Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał się dowiedzieć, czy jest przestrzegane aktualne prawo krajowe oraz czy odwiedzający stronę mają możliwość wyrażenia zgody na „zbędne” ciasteczka nie należące do właściciela, a transferujące informację podmiotom trzecim.
Na wstępie należy zauważyć, że w raporcie IDPC znajdują się odesłania do irlandzkiej ustawy implementującej unijną dyrektywę 2002/58/WE (S.I. no. 336/2011 r.), która również miała wpływ na nasze prawo krajowe. W przypadku cookies irlandzkie regulacje są zbliżone do polskich przepisów Prawa telekomunikacyjnego. W obu krajach należy w sposób przejrzysty i wyczerpujący poinformować użytkownika strony internetowej o plikach umieszczanych na urządzeniu, z którego korzysta. Potrzebne jest także uzyskanie zgody, której wyrażenie powinno być przyjazne dla użytkownika (art. 5 ust. 4 irlandzkiego e-Privacy stanowi wprost: „giving consent should be as user-friendly as possible”), dlatego wnioski poaudytowe, jak i wytyczne wydane przez organ Irlandzki mogą być cennym materiałem do przemyśleń również na gruncie naszej rodzimej regulacji. Pamiętajmy też, że obowiązek pozyskania zgody od użytkownika strony internetowej wynika z przepisów Prawa telekomunikacyjnego, a nie jest to nowy pomysł wynikający z RODO. Jedynie warunki udzielenia zgody znajdują się w RODO i dlatego ustawa o prawie telekomunikacyjnym odsyła do przepisów o ochronie danych osobowych. Wydaje się proste do wykonania? Spójrzmy więc na raport poaudytowy.
Na omówienie tego zagadnienia będą się składać dwa artykuły: w pierwszym zostanie omówiony audyt stron internetowych, który miał miejsce w 2019 r., a drugi będzie stanowił omówienie wytycznych zawartych w raporcie irlandzkiego organu z kwietnia 2020 r. i ukaże się na naszym blogu w czerwcu.
Audyt.
Czy mam pliki cookies na stronie?
Wnioski poaudytowe nie wydają się napawać optymizmem. Prawie wszystkie badane strony internetowe od razu wgrywały niepotrzebne pliki cookies na urządzenia użytkowników. Niepotrzebne, czyli jakie? Irlandzki organ wspomina o plikach cookies stron trzecich, tj. mediów społecznościowych oraz reklamodawców. Te ostatnie umożliwiały nawet śledzenie zachowania użytkownika w trybie offline, co jedynie podkreśla, jak bardzo na naszą prywatność oddziałują małe, niezauważalne wręcz pliki tekstowe – cookies. Ponadto wspomniane zbędne pliki cookies, często były uważane za „konieczne” do prawidłowego działania strony internetowej. Dlatego właściciele stron stali na stanowisku, że w takich przypadkach zgoda nie była wymagana. Poddani kontroli przedsiębiorcy nie wspominali użytkownikom stron o śledzącym ich ciasteczku Facebook pixels. Według IDPC, w mniejszych firmach może to być spowodowane outsourcingiem zarządzania strony internetowej i brakiem wiedzy w tym zakresie. Natomiast większe organizacje były bardziej świadome stosowanych technologii na swoich stronach www, a w szczególności mieli na uwadze wyrok TSUE w sprawie FashionID C-40/17 i zastanawiali się, jak on wpłynie na ich biznes e-commerce oraz czy muszą zawrzeć umowę o współadministrowanie z Facebookiem.
Jaka zgoda?
Mówiąc o orzeczeniach TSUE należy również wspomnieć wyrok w sprawie Planet49 C-673/17, w którym możemy przeczytać, że zgoda nie została wyrażona w sposób ważny, jeżeli uzyskano ją za pomocą domyślnie zaznaczonych checkboxów, które użytkownik strony musi dopiero odhaczyć, aby odwołać zgodę. Okazało się, że aż 26% kontrolowanych miało wstępnie zaznaczone pola ze zgodą na pliki cookies stron trzecich, co skutkowało ich wgrywaniem na komputer czy smartphone użytkownika w sposób nielegalny. Administratorzy danych wskazywali przy tym, że przeglądający strony internetowe sami dobrowolnie wyrażają zgodę – poprzez wejście na stronę Administratora i zastosowanie ustawień przeglądarki, które pozwalały na instalowanie plików cookies, zamiast ich blokowanie. Irlandzki organ ochrony danych wyjaśnił, że przepisy są źle interpretowane przez właścicieli stron internetowych i nie można domniemywać zgody na podstawie ustawień przeglądarki internetowej. Podobnie, jak urzędy ochrony danych osobowych we Francji oraz w Niemczech, IDPC uważa, że nie można stosować dorozumianej zgody polegającej na dalszym przeglądaniu strony internetowej, czyli jej scrollowaniu. Jednocześnie nie zgadza się ze stanowiskiem hiszpańskiego organu, który stwierdził, że przewijanie strony internetowej przez użytkownika oznacza wyrażenie zgody w postaci „wyraźnego działania potwierdzającego”, które oznacza zgodę, według definicji zawartej w art. 4 pkt 11) RODO.
