Prezes UODO wydał decyzję dotyczące stosowania cookies, w której udzielił upomnienia spółce, że wbrew RODO przetwarzała dane swojego klienta. Ta nie zgadza się rozstrzygnięciem urzędu i wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Jej zdaniem nie naruszyła prawa, bo pliki cookies wykorzystuje zgodnie z ustawieniami przeglądarki internetowej na urządzeniu końcowym użytkownika.

Prawnicy nie mają wątpliwości, że rozstrzygnięcie w tej sprawie będzie miało charakter przełomowy. Brakuje bowiem rozstrzygnieć w tym zakresie w Polsce. Te będzie jedną z pierwszych jaskółek. 

Czytaj też: Cookies to dane osobowe? Spór o stosowanie RODO>>
 

Zgoda ma być wyraźna, a nie dorozumiana 

Prezes UODO udzielił firmie upomnienia, a także nakazał usunięcie danych osobowych dotyczących adresu IP oraz sztucznie nadanego ID z cookies. Spółka ma również poinformować podmioty którym udostępniła dane osobowe o ich usunięciu.

Sprawdź w LEX: Czy przy wejściu na stronę internetową każdej firmy powinna pojawiać się informacja o plikach cookies? >

Według prezesa UODO,  odwiedzający stronę nie zmienił  ustawień swojej  przeglądarki internetowej. Zgoda miała więc charakter bierny i milczący. Nie spełnia więc warunków wynikających z art. 4  pkt 11 RODO, tj. wymogu dobrowolności  świadomości, jednoznaczności oraz konkretności. Prezes tego urzędu powołał się również na wyrok TSUE w sprawie Planet49. Mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu. 

Zobacz w LEX: Chomiczewski Witold, Kloc Katarzyna, Transformacja biznesu w e-commerce. Na co zwrócić uwagę, by nie naruszyć prawa? >

Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania  i udostępniania plików cookies  na urządzeniach użytkowników witryny internetowej. We wspomnianym wyżej wyroku TSUE orzekł, że jasne i wyczerpujące informacje powinny umożliwić użytkownikowi  łatwe ustalenie konsekwencji zgody, której może udzielić oraz gwarantować, że zgoda zostanie udzielona przy pełnej znajomości rzeczy. Osoba, której dane będą przetwarzane, musi  zostać o tym fakcie poinformowana zanim zainstalują się  pliki cookies na jej urządzeniu. W tym konkretnym  przypadku dane skarżącego zostały udostępnione zanim miał on możliwość zapoznać się z polityką prywatności zamieszczoną na stronie internetowej spółki.

Sprawdź w LEX:  Czy należy zrealizować obowiązek informacyjny oraz wprowadzić politykę prywatności, w przypadku gdy spółka posiada stronę internetową o charakterze informacyjnym, która korzysta z plików "cookies", ale nie są one wykorzystywane do profilowania użytkowników? >

Spółka postanowiła się bronić.  - Mogliśmy tę sprawę po prosu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy, kto posiada firmową stronę internetową. Postanowiliśmy więc złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie WSA będzie mogło służyć wszystkim w przyszłości - wyjaśnia  Maria Lothamer, wiceprezes zarządu iSecure Sp. z o.o.

Czytaj w LEX: Piotr, RODO w IT: pliki cookie – jak je ugryźć?  >

 

Spółka ma wątpliwości, czy aby na pewno UODO jest właściwy w zakresie oceny zgodności jej działania z wymogami określonymi  prawie telekomunikacyjnym,  czy właściwe jest nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google) oraz czy nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają interwencji na poziomie wyższej instancji.  - W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej spółki, ale i każdej innej firmy obecnej w Internecie - ostrzega Maria Lothamer. 

Sprawdź w LEX:  Czy na stronie internetowej przy formularzu kontaktowym powinna być zamieszczona zgoda na przetwarzanie danych osobowych? >

Przecieranie szlaków innym 

Prawnicy uważają, że  decyzja jest ważna i idealnie wpisuje się w tendencję, która jest już obecna w Europie od jakiegoś czasu. Problem w tym, że budzi wątpliwości, które mogą zaważyć na jej losie.

