Subskrybuj nas na Youtube
Tak wynika z najnowszych wytycznych IAB Europe, największej europejskiej organizacji zrzeszającej reklamodawców internetowych.
Choć każdy z internautów na co dzień spotyka się z koniecznością wyrażenia zgody na zapisanie na jego komputerze plików tzw. ciasteczek (ang. cookies), to jednocześnie wciąż można spotkać strony internetowe, które ignorują ten obowiązek. Wynika to z przekonania, że użycie cookies jest możliwe także w oparciu o tzw. uzasadniony prawnie interes administratora. To jedna z podstaw prawnych wynikających z RODO. Niektórzy prawnicy rozciągali ją również na „ciasteczka”. Jak wynika z opublikowanych właśnie przez IAB Europe wytycznych, to niewłaściwe podejście. Sama branża przyznaje więc, że co do zasady wymaga to zgody użytkowników.
– Podejście szeroko bazujące na uzasadnionym interesie to zawsze był błąd, bo każdy przypadek trzeba rozważać osobno. Cookies można stosować, gdy mechanizm ten jest niezbędny do (mechanicznego) funkcjonowania strony. Przykładowo, gdy są używane do zapamiętania stanu, np. zmian w wyglądzie strony personalizowanej przez użytkownika. To nie jest tożsame z szerokim wykorzystaniem do np. personalizacji reklam, także z udziałem stron trzecich – wyjaśnia dr Łukasz Olejnik, niezależny badacz i konsultant prywatności.
Administratorzy stron, którzy decydują się na zapisywanie cookies na komputerach użytkowników bez pytania ich zgodę, sporo ryzykują. Pokazują to dobitnie kary nałożone w grudniu 2020 r. przez francuski organ ochrony danych (CNIL) – 100 mln euro na Google i 35 mln euro na Amazona. Obydwie sankcje nałożono m.in. za zapisywanie tych ciasteczek bez uprzedniej zgody.
W przeszłości również Trybunał Sprawiedliwości Unii Europejskiej uznawał, że zapisywanie cookies wymaga zgody i to wyrażonej w sposób bezpośredni. W wyroku z 1 października 2019 r. w sprawie sygn. C-673/17 przesądził, że okienko wyboru akceptujące użycie plików cookies na stronie internetowej nie może być domyślnie zaznaczone, nawet jeśli użytkownik może je odznaczać. Nie można bowiem w takiej sytuacji mówić o udzieleniu czynnej zgody. W przypadku dokonania wyboru za użytkownika uzyskana w ten sposób zgoda jest nieważna. Aby była skuteczna, okienko wyboru powinno pozostać puste, a sam użytkownik musi zdecydować, czy chce je zaznaczyć.
Wytyczne IAB Europe dotyczą nie tylko cookies, ale szerzerzej analizy, która powinna poprzedzić przetwarzanie danych na podstawie prawnie uzasadnionego interesu.
– Badanie możliwości stosowania uzasadnionego interesu musi brać pod uwagę interes użytkownika, chociażby to, czy oczekiwałby przetwarzania danych w określony sposób. Pytamy: czy użytkownik uznałby takie przetwarzanie danych za oczekiwane? Jak bliskie są związki między stroną a użytkownikiem? Ustalenie musi nastąpić w sposób rzetelny i uczciwy, z uwzględnieniem alternatywy dla pewnych rodzajów przetwarzania. Potraktowałbym to poważnie, bo europejscy regulatorzy ochrony danych są coraz bardziej zaniepokojeni tym obszarem – zauważa dr Olejnik.
Problem z cookies jest taki, że podlegają one różnym regulacjom. Z jednej strony, jako pliki zapisywane na komputerach użytkowników – dyrektywie 2002/58 zwanej ePrivacy, z drugiej zaś, jako dane osobowe, których pozyskanie te pliki umożliwiają – RODO.
– To są zupełnie różne czynności, różny przedmiot ochrony – RODO chroni prawo do ochrony danych osobowych, dyrektywa ePrivacy poufność komunikacji, prywatność użytkownika i integralność systemu teleinformatycznego. Stąd inaczej ukształtowano możliwość ingerencji w sferę chronioną: przy danych osobowych łagodniej, przy cookies ostrzej, bo wymagana jest zawsze zgoda, a przy danych osobowych nie – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Jak dodaje, analogicznie jest w przypadku wysyłania e-maili reklamowych: żeby wysłać taki e-mail, potrzebna jest zgoda, ale przetwarzanie danych na potrzeby wysyłki e-maila może się odbywać na podstawie uzasadnionego interesu. ©℗