6 maja 2022
Jakub Mokrzycki
Pod koniec 2021 r. francuski organ nadzorczy CNIL (Commission Nationale de l’Informatique et des Libertés) nałożył na dwie spółki Googla karę w łącznej wysokości 150.000.000 euro. Niecałe cztery miesiące później amerykański koncern poinformował o zmianie zakwestionowanych zasad akceptowania i odrzucania plików cookies (ciasteczek) w całej Europie.[1]
Cookies to niewielkie pliki zapisywane na komputerze, które przechowują informacje związane z odwiedzanymi stronami internetowymi. Nierzadko są one niezbędne do prawidłowego korzystania z sieci (np. przechowują dane o logowaniu na stronie, informacje o produktach umieszczonych w koszyku). Wspomniane pliki są jednak wykorzystywane również do gromadzenia bardzo wielu danych dotyczących aktywności użytkowników. Informacje takie mogą zostać później wykorzystane do różnego rodzaju działań marketingowych czy też profilowania internautów. Zakres gromadzonych w plikach danych powoduje, że w prawie europejskim są one traktowane jako dane osobowe. Z tego też powodu zasady ich zapisywania oraz wykorzystywania znajdują się pod kontrolą właściwych organów państwowych.
Dotychczas użytkownik wchodzący na stronę wyszukiwarki Google lub na portal YouTube miał do wyboru dwie podstawowe opcje związane z cookies. Mógł zaakceptować wszystkie (w tym marketingowe i związane z profilowaniem) albo dostosować zakres ich wykorzystywania do własnych preferencji. Brak było natomiast opcji odrzucenia wszystkich (niewymaganych) ciasteczek. Uzyskanie takiego efektu wymagało zapoznania się z listą zbieranych informacji oraz wykonania kilku dodatkowych kliknięć.
CNIL zakwestionowała opisany brak możliwości łatwego odrzucenia wszystkich (niewymaganych) ciasteczek.[2] Organ zwrócił uwagę, że możliwość prostego zaakceptowania wszystkich plików cookies wpływa na swobodę decyzji osoby odwiedzające strony google.fr oraz youtube.com. W ocenie CNIL uczynienie mechanizmu odrzucenia ciasteczek bardziej skomplikowany niż mechanizm ich akceptacji w rzeczywistości zniechęca użytkowników do odrzucania ciasteczek i zachęca ich do wybierania przycisku „Zgadzam się”.
Warto również zwrócić uwagę na podstawę nałożonej kary. Wymierzona została ona w oparciu o art. 82 francuskiej ustawy o ochronie danych osobowych (La loi Informatique et Libertés). Przepis ten zawiera jedynie podstawowe zasady dotyczące tworzenia i wykorzystywania ciasteczek. Jego istotnym uzupełnieniem są natomiast prawnie wiążące wytyczne CNIL z 17.09.2020 r.[3] Zgodnie z ich treścią, administrator danych musi zapewnić użytkownikom możliwość akceptacji, jak i odmowy wykonania operacji z takim samym stopniem prostoty. Działania Google można było więc uznać za jednoznacznie sprzeczne ze wskazanymi wytycznymi.
Ostatecznie, Google zdecydowało się na uwzględnienie wytycznych CNIL, poprzez dodanie trzeciego przycisku, pozwalającego w prosty sposób odrzucić wszystkie niewymagane pliki cookies. Zmiany maja być systematycznie wdrażane na wszystkich europejskich podstronach koncernu.
Dla wielu podmiotów bardzo istotna będzie odpowiedź na pytanie, czy analogiczną karę można byłoby nałożyć na podstawie polskich przepisów. Art. 173 prawa telekomunikacyjnego[4] zbliżony jest do wspominanego art. 82 francuskiej ustawy o ochronie danych. Trudno jednak znaleźć bezpośrednią podstawę prawną do formułowania rygorystycznych wymogów odnośnie odrzucania cookies. Z drugiej zaś strony stanowisko CNLI wydaje się dobrze wpasowywać w ducha europejskich regulacji dotyczących ochrony danych osobowych. Może zatem stanowić ważną wskazówkę również dla polskich organów i w sposób pośredni wpłynąć także na krajowy rynek.
Obecnie trudno jest jeszcze przewidzieć czy i jak wiele innych podmiotów zdecyduje się na wprowadzenie zmian analogicznych do Googla. Istotą omawianego problemu nie jest bowiem dodanie dodatkowego przycisku, a zmiana modelu korzystania z ciasteczek. Potencjalnie może ona skutkować znacząco mniejszą liczbą uzyskiwanych zgód, a w konsekwencji i pozyskiwanych informacji. W czasach, gdy wiele przedsiębiorstw opiera swoją działalność na danych, ograniczenie dostępu do nich zawsze jest jednak trudną decyzją.
[1] https://www.blog.google/around-the-globe/google-europe/new-cookie-choices-in-europe/
[2] Streszczenie decyzji wraz z jej uzasadnieniem dostępne są w języku angielskim na stronie: https://www.cnil.fr/en/cookies-google-fined-150-million-euros
[3] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux operations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
[4] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2021 r. poz. 576 z późn. zm.).