Orzeczenie TSUE interpretuje RODO oraz ePR w ten sposób, że zaznaczone domyślnie pola wyboru na banerze zgody są nieważną formą zgody, z wyjątkiem absolutnie niezbędnych plików cookie.
1 października 2019 najwyższy podmiot prawny w UE, Trybunał Sprawiedliwości Unii Europejskiej (TSUE), zarządził w sprawie Planet49, że jedyną ważną zgodą na przetwarzanie danych użytkownika w UE jest świadoma zgoda (explicit consent), czyli, innymi słowy, zgoda, która jest aktywnie i konkretnie udzielona przez użytkownika strony poprzez na przykład, zaznaczenie odpowiedniego pola.
Ten werdykt jest pierwszym wydanym po wejściu RODO, który zajmuje się wprost zgodą odnoszącą się do plików cookie i śledzenia na stronie (tracking). W związku z tym ma on duże znaczenia dla branży prywatności i wszystkich właścicieli stron internetowych, ustanawiając precedens prawny mający faktyczny wpływ na wymogi prawne dotyczące plików cookie — przynajmniej do czasu wprowadzenia w życie rozporządzenia o prywatności i łączności elektronicznej (ePrivacy Regulation).
W tym poście wyjaśnimy rozporządzenie TSUE, uporządkujemy terminy używane w temacie zgody (świadoma/domniemana, aktywne/miękkie włączenie się) oraz wyjaśnimy w prostych słowach, jakie konsekwencje niesie za sobą dla operatorów i właścicieli stron internetowych, nie tylko w UE, ale na całym świecie.
To przełomowy moment dla prywatności danych w Unii Europejskiej.
Rozporządzenie o Planet49 będzie miało dalekosiężne konsekwencje nie tylko dla prywatności danych, ale także w kwestii tego, jak działa Internet.
TSUE jest najwyższym organem prawnym w Unii Europejskiej i jego werdykt — nić splatająca razem istniejące już ustawy o prywatności danych w UE — tworzy silny precedens, który znacznie zmienia zasady przetwarzania danych na terenie UE.
Precedens, który można obalić jedynie poprzez uchwalenie nowych przepisów dotyczących danych, takich jak nadchodzące ePrivacy Regulation, oczekiwane w 2020.
Czy pliki cookie mogą być domyślnie zaznaczone?
Oficjalna informacja prasowa TSUE rozwiewa wszelkie wątpliwości: jest zatytułowana Przechowywanie plików cookie wymaga aktywnej zgody użytkowników internetu (Storing cookies requires internet users’ active consent) i wyjaśnia, że „domyślnie zaznaczone pola nie są wystarczające”.
Jakiekolwiek pliki cookie niebędące niezbędne nie mogą być domyślnie zaznaczone, niezależnie od tego, czy przetwarzane dane są skategoryzowane jako osobiste.
.
UE i Planet49
Trybunał Sprawiedliwości Unii Europejskiej – TSUE (ang. The Court of Justice of the European Union – CJEU) jest najwyższym organem prawnym w UE. Składa się z dwóch organów sądowniczych: Trybunału Sprawiedliwości (Court of Justice) oraz Sądu Pierwszej Instancji (General Court) – poprzednio składał się z jednego sędziego z każdego kraju UE oraz jedenastu rzeczników generalnych, później z dwóch sędziów z jedenastoma rzecznikami generalnymi.
TSUE interpretuje prawo UE, aby upewnić się, że jest ono stosowane w ten sam sposób we wszystkich krajach Unii, rozstrzygać spory prawne między rządami krajowymi a instytucjami UE oraz, w tym przypadku, w celu ustanowienia precedensów prawnych.
Przypadek Planet49
Aby zrozumieć kontekst rozporządzenia TSUE w kwestii ważnej zgody w UE, wyjaśnijmy krótko sprawę Planet49.
Brzmi jak powieść science-fiction z lat 50., ale chodzi o niemiecką firmę oferującą gry online, która w 2013 zorganizowała internetową loterię promocyjną, wymagającą od użytkowników podania swoich informacji osobowych, aby w niej uczestniczyć.
Polom do uzupełnienia, gdzie gracze mogli wpisać swoje dane towarzyszyły dwa akapity tekstu wyjaśniającego i dwa pola wyboru (checkbox), z których jedno było domyślnie zaznaczone.
Niemiecka Federacja Organizacji Konsumenckich (German Federation of Consumer Organizations) zakwestionowała praktykę uzyskiwania zgody stosowaną przez Planet49 w niemieckim sądzie i finalnie zwróciła się do TSUE z pytaniem o interpretację prawa UE, aby zdecydować, czy domyślnie zaznaczone okienka są ważną formą zgody w obrębie całej Unii.
