Na stronie internetowej CNIL, tj. francuskiego organu nadzorczego w rozumieniu Rozporządzenia 679/2016/UE, pojawiła się informacja o opublikowaniu nowej wersji wytycznych dotyczących wymogów związanych ze stosowaniem plików cookie, po wejściu w życie RODO.
Jest ona dostępna tutaj. Poniżej przetłumaczono obszerne fragmenty wytycznych, natomiast cała ich treść w języku francuskim znajduje się w tym miejscu.
Czytając poniższe wytyczne należy jednakże pamiętać o kilku kwestiach. Po pierwsze, zarówno francuski jak i brytyjski organ nadzorczy (ICO) opublikowały w ostatnim czasie znowelizowane wytyczne dotyczące stosowania plików Cookie. Jednakże RODO weszło w życie 25 maja 2018 roku, a więc ponad rok temu. Jednocześnie nie doszło w tym okresie do żadnej nowelizacji Dyrektywy 2002/58/WE, tj. dyrektywy o prywatności i łączności elektronicznej.
Powstaje więc pytanie, dlaczego nowelizacja ww. wytycznych odbywa się dopiero teraz?
Biorąc pod uwagę całokształt sytuacji, można ostrożnie przyjąć, że wynika to z nie do końca jasnej sytuacji prawnej. Ww. Dyrektywa 2002/58/WE została zmieniona przez Dyrektywę 2009/136/WE. Zgodnie z motywem 66 ww. aktu: „w przypadku gdy jest to technicznie możliwe i skuteczne, zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE, użytkownik może wyrazić zgodę na działanie poprzez zastosowanie odpowiednich ustawień w przeglądarce lub innej aplikacji.” Jednakże w art. 4 omawianych wytycznych CNIL jest napisane: „Art. 82 (francuskiej) ustawy precyzuje, że zgoda może wynikać z odpowiednich ustawień urządzenia służącego do połączenia osoby lub wszelkich innych urządzeń, znajdujących się pod jego kontrolą. Komisja uważa, że te ustawienia wyszukiwarki nie mogą, przy obecnym stanie technologii, umożliwić użytkownikowi wyrażenie ważnej zgody.”
CNIL odwołuje się tutaj do francuskiej ustawy, której przepisy mogą być naturalnie „unieważnione” przez rozporządzenie Unii Europejskiej. Jednakże problem polega na tym, że omawiany przepis opiera się na jasnym sformułowaniu dyrektywy UE, a nie na prawie krajowym. Tymczasem dyrektywy oraz rozporządzenia Unii są aktami o takiej samej randze i nie można uznać, że jeden z nich zmienia przepisy drugiego (oczywiście poza nowelizacją, w której wprost wskazuje się, że dochodzi do zmiany określonego aktu w określony sposób). Taki stan rzeczy zdaje się potwierdzać samo RODO, które w swoim ostatnim, 173 motywie wskazuje, że:
„[…] Aby doprecyzować związek między niniejszym rozporządzeniem a dyrektywą 2002/58/WE, dyrektywę tę należy odpowiednio zmienić. Gdy niniejsze rozporządzenie zostanie przyjęte, dyrektywa 2002/58/WE powinna zostać poddana przeglądowi, w szczególności w celu zapewnienia jej spójności z niniejszym rozporządzeniem”.
Z ww. motywu jasno wynika, że instytucje Unijne są świadome ww. kwestii, ale jednocześnie zauważono, że Dyrektywa 2002/58/WE musi być zmieniona (zastąpiona) odrębnym aktem.
Warto również zwrócić dodatkową uwagę na to, że CNIL stwierdził, że obecny stan technologii nie pozwala na wyrażenie zgody za pomocą przeglądarki. Jednocześnie możliwość taką zawarto w dyrektywie, która została przyjęta 10 lat temu. Takie jednoznaczne wykluczenie możliwości przewidzianej przez dyrektywę, wydaje się problematyczne z punktu widzenia prawa Unii Europejskiej. Można naturalnie stwierdzić, że RODO wprowadziło zmiany dotyczące wymogów zgody. To prawda, RODO wzmocniło zgodę. Jednakże większość jej wymogów pozostała niezmieniona od czasów dyrektywy 95/46/WE. W szczególności trudno uznać, że przeglądarki są wystarczająco zaawansowane, aby wyrazić zgodę na gruncie poprzedniej dyrektywy, ale nie są wystarczająco zaawansowane, aby wyrazić ją na gruncie RODO. W opinii autora, wymogi obu tych zgód są zbyt podobne.
