- Jeśli więc serwis internetowy wystarczająco jasno informuje, że dalsza nawigacja i brak blokady plików cookies oznaczają wyrażenie zgody, a użytkownik nadal porusza się po stronie internetowej i nie zablokował cookies w przeglądarce, to czynności takie mogą być interpretowane jako „wyraźne działanie potwierdzające - mówi Dr Zbigniew Okoń radca prawny i partner w kancelarii Maruta Wachta.
/>
Coraz więcej serwisów internetowych zaczyna prosić o zgodę na używanie cookies, motywując to przepisami unijnego rozporządzenia o ochronie danych osobowych (RODO). Inne nie wiedzą, co robić. Skąd to zamieszanie?
Przepisy dotyczące zgody na cookies zawarte są w art. 5 ust. 3 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej. W polskim prawie implementowane są do art. 173 ustawy – Prawo telekomunikacyjne. RODO bezpośrednio nie wpływa na te przepisy, a w konsekwencji na wymóg uzyskania zgody na cookies. Ma jednak wpływ pośredni. Zastępuje bowiem dyrektywę 95/46/WE w sprawie ochrony danych osobowych. W konsekwencji – co podkreśla opinia Grupy Roboczej art. 29 – odniesienia do zgody w dyrektywie 2002/58/WE powinny być rozumiane jako odniesienia do zgody na gruncie RODO.
Znajduje to odzwierciedlenie w projektach polskich przepisów wprowadzających ustawę o ochronie danych osobowych, które jakkolwiek nie przewidują zmiany wspomnianego wyżej art. 173 prawa telekomunikacyjnego, to zarazem nadają nowe brzmienie jego art. 174, odsyłając w zakresie warunków udzielenia zgody do RODO.
W związku z tym powstaje problem, czy zastąpienie dyrektywy 95/46/WE przez RODO wpływa na sposób wyrażenia zgody na zapis lub odczyt plików cookies. Na gruncie obowiązującego prawa utarła się praktyka polegająca na wyświetleniu banera z informacją, że dalsze przeglądanie serwisu oznacza wyrażenie zgody na cookies. Wbrew pojawiającym się głosom uważam, że istnieją wystarczające argumenty, przemawiające za utrzymaniem takiej praktyki.
Jakie to argumenty?
Zgodnie z RODO jednoznaczna zgoda musi być wyrażona przez „wyraźne działanie potwierdzające". Jeśli więc serwis internetowy wystarczająco jasno informuje, że dalsza nawigacja i brak blokady plików cookies oznaczają wyrażenie zgody, a użytkownik nadal porusza się po stronie internetowej i nie zablokował cookies w przeglądarce, to czynności takie mogą być interpretowane jako „wyraźne działanie potwierdzające.
Przede wszystkim uważam jednak, że zgoda w ogóle nie musi być konieczna. W kontekście wykorzystania plików cookies do celów analitycznych i reklamowych można powołać się na prawnie uzasadniony interes administratora danych lub osoby trzeciej. Z motywu 47 RODO wynika, że administrator danych może się powołać na uzasadniony interes jako podstawę przetwarzania danych, jeżeli osoba, której dane dotyczą w chwili zbierania danych i z uwzględnieniem kontekstu ich zbierania ma rozsądne przesłanki by spodziewać się, że jej dane mogą być przetwarzane w danym celu.
Czy odnosi się to również do cookies zbierających dane na potrzeby marketingu czyli tych pozwalających dostosować wyświetlane reklamy? Także w sytuacji, gdy dane te są przekazywane przez serwis reklamodawcy?
RODO nie wspomina o marketingu jako uzasadnionym interesie przetwarzania danych. Wskazuje jednak, że uzasadniony interes może dotyczyć zarówno administratora danych, jak i podmiotu trzeciego. O marketingu mowa natomiast we wspomnianym już motywie 47, wskazując, że niezrozumiałe „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Motyw 47 nie rozróżnia przy tym marketingu własnego i marketingu cudzego. Skoro więc uzasadniony interes może dotyczyć tak administratora, jak i podmiotu trzeciego, wzmianka o marketingu bezpośrednim dotyczy w mojej ocenie również przypadków prowadzenia reklamy na zlecenie podmiotu trzeciego.