Ochrona danych osobowych w firmie i szkolenia ABI
Ach te ciastka…

Ach te ciastka…

cookies-435296_640

„Niech jedzą ciastka!” tak podobno wskazała rozwiązać problem głodu we Francji królowa Maria Antonina. Teraz z perspektywy Google i Amazona zasadne byłoby powiedzieć „Niech zgadzają się na ciastka”. 10 grudnia 2020 r. to sądny dzień dla dwóch amerykańskich gigantów czyli Google oraz Amazona. Francuski organ nadzorczy – CNIL (Commission Nationale de l’Informatique et des Libertés) po przeprowadzeniu szeregu działań śledczych, w tym online, nałożył odpowiednio 100 mln Euro kary na Google oraz 35 mln Euro na Amazona za… ciasteczka.

O co chodzi z „cookies”

W wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. w sprawie Planet49 (C‑673/17), TSUE orzekł, że zgoda na przechowywanie informacji lub dostęp do informacji za pośrednictwem plików cookie zainstalowanych w urządzeniach końcowych użytkownika strony internetowej nie jest ważna, jeżeli jest ona efektem umieszczenia na stronie domyślnie zaznaczonego okienka wyboru, i to niezależnie od tego, czy owe informacje stanowią dane osobowe.

Trybunał w swoich rozważaniach dot. zgody wskazał, że wymóg „wskazania” woli osoby, której dane dotyczą, wyraźnie sugeruje zachowanie czynne, a nie bierne. Zgoda udzielona za pomocą zaznaczonego domyślnie okienka wyboru nie oznacza jednak czynnego zachowania użytkownika strony internetowej. W ocenie TSUE zgoda użytkownika (na cookies) nie może być dłużej domniemana i musi wynikać z jego czynnego zachowania m.in. jak stanowi art. 4 pkt 11 RODO z wyrażenia woli w formie „wyraźnego aktu potwierdzającego” i którego motyw 32 RODO wyraźnie wyklucza wyrażenie zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania”.

Od 1 października 2019 r. było wiadomo, że zgoda na ciastka musi spełniać odpowiednie kryteria (w zależności też od krajowych przepisów). W Polsce, zgodnie z art. 173 ust. 2 Prawa telekomunikacyjnego, zgoda na instalowanie plików cookies może być wyrażona przez użytkownika za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji samej usługi. We Francji na podstawie art. 82 French Data Protection Act musi być wyraźnie uprzednia.

Kara 35…40…60 mln Euro za co?

CNIL w uzasadnieniu kar dla Google (GOOGLE LLC 60 mln Euro i GOOGLE IRELAND LIMITED 40 mln Euro) oraz Amazona (AMAZON EUROPE CORE) wskazał na naruszenie art. 82 „French Data Protection Act”  naruszenia dotyczyły:

  1. umieszczania plików cookies bez uzyskania uprzedniej zgody użytkownika,
  2. braku udostępnionych użytkownikowi informacji oraz
  3. braku skutecznego działania mechanizmu sprzeciwu.

Google

W przypadku Google, CNIL stwierdził, że w momencie kiedy użytkownik odwiedził stronę google.fr na jego urządzeniu automatycznie umieszczanych było kilka plików cookie używanych do celów reklamowych (czyli nie niezbędnych do korzystania) bez konieczności podejmowania jakichkolwiek działań ze strony Użytkownika, co uznano za niespełniające wymogu uzyskania uprzedniej zgody na umieszczanie plików cookies, które nie są niezbędne do działania serwisu.

CNIL wskazał, że co prawda gdy Użytkownik odwiedził google.fr był wyświetlany baner informacyjny „Przypomnienie o prywatności od Google”, przy którym znajdowały się przyciski: „Przypomnij mi później” i „Uzyskaj dostęp” . Jednak w ocenie CNIL nie zapewniało to Użytkownikowi żadnych informacji dotyczących plików cookies, które zostały umieszczone na jego urządzeniu po wejściu na witrynę. Co więcej, CNIL podniósł, że informacje nie zostały również podane gdy Użytkownik kliknął przycisk „Dostęp teraz”. Wobec tego udostępnione przez Google informacje nie pozwalały użytkownikom na otrzymanie wcześniejszego i wyraźnego poinformowania o zdeponowaniu plików cookie na ich urządzeniu ani tym samym nie pozwalały na uzyskanie informacji o celach oraz wykorzystaniu tych plików cookie.

Dodatkowo, wskazano, że gdy Użytkownik wyłączył personalizację reklamy w wyszukiwarce Google za pomocą mechanizmu dostępnego z „Dostęp teraz”, jeden z reklamowych plików cookie nadal był przechowywany na urządzeniu Użytkownika i czytał informacje skierowane na serwer, do którego jest dołączony – co uznano za wadliwość mechanizmu sprzeciwu.

Uzasadniając wymiar kar (łącznie 100 mln Euro) CNIL podniósł, że praktyki Google dotknęły prawie pięćdziesiąt milionów użytkowników we Francji. Nie bez znaczenia był ekonomiczny aspekt korzyści, które dzięki temu osiągło Google – zyski wynikające z dochodów z reklam generowanych pośrednio z danych gromadzonych przez pliki cookies.

