Aktywna zgoda na pliki cookies
Przedsiębiorco działasz w Internecie na rynku niemieckim? Najnowszy – maj 2020 – wyrok niemieckiego Sądu Najwyższego (BGH) w zakresie cookies może mieć dla Ciebie istotne znaczenie!
Jeśli wchodząc na Twoją stronę internetową użytkownik nie ma możliwości wyrażenia zgody na ciasteczka to należy liczyć z konsekwencjami prawnymi. Przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika jest dozwolone, o ile użytkownik wyrazi zgodę, po otrzymaniu, zgodnie z dyrektywą 95/46, jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. W przypadku, gdy pliki cookies nie są bezpośrednio związane z funkcjonowaniem strony, ale służą innym celom (np. reklamowym, badania rynku i zachowań konsumenckich) to użytkownik musi wyrazić na nie zgodę jeszcze przed wejściem na stronę. W praktyce oznacza to, że konsument musi mieć możliwość wyrażenia zgody na pliki do nawet najprostszych narzędzi analitycznych jeszcze zanim cookies zostaną zainstalowane na jego urządzeniu. Informacja i formularz zgody (może być w uproszczonej postaci, np. checkbox) na ciasteczka, które powinny pojawiać się przy wejściu na witrynę internetową, powinny również odpowiadać standardom GDPR czyli RODO.
W związku z tym jest to ostatni dzwonek dla przedsiębiorców na dokonanie na swojej platformie przeglądu procesu udzielania zgody przez konsumenta na ciasteczka, zanim przyjdą pierwsze pozwy czy zgłoszenia naruszeń ze strony użytkowników, odpowiednich organów oraz organizacji zajmujących się ochroną danych osobowych, czy też konkurencji.
Szczegóły sprawy
Wyrok zapadły w sprawie odniósł się do wymagań dotyczących zgody na zapisywanie plików cookie na urządzeniu końcowym użytkownika.
Sprawa, która została wszczęta z powództwa Stowarzyszenia Konsumentów (VZBV) przeciwko firmie Planet49, trafiła również do Trybunału Sprawiedliwości Unii Europejskiej (TSUE).
Spółka Planet 49 przeprowadziła w 2013 roku konkurs na swojej stronie internetowej. Aby w nim uczestniczyć, należało podać kod pocztowy, imię i nazwisko oraz adres zamieszkania. Pod danymi znalazły się również pola wyboru opcji dla formularzy zgody.
Poprzez potwierdzenie pierwszej zgody, które nie było wstępnie skonfigurowane („zakreślone”), deklarowało się zgodę na reklamę pocztą, telefonicznie, mailowo lub smsem. Przy tym powstawała alternatywa dla korzystającego – albo dokona sam wyboru z obszernej listy 57 firm partnerów albo pozostawi ten wybór Planet49.
Drugie pole miało ustawiony znacznik wyboru i opatrzone było następującym tekstem:
„Zgadzam się, że będzie zastosowana wobec mnie analiza sieciowa Remintrex [niemiecka firma specjalizująca się w retargetingu – przypis Nasz]. To oznacza, że Planet49, po dokonaniu rejestracji w konkursie, ustawi pliki cookies, które oceni na podstawie mojego zachowania podczas używania stron partnerów i poprzez to umożliwi dopasowanie reklamy przez Remintrex. Ciasteczka mogą być w każdej chwili usunięte. Więcej można przeczytać tutaj”.
Pod słowem „tutaj” zawarta była informacja, że pliki cookie otrzymają określony, losowo wygenerowany numer (ID), który zostanie przypisany do danych rejestracyjnych użytkownika, które podał w formularzu konkursowym. W przypadku, gdy użytkownik z zachowanym identyfikatorem odwiedzi stronę internetową partnera reklamowego zarejestrowanego u Remintrex, wizyta ta będzie zarejestrowana, jak również produkt, którym był zainteresowany użytkownik i czy doszło do zawarcia umowy z partnerem reklamowym.
Wstępnie ustawioną opcję tego pola można było odznaczyć, jednak udział w konkursie możliwy był jedynie wówczas, gdy przynajmniej jedno z pól pozostawało zaznaczone.
