Kary za instalowanie cookies bez zgody użytkownika
Pliki cookies i technologie podobne do cookies są powszechnie wykorzystywanymi narzędziami marketingowymi, pozwalającymi zoptymalizować zarządzanie kampaniami marketingowymi i skuteczniej docierać do klientów. Nic więc dziwnego, że trudno jest znaleźć stronę internetową, na której nie wyskakuje okienko informujące o wykorzystywaniu przez tę stronę plików cookies, o czym można przeczytać więcej w polityce prywatności i polityce cookies. Co ciekawe, treść tych komunikatów w znakomitej większości jest sprzeczna z obowiązującymi regulacjami z zakresu ochrony danych osobowych, prawa telekomunikacyjnego oraz świadczenia usług drogą elektroniczną.
Głównym grzechem właścicieli stron internetowych jest sugerowanie w treści komunikatu, że dalsze korzystanie ze strony internetowej oznacza wyrażenie zgody na wykorzystywanie/ zainstalowanie przez stronę internetową takich plików cookies, które zgodnie z obowiązującym prawem mogą być zainstalowane na urządzeniu użytkownika jedynie po wyrażeniu przez niego zgody. Do takich plików cookies należą przede wszystkim cookies marketingowe i remarketingowe (ale także cookies funkcjonalne i statystyczne), również dostarczane przez podmioty trzecie (third-party cookies), tzn. np. Google Analytics. W przypadku tego typu rozwiązań kluczowe jest wdrożenie takich rozwiązań technicznych, które zapewnią zainstalowanie plików cookies na komputerze lub innym urządzeniu użytkownika dopiero po tym, jak wyrazi on na to zgodę. Nie jest przy tym kontrowersyjne, że za taką zgodę nie może być uznana bierność użytkownika, tj. właśnie dalsze korzystanie ze strony. Należy podkreślić, że prawo nie wymaga pobierania zgody na instalowanie plików niezbędnych do funkcjonowania strony internetowej – nie sposób jednak twierdzić, że takimi niezbędnymi cookies są cookies marketingowe, Google Analytics czy też piksel Facebooka.
Powyższy pogląd nie budzi kontrowersji, tym bardziej dziwi powszechność instalowania plików cookies mimo braku zgody użytkownika. Zastanawiające są przede wszystkim przyczyny takiego stanu rzeczy. Wydaje się, że wynika on z przekonania, że w praktyce, wbrew brzmieniu obowiązujących przepisów, instalowanie plików cookies bez wymaganej zgody użytkownika końcowego nie może mieć dla właściciela witryny żadnych negatywnych skutków. Wielu właścicieli witryn internetowych stoi na stanowisku, że jest to rzecz na tyle błaha, że nie będzie przedmiotem zainteresowania organów nadzorczych.
Pomijając wątek możliwości nałożenia za takie praktyki kar przez inne organy nadzorcze, należy podkreślić, że tematy związane z plikami cookies znalazły się już w orbicie zainteresowania organów zajmujących się ochroną danych osobowych. Hiszpański AEPD (odpowiednik polskiego PUODO) wydał do tej pory dwie decyzje administracyjne nakładające kary za niezgodne z prawem praktyki dotyczące plików cookies. Pierwsza z kar w wysokości 10 000 EUR została nałożona za instalowanie na urządzeniu końcowym użytkownika plików cookies bez jego zgody. Takie działanie zostało uznane za naruszenie art. 6 RODO, tj. przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. W drugiej sprawie AEPD nałożył na linie lotnicze karę w wysokości 30 000 EUR za nieumożliwienie użytkownikom końcowym odmowy wyrażenia zgody na zainstalowanie plików cookies i poniekąd zmuszenie ich do korzystania z tych plików w każdym przypadku przeglądania strony internetowej. Strony internetowej tych linii lotniczych nie można było przeglądać bez zaakceptowania plików cookies. Takie działanie zostało uznane przez AEPD za sprzeczne z art. 5 i 6 RODO, ponownie z uwagi na brak podstawy przetwarzania danych osobowych użytkowników strony internetowej.
Sposób uregulowania kwestii odbierania zgód na instalowanie plików cookies może się w przyszłości zmienić w związku z przyjęciem rozporządzenia ePrivacy. Nie wiadomo jednak, kiedy prace nad nim zostaną zakończone i jakie rozwiązanie zostanie ostatecznie przyjęte. Jednym z założeń prac nad tym aktem prawnym jest stworzenie takiej regulacji, która będzie bardziej przyjazna dla użytkowników końcowych, dla których wyrażanie zgody na instalowanie plików cookies często jawi się jako niedogodność. Zanim jednak poznamy kształt nowych regulacji w tym zakresie, zaleca się postępowanie zgodne z wytycznymi przedstawionymi powyżej.
Katarzyna Szczudlik, adwokat, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy