Czy wszystkie strony internetowe używające cookies muszą do 25 maja poprosić użytkowników o wyrażenie na to zgody? Tak uważa część ekspertów, a serwisy już ruszyły z akcją pozyskiwania tych zgód.
Wchodząc na strony dużych serwisów informacyjnych, można się ostatnio spotkać z prośbami o wyrażenie zgody na przetwarzanie danych osobowych i profilowanie. To ostatnie ma być związane z chęcią dostosowywania wyświetlanych reklam do zainteresowań użytkowników. Takie informacje pojawiły się już na stronach Wirtualnej Polski czy TVP Info. Podobne okienka wyskakują również przy próbach odwiedzenia części serwisów z innych państw UE.
Internauci przyzwyczaili się już do informacji o cookies, które pozwalają śledzić ich aktywność w sieci, głównie na potrzeby reklamy behawioralnej. Dotychczas ich stosowanie nie wymagało udzielenia wyraźnej zgody, tylko właśnie poinformowania. Dlaczego więc nagle zaczęły pojawiać się komunikaty z prośbą o wyrażenie takiej zgody? Nowy obowiązek ma wynikać z unijnego rozporządzenia 2016/679 o ochronie danych osobowych (RODO), a tak naprawdę z jego wpływu na przepisy dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (ePrivacy), bo to właśnie ta ostatnia dyrektywa reguluje zasady zgód na cookies.
– RODO w kwestii zgody ma pierwszeństwo przed ePrivacy, której nie udało się zaktualizować na czas. Sama zgoda będzie ważna, gdy zostanie udzielona przez użytkownika w sposób świadomy i na konkretny cel użycia danych. Przy założeniu dosłownej interpretacji tych wymogów – strony internetowe muszą pytać o zgodę na przetwarzanie danych przed ustawianiem i używaniem identyfikatorów, takich jak ciasteczka śledzące. Sam interfejs udzielania zgody powinien wyjaśniać użytkownikowi, co się dzieje i wymagać, by podjęcie decyzji było świadome i jednoznaczne, np. za pomocą kliknięcia w przycisk – uważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Restrykcyjna interpretacja
Po wejściu w życie RODO wydawało się, że pod względem używania cookies nic się nie zmieni. Artykuł 95 stanowi wprost, że RODO nie nakłada dodatkowych obowiązków „w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii”, których dotyczy dyrektywa 2002/58/WE. To m.in. dlatego szybko zaczęto pracować nad rozporządzeniem ePrivacy, które ma nakazać uzyskiwanie jednoznacznych zgód na wykorzystanie cookies.
Na razie nie wiadomo, kiedy zostanie uchwalone to rozporządzenie. Nie czekając na nie, Grupa Robocza Art. 29, czyli zgromadzenie organów ochrony danych osobowych ze wszystkich państw UE, wydała wytyczne, w których uznała, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna) nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy 2002/58/WE. Dla wielu ekspertów oznacza to konieczność pozyskiwania wyraźnych zgód na cookies.
Nie wszyscy prawnicy zgadzają się jednak z tak restrykcyjną interpretacją. – Zgoda nie jest jedyną ani nawet najbezpieczniejszą podstawą przetwarzania danych. W kontekście wykorzystania plików cookies do celów analitycznych i reklamowych warto rozważyć oparcie przetwarzania na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej, o którym mowa w art. 6 ust. 1 lit. f RODO. Z motywu 47 RODO wynika, że administrator danych może się powołać na uzasadniony interes jako podstawę przetwarzania danych, jeżeli osoba, której dane dotyczą, w chwili zbierania danych i z uwzględnieniem kontekstu ich zbierania ma rozsądne przesłanki, by spodziewać się, że jej dane mogą być przetwarzane w danym celu – zauważa dr Zbigniew Okoń, radca prawny i partner w kancelarii Maruta Wachta.
Zwraca on uwagę, że wspomniany motyw 47 RODO uznaje przetwarzanie danych osobowych do celów marketingu bezpośredniego za działanie w uzasadnionym interesie. Nie rozróżnia przy tym marketingu własnego od cudzego.
Również dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, nie podziela stanowiska Grupy Roboczej Art. 29. – Zgodnie z nim prezentowanie reklamy internetowej w oparciu o profilowanie prowadzi do profilowania kwalifikowanego, a więc wymaga zgody wyraźnej, aktywnej. Moim zdaniem to jest stanowisko skrajnie rygorystyczne, wielce dyskusyjne – przekonuje.
Niektórzy prawnicy jako podstawę zwalniającą z obowiązku uzyskiwania zgód na stosowanie cookies wskazują art. 11 RODO. – Zgodnie z tym przepisem, jeżeli cele, dla których przetwarzamy dane osobowe, nie wymagają zidentyfikowania przez nas osoby, której dane dotyczą, to po pierwsze nie musimy tego robić, a po drugie nie musimy realizować praw jednostki – z wyjątkiem obowiązków informacyjnych, chyba że ktoś sam się zidentyfikuje w celu wykonania któregoś ze swoich praw – zauważa Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.