Dodatkowo warto również zwrócić uwagę, na pewne rozbieżności pomiędzy stanowiskiem CNIL a ICO. Brytyjski organ wskazał np., że „analityczne pliki cookie nie są ściśle niezbędne i wymagają zgody (więcej informacji na temat stanowiska ICO jest dostępnych na naszej stronie internetowej tutaj). Natomiast CNIL wskazał, że stosowanie pewnych cookie analitycznych, może być w niektórych sytuacjach uznane za konieczne dla dostarczenia usługi wyraźnie zażądanej przez użytkownika i nie podlegać obowiązkowi zbierania zgody.
Naturalnie wstęp do tłumaczenia wytycznych nie jest miejscem na proponowanie rozstrzygnięć ww. kwestii, natomiast warto o nich pamiętać przystępując do lektury poniższego dokumentu.
Wytyczne CNIL
[…] Celem niniejszych wytycznych jest przypomnienie o prawie stosującym się do operacji odczytu oraz zapisu na urządzeniu końcowym użytkownika, a w szczególności wykorzystania plików cookie oraz innych plików śledzących. Wynikają one w szczególności z przepisów zaktualizowanej Dyrektywy 2002/58/WE […] oraz definicji zgody określonej w art. 4 Ogólnego Rozporządzenia o Ochronie Danych (RODO), zgodnie z interpretacją Europejskiej Rady Ochrony Danych (EROD).
[…]
Artykuł 1
W odniesieniu do zakresu stosowania wytycznych
Niniejsze wytyczne znajdują zastosowanie do wszystkich operacji polegających na uzyskaniu dostępu za pomocą transmisji elektronicznej do informacji przechowywanych na urządzeniu końcowym abonenta lub użytkownika lub na zapisywaniu informacji na tym urządzeniu.
Komisja przypomina, że art. 1 Dyrektywy 2008/63/WE definiuje: „urządzenie końcowe” jako: „urządzenie bezpośrednio lub pośrednio podłączone do interfejsu publicznej sieci telekomunikacyjnej w celu przesyłania, przetwarzania lub odbierania informacji; w obydwu przypadkach (połączenia bezpośredniego lub pośredniego), połączenie może być dokonane za pomocą przewodu, światłowodu lub elektromagnetycznie; połączenie jest pośrednie, jeżeli urządzenie jest umieszczone między końcowym urządzeniem telekomunikacyjnym a interfejsem sieci”.
Definicja ta obejmuje wiele wykorzystywanych obecnie urządzeń, takich jak tablet, wielofunkcyjny telefon komórkowy („smartfon”), komputer stacjonarny lub przenośny, konsolę do gier wideo, telewizor podłączony do Internetu, samochód podłączony do Internetu, asystent głosowy, jak również inne przedmioty podłączone do otwartej lub publicznej sieci telekomunikacyjnej.
Niniejsze wytyczne znajdują zastosowanie niezależnie od wykorzystywanych systemów operacyjnych, komputerów, aplikacji (takich jak wyszukiwarki) czy urządzeń.
Wytyczne dotyczą wykorzystania plików cookie HTTP, za pomocą których działania te są najczęściej wykonywane, ale również stosowania innych technik: local shared objects (lokalnych obiektów udostępnianych), nazywanych czasami: „cookie Flash”, pamięci lokalnej wykorzystywanej w domenie HTML 5; identyfikacji poprzez przetwarzanie informacji dotyczących urządzenia, identyfikatorów generowanych przez systemy operacyjne (niezależnie czy reklamowych czy nie: IDFA, IDFV, Android ID, etc.), identyfikatorów fizycznych (Adres MAC, numer serii lub wszelkie inne identyfikatory urządzenia) etc.
[…]
Artykuł 2
W odniesieniu do sposobu zbierania zgody.
Zgodnie z ustawą w sprawie informatyki oraz wolności, RODO oraz wytycznych EROD w sprawie zgody, pliki śledzące wymagające zebranie zgody nie mogą być wykorzystywane do zapisywania ani odczytywania, jeżeli użytkownik nie wyraził uprzednio swojej woli w sposób dobrowolny, konkretny, świadomy oraz jednoznaczny, za pomocą oświadczenia lub wyraźnego działania potwierdzającego.
W odniesieniu do dobrowolności zgody
[…]
W tym kontekście, Komisja przypomina, że EROD w swoim oświadczeniu w sprawie zmiany dyrektywy w sprawie prywatności elektronicznej […] uznała, że praktyka polegająca na blokowaniu dostępu do strony internetowej lub aplikacji mobilnej, na które nie wyrażono zgody (cookie wall), nie jest zgodna z RODO. W związku z tym EROD uznała, że w takim przypadku użytkownicy nie są w stanie odmówić zastosowania plików śledzących bez poniesienia negatywnych konsekwencji (w ty przypadku niemożliwości uzyskania dostępu do przeglądanej strony).
