RODO a pliki cookies

RODO a pliki cookies

Data rozpoczęcia obowiązywania RODO już za nami, jednak wciąż pojawiają się pytania i wątpliwości w zakresie stosowania unijnego rozporządzenia. W tym artykule odniosę się do wątpliwości związanych ze stosowaniem RODO w aspekcie plików cookies.

Przed RODO

Obowiązki właścicieli stron internetowych w zakresie plików cookies zostały uregulowane w art. 173 ustawy dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Aktualna treść przepisu jest wynikiem noweli z dnia 16 listopada 2012 r., a nowelizacja ta wynikała z konieczności dostosowania ustawy do aktualnego brzmienia art. 5 ust. 3 dyrektywy 2002/58/WE, zgodnie z którym państwa członkowskie mają zapewnić, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik zgodnie z dyrektywą 95/46/WE wyrazili zgodę na to po otrzymaniu jasnych i wyczerpujących informacji m.in. o celach przetwarzania. To od tego momentu w sieci nastąpił wysyp okienek informujących nas o korzystaniu przez stronę z plików cookies.

Po RODO

Czy RODO zmienia coś w tej kwestii? Na pierwszy rzut oka wydaje się, że nie, a rozstrzygnięcie tego problemu znajduje się w art. 95 RODO:

Stosunek do dyrektywy 2002/58/WE
Niniejsze rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE.

Jednak interpretacja wzajemnej relacji tych dwóch aktów prawnych (tj. dyrektywy 2002/58/WE oraz RODO) jest dużo bardziej skomplikowana. W tym aspekcie warto wskazać na stanowisko Grupy Roboczej art. 29 (w skład której wchodzą m. in. przedstawiciele organów ochrony danych osobowych Państw Członkowskich), zgodnie z którym wymogi co do zgody na gruncie RODO nie są uznawane za „dodatkowy obowiązek”, a jedynie warunek wstępny legalnego przetwarzania danych osobowych. To twierdzenie stanowi dla wielu osób argument przemawiający za tym, że po wejściu w życie RODO sytuacja w aspekcie plików cookies uległa zmianie i potrzebne są nowe, wyraźne zgody na korzystanie z plików cookies.

Problem ze zgodą

Analizując niniejszą kwestię pojawia się podstawowe pytanie – w czym tkwi problem, skoro przed wejściem w życie RODO na stosowanie plików cookies potrzebna była zgoda użytkownika danego serwisu i teraz też jest potrzebna zgoda? Mianowicie problem polega na interpretacji pojęcia „zgoda” – w perspektywie konkretnych działań, które należy wdrożyć.
Jeszcze raz przypomnę – art. 173 Prawa telekomunikacyjnego jest zdeterminowany brzmieniem dyrektywy 2002/58/WE PARLAMENTU EUROPEJSKIEGO I RADY z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej). Zgodnie z art. 5 ust. 3 tej dyrektywy:

Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania (…)

Zgodnie z motywem 17 ww. dyrektywy zgoda ma być rozumiana w sposób następujący:

Do celów niniejszej dyrektywy, zgoda użytkownika lub abonenta, niezależnie od tego czy abonentem jest osoba fizyczna czy prawna, powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46/WE. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej.

Dyrektywa 95/46/WE definiuje natomiast zgodę w sposób następujący – zgodnie z art. 2 lit. h):

„zgoda osoby, której dane dotyczą” oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych.

Kłopot polega na tym, że dyrektywa 95/46/WE została uchylona i zastąpiona właśnie przez RODO. Stąd – zgodnie z opinią Grupy Roboczej art. 29 – odniesienia do zgody w dyrektywie 2002/58/WE powinny być rozumiane jako odniesienia do zgody na gruncie RODO.

Sprawdźmy zatem jak brzmi definicja zgody zamieszczona w RODO.
Zgodnie z art. 4 pkt 11) RODO jest rozumiana w sposób następujący:

„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

Przed wejściem w życie RODO zgoda na stosowanie plików cookies mogła zostać wyrażona (co wynika wprost z art. 173 ust. 2 Prawa telekomunikacyjnego) za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Czyli zgoda mogła zostać wyrażona w ten sposób, że użytkownik – po przekazaniu mu stosownych informacji w zakresie plików cookies – zaakceptował posługiwanie się przez usługodawcę tymi plikami w ten sposób, że nie zmienił ustawień przeglądarki w tym zakresie. Po wejściu w życie RODO pojawiają się liczne głosy, że taki sposób wyrażenia zgody jest już niewystarczający, a tym samym dotychczasowe środki techniczne stosowane przez właścicieli stron internetowych w zakresie cookies muszą zostać zmienione i dostosowane do RODO. Moim zdaniem taki pogląd jest jednak nieuzasadniony.
Przede wszystkim należy zauważyć, że definicje „zgody” na gruncie dyrektywy 95/46/WE oraz RODO wcale istotnie się nie różnią. Co niezmiernie ważne – RODO nie ogranicza sposobu wyrażenia zgody jedynie do złożenia stosownego oświadczenia. RODO pozwala, aby zgoda została wyrażona poprzez „wyraźne działanie potwierdzające”. Wobec tego – jeśli na stronie internetowej zamieszczono jasne i jednoznaczne informacje, że dalsze korzystanie ze strony i brak blokady plików cookies oznaczają wyrażenie zgody, to dalsze poruszanie się przez użytkownika po danej stronie i brak blokady cookies, mogą zostać potraktowane jako „wyraźne działanie potwierdzające” w rozumieniu RODO.

Podsumowanie

Mając na względzie powyższe uwagi, moim zdaniem stosowane dotychczas informacje w zakresie plików cookies są wystarczające i nie ma potrzeby ich modyfikowania w związku z obowiązywaniem RODO. Trzeba jednak przyznać, że legislacyjny bałagan i brak spójności pomiędzy aktami prawnymi powoduje, że analizowany problem jest niezwykle kontrowersyjny, a jego definitywne rozstrzygnięcie – co najmniej utrudnione. Remedium na ów bałagan ma być unijne rozporządzenie w sprawie prywatności i łączności elektronicznej – tzw. rozporządzenie ePrivacy, które ma zastąpić obowiązującą obecnie dyrektywę 2002/58/WE i którego zadaniem będzie skonkretyzowanie ogólnych zasad wynikających z RODO. Prace nad rozporządzeniem trwają.

Adwokat, absolwent WPiA Uniwersytetu Jagiellońskiego w Krakowie. Jego zainteresowania zawodowe koncentrują się wokół szeroko pojętego prawa informatycznego i internetowego.

Wszystkie artykuły autora>>

Dodaj komentarz