“Cookie walls”​ i bądź tu mądry

“Cookie walls”​ i bądź tu mądry

Europejska Rada Ochrony Danych wydała opinię w zakresie opóźniającej się regulacji ePrivacy, w której można przeczytać, iż obecnie stosowane banery cookie na wielu stronach są sprzeczne z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych. W szczególności chodzi tutaj o tzw. ściany, które uniemożliwiają w niektórych sytuacjach dostęp do strony internetowej, jeśli ich nie zatwierdzisz. Z moich własnych obserwacji różnych witryn internetowych, są one zaprojektowane w taki sposób, iż trudno mówić o dobrowolności nie mówiąc już o przemycaniu w nich innych zgód lub też tworzenie ich w taki sposób, że aby nie wyrazić zgody, nadal trzeba odznaczać inne pola, co jest w mojej opinii wątpliwe w zakresie świadomości udzielanej zgody. Diabeł oczywiście tkwi w szczegółach i należy każdorazowo rozpatrzyć, co kryje się za ścianą cookies.

W przywołanej opinii EROD podkreślono, że „Aby zapewnić dobrowolność zgody, jak wymaga tego RODO, dostęp do usług i funkcji nie może być uzależniony od zgody użytkownika na przetwarzanie danych osobowych lub informacji przetwarzanych przez urządzenia końcowe użytkownika bądź związanych z takimi urządzeniami, co oznacza, że należy wyraźnie zabronić stosowania cookie walls.”

Należy zaznaczyć, że zgodnie z obowiązującą dyrektywą ePrivacy, korzystanie ze ścian cookies jako takich nie jest zabronione. Nie oznacza to, że w niektórych przypadkach są one zgodne z RODO i czy odejdą do lamusa w przyszłości.

Dodatkowo w treściach tych ścian znajdują się uwarunkowania dyskusyjne z punktu widzenia regulatorów. Same jednak organy krajowe przyjmują różny punkt widzenia, jak pokazuje przykład Austriacki oraz Brytyjski.

W przypadku Austrii sprawa dotyczy austriackiej gazety Der Standard (mimo że decyzja nieco zanonimizowana, łatwo dociec, iż o tę gazetę chodzi), w której osoba fizyczna podniosła, iż udzielona zgoda nie była dobrowolna, a zatem jest nieważna na mocy art. 7 ust. 4 RODO. Z kolei w Wielkiej Brytanii sprawa dotyczyła amerykańskiej gazety The Washington Post.

W każdym z tych przypadków, odwiedzając witrynę gazet, osoby mają do wyboru albo opcję bezpłatnego dostępu z plikami cookie, albo opcję płatnego dostępu bez plików cookie.

Decyzja w Austrii

Austriacki organ ochrony danych (DSB) wskazał, że ściany plików cookie nie są zakazane (obowiązująca dyrektywa ePrivacy). Cookie wall gazety Der Standard zapewnia taki stopień wyboru, który skutkuje udzieleniem dobrowolnej zgody, przy czym brał pod uwagę przesłanki udzielenia zgody Grupy Roboczej Art. 29 (Art. 29WP) – Wytyczne dotyczące zgody (WP 259).

Urząd wskazał, iż osoba fizyczna ma pełną kontrolę nad sytuacją, gdyż Der Standard umieszcza pliki cookie dopiero po podjęciu przez osobę fizyczną świadomej decyzji o zezwoleniu na umieszczenie plików cookie. Po drugie, osoba fizyczna może wstrzymać zgodę poprzez zawarcie płatnej subskrypcji lub opuszczenie strony internetowej Der Standard.

DSB (decyzja DSB-D122.931/0003-DSB/2018 z dnia 30.11.2018 Austriackiego Urzędu Ochrony Danych Osobowych) zauważył, że należy wziąć pod uwagę cenę płatnej opcji dostępu bez plików cookie. Jeśli cena jest zbyt wysoka, oznacza to, że płatna opcja staje się negatywną konsekwencją odmowy zgody na pliki cookie, co może unieważnić zgodę danej osoby; austriacki DPA uznał tutaj, że ceny Der Standard nie są “nadmiernie wysokie”, gdyż mowa była o 6 EUR miesięcznie. W związku z tym, wyrażenie zgody na pliki cookie skutkowało pozytywnym wynikiem dla osoby, gdyż umożliwiono nieograniczony dostęp do artykułów gazety w tej cenie.

W decyzji organu brak informacji i rozważań o sposobie wycofywania zgody. W praktyce, gdy osoba fizyczna wycofuje zgodę, strona internetowa Der Standard ponownie prezentuje cookie-wall. Wnioskuję zatem, że urząd uznał to za stosowne rozwiązanie (Fot.1 Zrzut ekranu strony Der Standard. Opracowanie: własne z dnia 06/03/2019).