W odniesieniu do konkretnego charakteru zgody
Komisja przypomina, że osoba której dane dotyczą musi być w stanie udzielić swojej zgody
w sposób niezależny oraz konkretny w odniesieniu do każdego odrębnego celu. Zaoferowanie osobie możliwości wyrażenie zgody w sposób globalny jest dopuszczalne, pod warunkiem, że uzupełnia to, a nie zastępuje możliwość wyrażenia konkretnej zgody na każdy cel.
Z tego względu, globalna akceptacja ogólnych warunków użytkowania nie może być skutecznym sposobem zebrania zgody, jeżeli nie może ona być wyrażona oddzielnie w odniesieniu do każdego z celów.
W odniesieniu do świadomego charakteru zgody
Komisja przypomina, że informacje muszą być zredagowane w sposób jasny oraz zrozumiały dla wszystkich, oraz muszą umożliwiać użytkownikom uzyskanie pełnej informacji na temat różnych celów zastosowanych plików śledzących. Uważa ona, że zastosowanie zbyt skomplikowanej terminologii prawniczej lub technicznej nie odpowiada obowiązkowi uprzedniej informacji.
[…]
Informacje, które należy podać do wiadomości użytkowników, przed zebraniem zgody obejmują zgodnie z art. 82 przynajmniej :
- tożsamość administratora lub administratorów ;
- cele operacji odczytywania oraz zapisywania danych ;
- istnienie prawa do wycofania zgody.
[…] Komisja przypomina, że aby zgoda była jasna, użytkownik musi być w stanie zidentyfikować wszystkie podmioty stosujące pliki śledzące, zanim będzie mógł wyrazić swoją zgodę.
W odniesieniu do jednoznacznego charakteru zgody
Komisja podkreśla, że zgoda musi się wyrażać poprzez działanie potwierdzające osoby uprzednio poinformowanej o konsekwencji swojego wyboru oraz dysponującej środkami jego dokonania. Fakt kontynuacji nawigowania po stronie internetowej, skorzystania z aplikacji mobilnej czy przewinięcie strony internetowej czy aplikacji mobilnej nie stanowi jasnej czynności potwierdzającej, właściwej dla ważnej zgody.
Komisja uważa również, że wykorzystanie uprzednio zaznaczonych pól, takich jak globalna akceptacja ogólnych warunków korzystania, nie może być uznana za jasne działanie potwierdzające, którego celem jest wyrażenie zgody. […]
W odniesieniu do wykazania (uzyskania) zgody
Art. 7 RODO stanowi, że zgoda musi być rozliczalna, co oznacza, że podmioty korzystające z plików śledzących muszą wdrożyć mechanizm umożliwiający im wykazanie, w każdym momencie, że zebrali ważną zgodę swoich użytkowników. […]
W odniesieniu do wycofania zgody
Komisja przypomina, że odmowa lub wycofanie zgody musi być równie łatwe jak jej udzielenie. […]
Artykuł 3
W odniesieniu do ról oraz obowiązków aktorów
[…]
Podczas gdy w niektórych przypadkach wykorzystanie plików śledzących wymaga działania jednego podmiotu, który w związku z tym jest w pełni odpowiedzialny za zebranie zgody (np. Wydawca strony internetowej, który korzysta z plików śledzących w celu prowadzenia statystyki korzystania z własnej usługi), w innych przypadkach więcej aktorów przyczynia się do przeprowadzenia operacji odczytu oraz zapisu, przewidzianej przez niniejsze wytyczne ( np. wydawca strony internetowej oraz reklamodawca umieszczają pliki cookie podczas odwiedzin strony internetowej). W tym ostatnim przypadku, podmioty te muszą być uznane za odrębnego administratora danych, podmioty współadministrujące lub za podmioty przetwarzające.
Komisja uznaje, że w innych przypadkach, strony trzecie korzystające z plików śledzących będą pełnymi oraz niezależnymi administratorami plików śledzących, które umieszczają, co oznacza, że muszą one niezależnie przyjąć obowiązek zebrania zgody użytkowników.
[…]
Artykuł 4
W kwestii ustawień urządzenia
Art. 82 (francuskiej) ustawy precyzuje, że zgoda może wynikać z odpowiednich ustawień urządzenia służącego do połączenia osoby lub wszelkich innych urządzeń, znajdujących się pod jego kontrolą. Komisja uważa, że te ustawienia wyszukiwarki nie mogą, przy obecnym stanie technologii, umożliwić użytkownikowi wyrażenie ważnej zgody.
Przede wszystkim, chociaż wyszukiwarki internetowe oferują wiele ustawień, pozwalających użytkownikom na dokonanie wyborów w obszarze plików cookie, musi ona uznać, że są one dokonywane w warunkach, które nie pozwalają uprzednio zapewnić wystarczającego poziomu informacji osobom.
