Zgoda na pliki cookies – wytyczne francuskiego organu ODO

Technologia plików cookies jest powszechnie stosowana w Internecie, przy tym dla niektórych przedsiębiorców stanowi podstawę modelu biznesowego. Najczęściej stosowany sposób odbierania zgody od użytkowników na wykorzystywanie cookies może budzić jednak wątpliwości w świetle przepisów RODO. Problem ten dostrzegł francuski organ ODO, który postanowił opracować, przy współpracy z przedstawicielami branży, nowe wytyczne. Do tego czasu, zapewniona została ciągłość biznesowa – organ nie będzie nakładał w tym przedmiocie sankcji.

Francuski organ ochrony danych osobowych (La Commission nationale de l’informatique et des libertés, CNIL[1] zakomunikował, że do ok. połowy 2020 r. opracuje i wdroży wytyczne w zakresie zgody użytkowników na wykorzystywanie technologii plików cookies, odpowiadające wymogom RODO. Choć wytyczne obowiązujące aktualnie, zdaniem CNIL, są przestarzałe i sprzeczne z ww. rozporządzeniem – pozwalają np. odebrać od użytkowników zgodę milczącą – mogą być do tego czasu stosowane[2].

Obecnie trwają prace wewnętrzne nad stworzeniem nowych wytycznych, których koniec zaplanowany jest na czerwiec 2019 r. W dalszej kolejności, CNIL zamierza przeprowadzić spotkania i dyskusje z podmiotami, których zmiany dotyczą, w celu zapewnienia, iż będą one w jak największym stopniu praktyczne. Sam proces wdrożenia również ma uwzględniać potrzeby zainteresowanych i zapewniać ciągłość biznesu, jako że od ogłoszenia ostatecznej wersji wytycznych (prawdopodobnie w styczniu 2020 r.) będą oni mieli pół roku na ich przystosowanie, po czym wejdą w życie i staną się zdolne do egzekwowania[3].

Z informacji prasowych wynika, iż CNIL postanowił uaktualnić swoje wytyczne, mimo tego, iż trwa proces tworzenia rozporządzenia ePrivacy (które ma zastąpić dyrektywę ePrivacy 2002/58) nakierowanego na uregulowanie tej materii, ponieważ wszystko wskazuje na to, że nie skończy się on w 2019 r.[4]. Stosowanie technologii plików cookies jest przy tym na tyle powszechne i istotne w kontekście ochrony danych osobowych w realiach RODO, że wymaga wcześniejszego doprecyzowania.

Postawa przyjęta przez CNIL wydaje się być uzasadniona w kontekście „nastrojów” i kierunku orzeczniczego, które można odnotować w Unii Europejskiej. Zgodnie z treścią opinii Rzecznika Generalnego Macieja Szpunara z dnia 21 marca 2019 r., do sprawy o sygn. C-673/17[5], brak jest skutecznej zgody w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy ePrivacy w związku z art. 4 pkt 11 RODO w sytuacji „w której zgoda na przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika jest uzyskiwana w drodze zaakceptowania domyślnie zaznaczonego okienka wyboru, z którego użytkownik, aby odmówić zgody, musi usunąć zaznaczenie, i w której zgoda nie jest udzielana odrębnie, ale jednocześnie” (pkt. 122 opinii). Zgoda powinna być zatem udzielana w sposób odrębny oraz czynny[6]. Ponadto, jasna i wyczerpująca informacja, której usługodawca jest zobowiązany udzielić na podst. art. 5 ust. 3 dyrektywy ePrivacy, powinna umożliwiać użytkownikom zrozumienie funkcjonowania plików cookie, w tym obejmować „informację o czasie działania plików cookie oraz o tym, czy strony trzecie uzyskują dostęp do plików cookie, czy nie” (pkt 115 opinii).

Działanie CNIL daje szansę na wypracowanie wspólnie z rynkiem modelu, który nie tylko będzie zgodny z obowiązującymi przepisami prawa, ale także będzie akceptowany biznesowo. Być może właśnie taki standard współpracy urzędu z rynkiem powinien być stosowany także w innych krajach UE?

[1] https://www.cnil.fr/en/presentation-2018-activity-report-and-2019-issues-french-data-protection-authority
[2]https://adexchanger.com/privacy/french-regulators-gift-pubs-with-a-one-year-break-before-they-need-to-comply-with-new-cookie-consent-rules/amp/
[3] Por. tamże.
[4] https://www.journaldunet.com/ebusiness/crm-marketing/1424555-jean-lessi-cnil/
[5] Zob. opinię Rzecznika Generalnego Macieja Szpunara z dnia 21 marca 2019 r., do sprawy o sygn. C-673/17 Planet49 GmbH przeciwko Bundesverband der Verbraucherzentralen und Verbraucherverbände.
[6] Por. także https://www.huntonprivacyblog.com/2019/03/22/advocate-general-finds-cookie-consent-must-be-active-and-separate/