Gdzie są narzędzia do zarządzania plikami cookies?
IDPC wskazuje, że na audytowanych stronach internetowych brakuje narzędzi umożliwiających zmianę ustawień cookies lub wycofanie udzielonej zgody. Organ podpowiada, że mimo wyrażenia zgody przez użytkownika na pliki cookies, powinny one być przechowywane nie dłużej niż 1 rok. Audyt witryn wykazał, że niektóre zastosowane narzędzia do zarządzania zgodami wprowadzały w błąd użytkowników, a nawet nie wykonywały swojego zadania. Zdarzało się, że naciśnięcie przycisku „odrzuć wszystkie pliki cookies” widocznego w dedykowanym narzędziu, znajdującym się na stronie www, nie przynosiło pożądanego efektu.
Patrząc w przyszłość, w mglistą przyszłość.
Część przedsiębiorców wskazywała, że to aktualne przepisy ustawy krajowej wprowadzają ich w błąd oraz ciągle zmieniające się wytyczne nowej dyrektywy e-Privacy. Myślę, że można przyznać im rację, gdyż nowe przepisy unijne powinny obowiązywać od 25 maja 2018 r., tak jak RODO, celem wprowadzenia harmonii między dwoma unijnymi aktami. Tak się jednak nie stało i wciąż trwają prace nad ww. dyrektywą, a każda kolejna upubliczniana wersja projektu różni się dość znacznie od poprzedniej. Przedsiębiorcy mając na uwadze zmiany przyniesione przez RODO (i wysokie kary finansowe), starają się obserwować prace nad dyrektywą e-Privacy, aby już wcześniej dostosować swoją działalność e-commerce do nadchodzących zmian w przepisach, jednak te z kolei są jeszcze dalekie od ostatecznego konsensusu. Natomiast w Polsce oczekujemy na nowe regulacje związane z implementacją dyrektywy ustanawiającej Europejski Kodeks Łączności Elektronicznej 2018/197. Mimo lockdownu spowodowanego COVID-19 prace nad nowymi regulacjami trwają, a deadline na implementację aktu upływa 21 grudnia 2020 r.
Słowo na zakończenie.
15 z 38 audytowanych Administratorów potwierdziło świadomość działania niezgodnego z obowiązującymi przepisami. Jednocześnie podjęli kroki w celu zmiany swoich praktyk, w tym wyrazili chęć usunięcia niepotrzebnych lub niezabezpieczonych plików cookies, które zostały zidentyfikowane w trakcie audytu. Jednak zdaniem IDPC większość witryn w dalszym ciągu ma problem ze zgodnością stosowania przepisów regulujących cookies. Tylko u dwóch Administratorów danych irlandzki urząd nie znalazł większych uchybień, co oznacza, że jak najbardziej można prowadzić stronę www nie naruszając „regulacji ciasteczkowych” czy przepisów o ochronie danych osobowych.
Gorąco zachęcam do przejrzenia całego dokumentu audytowego dostępnego na stronie internetowej IDPC. Szczególnie, że wskazuje rozwiązania stosowane w innych organizacjach, a jednocześnie zawiera komentarz, czy są one prawidłowe bądź nie. Dzięki takiej redakcji raport poaudytowy stanowi wartościowe źródło wiedzy, które jest bogate w przykłady. Możemy z niego dowiedzieć się, czy prawidłową praktyką jest używanie popularnej treści banneru „Ta strona korzysta z plików cookie, aby zapewnić najlepszą jakość korzystania z witryny… czytaj więcej… [OK]”. A jeżeli po przeczytaniu raportu ciągle będziesz miał wątpliwości, chętnie pomożemy!