W związku z tym, niezależnie od istniejących mechanizmów, wyszukiwarki nie pozwalają na rozróżnienie plików cookie w odniesieniu do ich celów co oznacza, że użytkownik nie jest już w stanie wyrazić konkretnej zgody w odniesieniu do każdego z celów.
Dodatkowo, ustawienia wyszukiwarki nie pozwalają obecnie na dokonanie wyboru w odniesieniu do technologii, innych od cookie (takich jak np. zbieranie odcisków palców) używanych w celu śledzenia poruszania się po sieci.
[…]
Artykuł 6
W szczególnej kwestii plików śledzących liczbę odwiedzin
Wydawca może potrzebować zmierzyć ilość odwiedzin swojej strony internetowej lub aplikacji lub przetestować różne wersje, w celu optymalizacji swojego wyboru na podstawie działania tych wersji. Pliki śledzące są często wykorzystywane w tym celu i takie urządzenia powinny w niektórych przypadkach być uznawane za konieczne dla dostarczenia usługi wyraźnie zażądanej przez użytkownika, nie będąc dla nich szczególnie inwazyjnymi, i z tego względu wyłączone spod obowiązku zbierania zgody.
Na przykład statystyka odwiedzin oraz testy mające na celu pomiar działania różnych wersji tej samej strony (powszechnie nazywane testami A/B) pomagają wydawcom wykryć problemy związane z nawigowaniem po stronie lub z aplikacjami lub nawet zorganizować treść. Z tego względu Komisja uznaje, że z tego wyłączenia obowiązku zebrania zgody można skorzystać w przypadku przetwarzania, spełniającego następujące warunki :
- musi być zastosowane przez wydawcę lub jego podmiot przetwarzający ;
- osoba musi być poinformowana przed ich wdrożeniem;
- osoba musi mieć możliwość wyrażenia sprzeciwu za pośrednictwem mechanizmu łatwo stosowanego na wszystkich urządzeniach, systemach operacyjnych, aplikacjach oraz wyszukiwarkach internetowych. Nie może dojść do żadnej operacji zapisu lub odczytania na urządzeniu osoby, od momentu wyrażenia przez nią sprzeciwu ;
- celu urządzeń muszą być ograniczone do: (i) mierzenia oglądalności treści w celu umożliwienia oceny publikowanej treści oraz ergonomii strony lub aplikacji; (ii) segmentacji użytkowników strony internetowej na grupy w celu oceny skuteczności wyboru dotyczącego treści, jeżeli nie koncentruje się ona na konkretnej osobie oraz (iii) dynamicznej zmiany strony w sposób globalny. Zebrane dane osobowe nie mogą być wykorzystywane do innego przetwarzania (np. dane klientów czy statystyki odwiedzin innych stron) ani przekazywane stronom trzecim. Wykorzystanie plików śledzących musi być również ściśle ograniczone do tworzenia anonimowych statystyk. Ich wykorzystanie musi być ograniczone do jednego wydawcy lub aplikacji mobilnej i nie może pozwalać na śledzenie korzystania przez osobę z innych aplikacji lub wchodzenie na inne strony internetowe;
- wykorzystanie adresu IP do geolokalizacji internauty nie może dostarczać dokładniejszych informacji niż miejscowość. Podobnie, adres IP zebrany przy okazji geolokalizacji musi być usunięty lub zanonimizowany;
- pliki śledzące wykorzystywane do takich przetwarzań nie mogą działań dłużej niż 13 miesięcy a okres ten nie może być automatycznie przedłużany podczas nowych wizyt. Informacje zebrane za pośrednictwem plików śledzących mogą być maksymalnie przechowywane przez okres 25 miesięcy.
Artykuł 6
W kwestii operacji odczytu oraz zapisu nie podlegających uprzedniej zgodzie
Zgodnie z art. 82 (francuskiej ustawy – przyp. tłum.) wymóg uprzedniej zgody nie znajduje zastosowania, jeżeli dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika lub zapis informacji na urządzeniu końcowym użytkownika::
- odbywa się wyłącznie w celu umożliwienia lub ułatwienia komunikacji za pomocą drogi elektronicznej ; lub
- jest ściśle konieczny do dostarczenia usług komunikacji sieciowej na wyraźne żądanie użytkownika.
Prawo nie nakłada już obowiązku zaoferowania możliwości wyrażenia sprzeciwu na wykorzystanie plików śledzących umożliwiających lub ułatwiających komunikację za pomocą drogi elektronicznej czy też ściśle niezbędnych do dostarczenia usług komunikacji internetowej na wyraźne żądanie użytkownika.
Jednakże w celu zapewnienia pełnej przejrzystości w odniesieniu do tych operacji, użytkownicy muszą być poinformowani o ich istnieniu oraz celach, np. poprzez zamieszczenie tych informacji w polityce prywatności organizacji.