować akceptacją gromadzenia i przetwarzania danych osobowych, a nie informacji anonimowych. Podobnie jest gdy korzystamy z usług Google. Jeśli np. jesteśmy zalogowanym użytkownikiem Google i pliki cookies pozwalają na naszą identyfikację, wówczas wymagana jest nasza zgoda, i to już na konkretny cel, a nie ogólna, a tym bardziej wyrażona za pomocą ustawień przeglądarki. Co więcej użytkownik sam musi zaznaczyć przycisk "akceptuję", nie może on być z góry zaznaczony na "tak".  Francuski odpowiednik naszego UODO ukarał Google właśnie za to, że zbierał zbiorczą zgodę na całą politykę prywatności i przetwarzanie danych w różnych celach. Tymczasem zgoda musi być konkretna, czyli profilowanie w celu wyświetlania reklamy, dopasowania usług w mapach Google. - Jeżeli na podstawie cookies podejmowana jest automatycznie decyzja o tym, jaką reklamę pokazać, to zdaniem Grupy Roboczej (obecnie Europejskiej Rady Ochrony Danych) mamy profilowanie, i to w dodatku kwalifikowane, które wymaga wyraźnej zgody - dodaje Paweł Litwiński. 

Czekając na kolejne unijne rozporządzenie

Zmiany co do plików cookies mogą nastąpić dopiero po przyjęciu rozporządzenia ePrivacy, które zastąpi dyrektywę i będzie stosowane wprost jak RODO. Wówczas może zastąpić krajowe przepisy. Zgodnie z projektem rozporządzenia ePrivacy podobnie jak obecnie, zbieranie ciasteczek będzie wymagało uzyskania zgody zgodnej z RODO. Z tym, że jeżeli instalacja ciasteczek jest niezbędna do świadczenia usługi, np. do odpowiedniego funkcjonowania strony, gdy jej działanie jest finansowane wyłącznie lub w przeważającym stopniu  z reklamy, to zgoda nie będzie potrzebna. Póki jednak nie ma rozporządzenia ePrivacy, dobrowolna, konkretna, świadoma i jednoznaczna zgoda na przetwarzanie plików cookies, które nie pozwalają na identyfikowanie użytkowników, nie jest potrzebna. Zgodnie z dyrektywą ePrivacy i prawem telekomunikacyjnym wystarczy akceptacja ogólnej formułki. - Wyrok TSUE nic tu nie zmienił - podkreśla Paweł Litwiński.

Dokładne informacje o czasie działania ciasteczek

Z tym, że TSUE wskazał, że użytkownicy mają być dokładnie informowania o celu, w jakim zostaną zainstalowane pliki cookies i komu będą przekazywane tak pozyskane dane. Firma instalująca  ciasteczka musi więc  poinformować internautę nie tylko o tożsamości administratora danych i celach przetwarzania, ale również o tym, czy i jacy inni odbiorcy – osoby trzecie - dostaną dostęp do takich plików. W takiej informacji powinno się też podać okres przechowywania danych osobowych lub, jeżeli nie jest to możliwe, kryteriów ustalania tego okresu. Tu nie ma jednak jasnych przepisów. Chociaż na początku lipca CNIL - francuski odpowiednik Urzędu Ochrony Danych Osobowych - opublikował wytyczne dotyczące plików cookies. I uznał w nich, że ciasteczka nie powinny mieć żywotności dłuższej niż 13 miesięcy przed uzyskaniem nowej zgody. Zaś informacje gromadzone za ich pośrednictwem nie powinny być przechowywane przez okres dłuższy niż 25 miesięcy. Z kolei Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Patners, odnosi jednak wrażenie, że TSUE w sprawie Planet49 wychodzi z założenia, że użytkownicy internetu będą czytać długie teksty przed kliknięciem „zaznacz i idź dalej". - Tymczasem osiągnie efekt dokładnie przeciwny. Zostaniemy jeszcze bardziej wytresowani do bezmyślnego przeklikiwania ścian tekstu przed dostępem do internetu - uważa Maciej Gawroński. Piotr Liwszic, specjalista ds. ochrony danych w ODO 24, również obawia się, że niedługo, aby przeczytać wynik meczu czy sprawdzić przepis kulinarny, będzie trzeba przebrnąć przez kilka okienek informacyjnych, w tym dotyczących plików cookies. - Obawiam się, że przy takim podejściu do polityki informacyjnej, możemy dojść do absurdu. Więcej czasu zajmie nam przeklikanie klauzul informacyjnych, niż przeczytanie właściwej informacji - podsumowuje Piotr Liwszic.