Wyrok, który został wydany przez TSUE we wtorek 1 października 2019 rozwiał wszelkie wątpliwości odnośnie Planet49, a co więcej stworzył także silny precedens w kwestii tego, w jaki sposób należy interpretować unijne przepisy dotyczące prywatności.
Pełna treść wyroku TSUE po angielsku.
Rozporządzenie TSUE w sprawie ważnej zgody
Rozporządzenie TSUE może być rozumiane jako nić splatająca razem Dyrektywę o prywatności i łączności elektronicznej (ePrivacy Directive) z 2002 roku (z poprawkami wniesionymi w 2009), starszą Dyrektywę 1995 oraz Rozporządzenie o Ochronie Danych Osobowych (RODO) z 2018.
Te unijne rozporządzenia dotyczące prywatności mają na celu ochronę użytkownika przed ingerencją w jego lub jej prywatne życie, a w szczególności przed ryzykiem, że ukryte identyfikatory lub inne podobne narzędzia uzyskają dostęp do urządzeń użytkowników bez ich wiedzy.
Rozporządzenie TSUE dotyczy interpretacji Artykułu 2(f) i Artykułu 5(3) Dyrektywy o prywatności i łączności elektronicznej 2002/2009, w związku z Artykułem 2(h) Dyrektywy 1995 oraz Artykułem 6(1)(a) Rozporządzenia o Ochronie Danych Osobowych.
Świadoma zgoda (explicit consent) jest jedyną ważną formą zgody w UE, zarządza TSUE
TSUE zarządziło, że powyższe artykuły muszą być interpretowane w ten sposób, że zgoda nie jest ważna, jeśli została uzyskana poprzez domyślnie zaznaczone pole, które użytkownik musi odznaczyć, aby odmówić swojej zgody.
Wszystkie dane użytkownika wymagają takiej samej świadomej zgody
TSUE orzekł również, że artykułów z unijnych przepisów dotyczących prywatności nie należy interpretować w różny sposób w zależności od tego, czy przechowywane lub udostępniane informacje są danymi osobowymi.
Obowiązek informowania o czasie trwania i dostępie osób trzecich
Co więcej, TSUE zarządziło także, że strony internetowe oraz usługodawcy muszą informować swoich użytkowników o czasie trwania plików cookie na ich stronie internetowej, oraz o tym, czy osoby trzecie mają dostęp do danych użytkownika.
Podsumowanie TSUE i ważnej zgody
Jedyną ważną formą zgody na przetwarzanie danych użytkownika w UE jest świadoma zgoda. Domyślnie zaznaczone pola na banerze plików cookie są zabronione, z wyjątkiem ściśle niezbędnych plików cookie.
Zgoda musi być konkretna i udzielona aktywnie poprzez zaznaczenie okienka, nie zaś odznaczanie uprzednio zaznaczonego pola. Zgoda jest ważna tylko w sytuacji, kiedy użytkownicy zostali poinformowani o czasie trwania plików cookie w operacji oraz o tym, czy osoby trzecie uzyskają dostęp do ich danych.
Świadoma zgoda vs. domniemana zgoda
Teraz być może zastanawiacie się, co zrobić z zarządzaniem zgodami na swojej stronie internetowej i jak upewnić się, że przestrzegacie orzeczenia TSUE obowiązującego we wszystkich 28 państwach członkowskich UE.
Wyjaśnijmy najpierw terminologię…
Świadoma zgoda pojawia się w orzeczeniu TSUE także jako aktywna zgoda, ponieważ wymaga udzielenia zgody poprzez podjęcie działań przez użytkownika końcowego, który jest aktywny, potwierdzający i konkretny.
Świadoma zgoda (explicit consent)
Świadoma zgoda była do tej pory znana jako konkretny typ zgody, którą strona musi uzyskać, kiedy przetwarza wrażliwe informacje osobowe (takie jak przekonania polityczne i religijne czy dane na temat zdrowia).
Jednakże, wraz z orzeczeniem TSUE, wszystkie dane użytkowników – niezależnie od tego, czy są osobowe, wrażliwe lub żadne z powyższych – mogą być przetwarzane dopiero po tym, gdy użytkownicy końcowi udzielą swojej świadomej zgody, nazywanej także aktywną zgodą w oficjalnym rozporządzeniu TSUE.
Domniemana zgoda (implied consent)
Domniemana zgoda to z kolei typ zgody, która do tej pory była ważna w UE, jeżeli strona internetowa przetwarzała tylko dane osobowe (a nie wrażliwe dane personalne).