Decyzja w Wielkiej Brytanii

W przypadku The Washington Post sprawa rysuje się inaczej, jak wynika z doniesienia dziennika The Register. Brytyjski organ nadzoru (ICO) przyjął inną optykę, przy czym nie ma tutaj mowy o decyzji ICO, a ostrzeżeniu wystosowanym do gazety. Ze względu na fakt, iż gazeta działa na terytorium Stanów Zjednoczonych, a zatem nie podlega bezpośredniej jurysdykcji ICO, regulator wydał jedynie oświadczenie (zamiast wszczynać jakiekolwiek działania egzekucyjne). Może to jednak wskazywać kierunek ICO w stosunku do podmiotów w Zjednoczonym Królestwie w zakresie podobnych praktyk.Gazeta amerykańska oferuje trzy opcje dla przyszłych czytelników, ale tylko jedna z nich, najdroższa i kosztująca 9 dolarów miesięcznie, umożliwia wyłączenie śledzenia i plików cookie.W przypadku pozostałych dwóch, które są albo bezpłatne (za ograniczoną liczbę artykułów), albo 6 dolarów miesięcznie (za nieograniczoną liczbę artykułów), czytelnik gazety musi wyrazić zgodę na używanie plików cookie, śledzenie i reklamy gazety i stron trzecich.W świetle tej konfiguracji ICO doszła do wniosku, że The Washington Post naruszał (jak widać po zrzucie ekranu, nie zastosował się do zaleceń ICO) zasady RODO, ponieważ nie dawał osobom fizycznym “prawdziwego wyboru i kontroli nad sposobem wykorzystywania ich danych osobowych”. Gazeta nie zaoferowała bezpłatnej alternatywy dla akceptowania plików cookie i regulator stwierdził, że “zgoda nie może być udzielona bez ograniczeń i jest nieważna” na mocy art. 7 ust. 4 RODO. Stanowi on: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.”Warto zauważyć, iż prawo w USA, w ogóle nie ma czegoś takiego jak zgoda na ciasteczka.ICO samo przyznało, że niewiele jest w stanie zrobić ze względu na jurysdykcję, prócz wydania oświadczenia, mimo iż gazeta oferuje usługi dla czytelników z EU, tyle że płatne i bez cookies…, a ICO chciałoby darmowej opcji, aby zgoda była dobrowolna (Fot.2 Zrzut ekranu strony The Washington Post. Opracowanie: własne z dnia 06/03/2019). Przypominam, że w przypadku obu gazet brakowało darmowej opcji.

Z materiału dotyczącego The Washington Post można zaobserwować jeszcze jeden ciekawy element. Mianowicie, bezradność organu w stosunku do gazety, której de facto pogrożono delikatnie palcem. Patrząc na międzynarodowy charakter regulacji (Artykuł 3 – Terytorialny zakres stosowania RODO), zastanawiająca jest zatem egzekwowalność eksterytorialnego charakteru RODO i jestem ciekaw, jak się to rozwinie… O ile w ogóle, jeśli organy z podmiotami na terenie UE będą miały dużo pracy.

Holenderski organ nadzorczy również ma zastrzeżenia.

Jak donosi portal Tech Crunch, do grona regulatorów podnoszących problem cookie walls i ich niezgodności przy projektowaniu z RODO, dołączył również Holenderski organ nadzoru.

Z przytoczonych przez portal wypowiedzi organu wynika, iż „Pozwolenie nie jest ‘bezpłatne’, jeśli ktoś nie ma realnego lub wolnego wyboru. Albo jeśli osoba nie może odmówić udzielenia zgody bez negatywnych konsekwencji”. Ponadto „[…] Dokładniejsze monitorowanie i analiza zachowań odwiedzających stronę internetową oraz dzielenie się tymi informacjami z innymi stronami jest dozwolone tylko za zgodą. Pozwolenie to musi być całkowicie bezpłatne”. Organ ostrzega również, iż będzie te praktyki weryfikował, co nie pozostaje bez odpowiedzi organizacji zrzeszających reklamodawców IAB (the Internet Advertising Bureau), która nie zgadza z takim spojrzeniem, podnosząc swoisty konflikt między RODO, a obowiązującą dyrektywą ePrivacy.

Skargę złożono również w Irlandii. Wytyczne IAB Europe dla branży na celowniku.

