Nie wystarczy, że użytkownik przewijał witrynę, aby móc przetwarzać jego dane. Niedozwolone jest też uzależnianie dostępu do portalu od przyzwolenia na śledzenie. To najnowsze rekomendacje EROD
Europejska Rada Ochrony Danych, czyli EROD, wydała niedawno wytyczne 05/2020. Zawierają one najnowsze rekomendacje dotyczące prawidłowego sposobu uzyskiwania zgody na przetwarzanie danych osobowych, o której mowa w art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO). Wśród nich znalazły się ważne informacje na temat przetwarzania danych z ciasteczek (ang. cookies) – chodzi o obecne niemal na każdej stronie internetowej pliki śledzące poczynania internautów w sieci i umożliwiające np. profilowanie w celach marketingowych.
Okazuje się, że wiele obecnie powszechnie stosowanych przez właścicieli stron internetowych sposobów uzyskiwania zgód na cookies musi odejść do lamusa. EROD wyraźnie wskazuje, że jeżeli chodzi o zgodę na przetwarzanie cookies, nie może być miejsca na domysły ani wprowadzanie w błąd. Doktor Agnieszka Stępień-Banach, specjalistka ds. ochrony danych osobowych w JAMANO sp. z o.o, przyznaje, że firmy najczęściej luźno podchodzą do kwestii pozyskiwania zgody na przetwarzanie danych z cookies, bo działania marketingowe przynoszą im spore zyski. Wymogi RODO im to zaś poważnie utrudniają. – Internauci postawieni przed faktycznym wyborem, czy chcą, aby ich dane były przetwarzane, mogą coraz częściej odmawiać. A to znajdzie swoje odzwierciedlenie we wpływach przedsiębiorców – mówi dr Agnieszka Stępień-Banach.
Ciasteczkowe problemy
Jakie więc praktyki są niedozwolone według EROD? Rada wskazuje takie przykładowe działania.
▶Uniemożliwianie dostępu do strony internetowej w przypadku braku zgody na przetwarzanie danych. Rada nazywa taką praktykę stawianiem ciasteczkowych ścian (ang. cookie walls). – Tak dzieje się nierzadko nawet wtedy, gdy klient jest zdecydowany na zakup produktu na danej stronie internetowej. Jeśli nie wyraża zgody na cookies, to nie zostaje dopuszczony do sklepu internetowego – opowiada dr Agnieszka Stępień-Banach. EROD wskazuje, że skoro w takim przypadku użytkownicy nie są stawiani przed faktycznym wyborem (bo korzystanie z usługi wymaga zaakceptowania cookies), to udzielona zgoda nie jest dobrowolna ani jednoznaczna.
▶Manipulowanie wyborem internautów poprzez tworzenie interfejsów graficznych sugerujących im, jaki wybór jest właściwy. Chodzi np. o to, że kwadracik z napisem „Zgadzam się” (na przetwarzanie danych z ciasteczek) bywa znacznie większy, podkreślony lub zaznaczony np. zielonym kolorem, w odróżnieniu od kwadracika z napisem „Nie zgadzam się”. Ponadto część serwisów, mimo że minęły dwa lata od rozpoczęcia stosowania RODO, wciąż popełnia podstawowe naruszenia, np. domyślnie zaznacza zgody na przetwarzanie danych osobowych i liczy na to, że internauta ich nie odhaczy. – Takie manipulacje nie mogą mieć miejsca, jeżeli administrator chce pozyskiwać zgody wymagane przez unijne rozporządzenie – wskazuje dr Agnieszka Stępień-Banach.