Ten rodzaj zgody jest znany także jako miękkie włączenie się (soft opt in). Jeżeli użytkownik odwiedza stronę internetową i natyka się na baner ze zgodą na pliki cookie, ale zamiast kliknąć „OK” po prostu przewija stronę lub odwiedza którąś z jej podstron, ta aktywność ze strony użytkownika stanowi ważną zgodę, nawet jeżeli użytkownik nie jest tego świadomy.
Ten typ zgody nie jest już dłużej ważny w UE.
Niemniej jednak jest to forma zgody dalej respektowana przez inne ustawy o prywatności na całym świecie, na przykład brazylijskie LGPD, które było ściśle wzorowane na europejskim RODO.
Przed rozporządzeniem, ważny baner zgody mógł mieć domyślnie zaznaczone pola na niezbędne, preferencyjne i statystyczne pliki cookie – ale nie na marketingowe.
Po wejściu w życie orzeczenia TSUE tylko niezbędne pliki cookie mogą być domyślnie zaznaczone.
Zarządzanie zgodami w Twojej witrynie
Po rozporządzeniu TSUE, strony internetowe nie mogą już dłużej mieć baneru zgody na pliki cookie z domyślnie zaznaczonymi polami. Cookiebot ochrania prywatność Twoich użytkowników, jednocześnie oferując zrównoważone i kompletne zarządzanie zgodami na Twojej stronie.
Cookiebot jest rozwiązaniem na zarządzanie zgodami, które skanuje Twoją domenę i znajduje pliki cookie i moduły śledzące, blokuje wszystko, dopóki użytkownik końcowy nie udzieli swojej świadomej zgody, a następnie bezpiecznie przechowuje zgody użytkowników do dokumentacji prawnej.
Cookiebot umożliwia zgodność Twojej strony z rozporządzeniem TSUE (razem z ePrivacy Directive oraz RODO), a także z innymi prawami na temat prywatności, od CCPA do LGPD.
Konsekwencje dla Ciebie jako właściciela lub operatora strony internetowej
Rozporządzenie TSUE ma konsekwencja dla niemal wszystkich stron internetowych w UE, niezależnie od ich wielkości i rodzaju, jeżeli używają one plików cookie, które nie są ściśle niezbędne do podstawowych operacji.
Nowe orzeczenie ma także konsekwencje dla stron internetowych poza UE. Jeżeli Twoja strona znajduje się poza Europą, ale mu europejskich użytkowników i przetwarza dane obywateli Europy, jesteś zobowiązany do przestrzegania zarządzeń TSUE.
Musisz uzyskać świadomą zgodę europejskich obywateli przed umieszczeniem na ich urządzeniach plików cookie, które nie są absolutnie niezbędne.
Analytics a ważna zgoda
Nie jest zaskakujące, że zgodność z rozporządzeniem TSUE oznacza istotne zmiany dla prowadzenia strony.
Jeżeli używasz Google Analytics, Matomo lub podobnych narzędzi analitycznych, tak jak robi to większość stron na świecie w celu zoptymalizowania operacji na swojej witrynie, to orzeczenie może znacząco utrudnić wgląd i tworzenie statystyk.
Dlaczego? Cóż, nie możesz umieścić domyślnie zaznaczonych pól na swoim banerze zgody, z wyjątkiem tych niezbędnych. Oznacza to, że będziesz musiał lub musiała polegać na swoich użytkownikach, że udzielą swojej zgody także w tych kategoriach, które służą statystycznym i analitycznym informacjom o ich zachowaniu na Twojej stronie.
Zgodność z unijnym precedensem prywatności od TSUE oznacza mocniejszą i bardziej realną ochronę prywatności dla europejskich użytkowników, ale jednocześnie – prawdopodobnie – utratę danych analitycznych o użytkownikach Twojej strony.
Tak obecnie przedstawia się nowy krajobraz prywatności w UE. Niewątpliwie zwiększa to oczekiwania wobec długo oczekiwanego ePrivacy Regulation, które ma wejść w życie w 2020 r. Czekamy, aby zobaczyć, czy skonsoliduje ono rozwój prywatności, czy też ponownie przesunie granicę prawną.
Źródła
The official press release on the ruling from the Court of Justice of the European Union
The full judgement from the CJEU
Digest of the CJEU ruling by the global lawfirm Hogan Lovells
Europe’s top court says active consent is needed for tracking cookies, TechCrunch
What practical impacts do recent CJEU rulings have on adtech?, privacylawblog by lawfirm Fieldfisher