GIODO analizuje problem
Kwestia jest tym bardziej poważna, że dotyczy nie tylko największych serwisów internetowych, ale wszystkich stron używających cookies. Jeśli uznamy, że ich stosowanie jest obłożone koniecznością uzyskiwania zgody, to będą to musiały robić zarówno małe sklepy internetowe, jak prowadzące blogi szafiarki. Dla polskich administratorów tych stron kluczowe będzie stanowisko generalnego inspektora ochrony danych osobowych. W odpowiedzi na pytania DGP przywołuje on zarówno stanowisko GR Art. 29, jak i wzajemne zależności między RODO a dyrektywą 2002/58/WE.
– W związku ze sposobem implementacji w prawie telekomunikacyjnym art. 5 ust. 3 dyrektywy 2002/58/WE zmienionej dyrektywą 2009/136/WE (art. 2 pkt 5) istnieją wątpliwości prawne, czy zgoda, o której mowa w art. 173 ustawy – Prawo telekomunikacyjne, jest zgodą właściwą w rozumieniu RODO. Zagadnienie to jest obecnie przedmiotem bardziej szczegółowej analizy GIODO – mówi Agnieszka Świątek-Druś, rzecznik prasowy GIODO.
Wskazany przez nią przepis ustawy – Prawo telekomunikacyjne reguluje w Polsce zasady używania plików cookies i pozwala na zgodę dorozumianą, czyli tak naprawdę samo poinformowanie użytkownika o ich używaniu. Czy w związku z RODO zgoda będzie musiała być wyrażana w sposób wyraźny? Jak tylko GIODO wyda jednoznaczne stanowisko w tej sprawie, poinformujemy o tym czytelników DGP.
Jednocześnie GIODO informuje, że śledzi inicjatywy podejmowane przez polskie serwisy internetowe i co do zasady im kibicuje. Nie wszystkie zastosowane rozwiązania uważa jednak za zgodne z prawem. – Zastrzeżenia budzi choćby zawarcie w jednej klauzuli zgód na różne cele przetwarzania. Nie wszędzie pojawia się też opcja umożliwiająca niewyrażenie zgody na przetwarzanie danych w celach marketingowych, w tym na profilowanie. Ponadto zgodnie z RODO poszczególne opcje wyboru powinny być odrębne dla każdego celu, w jakim poszczególne pliki cookie są zapisywane, a nie w ramach jednej zbiorczej zgody na zapisywanie wszystkich plików cookie we wszystkich celach jednocześnie – wskazuje Agnieszka Świątek-Druś.
– Wątpliwości GIODO budzi też fakt, że nie można w prosty sposób odwołać zgody, co jest jednym z wymogów RODO. Zgodnie z jego art. 7 ust. 3 wycofanie zgody musi być równie łatwe, jak jej wyrażenie – dodaje.
Jak pozyskiwać zgody
Niektóre organizacje skupiające firmy z branży internetowej, jak np. IAB Europe, zaczęły już podpowiadać swym członkom rozwiązania techniczne, jakie należy zastosować, by prawidłowo pozyskać zgody użytkowników. Sprawa nie jest prosta, gdyż muszą one zostać udzielone, zanim strona internetowa zacznie używać cookies. Same serwisy nie mają nad nimi często kontroli, gdyż są one dostarczane czy to przez domy mediowe, czy bezpośrednio przez reklamodawców.
– W przypadku profilowania behawioralnego dane są często udostępniane także innym administratorom, dlatego sprawa się komplikuje i potrzeba rozwiązań, które nie tylko pozyskają zgodę, ale i przekażą informację o niej do wszystkich stron zaangażowanych w kierowanie takiej reklamy, tak by wiadomo było, kto i na co ma zgodę. W praktyce najlepsze będą rozwiązania standardowe na poziomie przeglądarek, np. takie jak Do Not Track (funkcja przeglądarki uniemożliwiająca śledzenie – red.), lub też ustandaryzowane i specjalistyczne mechanizmy zarządzania zgodą wdrożone na stronach internetowych – analizuje dr Łukasz Olejnik.
– Takich rozwiązań jest niewiele i mają ograniczenia. Na początku warto będzie więc tworzyć rozwiązania własne. Trzeba też pamiętać, że na obecnym etapie prac aktualizacji regulacji ePrivacy, faworyzuje się ustawienia przeglądarek. Obecnie sporym problemem jest więc fakt, że większość przeglądarek na rynku nie dostarcza ustawień sygnalizujących zgodę w sposób zgodny z projektem nowego ePrivacy, a nawet RODO – zaznacza.