Jednym z bardziej widocznych efektów RODO były wyświetlane na nowo przez europejskie serwisy internetowe komunikaty o cookies. Wiele darmowych portali informacyjnych tak naprawdę nie mogłoby działać bez tych ciasteczek, bo cały swój zysk czerpią z wyświetlanych reklam. Aby ich zwartość dostosować do konkretnego użytkownika, potrzebne są właśnie cookies monitorujące jego zachowania i preferencje. Dlatego część serwisów uzależnia dostęp do swoich stron od wyrażenia zgody na przetwarzanie danych. To tzw. cookie walls. Internauta, który na nie się nie godzi, nie jest wpuszczany do serwisu.

Teraz okazuje się, że może to być niezgodne z RODO. Tak przynajmniej wynika ze stanowiska holenderskiego organu ochrony danych osobowych (Autoriteit Persoonsgegevens; AP). AP uznał cookie walls za bezprawne i zapowiedział wzmożone kontrole.

Zgoda musi być dobrowolna

Witold Chomiczewski, radca prawny z kancelarii Lubasz i Wspólnicy, tłumaczy, że w stanowisku AP chodzi tylko o te cookies, które umożliwiają śledzenie użytkowników na potrzeby zbierania informacji o ich zachowaniach w internecie i dopasowywania spersonalizowanych reklam. Administrator powinien uzyskać zgodę na ich przetwarzanie, bo są to dane osobowe. Zgoda ta musi być dobrowolna.

Jeśli użytkownik nie ma możliwości wejścia na stronę internetową, czyli nie może skorzystać z usługi bez zaakceptowania zgody, trudno mówić o dobrowolności. Administrator uzależnia bowiem wykonanie świadczenia od wyrażenia zgody, która nie jest niezbędna dla wykonania samej usługi. Podkreśla się to w motywie 43 RODO - zauważa Witold Chomiczewski.

Dostęp także bez cookies

Ekspert wyjaśnia, że portal internetowy powinien umożliwiać użytkownikom dostęp do treści także bez akceptacji cookies umożliwiających śledzenie. Podpowiada, że w praktyce można wprowadzić dwie wersje portalu - darmową (w której użytkownik zgadza się na śledzenie i "płaci" swoimi danymi) oraz płatną, w której jego dane nie są przetwarzane na potrzeby reklamy.

Nawet wysokość opłat pobieranych za dostęp do serwisu może być badana pod kątem zgodności z RODO. Austriacki organ ochrony danych sprawdzał skargę obywatela, który miał możliwość wyboru między darmową (ale wymagającą zgody na cookies) oraz płatną (bez ciasteczek śledzących) wersją serwisu. Klient uznał, że ta płatna była zbyt droga (6 euro za miesiąc), co jego zdaniem oznaczało, że trudno mówić o dobrowolności zgody na przetwarzanie danych. Organ odrzucił jego skargę, uznając, że płatna alternatywa wobec zgody cookies nie jest nieproporcjonalnie droga.

Zmiana modelu działania

Jeśli inne organy ochrony danych osobowych dojdą do podobnych wniosków co holenderski, część branży internetowej, także w Polsce, czeka zmiana modelu biznesowego. Serwisy będą musiały udostępniać treści bez śledzenia użytkowników przez cookies.

W ramach "prawa do informacyjnego samostanowienia" stworzenie wyboru między zgodą na wykorzystanie danych a opłatą wydaje się pożądane - uważa Tomasz Borys, konsultant ochrony danych osobowych. Dodaje, że popularność tego rozwiązania będzie zależeć od jakości usług. Jeśli oczekujemy mediów wysokiej jakości, musimy myśleć o ich finansowaniu – danymi albo pieniędzmi. Odrzucenie wariantu dostępu za dane mogłoby w rezultacie spowodować zanik "bezpłatnych"usług online – analizuje ekspert.

Co na to usługodawcy internetowi? Poprosiliśmy o komentarz Związek Pracodawców Branży Internetowej IAB Polska, ale niestety nikt nie był w stanie nam go udzielić. Matthias Matthiesen z IAB Europe w komentarzu dla portalu TechCrunch przekonuje, że przepisy pozwalają uzależniać dostęp do strony internetowej od akceptacji cookies. Przywołuje motyw 25 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej. Zgodnie z nim „dostęp do niektórych treści zamieszczonych na stronach internetowych może być nadal uzależniony od świadomej akceptacji zastosowania cookie lub podobnego urządzenia, jeżeli służy ono prawnie dopuszczalnemu celowi”.

W Polsce nie ma skarg

Do polskiego Urzędu Ochrony Danych Osobowych nie skierowano dotąd żadnej skargi, która dotyczyłaby cookie walls. Wpłynęła wprawdzie skarga Fundacji Panoptykon na pliki cookies, ale nie ma ona związku z opisywaną praktyką. Organ nadzoru nie prowadził żadnych postępowań w tym zakresie i nie ma wypracowanego stanowiska - wyjaśnia Adam Sanocki, p.o. rzecznik prasowy UODO.

Przesądzi praktyka

Stanowisko holenderskiego organu nie musi być przesądzające. Dopiero praktyka i orzecznictwo pokażą, jak interpretować przepisy RODO. Uważam, że nawet reklamowe cookies, pomijając te związane z profilowaniem, mogą nie wymagać zgody użytkownika, a administrator ma prawo uznać, że ich stosowanie jest niezbędne ze względu na jego prawnie uzasadniony interes – mówi Witold Chomiczewski.

Dodaje, że problem w tym, iż wytyczne dawnej Grupy Roboczej Art. 29 i dotychczasowe wypowiedzi organów nadzorczych są bardziej rygorystyczne. Przez to przetwarzanie związane z plikami cookies śledzącymi użytkownika może nie przejść tzw. testu równowagi. Polega on na porównaniu uzasadnionego interesu administratora z prawami osoby, której dane są przetwarzane, i ocenie, która z tych wartości powinna przeważać.

Spodziewam się, że stosunkowo szybko sprawa dotycząca zgód na cookies trafi przed Trybunał Sprawiedliwości UE. Obawiam się, że wyrok może radykalnie zmienić podejście do reklamy spersonalizowanej - pointuje ekspert.