Jednym z bardziej widocznych efektów RODO były wyświetlane na nowo przez europejskie serwisy internetowe komunikaty o cookies. Wiele darmowych portali informacyjnych tak naprawdę nie mogłoby działać bez tych ciasteczek, bo cały swój zysk czerpią z wyświetlanych reklam. Aby ich zwartość dostosować do konkretnego użytkownika, potrzebne są właśnie cookies monitorujące jego zachowania i preferencje. Dlatego część serwisów uzależnia dostęp do swoich stron od wyrażenia zgody na przetwarzanie danych. To tzw. cookie walls. Internauta, który na nie się nie godzi, nie jest wpuszczany do serwisu.
Teraz okazuje się, że może to być niezgodne z RODO. Tak przynajmniej wynika ze stanowiska holenderskiego organu ochrony danych osobowych (Autoriteit Persoonsgegevens; AP). AP uznał cookie walls za bezprawne i zapowiedział wzmożone kontrole.
Zgoda musi być dobrowolna
Witold Chomiczewski, radca prawny z kancelarii Lubasz i Wspólnicy, tłumaczy, że w stanowisku AP chodzi tylko o te cookies, które umożliwiają śledzenie użytkowników na potrzeby zbierania informacji o ich zachowaniach w internecie i dopasowywania spersonalizowanych reklam. Administrator powinien uzyskać zgodę na ich przetwarzanie, bo są to dane osobowe. Zgoda ta musi być dobrowolna.
- zauważa Witold Chomiczewski.
Dostęp także bez cookies
Ekspert wyjaśnia, że portal internetowy powinien umożliwiać użytkownikom dostęp do treści także bez akceptacji cookies umożliwiających śledzenie. Podpowiada, że w praktyce można wprowadzić dwie wersje portalu - darmową (w której użytkownik zgadza się na śledzenie i "płaci" swoimi danymi) oraz płatną, w której jego dane nie są przetwarzane na potrzeby reklamy.
Nawet wysokość opłat pobieranych za dostęp do serwisu może być badana pod kątem zgodności z RODO. Austriacki organ ochrony danych sprawdzał skargę obywatela, który miał możliwość wyboru między darmową (ale wymagającą zgody na cookies) oraz płatną (bez ciasteczek śledzących) wersją serwisu. Klient uznał, że ta płatna była zbyt droga (6 euro za miesiąc), co jego zdaniem oznaczało, że trudno mówić o dobrowolności zgody na przetwarzanie danych. Organ odrzucił jego skargę, uznając, że płatna alternatywa wobec zgody cookies nie jest nieproporcjonalnie droga.
Zmiana modelu działania
Jeśli inne organy ochrony danych osobowych dojdą do podobnych wniosków co holenderski, część branży internetowej, także w Polsce, czeka zmiana modelu biznesowego. Serwisy będą musiały udostępniać treści bez śledzenia użytkowników przez cookies.
- uważa Tomasz Borys, konsultant ochrony danych osobowych. Dodaje, że popularność tego rozwiązania będzie zależeć od jakości usług. – analizuje ekspert.
Co na to usługodawcy internetowi? Poprosiliśmy o komentarz Związek Pracodawców Branży Internetowej IAB Polska, ale niestety nikt nie był w stanie nam go udzielić. Matthias Matthiesen z IAB Europe w komentarzu dla portalu TechCrunch przekonuje, że przepisy pozwalają uzależniać dostęp do strony internetowej od akceptacji cookies. Przywołuje motyw 25 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej. Zgodnie z nim „dostęp do niektórych treści zamieszczonych na stronach internetowych może być nadal uzależniony od świadomej akceptacji zastosowania cookie lub podobnego urządzenia, jeżeli służy ono prawnie dopuszczalnemu celowi”.
W Polsce nie ma skarg
Do polskiego Urzędu Ochrony Danych Osobowych nie skierowano dotąd żadnej skargi, która dotyczyłaby cookie walls. - wyjaśnia Adam Sanocki, p.o. rzecznik prasowy UODO.
Przesądzi praktyka
Stanowisko holenderskiego organu nie musi być przesądzające. Dopiero praktyka i orzecznictwo pokażą, jak interpretować przepisy RODO.– mówi Witold Chomiczewski.
Dodaje, że problem w tym, iż wytyczne dawnej Grupy Roboczej Art. 29 i dotychczasowe wypowiedzi organów nadzorczych są bardziej rygorystyczne. Przez to przetwarzanie związane z plikami cookies śledzącymi użytkownika może nie przejść tzw. testu równowagi. Polega on na porównaniu uzasadnionego interesu administratora z prawami osoby, której dane są przetwarzane, i ocenie, która z tych wartości powinna przeważać.
pointuje ekspert.
