Reklama internetowa – system przepisów prawnych o ochronie danych osobowych i prywatności

Nowe przepisy o ochronie danych osobowych w Unii Europejskiej – RODO i dyrektywa policyjna

Na pakiet normatywny reformujący ochronę danych osobowych w Unii Europejskiej składają się dwa akty prawne:

1. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej określane jako „RODO” lub„Rozporządzenie”) oraz
2. dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW („dyrektywa policyjna”).

Przepisy RODO obowiązują od 25 maja 2018 r. Rozporządzenie ma zasięg ogólny, wiąże w całości co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich, bez potrzeby dokonywania implementacji do przepisów krajowych. Taki charakter przepisów Rozporządzenia związany jest z jednym z podstawowych celów uchwalenia RODO, tj. likwidacji fragmentaryzacji ochrony danych osobowych w poszczególnych państwach Unii Europejskiej i zapewnienia równorzędnego stopnia ochrony na terytorium całej Unii. Przepisy RODOw pełnym zakresie znajdują zastosowanie do podmiotów z branży reklamy internetowej.

Dyrektywa 2016/680 traktowana jest jako uzupełnienie RODO w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. W tym zakresie bowiem RODO wyłącza stosowanie swoich przepisów (tak art. 2 ust. 2 lit. d RODO).

Prawodawca europejski celowo uregulował powyższe kwestie – ze względu na szczególny charakter takich czynności – w akcie prawnym innej rangi, to jest dyrektywie. Dyrektywa bowiem, jako akt prawny zobowiązujący państwa członkowskie do ustanowienia danego porządku prawnego – w przeciwieństwie do rozporządzenia, którego przepisy mają zastosowanie wprost – pozwala na uwzględnienie w przygotowywanych na jej podstawie przepisach odmienności krajowych regulacji w zakresie zapobiegania i zwalczania przestępczości. Przykładem tego rodzaju odmienności w prawie polskim jest chociażby niewystępujące w innych państwach Unii Europejskiej, rozróżnienie czynów karalnych na przestępstwa i wykroczenia. Przepisy Dyrektywy 2016/680 zostały wprowadzone do polskiego porządku prawnego w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125). Weszła ona w życie w dniu 6 maja 2019 r. Z punktu widzenia branży reklamy internetowej jej znaczenie jest marginalne.

Uzupełnienie przepisów RODO na poziomie krajowym – ustawa kompetencyjna iustawa dostosowująca (przepisy sektorowe)

Niezależnie od bezpośredniej stosowalności przepisów RODO, w Rozporządzeniu przewidziano również w pewnym zakresie jego uzupełnienie przepisami krajowymi. W Polsce uzupełnienie tego rodzaju nastąpiło w dwóch aktach prawnych:

1. ustawie z dnia 10 maja 2018 o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000), tzw. „ustawa kompetencyjna”, „uodo”, która weszła w życie w dniu 25 maja 2018 r. oraz
2. ustawie z dnia 21 lutego 2019 o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r., poz. 730), tzw. „ustawa dostosowująca”, która weszła w życie w dniu 4 maja 2019 r. W przypadku branży internetowej najważniejsze zmiany wprowadzono na jej podstawie w ustawie o świadczeniu usług świadczonych drogą elektroniczną oraz ustawie – Prawo Telekomunikacyjne (odpowiednio art. 63 oraz art. 79 ustawy dostosowującej).

Na całość systemu przepisów RODO składają się więc nie tylko przepisy Rozporządzenia, ale również wydanych w związku z nim ustaw krajowych. Ma to istotne znaczenie prawne, ponieważ naruszeniem przepisów Rozporządzenia, skutkującym między innymi możliwością nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych wysokich kar pieniężnych jako sankcji administracyjnych (art. 83 RODO), będzie również naruszenie przepisów ustaw krajowych, doprecyzowujących RODO.

Ustawa kompetencyjna – kompetencje organu, odpowiedzialność cywilna i karna, instrumenty compliance

W ustawie kompetencyjnej znajdują się przede wszystkim te postanowienia, których przyjęcia w przepisach krajowych wymaga RODO. Do najważniejszych z nich zaliczyć należy określenie sposobu wyboru i kompetencji Prezesa Urzędu Ochrony Danych Osobowych (PUODO) jako organu właściwego w sprawach ochrony danych osobowych (art. 34 i n. uodo) oraz zasad prowadzenia postępowań administracyjnych w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 i n. uodo). Wiążą się z nimi bezpośrednio przepisy dotyczące postępowania kontrolnego prowadzonego przez PUODO (art. 78 i n. uodo) oraz przesłanek nakładania przez ten organ administracyjnych kar pieniężnych przewidzianych w RODO (art. 101 uodo).