Takie postępowanie zostało uznane za niezgodne z wytycznymi unijnymi, gdzie zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgodnie z powszechną praktyką w Niemczech, do tej pory było możliwe śledzenie i analizowanie zachowań konsumentów w Internecie, dopóki użytkownik aktywnie nie zaprzeczył takiemu działaniu ze strony operatorów (tzw. „opt-out”). To nie powinno być już więcej możliwe i jeśli usługodawca będzie chciał sprawdzać swoich użytkowników to musi wcześniej poprosić ich o zgodę. Wcześniej zakreślona zgoda na działania statystyczne ze strony serwisów internetowych poprzez z góry ustawioną, domyślną zgodę nie jest już do tego celu wystarczająca.
Stowarzyszenie Konsumentów (VZBV) zarzuciło spółce Planet49, że oświadczenia o wyrażeniu zgody skonstruowane na potrzeby konkursu nie spełniały wymogów z przepisów paragrafu 307 niemieckiego kodeksu cywilnego (BGB) w związku z paragrafem 7 ust. 2 pkt 2 niemieckiej ustawy o zwalczaniu nieuczciwej konkurencji (UWG) oraz w artykułu 12 i następnych niemieckiego prawa telekomunikacyjnego (TMG).
Przywołane przepisy BGB stanowią, że postanowienia ogólnych warunków umów są bezskuteczne, jeżeli wbrew wymogowi dobrej wiary są niewspółmiernie niekorzystne dla drugiej strony umowy zawartej z podmiotem stosującym takie warunki. W przypadku wątpliwości należy przyjąć, że niewspółmierna niekorzystność zachodzi, jeśli dane postanowienie nie jest zgodne z podstawowymi zasadami ustawowej regulacji, od której stanowi odstępstwo.
Natomiast według przytoczonego wyżej przepisu ustawy UWG należy przyjąć, że nadmierną uciążliwością dla konsumenta będzie reklamowanie poprzez połączenie telefoniczne, na które konsument nie wyraził uprzedniej, konkretnej zgody, a inny uczestnik rynku co najmniej zgody dorozumianej.
Z niemieckiego prawa telekomunikacyjnego wynika, że usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania mediów elektronicznych, o ile zezwalają na to przepisy odnoszące się wyraźnie do mediów elektronicznych, lub gdy użytkownik wyrazi na to zgodę. Ponadto dane osobowe, które zostały zgromadzone w celu udostępniania mediów elektronicznych, mogą być wykorzystane do innych celów tylko wtedy, gdy zezwala na to ustawa lub inny przepis prawny lub użytkownik wyraził na to zgodę. Prawo telekomunikacyjne zawiera także odesłanie do przepisów o ochronie danych osobowych, w zakresie, w jakim jego przepisy nie stanowią inaczej, nawet jeżeli dane nie są przetwarzane w zautomatyzowany sposób.
Zgodnie z paragrafem 13 ustęp 1 TMG dostawca usług w powszechnie zrozumiałej formie powinien poinformować użytkownika na początku procesu używania o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych, o ile takie powiadomienie nie miało jeszcze miejsca. W przypadku zautomatyzowanej procedury, która umożliwia późniejszą identyfikację użytkownika i przygotowuje gromadzenie i wykorzystywanie danych osobowych, użytkownika powiadamia się na początku tej procedury. W sprawie powoływano się również na paragraf 15 ust. 3 TMG, zgodnie z którym dla celów reklamy, badania rynku lub ukształtowania mediów elektronicznych w zależności od potrzeb dostawca usług może tworzyć profile użytkowania w przypadku używania pseudonimów, o ile użytkownik, po pouczeniu go o przysługującym mu prawie, nie sprzeciwi się temu.
Niemiecki Sąd Najwyższy (BGH), do którego VZBZ wniosło środek zaskarżenia, zdecydował, że wynik sprawy zależy od wykładni art. 5 ust. 3 i art. 2 lit. f dyrektywy 2002/58 (dyrektywy o prywatności i łączności elektronicznej), art. 2 lit. h dyrektywy 95/46, oraz art. 6 ust. 1 lit. a rozporządzenia 2016/679 (RODO), dlatego zwrócił się do TSUE z pytaniami prejudycjalnymi:
Pytanie 1a – czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f dyrektywy 2002/58 w związku z art. 2 lit. h dyrektywy 95/46, w sytuacji gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody?
