Umieszczanie plików cookie wymaga wyraźnej zgody internauty — czyli niedopuszczalne są „fabrycznie” zaznaczone „ptaszki” (wyrok TSUE C-673/17)

W wydanym dziś wyroku TSUE stwierdził oczywista oczywistość — iż wymóg wyraźnej zgody użytkownika na instalowanie cookies na jego urządzeniu oznacza, że nie jest dopuszczalne wyrażenie zezwolenia na podstawie domyślnie zaznaczonych „ptaszków”.

wyrok Trybunału Sprawiedliwości EU z 1 października 2019 r., w sprawie Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV vs. Planet49 GmbH (C-673/17)
1) Zgoda [na instalowanie „ciasteczek”] nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.
2) Sposób interpretowania [zgody na instalowanie „ciasteczek”] nie powinien pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i rozporządzenia 2016/679.
3) Informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

Wydane w trybie prejudycjalnym orzeczenie dotyczyło sposobu zbierania zgód na instalowanie plików cookie na urządzeniach użytkowników odwiedzających serwis internetowy z loteriami promocyjnymi — wydawca serwisu Planet49 udostępniał formularz z zaznaczoną domyślnie zgodą na „ciasteczka” marketingowe (dane pozyskane w ten sposób były przekazywane partnerom i sponsorom serwisu) co zdaniem organizacji konsumenckiej jest niedopuszczalne.

W dzisiejszym wyroku TSUE stwierdził, że wymagana od usługobiorcy korzystającego z witryny internetowej zgoda na instalowanie cookies nie może być udzielana poprzez domyślnie zaznaczone „ptaszki” (czyli brak zgody wymaga aktywnego działania poprzez „odkliknięcie” zezwolenia). Nie ma przy tym znaczenia czy przechowywane lub udostępniane za pomocą plików informacje stanowią dane osobowe czy też ich nie stanowią — zawsze bowiem jakikolwiek identyfikator wgrany na urządzenie użytkownika stanowi ingerencję w jego prywatność. Zgody takiej nie można domniemywać z innych oświadczeń, m.in. z faktu, że użytkownik chciał wziąć udział w loterii, co wymagało podjęcia przez niego innych działań (np. kliknięcia przycisku w formularzu).

Dla jasności: orzeczenie dotyczy stanu prawnego sprzed RODO, jednak pod rządami RODO sprawa jest jeszcze bardziej oczywista, albowiem:

  • „identyfikatory plików cookie” wprost zostały wskazane jako narzędzie pozwalające na tworzenie profili pozwalających na identyfikowanie konkretnych osób (motyw 30 RODO);
  • „ciasteczko” wprost wskazane zostało jako jeden z nośników danych osobowych (art. 4 pkt 1 RODO);
  • natomiast wymóg wyraźnej zgody użytkownika na instalowanie cookies wynika oczywiście z przepisów prawa telekomunikacyjnego (art. 173 pt), zaś o tym, że zgoda na „ciasteczka” musi być zgodna z RODO mówi art. 174 pt (por. „Zgoda na cookies też musi być „w stylu” RODO”, w którym można też poczytać jakie warunki musi spełniać zgoda, żeby była zgodna z GDPR.

Reasumując: jeśli w Waszym serwisie internetowym jakakolwiek zgoda jest „fabrycznie” zaznaczona, to należy natychmiast to zmienić.

(Zamiast komentarza: orzeczenie jest oczywistą oczywistością w świetle tego, co się od lat (od lat!) mówi. Nie zmienia to jednak faktu, że osobiście uważam, że wyrażenie zgody nie wynika z tego czy „ptaszek” był domyślnie zaznaczony czy odznaczony — osobiście jestem zdania, że użytkownik wyraża każdą zgodę klikając jakiś przycisk na formularzu („chcę”, „zapisuję się”, „kupuję z obowiązkiem zapłaty”, etc.)

12
Dodaj komentarz

avatar
2 Comment threads
10 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Rafał
Gość
Rafał

A co z treścią art. 173 ust. 2 prawa telekomunikacyjnego? Przecież użytkownicy mogli wyrazić zgodę za pomocą ustawień przeglądarki, co jest odpowiednikiem unijnych dyrektyw

W internecie 99% plików cookies jest instalowane bez aktywnej zgody użytkowników (w tym pliki google są na czele), więc dla mnie wyrok w świetle art. 173 ust. 2 prawa telekomunikacyjnego jest niezrozumiały i może spowodować zamieszanie

Wredziol
Gość
Wredziol

W kontekście tego orzeczenia już nie – zgoda jest domyślnie zaznaczona po zainstalowaniu przeglądarki.
Teraz nieco inaczej czytam prawo telekomunikacyjne – osoba powinna być wcześniej poinformowana, a w przypadku zgody wyrażonej ustawieniami przeglądarki, ten warunek nie będzie spełniony.

RYBY
Gość
RYBY

A mnie dzisiaj, nie wiadomo czemu, pojawiła się informacja o ciasteczkach na stronie czasopismo….
Z ciekawości przeczytałem całą i poza kilkoma literówkami, nie ma się czego czepić ;-)
Oczywiście czytałem z czystej ciekawości i sympatii do RedNacza.
Z reguły (jak zdecydowana większość) po prostu klikam OK