Nowy organ nadzorczy w zakresie ochrony danych osobowych otrzymał istotnie szerszy katalog kompetencji, w głównej mierze zdeterminowany przepisami RODO. Do najistotniejszych obszarów działań PUODO zaliczyć należy:

• prowadzenie ewidencji inspektorów ochrony danych osobowych powołanych przez administratorów (art. 10 uodo),
• opracowanie kryteriów certyfikacji (art. 16 uodo), o której mowa w 42 RODO, orazprzeprowadzanie certyfikacji (art. 15 ust. 1 uodo),
• prowadzenie elektronicznego systemu umożliwiającego administratorom zgłaszanie naruszeń ochrony danych osobowych na podstawie art. 33 RODO,
• umożliwienie administratorom uprzednich konsultacji w zakresie operacji, co do których ocena skutków wykazała wysokie ryzyko, o czym mowa w art. 36 RODO,
• prowadzenie postępowań kontrolnych przez upoważnionych pracowników Urzędu zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa informacji (art. 78 i 79 ust. 1 uodo),
• prowadzenie postępowań w sprawie naruszenia przepisów o ochronie danych osobowych oraz nakładanie administracyjnych kar pieniężnych na podstawie 83 ust. 2 RODO. Działania w ramach realizacji tego zadania zostały zabezpieczone szeregiem uprawnień dla Prezesa UODO, które mają pomóc w efektywnym podnoszeniu poziomu ochrony danych osobowych (rozdział 7 uodo),
• zatwierdzanie kodeksów postępowań oraz akredytacja podmiotów monitorujących przestrzeganie zatwierdzonych kodeksów, zgodnie z art. 40 RODO (rozdział 5 RODO),
• pełnienie roli organu doradczego i opiniotwórczego w zakresie podnoszenia standardów ochrony danych osobowych, m.in. przez wydawanie rekomendacji.

Odrębne przepisy dotyczą uzupełnienia postanowień RODO odnośnie odpowiedzialności cywilno-prawnej z tytułu naruszenia przepisów o ochronie danych osobowych oraz związanych z tym proceduralnych zagadnień dochodzenia roszczeń przed sądami powszechnymi (art. 92 i n.uodo). W ustawie kompetencyjnej wprowadzono również przepisy karne za bezprawne przetwarzanie danych osobowych oraz za utrudnianie prowadzenia kontroli przez PUODO (art.107-108 uodo).

Nowym, w stosunku do dotychczasowego stanu prawnego, rozwiązaniem przewidzianym w RODO jest możliwość wykazywania przez podmioty przetwarzające dane osobowe zgodności z wymogami Rozporządzenia poprzez stosowanie określonych w nim instrumentów compliance (m.in. kodeks postępowania oraz mechanizmy certyfikacji). W związku z tym w ustawie kompetencyjnej znalazły się przepisy określające warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych („podmiot certyfikujący”), akredytowanego przez Polskie Centrum Akredytacji, oraz trybu dokonywania samej certyfikacji (art. 15 i n. uodo). Podobny charakter mają postanowienia o trybie zatwierdzenia kodeksu postępowania oraz podmiocie monitorującym kodeks postępowania (art. 27 i n. uodo).

Ustawa dostosowująca do RODO – przepisy sektorowe branżyinternetowej

Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO zawiera nowelizacje ponad 160 ustaw. W przypadku branży internetowej najważniejsze zmiany wprowadzono w ustawie o świadczeniu usług drogą elektroniczną („uśude”) oraz ustawie – PrawoTelekomunikacyjne („PT”).

Zmiany w uśude – nowe zasady przetwarzania danych eksploatacyjnych

Zmiany wprowadzone w ustawie o świadczeniu usług drogą elektroniczną w pierwszej kolejności potwierdzają zasadę, że zgoda usługobiorcy powinna być pozyskiwana na takich zasadach, jak to określono w przepisach o ochronie danych osobowych, tj. RODO (art. 4 uśude). Odwołanie to oznacza, iż dla skutecznego pozyskania zgody na przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną konieczne jest w szczególności spełnienie warunków określonych w art. 4 ust. 11, art. 7 oraz art. 8 RODO.

Istotnej zmianie uległ dotychczasowy rozdział IV uśude pt. „Zasady ochrony danychosobowych w związku ze świadczeniem usług drogą elektroniczną” (art. 16-22). Z uwagi na bezpośrednie stoso- wanie RODO uchylono bowiem większość zawartych w nim przepisów, tj. art. 16-17, 19 ust. 1-2 i 4-5 oraz art. 20-22 uśude. Legalność przetwarzania danych osobowych w sytuacjach opisanych w tych przepisach oceniana jest więc obecnie na podstawie właściwych przepisów RODO.

