Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Pytania wokół wyroku w sprawie cookies

28-01-2020 Autor: Mateusz Franke

Wyrok TSUE z 1 października 2019 r. w sprawie Planet49 wywołuje różne reakcje. Jedni uznają go za punkt zwrotny w kwestii cookies. Inni są zdania, że TSUE jedynie potwierdził to, co wynika z przepisów i wytycznych regulatorów. Największe kontrowersje wywołują jednak te zagadnienia, do których TSUE się nie odniósł.

 

Wyrok TSUE w sprawie Planet49 z 1 października 2019 r. (C-673/17) dotyczył pozyskiwania zgody na użycie cookies. Ma on jednak szersze znaczenie, gdyż odnosi się do wszelkich technologii, które przechowują informacje na urządzeniach użytkowników lub uzyskują do tych informacji dostęp (np. flash cookies, piksele śledzące).
 
TSUE przesądził, że zgoda na użycie coo­kies musi uwzględniać standardy rodo. Wymaga ona czynnego zachowania użytkownika i nie można jej pozyskać za pomocą domyślnie zaznaczonego okienka ani wywnioskować ze zgłoszenia do loterii, które ma inny cel. Przed udzieleniem zgody użytkownik powinien zostać poinformowany m.in. o okresie funkcjonowania cookies i o tym, czy mają do nich dostęp osoby trzecie. Ponadto sposób interpretacji przepisów o zgodzie na użycie cookies jest niezależny od tego, czy przetwarzane przez nie informacje są danymi osobowymi.
 
Z podstawowymi tezami sformułowanymi przez TSUE można się zgodzić, szczególnie że przepisy dotyczące zgody na cookies odsyłają do rodo. W niektórych obszarach omawiany wyrok wywołuje jednak kontrowersje. Dotyczy to głównie obowiązku informacyjnego oraz sposobu, w jaki TSUE podszedł do styku dyrektywy 2002/58 z rodo. Można żałować, że sędziowie ograniczyli się ściśle do udzielenia odpowiedzi na zadane pytania. Szereg zagadnień związanych z cookies nadal budzi wątpliwości.
 
„Ściśle niezbędne” cookies
 
Omawiany wyrok bywa sprowadzany do tezy, że użycie cookies wymaga czynnej zgody użytkownika. Jest to uproszczenie. TSUE nie przesądził wcale, że na każde użycie cookies jest konieczna taka zgoda. Wyrok odnosi się tylko do sytuacji, w której zgoda jest wymagana.
 
W myśl art. 173 ust. 3 pr. tel. wymogu pozyskania zgody na przechowywanie lub uzyskanie dostępu do informacji już zapisanej w urządzeniu nie stosuje się, jeśli jest to „konieczne do (…) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego”. Przepis ten jest wdrożeniem art. 5 ust. 3 dyrektywy 2002/58 w brzmieniu nadanym przez dyrektywę 2009/136. W praktyce chodzi o cookies, które są „ściśle niezbędne” do działania witryny internetowej czy usługi online (np. obsługa koszyka w e-sklepie).
 
Granice są jednak niejasne. Kontrowersje dotyczą m.in. cookies analitycznych i statystycznych. Według brytyjskiego ICO1 i GR 29 (opinia 04/2012, WP 194) nie są one „ściśle niezbędne” i wymagają zgody. Z kolei francuska CNIL2 dopuszcza pod pewnymi warunkami stosowanie cookies statystycznych bez zgody. Z pewnością jednak wymagają zgody cookies marketingowe. Przy jej pozyskiwaniu należy uwzględniać wyrok w sprawie Planet49.
 
Styk danych osobowych i cookies
 
Dyrektywa 2002/58 służy ochronie danych osobowych i prywatności w sektorze łączności elektronicznej. Uzupełnia ona i dookreśla rodo. Obie regulacje „zachodzą na siebie” w sytuacji, w której informacje przetwarzane przez cookies stanowią dane osobowe. W takim wypadku oprócz dyrektywy 2002/58 stosuje się również rodo. Z kolei samo rodo zawiera reguły dotyczące stosowania obu regulacji (art. 95, motyw 173), są one jednak niejasne.
 
Cookies marketingowe, których dotyczyła sprawa Planet49, służyły do przetwarzania danych osobowych (przez identyfikator były bezpośrednio powiązane z danymi użytkownika podanymi w formularzu rejestracji do loterii). Wyrok był więc dobrą okazją, aby udzielić wskazówek odnośnie do styku dyrektywy 2002/58 z rodo. TSUE niestety ograniczył się do stwierdzenia, że przepisy o zgodzie na użycie plików cookie nie powinny być interpretowane odmiennie w zależności od tego, czy informacje przechowywane lub udostępniane przez te pliki w urządzeniu użytkownika są bądź nie są danymi osobowymi.
 
Wyrok TSUE zakłada dwie kwestie:
  • zgoda na użycie cookies powinna być w UE rozumiana jednolicie i spełniać te same warunki co zgoda na przetwarzanie danych osobowych – być dobrowolna, konkretna, świadoma i jednoznaczna;
  • dyrektywa 2002/58 chroni wszelkie informacje i gdy wymaga zgody, to wymóg ten odnosi się w taki sam sposób do cookies przetwarzających dane osobowe i nieprzetwarzających ich.
Podstawy przetwarzania
 
W sprawie Planet49 nie budziło wątpliwości, że cookies marketingowe wymagały zgody (co zresztą przyznała sama spółka) i w ogóle nie brano pod uwagę innej przesłanki przetwarzania. We wcześniejszym wyroku w sprawie Fashion ID (z 29 lipca 2019 r., C-40/17) TSUE nie wykluczył zupełnie możliwości powoływania się na prawnie uzasadniony interes w odniesieniu do wtyczki społecznościowej, działającej podobnie do cookies. Tę pozorną rozbieżność można próbować wyjaśnić, sięgając do opinii 5/2019 Europejskiej Rady Ochrony Danych (dalej: EROD) w sprawie wzajemnych zależności pomiędzy dyrektywą 2002/58 a rodo.
 
[...]
 
Autor jest radcą prawnym, członkiem OIRP w   Krakowie, partnerem w kancelarii ADV LEGAL.
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.