W wydanym dziś wyroku TSUE stwierdził oczywista oczywistość — iż wymóg wyraźnej zgody użytkownika na instalowanie cookies na jego urządzeniu oznacza, że nie jest dopuszczalne wyrażenie zezwolenia na podstawie domyślnie zaznaczonych „ptaszków”.
wyrok Trybunału Sprawiedliwości EU z 1 października 2019 r., w sprawie Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV vs. Planet49 GmbH (C-673/17)
1) Zgoda [na instalowanie „ciasteczek”] nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.
2) Sposób interpretowania [zgody na instalowanie „ciasteczek”] nie powinien pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i rozporządzenia 2016/679.
3) Informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.
Wydane w trybie prejudycjalnym orzeczenie dotyczyło sposobu zbierania zgód na instalowanie plików cookie na urządzeniach użytkowników odwiedzających serwis internetowy z loteriami promocyjnymi — wydawca serwisu Planet49 udostępniał formularz z zaznaczoną domyślnie zgodą na „ciasteczka” marketingowe (dane pozyskane w ten sposób były przekazywane partnerom i sponsorom serwisu) co zdaniem organizacji konsumenckiej jest niedopuszczalne.
W dzisiejszym wyroku TSUE stwierdził, że wymagana od usługobiorcy korzystającego z witryny internetowej zgoda na instalowanie cookies nie może być udzielana poprzez domyślnie zaznaczone „ptaszki” (czyli brak zgody wymaga aktywnego działania poprzez „odkliknięcie” zezwolenia). Nie ma przy tym znaczenia czy przechowywane lub udostępniane za pomocą plików informacje stanowią dane osobowe czy też ich nie stanowią — zawsze bowiem jakikolwiek identyfikator wgrany na urządzenie użytkownika stanowi ingerencję w jego prywatność. Zgody takiej nie można domniemywać z innych oświadczeń, m.in. z faktu, że użytkownik chciał wziąć udział w loterii, co wymagało podjęcia przez niego innych działań (np. kliknięcia przycisku w formularzu).
Dla jasności: orzeczenie dotyczy stanu prawnego sprzed RODO, jednak pod rządami RODO sprawa jest jeszcze bardziej oczywista, albowiem:
- „identyfikatory plików cookie” wprost zostały wskazane jako narzędzie pozwalające na tworzenie profili pozwalających na identyfikowanie konkretnych osób (motyw 30 RODO);
- „ciasteczko” wprost wskazane zostało jako jeden z nośników danych osobowych (art. 4 pkt 1 RODO);
- natomiast wymóg wyraźnej zgody użytkownika na instalowanie cookies wynika oczywiście z przepisów prawa telekomunikacyjnego (art. 173 pt), zaś o tym, że zgoda na „ciasteczka” musi być zgodna z RODO mówi art. 174 pt (por. „Zgoda na cookies też musi być „w stylu” RODO”, w którym można też poczytać jakie warunki musi spełniać zgoda, żeby była zgodna z GDPR.
Reasumując: jeśli w Waszym serwisie internetowym jakakolwiek zgoda jest „fabrycznie” zaznaczona, to należy natychmiast to zmienić.
(Zamiast komentarza: orzeczenie jest oczywistą oczywistością w świetle tego, co się od lat (od lat!) mówi. Nie zmienia to jednak faktu, że osobiście uważam, że wyrażenie zgody nie wynika z tego czy „ptaszek” był domyślnie zaznaczony czy odznaczony — osobiście jestem zdania, że użytkownik wyraża każdą zgodę klikając jakiś przycisk na formularzu („chcę”, „zapisuję się”, „kupuję z obowiązkiem zapłaty”, etc.)