W treści rozdziału IV pozostawiono natomiast dwie kategorie przepisów:

• implementujące dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz
• regulacje nienaruszające RODO i nieobjęte jego treścią.

Do pierwszej grupy przepisów zaliczyć należy art. 18 ust. 4 uśude, który po jego nowelizacji brzmi następująco: „Usługo-dawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badaniarynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługo-biorcy, które nie są niezbędne doświadczenia usługi drogą elektroniczną”.Znowelizowana treść tego przepisu budzi istotne kontrowersje interpretacyjne. Zgodnie bowiem z jego literalną treścią usługodawcy zobowiązani są do pozyskiwania zgody użytkownika (usługobiorcy) na przetwarzanie jego danych osobowych, innych niż niezbędne doświadczenia usług drogą elektroniczną,(np. informacje o odwiedzanych przez nich stronach internetowych). Dotyczy to między innymi sytuacji, gdy dochodzi do przetwarzania tych danych na cele marketingowe czy analityczne. Stanowi to istotną zmianę w stosunku do dotychczasowego stanu prawnego, w którym obowiązek pozyskania takiej zgody aktualizował się dopiero po „zakończeniu korzystania z usługi świadczonej drogą elektroniczną”, a nie w trakcie jej świadczenia (uchylony art. 19 ust. 2 uśude).

Do drugiej grupy przepisów pozostawionych w rozdziale IV uśude zaliczyć należy art. 18 ust. 6 uśude, nakładający na usługodawców obowiązek nieodpłatnego udostępniania danych organom państwa, uprawnionym na podstawie odrębnych przepisów, na potrzeby prowadzonych przez nie postępowań oraz art. 19 ust. 3 uśude, zgodnie z którym „Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych para- metrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie”.

Zmiany w PT – konsekwencje dla korzystania z cookies reklamowych

Z punktu widzenia branży reklamy internetowej, najważniejsze zmiany wprowadzone ustawą dostosowującą w Prawie Telekomunikacyjnym dotyczą przepisów o zgodzie abonenta lub użytkownika. W znowelizowanym PT przyjęto, podobnie jak w uśude, zasadę, że zgoda abonenta lub użytkownika końcowego powinna być pozyskana na takich zasadach, jak to określono w przepisach o ochronie danych osobowych, tj. RODO (art. 174 PT).

Cookies jako dane osobowe

Zmiana wprowadzona w art. 174 PT jest między innymi konsekwencją uznania cookies (ciasteczka) za dane osobowe. Zgodnie bowiem z definicją legalną „danych osobowych” (art. 4 pkt 1 RODO), pojęcie to obejmuje identyfikatory internetowe. Dalszych wskazówek interpretacyjnych w tym względzie należy doszukiwać się w motywie 30 RODO, zgodnie z którym „osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie¹ – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane np. przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”.

W świetle powyższego, na gruncie RODO należy przyjąć, że identyfikatory cookies w zdecydowanej większości przypadków powinny być traktowane jako dane osobowe. Przesądza o tym okoliczność ich przypisania do urządzenia (cookies ID), z czym wiąże się potencjalna możliwość identyfikacji danej osoby fizycznej, względnie możliwość traktowania informacji o tej osobie jako „unikalnej”, nawet jeżeli nie jest możliwa jej bezpośrednia identyfikacja. Tę „unikalność” należy bowiem rozumieć jako możliwość wyodrębnienia informacji o danej osobie. Potwierdza to jednoznacznie motyw 26 RODO, zgodnie z którym: „(…) Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”.

W podsumowaniu powyższego należy stwierdzić, że używanie ciasteczek w celu „śledzenia” aktywności danej osoby w sieci stanowić będzie przetwarzanie danych osobowych, o ile takie „śledzenie” wiązać się będzie z korzystaniem z identyfikatora internetowego, który jest użyty do tworzenia profilu tej osoby. Nie jest przy tym konieczne, aby unikalne cookie ID było łączone z informacjami bezpośrednio identyfikującymi daną osobę (np. jej nazwiskiem, adresem poczty elektronicznej itp.). Kwalifikacji tej nie zmienia również spseudonimizowany charakter informacji zawartych w identyfikatorach, a które to stanowią ciąg liczb lub liter. Na gruncie rozporządzenia 2016/679 informacje tego rodzaju powinny być bowiem również traktowane jako dane osobowe².