Już po publikacji tego artykułu, w dniu 1 kwietnia 2019 (stąd aktualizacja), firma Brave Inc. stojąca za przeglądarką Brave, słynącą z domyślnie wysokich ustawień prywatności, założoną przez Brendan Eich’a, twórcę JavaScript i założyciela Mozilli i Firefox’a, opublikowała na swojej stronie oficjalną skargę do Irlandzkiego organu nadzoru (Irish Data Protection Commission). Pan Dr Johnny Ryan pełniący role Chief Policy & Industry Officer poskarżył się właśnie na IAB Europe w zakresie korzystania przez tą organizację z niezgodnego z RODO “cookie wall” na swojej stronie.

“Nie należy zmuszać nikogo do zaakceptowania tworzenia profili w Internecie przez nieznane firmy, jako warunku dostępu do strony internetowej”, powiedział dr Johnny Ryan z Brave. “Byłoby to tak, jakby Facebook uniemożliwił Ci dostęp do Newsfeed, dopóki nie klikniesz przycisku pozwalającego na udostępnienie Twoich danych Cambridge Analytica.”

Odwiedzający stronę internetową IAB Europe, www.iabeurope.eu, stają w obliczu “ściany plików cookie”, która zmusza ich do zaakceptowania śledzenia przez Google, Facebook i inne podmioty, które mogą je następnie monitorować. Wskazał również na wadliwość wyrażenia zgody, o której pisałem wyżej w odniesieniu dostępu do usługi. W tym przypadku dane są wykorzystywane również dla innych celów.

Prawnik Simon McGarr reprezentujący Dr Ryn’a, który pracował nad sprawami dotyczącymi ochrony danych dla Digital Rights Ireland, powiedział: “W przypadku, gdy firmy polegają na zgodzie na przetwarzanie danych osobowych, bardzo ważne jest, aby było to coś więcej niż ćwiczenie polegające na zaznaczaniu pól wyboru. Aby zgoda była ważna, musi być dobrowolna, świadoma, konkretna i jednoznaczna. Nie ma nic dobrego lub złego w technologii plików cookie – ważne jest zapewnienie, że jest ona stosowana w sposób, który respektuje prawa osób fizycznych”.

IAB Europe nie dostarcza informacji o tym, jakie dane są gromadzone, w jakim celu i na jakiej podstawie prawnej się opiera dla danego celu.

Pikanterii całej sprawie dodaje fakt, iż IAB Europe szeroko propaguje pogląd, że dostęp do strony internetowej lub aplikacji może być uzależniony od zgody na przetwarzanie danych, które nie jest konieczne do świadczenia żądanej usługi, pomimo wyraźnych wymogów RODO, oraz oświadczeń kilku krajowych organów ochrony danych, które twierdzą inaczej.

Skarga ta przetestuje wytyczne IAB Europe’s w zakresie RODO dla branży reklamy internetowej. Organizacja ów, jest głównym podmiotem wskazującym rozwiązania w zakresie ochrony danych w branży śledzenia online i pojawiających się ścian cookie. IAB wskazało wręcz głównym organizacjom medialnym oraz zajmującym się śledzeniem i firmom zajmującym się technologiami reklamowymi, że mogą pominąć RODO i polegać na dyrektywie o prywatności i łączności elektronicznej (ePrivacy), którą IAB Europe zinterpretowała jako bardziej pobłażliwą w zakresie ochrony danych osobowych.

IAB Europe, jak wskazałem w przypadku holenderskim, szeroko propaguje pogląd, że dostęp do strony internetowej lub aplikacji może być uzależniony od zgody na przetwarzanie danych, które nie jest konieczne do świadczenia żądanej usługi, pomimo wyraźnych wymogów RODO oraz oświadczeń krajowych organów ochrony danych i EROD, które twierdzą inaczej.

“Ta skarga wyjaśni, że media i branża reklamowa nie powinny polegać na wytycznych IAB Europe w zakresie RODO”, powiedział dr Ryan.

Jak zatem postępować mają organizacje?

Trzeba indywidualnie ważyć przypadki i starać się godzić rozwiązania ciasteczek z RODO i obowiązującej dyrektywy ePrivacy, projektując rozwiązanie czy nawet korzystając z gotowych, które należy odpowiednio dostosować. Pamiętać przy tym należy, aby jednak dokładnie przeanalizować proces w danym przypadku, gdyż to szczegóły mogą w efekcie przeważyć o zgodności lub nie. Same elementy wskazane przez regulatorów w tych konkretnych przypadkach to w mojej ocenie nie koniec. W ścianach cookie, z którymi się sam zetknąłem są jeszcze inne problemy. Parlament Europejski w ostatnio proponowanej wersji nowego ePrivacy przyjął zakaz cookie walls, jednak Rada UE nie określiła swojego stanowiska. Musimy jeszcze poczekać na regulację ePrivacy, która miejmy nadzieję w ostatecznym kształcie, pomoże rozwiązać niespójności.

Leave A Comment

Your email address will not be published. Required fields are marked *

*