Na naszym Blogu poruszaliśmy już temat plików cookies (Jak ugryźć to ciastko?). Zdecydowanie opowiedzieliśmy się wówczas za koncepcją, iż dla legalnego korzystania z ciasteczek potrzebne jest uzyskanie zgody użytkownika odwiedzającego stronę internetową. Po ponad trzech latach od publikacji naszego artykułu, pojawiło się stanowisko PUODO w tym temacie. Co z niego wynika?
Po pierwsze zgoda, po drugie aktywna zgoda
Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął w ramach wydanej decyzji w sprawie iSecure sp. z o.o., iż pliki cookies mogą działać i zbierać informacje dotyczące aktywności w sieci wyłącznie wówczas, kiedy użytkownik odwiedzający stronę internetową wyrazi zgodę na ich stosowanie w sposób aktywny. Oznacza to, iż nie może to być zgoda bierna udzielona jedynie poprzez domyślne ustawienia przeglądarki internetowej. Według PUODO automatycznie ustawiona zgoda jest niezgodna z RODO, albowiem unijne rozporządzenie wymaga dla zgody elementów: dobrowolności, świadomości i konkretności, o których ciężko mówić w sytuacji domyślnych ustawień zakładających aktywność ciasteczek. PUODO powołał się również na wyrok TSUE w sprawie Planet49, który wskazuje dla zgody na wymóg aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu w ramach ciasteczek. Spółka iSecure postanowiła złożyć skargę na Wojewódzkiego Sądu Administracyjnego, powołując się m.in. na brak jasnych regulacji prawnych oraz wytycznych w tym zakresie oraz wskazując, iż właściwy w temacie polików cookies jest Prezes Urzędu Komunikacji Elektronicznej, a przepisy prawa telekomunikacyjnego pozwalają na automatyczną zgodę użytkowników wyrażoną poprzez ich ustawienia przeglądarki.[1] Czy aby na pewno?
Co mówi prawo telekomunikacyjne?
Artykuł 174 Prawa telekomunikacyjnego mówi wprost, iż „uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”. Oznacza to, iż zgoda musi spełniać wymogi z RODO, tj. być dobrowolna, konkretna, świadoma i jednoznaczna. Fakt, iż art. 173 ust 2 tej ustawy wskazuje, iż abonent lub użytkownik końcowy może wyrazić zgodę, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, nie oznacza, iż zgoda dla konkretnej witryny internetowej może być wyrażona domyślnie czy milcząco poprzez brak zmiany ustawień. Przepis ten wskazuje bowiem na możliwość wyrażenia zgody poprzez ustawienia, nie wskazując iż w ich ramach zgoda ma być automatycznie udzielona. Wymóg aktywnej zgody wynika nie tylko z RODO, ale potwierdza ją także art. 173 ust. 1 pkt. 2 Prawa telekomunikacyjnego, który zakłada iż zgoda może być udzielona po otrzymaniu przez użytkownika informacji wymaganych prawem (m.in. o celu przechowywania i uzyskiwania informacji o użytkowniku). Co logiczne, otrzymanie takich informacji jest możliwe dopiero po wejściu na konkretną stronę internetową, a zatem jak pliki cookies mogą być aktywne od razu po wyświetlaniu witryny jeżeli użytkownik nie zdążył zapoznać się z informacją od której zależne jest to czy chce aby pliki cookies pobierały o nim informacje?
Jakie jest zatem nasze zdanie?
Zdecydowanie zgadzamy się z podejściem PUDO, iż do legalnego stosowania plików cookies konieczna jest aktywna zgoda użytkownika. W naszej praktyce dopuszczamy w zasadzie jeden wyjątek, w którym taka zgoda nie jest konieczna – dotyczy on technicznych plików cookies niezbędnych do prawidłowego wyświetlenia strony. W przypadku wszelkich pozostałych plików cookies, czyli np. śledzących preferencje oraz historię działania użytkowników oraz stosowanych dla innych celów marketingowych – w naszej ocenie konieczne jest uzyskanie wyraźnej zgody w sposób opisany przez PUODO. Jesteśmy także zdania, iż Prezes Urzędu Ochrony Danych jest kompetentny w wydaniu decyzji w zakresie ustalenia, czy pliki cookies są stosowane zgodnie z wymogami prawa ochrony danych osobowych, jeżeli ich wykorzystywanie wiąże się z przetwarzaniem danych osobowych w rozumieniu RODO. Warto przy tym pamiętać, że za daną osobową może być adres IP i inne powiązane z nim dane. Jesteśmy jednak ciekawi, jakie rozstrzygnięcie zapadnie przed Wojewódzki Sądem Administracyjnym, ponieważ niewątpliwie będzie ono przełomowe dla funkcjonowania stron internetowych posługujących się ciasteczkami.😊
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej
Polityce prywatności. AKCEPTUJ
