Europejska Rada Ochrony Danych wydała opinię w zakresie regulacji ePrivacy, w której można przeczytać, iż obecnie stosowane banery cookie na wielu stronach są sprzeczne z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych. W szczególności chodzi tutaj o tzw. ściany, które uniemożliwiają w niektórych sytuacjach dostęp do strony internetowej, jeśli ich nie zatwierdzisz. Z moich własnych obserwacji różnych witryn internetowych, są one zaprojektowane w taki sposób, iż trudno mówić o dobrowolności nie mówiąc już o przemycaniu w nich innych zgód lub też tworzenie ich w taki sposób, że aby nie wyrazić zgody, nadal trzeba odznaczać inne pola, co jest w mojej opinii wątpliwe w zakresie świadomości udzielanej zgody. Diabeł oczywiście tkwi w szczegółach i należy każdorazowo rozpatrzyć, co kryje się za ścianą cookies.
W przywołanej opinii EROD podkreślono, że „Aby zapewnić dobrowolność zgody, jak wymaga tego RODO, dostęp do usług i funkcji nie może być uzależniony od zgody użytkownika na przetwarzanie danych osobowych lub informacji przetwarzanych przez urządzenia końcowe użytkownika bądź związanych z takimi urządzeniami, co oznacza, że należy wyraźnie zabronić stosowania cookie walls.”
Należy zaznaczyć, że zgodnie z obowiązującą dyrektywą ePrivacy, korzystanie ze ścian cookies jako takich nie jest zabronione. Nie oznacza to, że w niektórych przypadkach są one zgodne z RODO i czy odejdą do lamusa w przyszłości.
Dodatkowo w treściach tych ścian znajdują się uwarunkowania dyskusyjne z punktu widzenia regulatorów. Same jednak organy krajowe przyjmują różny punkt widzenia, jak pokazuje przykład Austriacki oraz Brytyjski.
W przypadku Austrii sprawa dotyczy austriackiej gazety Der Standard (mimo że decyzja nieco zanonimizowana, łatwo dociec, iż o tę gazetę chodzi), w której osoba fizyczna podniosła, iż udzielona zgoda nie była dobrowolna, a zatem jest nieważna na mocy art. 7 ust. 4 RODO. Z kolei w Wielkiej Brytanii sprawa dotyczyła amerykańskiej gazety The Washington Post.
W każdym z tych przypadków, odwiedzając witrynę gazet, osoby mają do wyboru albo opcję bezpłatnego dostępu z plikami cookie, albo opcję płatnego dostępu bez plików cookie.
Decyzja w Austrii
Austriacki organ ochrony danych (DSB) wskazał, że ściany plików cookie nie są zakazane (obowiązująca dyrektywa ePrivacy). Cookie wall gazety Der Standard zapewnia taki stopień wyboru, który skutkuje udzieleniem dobrowolnej zgody, przy czym brał pod uwagę przesłanki udzielenia zgody Grupy Roboczej Art. 29 (Art. 29WP) – Wytyczne dotyczące zgody (WP 259).
Urząd wskazał, iż osoba fizyczna ma pełną kontrolę nad sytuacją, gdyż Der Standard umieszcza pliki cookie dopiero po podjęciu przez osobę fizyczną świadomej decyzji o zezwoleniu na umieszczenie plików cookie. Po drugie, osoba fizyczna może wstrzymać zgodę poprzez zawarcie płatnej subskrypcji lub opuszczenie strony internetowej Der Standard.
DSB zauważył, że należy wziąć pod uwagę cenę płatnej opcji dostępu bez plików cookie. Jeśli cena jest zbyt wysoka, oznacza to, że płatna opcja staje się negatywną konsekwencją odmowy zgody na pliki cookie, co może unieważnić zgodę danej osoby; austriacki DPA uznał tutaj, że ceny Der Standard nie są „nadmiernie wysokie”, gdyż mowa była o 6 EUR miesięcznie. W związku z tym, wyrażenie zgody na pliki cookie skutkowało pozytywnym wynikiem dla osoby, gdyż umożliwiono nieograniczony dostęp do artykułów gazety w tej cenie.
W decyzji organu brak informacji i rozważań o sposobie wycofywania zgody. W praktyce, gdy osoba fizyczna wycofuje zgodę, strona internetowa Der Standard ponownie prezentuje cookie-wall. Wnioskuję zatem, że urząd uznał to za stosowne rozwiązanie.
Fot.1 Zrzut ekranu strony Der Standard. Opracowanie: własne z dnia 06/03/2019.
Decyzja w Wielkiej Brytanii
W przypadku The Washington Post sprawa rysuje się inaczej, jak wynika z doniesienia dziennika The Register. Brytyjski organ nadzoru (ICO) przyjął inną optykę, przy czym nie ma tutaj mowy o decyzji ICO, a ostrzeżeniu wystosowanym do gazety. Ze względu na fakt, iż gazeta działa na terytorium Stanów Zjednoczonych, a zatem nie podlega bezpośredniej jurysdykcji ICO, regulator wydał jedynie oświadczenie (zamiast wszczynać jakiekolwiek działania egzekucyjne). Może to jednak wskazywać kierunek ICO w stosunku do podmiotów w Zjednoczonym Królestwie w zakresie podobnych praktyk.
Gazeta amerykańska oferuje trzy opcje dla przyszłych czytelników, ale tylko jedna z nich, najdroższa i kosztująca 9 dolarów miesięcznie, umożliwia wyłączenie śledzenia i plików cookie.