CNIL wskazała również, że od czasu aktualizacji, która miała miejsce we wrześniu 2020 r. Google przestało automatycznie umieszczać reklamowe pliki cookie, umieściło też nowe informacje dot. plików cookies ale… nowy baner informacyjny nadal nie pozwala Użytkownikom zrozumieć, do jakich celów wykorzystywane są pliki cookies oraz nie informuje ich, że mogą odrzucić te pliki cookie. To w konsekwencji spowodowało, że oprócz kar finansowych CNIL nakazała Google w ciągu trzech miesięcy poinformowanie Użytkowników (w przypadku zwłoki kolejna kara 100 tys. Euro dziennie)

Amazon

W przypadku Amazona CNIL zauważyła, że kiedy Użytkownik odwiedził jedną ze stron amazon.fr, pliki cookies używane do celów reklamowych były automatycznie umieszczane na urządzeniu Użytkownika – do czego nie było konieczne podjęcie jakichkolwiek działań ze strony Użytkownika. To uznano za niespełniające wymogu uzyskania uprzedniej zgody na umieszczanie plików cookies, które nie są niezbędne do działania serwisu.

CNIL stwierdziła, że w przypadku Użytkownika odwiedzającego amazon.fr dostarczone informacje dot. plików cookies nie były ani jasne, ani kompletne. Co istotne, CNIL wskazała, że wyświetlany przez Amazona baner informacyjny, który wskazywał, że „Korzystając z tej strony internetowej, akceptujesz używanie przez nas plików cookie, które umożliwiają oferowanie i ulepszanie naszych usług. Czytaj więcej”, zawierał jedynie ogólne i przybliżone informacje dotyczące celów wszystkich umieszczanych plików cookies. W ocenie CNIL tak przedstawione informacje nie dawały Użytkownikowi możliwości zrozumienia, że pliki cookie umieszczone na jego urządzeniu są wykorzystywane głównie do wyświetlania spersonalizowanych reklam. Informacja udostępniona przez Amazona nie wyjaśniała Użytkownikowi, że może odrzucić te pliki cookies oraz jak może to zrobić. Następnie CNIL zauważył, że niewywiązanie się przez Amazona z obowiązku informowania było jeszcze bardziej oczywiste w przypadku Użytkowników, którzy odwiedzili amazon.fr  z przekierowania, tj. po kliknięciu reklamy opublikowanej w innej witrynie jako odnośnik – w tym przypadku na urządzeniu Użytkownika zostały umieszczone te same pliki cookies, ale nie przekazano Użytkownikom żadnych informacji na ten temat.

Karę uzasadniono przede wszystkim powagą i skalą naruszeń. Uwzględniono, że do czasu przeprojektowania amazon.fr we wrześniu 2020 roku Amazon umieszczał pliki cookies na urządzeniach Użytkowników bez podawania im informacji, zgodnie z art. 82 ustawy. CNIL zauważyła też, że niezależnie od tego, jaką ścieżką amazon.fr odwiedzają Użytkownicy, byli oni niedostatecznie poinformowani, albo nigdy nie zostali poinformowani o tym, że na ich urządzeniu znajdują się pliki cookies. CNIL wskazał również na ekonomiczny „zysk” Amazona ze stosowanych mechanizmów – spersonalizowane reklamy, które są możliwe dzięki zastosowaniu plików cookies, pozwalają znacznie zwiększyć widoczność konkretnych produktów. Podobnie jak w przypadku Google, CNIL stwierdziła, że pomimo zmian nowe treści informacyjne dot. plików cookies nie pozwalają Użytkownikom zrozumieć do jakich celów wykorzystywane są pliki cookie oraz dostatecznie jasno nie wskazują, że Użytkownicy mogą odrzucić te pliki cookies.

Co dalej?

Jak widać argumenty dotyczące braku właściwości europejskich organów w starciu z gigantami zza oceanu okazały się na ten moment niezasadne. Google i Amazon we wrześniu zmieniły we Francji podejście dokonując stosownych aktualizacji jednak nadal czeka ich wiele pracy aby usatysfakcjonować CNIL.

Postępowanie CNIL jak najbardziej oddaje rolę organu nadzorczego w kwestii ochrony prywatności Użytkownika, stojąc po stronie jego prywatności oraz chąc ograniczyć możliwości wykorzystania dotyczących Użytkowników informacji w celach osiągania wymiernych korzyści (sprzedaży reklam bądź towarów) bez wcześniejszego uświadomienia Użytkownika.

CNIL jasno stawia sprawę, że jeżeli chcesz umieszczać cookies inne niż niezbędne to:

  1. odbierz zgodę Użytkownika,
  2. uświadom Użytkownika jasno do czego wykorzystujesz dotyczące go dane,
  3. dodatkowo wskaż wyraźnie Użytkownikowi, że ma prawo do tego aby wyrazić sprzeciw wobec takich działań.

i chyba z takim podejściem jak najbardziej należy się zgodzić.

Źródła:

komunikaty CNIL w zakresie kary dla Amazona oraz Google

Marcin Kaleta

Prezes Zarządu