Pytanie 1b – czy na stosowanie art. 5 ust. 3 i art. 2 lit. f dyrektywy 2002/58 w związku z art. 2 lit. h dyrektywy 95/46 ma wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?
Pytanie 1c – czy w okolicznościach określonych w pytaniu 1 a została wyrażona skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a RODO?
Pytanie 2 – jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z art. 5 ust. 3 dyrektywy 2002/58? Czy informacje te obejmują również okres ważności plików cookie oraz kwestię dostępu osób trzecich do plików cookie?
Zgodnie z art. 5 ust. 3 dyrektywy 2002/58 kraje UE zapewniają, że korzystanie z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskania dostępu do informacji przechowanej na terminalu abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem, że abonent lub użytkownik otrzyma jasną i wyczerpującą informację zgodnie z dyrektywą 95/46/WE, między innymi o celach przetwarzania, oraz zostanie zaoferowane mu prawo do odmówienia zgody na takie przetwarzanie przez kontrolera danych. Nie stanowi to przeszkody dla technicznego przechowywania danych lub dostępu do danych jedynie w celu wykonania lub ułatwiania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.
Przepis artykułu 2 lit. f dyrektywy 2002/58 odsyła do dyrektywy 95/46/WE, gdzie „zgoda osoby, której dane dotyczą” oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych. Natomiast art. 6 ust. 1 lit. a RODO wskazuje, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z wylistowanych warunków. Warunkiem z przywołanej podstawy prawnej, który był przedmiotem badania Trybunału, jest to, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Trybunał orzekł, że:
- Artykuł 2 lit. f i art. 5 ust. 3 dyrektywy 2002/58/WE, w związku z art. 2 lit. h dyrektywy 95/46/WE oraz z art. 4 pkt 11 i art. 6 ust. 1 lit. a RODO, należy interpretować w ten sposób, że zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.
- Sposób interpretowania art. 2 lit. f i art. 5 ust. 3 dyrektywy 2002/58, zmienionej dyrektywą 2009/136, w związku z art. 2 lit. h dyrektywy 95/46, a także z art. 4 pkt 11 RODO („zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych) i art. 6 ust. 1 lit. a RODO, nie powinien być różny w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i RODO.
- Artykuł 5 ust. 3 dyrektywy 2002/58, zmienionej dyrektywą 2009/136, należy interpretować w ten sposób, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.
Jeśli chodzi o wpływ zagadnień poruszonych przez Trybunał Sprawiedliwości Unii Europejskiej na polską regulację to raczej status quo się nie zmieni. Trybunał zaznaczył, że zgoda na cookies nie może być uzyskiwana poprzez domyślne ustawienia, takie jak gotowe znaczniki w formularzach, a także konieczność uzyskania zgody użytkownika jest niezależna od tego czy akurat dane osobowe są przetwarzane przy użyciu cookies. Ponadto konsument musi być poinformowany o długości przechowywania ciasteczek na urządzeniu końcowym użytkownika, jak również o tym, czy osoby trzecie będą miały dostęp do cookies.
Jak powyższe orzecznictwo wpływa na działania na rynku w Polsce? Z art. 173 polskiego prawa telekomunikacyjnego wynika, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej na urządzeniu końcowym użytkownika jest dozwolone, pod warunkiem że:
- zostanie on uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do tej informacji oraz możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego na urządzeniu,
- po otrzymaniu ww. informacji wyrazi na to zgodę,
- przechowywana informacja lub uzyskiwanie do niej dostępu nie spowoduje zmian konfiguracyjnych w urządzeniu końcowym użytkownika i oprogramowaniu zainstalowanym na tym urządzeniu.
Warto zwrócić tutaj uwagę na punkt drugi dotyczący wyrażenia zgody na pliki cookies. Według TSUE wykorzystywanie takich narzędzi jak ciasteczka powinno być dozwolone, pod warunkiem że użytkownicy otrzymają na ten temat wyraźną i dokładną informację, a wyrażając zgodę na działania ze strony operatora będą mieli możliwość aktywnego jej wyrażenia.
Źródło: