Nowelizacja ustawy o świadczeniu usług drogą elektroniczną (uśude) dostosowująca ją do RODO, wywołała popłoch w branży internetowej. Zgodnie z nią bowiem usługodawcy musieliby uzyskać wyraźną zgodę na profilowanie, np. do celów reklamy, badania rynku czy zachowań i preferencji klientów. Czy to oznacza, że zostaniemy znowu zasypani mailami o zgody na przetwarzanie? Nie. Prawnicy bowiem uważają, że od polskich przepisów ważniejsze jest RODO. A ta unijna regulacja z jednej strony wymaga zgody, ale tylko, gdy dane pozwalają na identyfikację osoby. Z drugiej dopuszcza ich przetwarzanie, o ile jest to uzasadnione interesem administratora. Te zasady mogą ulec zmianie, ale dopiero w wyniku uchwalenia rozporządzenia o ochronie prywatności w sieci (ePrivacy).

Czytaj również: Przepisy dotyczące internetowych gigantów mogą naruszać RODO i zaszkodzić branży online >>

O co chodzi z cookies

Obecnie, gdy wchodzimy na jakiś portal internetowy, akceptujemy zwykle taki komunikat: „Ta witryna używa plików cookies w celach statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia” lub „Ta strona używa plików cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień cookies w przeglądarce”.

Wbrew nazwie to nie są "ciasteczka". To pliki, w których zamieszczane są dane, wymieniane pomiędzy konkretną stroną internetową a przeglądarką na podstawie adresu IP. Dzięki temu dana strona potrafi zapamiętać, na jakim urządzeniu ją otwieraliśmy, co czytaliśmy, jakie produkty oglądaliśmy, liczbę wizyt, czas ich trwania, ustalić skąd weszliśmy, np. z portalu społecznościowego czy wyszukiwarki. Te informacje pozwalają np. na dopasowanie treści, reklam, itp.

Jeśli ktoś chce być "śledzony" przez cookies, po prostu nie wyłącza ich obsługi w przeglądarce. Jeśli ktoś chce się dowiedzieć więcej o tym, co administrator robi na ich podstawie, kto jeszcze korzysta z tych danych, musi przeczytać politykę prywatności. Czy po zmianach w uśude nie wystarczy akceptacja polityki prywatności?  Czy zaczną nam wyskakiwać dodatkowe okienka z prośbą o zgodę i wyjaśnieniem w jakim konkretnym celu jest zbierana?

Ciasteczka zwykle identyfikują IP, nie osobę

Mariusz Busiło z Polskiej Izby Informatyki i Telekomunikacji przyznaje, że nie ma jasnego stanowiska, co do skutków zmian w ustawie o świadczeniu usług drogą elektroniczną, bo dużo zależy od tego, jak regulatorzy będą stosować nowe prawo.-   Zakładamy jednak, że nowelizacja nie zmienia tego, co wdrożyliśmy – podkreśla Mariusz Busiło. Urząd Ochrony Danych Osobowych niestety nie odpowiedział na nasze pytania w tej sprawie. Za to prawnicy uważają, że pierwszeństwo ma RODO, a nie bardziej rygorystyczne uśude.

Czytaj w LEX: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >>
 

Co do zasady o tym jak od strony prawnej traktować cookies, mówi dyrektywa z 2002 r. o prywatności i łączności elektronicznej 2002/58/WE (ePrivacy). Jej zmiana w 2009 r. wprowadziła wymóg uzyskania ogólnej zgody na korzystanie z cookies. Nie ma więc znaczenia do jakiego celu są wykorzystywane te dane. W uchwalonym w 2016 r. a stosowanym od 25 maja 2018 RODO zapisano wprost, że to rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej RODO. - Z RODO więc nie wynika obowiązek uzyskiwania zgody na cookies w innej postaci niż do 2018 roku - uważa Maciej Gawroński, radca prawny i partner w kancelarii Gawroński & Piecuch.  - Zmiany uśude nie sposób potraktować jako spóźnionego wdrożenia art. 6 Dyrektywy ePrivacy. Zatem to nie zmieniona uśude, ale RODO decyduje o podstawie prawnej przetwarzania danych osobowych także w internecie - podkreśla Maciej Gawroński. Jednym słowem to RODO jest ważniejsze od polskiej ustawy.

Unijne rozporządzenie wymaga zaś świadomej zgody na konkretny cel, o ile przetwarzane dane pozwalają na identyfikację osoby do której należą. Zgodnie bowiem z art. 11 RODO jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji, wyłącznie po to, by zastosować się do rozporządzenia.  - W normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na ustalenie tożsamości użytkowników stron. Stąd stosuje się do nich wyłączenie z art. 11 RODO - wyjaśnia Maciej Gawroński.

Przeczytaj komentarz Macieja Gawrońskiego w LEX: Przetwarzanie danych niewymagające identyfikacji >

Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński zwraca uwagę, że sama technologia cookies nie jest decydująca, ale to, jak są wykorzystywane informacje zebrane w ten sposób.

Kiedy wyraźna zgoda jest potrzebna

Dopiero, gdy pliki cookies mogą mieć charakter danych osobowych, należy dostosować do RODO treść informacji podawanych przy okazji ich instalowania. - To powinno było jednak nastąpić już 25 maja 2018 r., a tzw. ustawa wdrażająca niczego tutaj nie zmienia - podkreśla Paweł Litwiński.
Jeśli więc, np. jesteśmy zalogowanym użytkownikiem Google i pliki cookies pozwalają na naszą identyfikację, wówczas wymagana jest nasza zgoda, i to już na konkretny cel, a nie ogólna. Co więcej użytkownik sam musi zaznaczyć przycisk "akceptuję", nie może on być z góry zaznaczony na "tak" . Pokazuje to kara dla Google. Francuski odpowiednik naszego UODO ukarał go za to, że zbierał zbiorczą zgodę na całą politykę prywatności i przetwarzanie danych w różnych celach. Tymczasem zgoda musi być konkretna, czyli profilowanie w celu wyświetlania reklamy, dopasowania usług w mapach Google. - Jeżeli na podstawie cookies podejmowana jest automatycznie decyzja o tym, jaką reklamę pokazać, to zdaniem Grupy Roboczej (obecnie Europejskiej Rady Ochrony Danych) mamy profilowanie, i to w dodatku kwalifikowane, które wymaga wyraźnej zgody - dodaje Paweł Litwiński.

Ochrona danych osobowych. Zbiór przepisów. Ogólne rozporządzenie o ochronie danych (RODO). Ustawa o ochronie danych osobowych (UODO). Ustawa sektorowa

Sprawdź  

Czekając na kolejne unijne rozporządzenie

Zmiany co do plików cookies mogą nastąpić dopiero po przyjęciu rozporządzenia ePrivacy, które zastąpi dyrektywę. Xawery Konarski, adwokat, partner w kancelarii Traple, Konardki, Podrecki i Wspólnicy, a także wiceprezes Polskiej Izby Informatyki i Telekomunikacji podkreśla, że w tej kwestii kluczowe będzie właśnie to rozporządzenie. I dodaje, że wszystko wskazuje, że prace nad nim zostaną sfinalizowane jeszcze w tym roku.

Sprawdź w LEX: Czy należy zrealizować obowiązek informacyjny oraz wprowadzić politykę prywatności, w przypadku gdy spółka posiada stronę internetową o charakterze informacyjnym, która korzysta z plików "cookies", ale nie są one wykorzystywane do profilowania użytkowników? >

Przyjęty przez Parlament Europejski w październiku 2017 r. projekt rozporządzenia ePrivacy – dokładna nazwa to  "w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej"  - wciąż jest jednak w fazie uzgodnień. Obecnie pracuje nad nim Rada Unii Europejskiej. Po przyjęciu stanowiska Rady rozpocznie się tzw. trilog, czyli negocjacje pomiędzy Parlamentem, Radą a Komisją, w których zostanie wypracowany ostateczny tekst rozporządzenia.  Z tym, że jego najnowsza wersja zakłada jednak, różne podstawy prawne instalacji plików cookies.

Przeczytaj w LEX: Analiza decyzji administracyjnych Prezesa UODO z lat 2018-2019 >

Może zniknąć nawet informacja o cookies

- Jeżeli instalacja ciasteczek jest niezbędna do świadczenia usługi, np. do odpowiedniego funkcjonowania strony, to zgoda nie będzie potrzebna – tłumaczy Karolina Iwańska z Fundacji Panoptykon. To oznacza więc, że  w ogóle powinny zniknąć wyskakujące okienka. Karolina Iwańska dodaje, że ciasteczka śledzące, które są wykorzystywane w celach reklamowych, nie są niezbędne do świadczenia usługi, w związku z czym tutaj właściwą podstawą powinna być dobrowolna zgoda na co wskazuje Europejska Rada Ochrony Danych. Tyle, że w tzw. motywach, które określają cele rozporządzenia zapisano, że zgoda na ciasteczka nie jest potrzebna, jeśli działanie portalu jest finansowana wyłącznie lub w przeważającym stopniu  z reklamy.

Przeczytaj w LEX: Ocena skutków dla ochrony danych krok po kroku >

Karolina Iwańska przyznaje, że takie podejście otwiera furtkę do permanentnego śledzenia aktywności użytkowników bez ich zgody, co jej zdaniem drastycznie obniża standardy wynikające z RODO. Maciej Gawroński zauważa jednak, że dyskusja wokół ePrivacy wciąż trwa, i tak naprawdę nie wiadomo, jaka wersja zostanie przyjęta. A póki nie ma ePrivacy, dobrowolna, konkretna, świadoma i jednoznaczna zgoda na przetwarzanie plików cookies, które nie pozwalają na identyfikowanie użytkowników, nie jest potrzebna. Zgodnie z dyrektywą ePrivacy wystarczy akceptacja ogólnej formułki.