▶Uznawanie za zgodę działań internauty na stronie. Standardową praktyką wśród wielu serwisów internetowych stało się przyjmowanie, że zamknięcie przez użytkownika okienka pytającego o zgodę na cookies bądź sam fakt używania przez niego witryny oznacza zgodę na śledzenie przez cookies. EROD bezwzględnie krytykuje taką praktykę. Wskazuje, że pod żadnym pozorem nie wypełnia ona przesłanki wyraźnego działania potwierdzającego, że internauta zapoznał się z polityką prywatności i jest świadomy jej konsekwencji. Ponadto w takim przypadku nie jest możliwe spełnienie warunku, aby wycofanie zgody było tak samo łatwe jak jej udzielenie. Jednocześnie EROD przyznaje, że są możliwości, aby zgoda była udzielona w mniej tradycyjne sposoby, np. przez przesuwanie okienka z polityką prywatności przy pomocy myszy przez internautę albo obracanie smartfona w określony sposób. Pod warunkiem że użytkownik zostanie odpowiednio i jasno poinformowany, że takie działania wiążą się z wyrażeniem zgody na określone przetwarzanie danych. Warto pamiętać, że to na administratorze ciąży obowiązek udowodnienia, że internauci byli w stanie udzielić zgody dobrowolnie i mieli możliwość jej wycofania w podobny sposób.
▶Bazowanie na jednej zgodzie dla wielu administratorów. EROD zwraca również uwagę na inny błąd popełniany przez przedsiębiorców, a mianowicie zbieranie jednej zgody zarówno na przetwarzanie danych w celach marketingowych przez własną stronę, jak i przekazywanie danych zaufanym partnerom. Tymczasem w przypadku chęci podzielenia się danymi z zewnętrznymi podmiotami wymagana jest osobna zgoda użytkowników. Ponadto muszą mieć oni możliwość poznania owych partnerów i wyłączenia wybranych podmiotów z kręgu tych, z którymi administrator będzie dzielił się zebranymi danymi.
Podejście UODO
Dla wielu administratorów najnowsze wytyczne EROD mogą być zaskoczeniem. Adrianna Michałowicz, aplikant adwokacki w Lubasz i Wspólnicy Kancelaria Radców Prawnych sp. k., wskazuje, że praktyka odbierania zgody na przetwarzanie danych przez scrollowanie (ang. scroll – przewijać) strony albo uzależnianie dostępu do treści strony od wyrażenia zgody na instalację dodatkowych plików cookie mocno zakorzeniła się wśród operatorów witryn. Jednakże podejście zbieżne z EROD w zakresie cookies prezentowały już wcześniej niektóre organy nadzorcze z państw członkowskich. – Przełomowe jest to, że wreszcie jest oficjalne i poparte uzasadnieniem stanowisko EROD, które porządkuje rozbieżne zapatrywania i powinno sprzyjać ujednolicaniu wykładni przepisów w skali Unii Europejskiej – wskazuje Adrianna Michałowicz.
Czy wytyczne EROD będą miały przełożenie na podejście polskiego organu nadzorczego podczas kontroli u przedsiębiorców? Urząd Ochrony Danych Osobowych nie pozostawia w tym zakresie złudzeń. – Prezes UODO jest członkiem EROD i uczestniczy w pracach rady. Tak więc wytyczne te są elementem wspólnego stanowiska wypracowanego przez organy nadzorcze zrzeszone w EROD – słyszymy od Adama Sanockiego, rzecznika prasowego UODO. Urząd przypomina, że RODO ma na celu ujednolicenie zasad stosowania przepisów o ochronie danych osobowych w UE. Służą temu nie tylko spójne przepisy, lecz także wytyczne EROD, które są efektem wspólnej pracy wszystkich członków Rady. ‒ Dlatego praktyka UODO w podejściu do zgód będzie zbieżna z wytycznymi EROD w tym zakresie – konkluduje rzecznik.
Jak prawidłowo pytać rodziców
EROD zarekomendował też jak powinna wyglądać prawidłowo uzyskana zgoda rodziców. Przedstawił przykład internetowej platformy do rozgrywania turniejów w gry komputerowe, która wymaga zgody rodziców bądź opiekunów osób poniżej 16. roku życia. Administrator w pierwszej kolejności powinien zapytać użytkowników, czy spełniają kryterium wiekowe. Jeśli nie, to powinien poinformować ich o konieczności wyrażenia zgody przez rodzica bądź opiekuna. Dziecko powinno wpisać jego adres e-mail. Administrator powinien skontaktować się z tym adresem e-mailowym i potwierdzić, że dana osoba rzeczywiście sprawuje pieczę nad dzieckiem. Jeśli do administratora wpływałyby jakiekolwiek skargi w zakresie weryfikacji tych faktów, to powinien podjąć dodatkowe kroki zmierzające w kierunku ustalenia wieku logującego się do jego platformy.