Domyślnie zaznaczone okienko wyboru, którego zaznaczenie użytkownik musi usunąć, aby odmówić udzielenia zgody nie może być uznane za zgodę do przetwarzania danych osobowych za pomocą plików cookie. Tak orzekł Trybunał Sprawiedliwości Unii Europejskiej w wyroku wydanym 1 października 2019 r. C‑673/17.
Orzeczenie zostało wydane w trybie prejudycjalnym na wniosek niemieckiego Federalnego Trybunału Konstytucyjnego. Pytanie dotyczyło zgody na instalowanie plików cookie na urządzeniu końcowym użytkownika, a co za tym idzie, zgody na przetwarzanie danych osobowych w tych plikach. Zostało ono sformułowane w związku z praktyką stosowaną przez firmę Planet49. Spółka ta zorganizowała loterię promocyjną na stronie internetowej. Na stronie tej widniał m.in. tekst oświadczenia o zgodzie na stosowanie plików cookie (brzmiał dokładnie „„Wyrażam zgodę na stosowanie wobec mnie usługi analizy internetowej Remintrex. Skutkuje to tym, że organizator loterii promocyjnej, [Planet49], po zarejestrowaniu uczestnika w loterii instaluje pliki cookie. Umożliwi to Planet49 ocenę mojego zachowania w zakresie odwiedzania i korzystania ze stron internetowych partnerów reklamowych i dopasowanie reklam do moich preferencji przez Remintrex. Pliki cookies mogę usunąć w dowolnym czasie. Więcej na ten temat przeczytacie Państwo tutaj.”. Co istotne checkbox przy tym oświadczeniu był domyślnie zaznaczony.
Jak wskazał Trybunał, RODO uzasadnia przetwarzanie danych osobowych na podstawie zgody, jeżeli zgoda ta przybiera postać dobrowolnego, konkretnego, świadomego i jednoznacznego wyrażenia woli przez osobę, której dane dotyczą, w postaci oświadczenia lub wyraźnego działania potwierdzającego oznaczającego zgodę tej osoby na przetwarzanie dotyczących jej danych osobowych. Taką zgodą jest zgodnie z motywem 32 RODO zaznaczenie okienka wyboru. Natomiast kategorycznie wykluczona jest możliwość wyrażenia zgody poprzez „milczenie, nieodznaczenie domyślne zaznaczonego okienka czy też niepodjęcie działania.
Warto dodać, że zgoda na instalację plików cookie powinna mieć wyraźny charakter także z uwagi na treść art. 5 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37).
„Zgoda (…) nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.”
Trybunał zwrócił również uwagę na obowiązek informacyjny względem osoby, wobec której stosowane są pliki cookie. Jak bowiem wynika z art. 5 ust. 3 dyrektywy 2002/58/WE, „informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.” Informacje te powinny zapewniać użytkownikowi możliwość łatwego ustalenia konsekwencji zgody, której może udzielić, oraz gwarantować, że zgoda ta zostanie udzielona przy pełnej znajomości stanu rzeczy. Innymi słowy użytkownik musi mieć możliwość zrozumienia zasad funkcjonowania plików cookie.
Orzecznictwo:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl