Okienko wyboru akceptujące użycie plików cookies na stronie internetowej nie może być domyślnie zaznaczone, nawet jeśli użytkownik może je odznaczać. Nie można bowiem w takiej sytuacji mówić o udzieleniu czynnej zgody – uznał we wtorek Trybunał Sprawiedliwości Unii Europejskiej.
Sprawa dotyczy niemieckiej firmy, która zorganizowała loterię dla klientów. Aby wziąć w niej udział, należało wejść na stronę internetową, na której podawało się swoje imię i adres. Jednocześnie na stronie znajdowały się dwie zgody. Pierwsza dotyczyła akceptacji e-maili reklamowych, druga zaś cookies. Okienko wyboru przy drugiej ze zgód było domyślnie zaznaczone. Użytkownik mógł je odznaczyć, przy czym, aby w ogóle mógł wziąć udział w loterii, wymagana była co najmniej zgoda na otrzymywanie korespondencji marketingowej.
Jedno z pytań przedstawionych TSUE we wniosku prejudycjalnym dotyczy tego, czy okienko wyboru potwierdzające zgodę na cookies może być domyślnie zaznaczone na stronie internetowej. Innymi słowy, czy wystarczy pozostawienie użytkownikowi możliwości odznaczenia tego okienka, jeśli nie godzi się na użycie plików cookies? Trybunał uznał, że nie. Zgoda nie tylko musi być bowiem dobrowolna, świadoma, ale też czynna. W przypadku dokonania wyboru za użytkownika trudno o takiej mówić. Zdaniem TSUE uzyskana w ten sposób zgoda jest nieważna. Aby była skuteczna, okienko wyboru powinno pozostać puste, a sam użytkownik musi zdecydować, czy chce je zaznaczyć. I nie ma tu znaczenia, że i tak musi kliknąć inny przycisk, aby móc dalej przeglądać stronę czy też – jak w tej sprawie – wziąć udział w loterii.
– Wyrok rozwiewa wątpliwości odnoszące się do tego, czy fakt kontynuacji przeglądania strony po wyświetleniu komunukatu o przetwarzaniu danych może być uznany za tożsamy ze zgodą. Otóż nie może – komentuje dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności.
– Bardzo ciekawe jest zalecenie, by przed ustawieniem ciasteczka informować o tym, jak długo zachowa ono swą ważność, a zatem jakie są wartości atrybutów „Expires” lub „Max-Age”, czasu, po jakim ciasteczka wygasają. Informowanie o tym nie jest dziś powszechnie stosowaną praktyką. Zresztą warto się zastanowić, czy podobne zalecenie nie powinno dotyczyć innych opcji konfiguracji przy ustawianiu ciasteczek – dodaje.
TSUE uznał bowiem, że wśród obowiązkowych informacji, jakie należy przedstawić użytkownikowi, konieczne jest wskazanie okresu, przez jaki będą działać pliki cookies, a także czy inne osoby (firmy) będą mogły uzyskać do nich dostęp.
Wyrok raczej nie będzie oznaczał rewolucji dla administratorów stron internetowych, choć pewnie wielu powinno rozszerzyć zakres informacji dotyczących ciasteczek.
– Wejście w życie RODO spowodowało renesans wyskakujących okienek więc jeśli te okienka są dobrze i standardowo zaprojektowane, to pod tym względem wymogi są spełniane. Natomiast ze świecą szukać stron informujących o szczegółach konfiguracji cookies, choć zdarza się umieszczanie tych informacji w politykach prywatności – zauważa dr Łukasz Olejnik.
Warto odnotować, że zdaniem TSUE nie ma znaczenia, czy informacje udostępniane poprzez ciasteczka stanowią dane osobowe w myśl RODO. Przepisy dyrektywy 2002/58/WE o prywatności i łączności elektronicznej mają na celu ochronę użytkowników przed każdą ingerencją w sferę prywatną, bez względu na, czy dotyczy wprost ich danych osobowych.

orzecznictwo

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 1 października 2019 r. w sprawie C-673/17. www.serwisy.gazetaprawna.pl/orzeczenia