- Z  jednej strony w Europie Zachodniej od kilku już lat wymagano tzw. zgody aktywnej na instalowanie plików cookies, czyli nie wystarczyło takie ustawienie przeglądarki internetowej, by ta dopuszczała ciasteczka, trzeba było kliknąć „zgadzam się”.  Z drugiej strony, w Polsce obowiązuje art. 173 ust. 2 Prawa telekomunikacyjnego (dalej PT), który dopuszcza wyrażenie zgody na instalowanie plików cookies przez ustawienia przeglądarki – czyli zgoda jest wyrażana jednorazowo przy konfigurowaniu oprogramowania, a nie aktywnie w stosunku do każdego dostawcy, który korzysta z technologii cookies - twierdzi Paweł Litwiński adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów; wykładowca Uniwersytetu SWPS.

Czytaj w LEX: Jakubik Mateusz, Wojciechowski Piotr, RODO w IT: dane osobowe a architektura IT >

Jego zdaniem prezes UODO w ogóle nie widzi art. 173 PT ust. 2. - Przepis jakby nie istniał na poziomie uzasadnienia – a przecież przepis wyraźnie dopuszcza wyrażanie zgody przez ustawienia przeglądarki. Z kolej po głębszej analizie decyzji można dojść do wniosku, że doszło do pomieszania dwóch kwestii: zgody na instalowanie plików cookies ze zgodą na przetwarzanie danych osobowych. O ile ta pierwsza może być wyrażona przez ustawienia przeglądarki, a prezes UODO nie może ignorować obowiązujących przepisów (a jeżeli to robi, to powinien jednak to wyjaśnić, dlaczego odmawia mocy obowiązującej art. 173 ust. 2 PT), o tyle ta druga musi być aktywna i spełniać pozostałe wymagania stawiane przez RODO. Ważne jest też to, że w odniesieniu do instalowania plików cookies właściwym jest nie Prezes UODO, ale Prezes UKE, co może tłumaczyć to pomieszanie po to, żeby utrzymać właściwość Prezesa UODO - podkreśla Paweł Litwiński. 

Czytaj w LEX: Czub-Kiełczewska Sylwia, Okiem IOD-a: nowoczesne formy marketingu w świetle przepisów RODO >

Także dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p. uważa, że decyzja warta jest uwagi.  Podkreśla, że decyzja prezesa UODO odnosi się do jednej z bardziej paradoksalnych kwestii współczesnego przetwarzania danych osobowych za pośrednictwem stron internetowych. - Z jednej strony bez plików cookies z tychże stron sprawnie dla użytkownika korzystać się właściwie nie da, z drugiej strony powracającą jest kwestia tego, z jakich plików cookies korzystanie jest rzeczywiście niezbędne, a na jakie ich użycie nieodzowna jest zgoda. Ponadto niezwykle palące jest to, jak ta zgoda jest wyrażana i czy faktycznie współczesna praktyka niekończących się treści zgód i oświadczeń, które użytkownicy „odklikują” dość mechanicznie (bywa, ze bez żadnej refleksji) w istocie zapewnia im samodecydowanie i autonomię informacyjną - wyjaśnia dr Marlena Sakowska-Baryła. 

Sprawdź w LEX: Czy w świetle RODO istnieją prawne przeciwwskazania do korzystania z Google Analitics? >

Brakuje uregulowań dla ciasteczek 

Prawnicy przyznają, że praktyka stosowania plików cookies wciąż nie doczekała się jednoznacznej regulacji. - Trudno dziś mówić o przejrzystych unormowaniach w tym względzie, tym bardziej doniosła okazuje się praktyka orzecznicza organów nadzorczych. Niestety, wciąż mamy tu do czynienia z dwoma reżimami prawnymi, gdzie niezwykle trudno sensownie połączyć praktykę wynikającą z zastosowania przepisów Prawa telekomunikacyjnego oraz prawa unijnego, gdzie jeszcze czekamy na rozporządzenie ePrivacy, a już musimy stosować się do reżimów RODO - zauważa dr Marlena Sakowska-Baryła.

Według niej, nie ma wątpliwości, że użytkownik strony internetowej musi być poinformowany o tym, że dana witryna korzysta z plików cookie, a dopiero po uzyskaniu takiej informacji, powinien wyrazić zgodę na ich zastosowanie. Informacja o instalowaniu plików cookie ma być przekazana zanim zaczną one działać, sporne jednak być może, czy na tym etapie mamy do czynienia z danymi osobowymi, a przynajmniej czy za każdym razem tak można kwalifikować informacje o użytkowniku, skoro – jak wynika z ustaleń organu - adres IP może nie być danymi osobowymi. Analizowaną decyzję można potraktować jako interesujący wkład w dyskurs odnoszący się do tego obszaru.

Sprawdź w LEX: Jakie informacje i dokumenty z zakresu RODO powinny znaleźć się na stronie internetowej oraz przy formularzu kontaktowym? >