W przypadku pozostałych dwóch, które są albo bezpłatne (za ograniczoną liczbę artykułów), albo 6 dolarów miesięcznie (za nieograniczoną liczbę artykułów), czytelnik gazety musi wyrazić zgodę na używanie plików cookie, śledzenie i reklamy gazety i stron trzecich.
W świetle tej konfiguracji ICO doszła do wniosku, że The Washington Post naruszał (jak widać po zrzucie ekranu, nie zastosował się do zaleceń ICO) zasady RODO, ponieważ nie dawał osobom fizycznym „prawdziwego wyboru i kontroli nad sposobem wykorzystywania ich danych osobowych”. Gazeta nie zaoferowała bezpłatnej alternatywy dla akceptowania plików cookie i regulator stwierdził, że „zgoda nie może być udzielona bez ograniczeń i jest nieważna” na mocy art. 7 ust. 4 RODO. Stanowi on: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.”
Warto zauważyć, iż prawo w USA, w ogóle nie ma czegoś takiego jak zgoda na ciasteczka.
ICO samo przyznało, że niewiele jest w stanie zrobić ze względu na jurysdykcję, prócz wydania oświadczenia, mimo iż gazeta oferuje usługi dla czytelników z EU, tyle że płatne i bez cookies…, a ICO chciałoby darmowej opcji, aby zgoda była dobrowolna.
Przypominam, że w przypadku obu gazet brakowało darmowej opcji.
Fot.2 Zrzut ekranu strony The Washington Post. Opracowanie: własne z dnia 06/03/2019.
Z materiału dotyczącego The Washington Post można zaobserwować jeszcze jeden ciekawy element. Mianowicie, bezradność organu w stosunku do gazety, której de facto pogrożono delikatnie palcem. Patrząc na międzynarodowy charakter regulacji (Artykuł 3 – Terytorialny zakres stosowania RODO), zastanawiająca jest zatem egzekwowalność eksterytorialnego charakteru RODO i jestem ciekaw, jak się to rozwinie… O ile w ogóle, jeśli organy z podmiotami na terenie UE będą miały dużo pracy.
Holenderski organ nadzorczy również ma zastrzeżenia.
Jak donosi portal Tech Crunch, do grona regulatorów podnoszących problem cookie walls i ich niezgodności przy projektowaniu z RODO, dołączył również Holenderski organ nadzoru.
Z przytoczonych przez portal wypowiedzi organu wynika, iż „Pozwolenie nie jest 'bezpłatne’, jeśli ktoś nie ma realnego lub wolnego wyboru. Albo, jeśli osoba nie może odmówić udzielenia zgody bez negatywnych konsekwencji”. Ponadto „[…] Dokładniejsze monitorowanie i analiza zachowań odwiedzających stronę internetową oraz dzielenie się tymi informacjami z innymi stronami, jest dozwolone tylko za zgodą. Pozwolenie to musi być całkowicie bezpłatne”. Organ ostrzega również, iż będzie te praktyki weryfikował, co nie pozostaje bez odpowiedzi organizacji zrzeszających reklamodawców IAB (the Internet Advertising Bureau), która nie zgadza się z takim spojrzeniem, podnosząc swoisty konflikt między RODO, a obowiązującą dyrektywą ePrivacy.
Jak zatem postępować mają organizacje?
Trzeba indywidualnie ważyć przypadki i starać się godzić rozwiązania ciasteczek z RODO i obowiązującej dyrektywy ePrivacy, projektując rozwiązanie czy nawet korzystając z gotowych, które należy odpowiednio dostosować. Pamiętać przy tym należy, aby jednak dokładnie przeanalizować proces w danym przypadku, gdyż to szczegóły mogą w efekcie przeważyć o zgodności lub nie. Same elementy wskazane przez regulatorów w tych konkretnych przypadkach to w mojej ocenie nie koniec. W ścianach cookie, z którymi się sam zetknąłem, są jeszcze inne problemy. Parlament Europejski w ostatnio proponowanej wersji nowego ePrivacy przyjął zakaz cookie walls, jednak Rada UE nie określiła swojego stanowiska. Musimy jeszcze poczekać na regulację ePrivacy, która miejmy nadzieję w ostatecznym kształcie, pomoże rozwiązać niespójności.
Autor artykułu: Piotr Powązka
Absolwent Uniwersytetu Ekonomicznego we Wrocławiu. Posiada kilkunastoletnie doświadczenie korporacyjne w sektorze finansowym i technologicznym.
Zaangażowany w przekształcanie prywatności i praktyk handlowych poprzez budowanie zrównoważonej wartości biznesowej, propaguje nowe standardy w umowach oraz kulturę ery zaufania i współpracy. Promuje strategiczne zmiany w sposobie prowadzenia biznesu i zarządzania relacjami. Wspiera organizacje w zakresie transformacji cyfrowej, ochrony danych osobowych i prywatności, jak również zarządzania kontraktami, zgodności i kontroli wewnętrznej oraz modelowania procesów biznesowych.
Jego publikacje obejmowały takie obszary jak: ceny transferowe, kryptowaluty, smart contracts, ochrona danych osobowych czy zarządzanie umowami (contract management). Członek the International Association of Privacy Professionals (IAPP) oraz Członek Rady the International Association for Contract & Commercial Management.
Źródła:
- https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_pl.pdf
- DSB-D122.931/0003-DSB/2018 z dnia 30.11.2018 decyzja Austriackiego Urzędu Ochrony Danych Osobowych https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00.html
- https://www.theregister.co.uk/2018/11/19/ico_washington_post/
- https://techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/
- https://panoptykon.org/wiadomosc/gdzie-jestesmy-z-rozporzadzeniem-eprivacy