Warunki dopuszczalnego korzystania z cookies reklamowych

Zasady korzystania z cookies mających charakter danych osobowych w rozumieniu RODO, określone są w PT. Z punktu widzenia stosowania zasad dopuszczalnego korzystania, ciasteczka należy podzielić na tzw. essential oraz non-essential cookies. Ciasteczka „niezbędne” (essential) to takie, które są konieczne do prawidłowego działania odwiedzanej strony internetowej i jej podstawowych funkcji. Bez nich określona strona internetowa nie mogłaby wypełnić swojego podstawowego zadania. Korzystanie z nich odbywa się na podstawie przepisów prawa (art. 173 ust. 3 pkt 1-2 PT). W przypadku innych ciasteczek (np. cookies reklamowych), legalność ich wykorzystywania wymaga bezpośredniego poinformowania abonenta (użytkownika) o celach i najważniejszych konsekwencjach instalowania i odczytywania informacji zawartych w ciasteczkach, a także uzyskania uprzedniej, a więc jeszcze przed podjęciem tych czynności, zgody na ich dokonanie.

Dla przyjęcia, iż zgody na cookies reklamowe są skutecznie udzielane, w istocie konieczne jest więc łączne spełnienie trzech warunków.

Po pierwsze, zamieszczanie ciasteczek nie może rozpocząć się przed wyrażeniem zgody przez użytkownika. W przypadku stron internetowych, wymóg ten może zostać spełniony m.in. przez stosowanie tzw. „stron pośrednich” (interstitial sites), poprzez które odbywa się zapytanie o wyrażenie zgody. Na stronach tych powinna być zablokowana możliwość instalowania ciasteczek (consent-wall).

Po drugie, użytkownikowi powinny zostać podane uprzednio informacje określone w przepisach RODO oraz PT. W przypadku PT, z uwagi na wyraźne brzmienie art. 173 ust. 1 pkt 1 PT, informacje te powinny zostać przekazane bezpośrednio na stronie internetowej.

Po trzecie, konieczna jest jakaś forma aktywności podmiotu danych (użytkownika). Istotnej wskazówki interpretacyjnej dostarcza nam motyw 32 RODO, w którym wskazano przykłady sytuacji, które stanowią (lub nie) „wyraźne działanie potwierdzające”: „Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”. W świetle treści motywu 32 RODO nie budzi wątpliwości, że samo kontynuowanie zwykłego korzystania ze strony internetowej nie jest zachowaniem, na podstawie którego można wywnioskować złożenie przez osobę, której dane dotyczą, oświadczenia woli polegającego na wyrażeniu zgody na proponowaną operację przetwarzania³. Działanie takie musi mieć bowiem inną, „aktywną” formę. Przykładem może być naciśnięcie przycisku „przejście do serwisu”⁴.

W kontekście powyżej określonego znaczenia zgody należy jeszcze ocenić skuteczność – na gruncie rozporządzenia 2016/679 – pozyskiwania zgody w sposób określony w art. 173 ust. 2 PT. Zgodnie z tym przepisem, „Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”. Podnoszony w praktyce problem dotyczy oceny, czy taki zapis nie stoi w sprzeczności z motywem 32 RODO, który pasywne działanie zakazuje traktować jako wyrażenie zgody. Chodzi tu w szczególności o sytuację, gdy domyślne ustawienie przeglądarki pozwala na automatyczną akceptację ciasteczek. Wydaje się jednak, że sytuacja taka „sama przez się” nie przekreśla możliwości zebrania ważnej zgody w ten sposób, o ile tylko zostaną spełnione wyżej określone warunki, tzn. instalacja cookies nie następuje przed wyrażeniem zgody (o której użytkownik został poinformowany), a akceptacja użytkownika ma formę wyraźnego działania potwierdzającego (np. kliknięcia określonego przycisku na stronie internetowej). Okoliczność, że użytkownik nie dokonał równocześnie zmian ustawień przeglądarki, jest wówczas bez znaczenia, w powyższym kontekście niedokonanie tej zmiany nie jest bowiem traktowane jako wyrażenie zgody, o jej skutecznym udzieleniu przesądzają bowiem inne elementy.                                                                                                                                                          

Xawery Konarski adwokat, Traple Konarski Podrecki i Wspólnicy

¹ Motyw 30 RODO jest jedynym miejscem w rozporządzeniu 2016/679, w którym następuje bezpośrednie odwołanie się do ciasteczek.
² Motyw 26 RODO.
³ Wytyczne Grupy Roboczej w sprawie zgody, s. 18.
⁴ W Wytycznych dotyczących zgody podano jeszcze inne przykłady aktywnej zgody w środowisku „cyfrowym” – m.in. „Przesunięcie paska na ekranie, machnięcie przed inteligentną kamerą, obrócenie smartfona zgodnie z ruchem wskazówek zegara lub zakreślenie ósemki”, Wytyczne Grupy Roboczej w sprawie zgody, s. 19.