28312
post-template-default,single,single-post,postid-28312,single-format-standard,theme-stockholm,cookies-not-set,stockholm-core-1.1,woocommerce-no-js,select-child-theme-ver-5.1.8.1573676579,select-theme-ver-5.1.8,ajax_fade,page_not_loaded,menu-animation-underline,popup-menu-fade,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Cookies a dane osobowe, czyli trochę o problematyce współadministrowania danymi

Konia z rzędem temu, kto nie zna tego momentu, gdy chwilę wcześniej rozmawiając ze znajomym przez telefon o zakupie nowej patelni, po zakończeniu konwersacji podczas scrollowania stron www nagle pojawiła się reklama, oczywiście… patelni. Zakupy online to zaledwie wierzchołek góry lodowej zagadnienia, o którym wszyscy wiedzą, lecz nie każdy zdaje sobie sprawę z jego powagi i znaczenia, czyli kwestii śledzenia użytkowników w sieci za pomocą różnego rodzaju narzędzi, a następnie współadministrowania ich danymi. Jakiś czas temu pisaliśmy o urządzeniach codziennego użytku podłączonych do Internetu, zbierających o nas dane: czytnikach e-booków, termostatach, czujnikach gazu, szczoteczkach do zębów czy autonomicznych odkurzaczach. W dzisiejszym wpisie postaramy się odsłonić kilka tajników innego rodzaju śledzenia naszej aktywności w Internecie – plików cookies z perspektywy RODO.

Techniki i gromadzone dane

W odniesieniu do urządzeń mobilnych, gromadzenie określonych danych pozwala administratorowi na stworzenie profilu użytkownika obejmującego m.in. jego przyzwyczajenia, sposób spędzania wolnego czasu, tryb życia, cechy osobowości czy zachowania w sieci, co niekiedy może stanowić również dane wrażliwe. Uzyskanie takich informacji jest możliwe dzięki pozyskaniu adresu IP użytkownika, czasu dostępu, jaki spędził na danej stronie, rodzaju oprogramowania czy lokalizacji urządzenia.

Wśród najczęściej stosowanych narzędzi i technik śledzenia użytkowników aplikacji mobilnych można wyróżnić przykładowo: dark patterns, behawioralne targetowanie reklam czy real-time bidding.

 

Dark patterns to elementy interfejsów w aplikacjach. Poprzez specjalnie zaprojektowany wizualnie layout, mają one na celu skłonienie użytkownika do kliknięcia „wybranej” opcji, która jest przede wszystkim korzystna dla podmiotu na tym zarabiającego. Użytkownika mogą zachęcić kolory, kształty czy układ zawartości danej aplikacji. Przykładem może być chociażby wielki, kolorowy przycisk, za pomocą którego wyraża się zgodę na śledzenie, co prowadzi do automatycznego pobierania danych. Aby dowiedzieć się, jakie dane konkretnie są pobierane przez aplikację, konieczne jest przejrzenie polityki prywatności. Wśród informacji tych najczęściej znajdują się: kalendarz, historia przeglądarki, kontakty czy aktywne aplikacje zainstalowane na urządzeniu. Natomiast dzięki dostępowi m.in. do GPS, historii adresów IP oraz zapamiętanych sieci wi-fii, adresu zapamiętanego w przeglądarce czy aplikacji, inne aplikacje są w stanie namierzyć naszą lokalizację i sugerować oferty z nią powiązane, takie jak np. usługi hotelarskie lub gastronomiczne.

 

Przez behawioralne targetowanie reklam należy rozumieć automatyczne sugerowanie propozycji sklepów posiadających interesujący nas produkt w swojej ofercie. Jest to możliwe m.in. wtedy, gdy dana osoba odwiedzi pewną stronę, przez co bez swojej świadomości zapisze się na liście użytkowników zainteresowanych otrzymywaniem ofert tego rodzaju lub ofert konkretnego sklepu. Współcześnie, wbrew pozorom najbardziej liczą się nie tyle same wyświetlenia reklamy, co przede wszystkim kliknięcia w nią, następnie zaś – najlepiej-  zakup produktu. Przy okazji zbierane są też dane kontaktowe, co pozwala na kierowanie reklam do większej grupy zainteresowanych odbiorców. Jednocześnie wielu internautów nie wie, z czym dokładnie wiąże się pozyskiwanie tego rodzaju danych przez administratorów stron.

 

Real-time bidding (RTB) jest natomiast modelem reklamy internetowej związanym z prowadzeniem aukcji w czasie rzeczywistym. W chwili wejścia użytkownika na określoną stronę internetową, wydawca  (operator strony), poprzez kod umieszczony na tej stronie zaprasza reklamodawców do licytowania usługi wyświetlenia konsumentowi reklamy. Reklamodawca może podjąć decyzję w oparciu o spełnianie przez użytkownika określonych kryteriów grupy docelowej, którą wcześniej zdefiniował pod kątem np. cech demograficznych czy zainteresowań. Podczas aukcji w czasie rzeczywistym system  automatycznie wybiera podmiot, który oferuje najwyższą stawkę, a cały proces odbywa się bardzo szybko. Wykorzystywana w RTB technologia przekazuje informacje m.in. o rodzaju używanego przez użytkownika urządzenia czy przeglądarce, ale nie tylko. W następstwie dokonania określonej czynności, np. wejścia na stronę reklamodawcy, konsument zostaje oznaczony, z związku z czym wiadomo, czy w po kontakcie z reklamą dokonany został zakup, jak również możliwe jest stosowanie później tzw. remarketingu. Taki model cyfrowego zakupu mediów pozwala reklamodawcom precyzyjnie docierać z przekazem do grypy docelowej; zleceniodawca płaci za poszczególne odsłony skierowane do zdefiniowanych użytkowników, a nie za powierzchnię reklamową samą w sobie.

 

Problem „ciasteczek”

Na przestrzeni ostatnich lat, co jakiś czas odżywa spór o to, czy pliki cookies, znane wszystkim bardzo dobrze „ciasteczka”, należy uznać za dane osobowe, czy nie. Rozstrzygnięcie tego problemu ma niebagatelne znaczenie dla praktyki, co pokazała dobitnie chociażby niedawna sprawa spółki iSecure, która otrzymała upomnienie od Prezesa UODO w związku z rzekomo nieprawidłowym przetwarzaniem danych jej klientów. Spółka pobierała na swojej stronie internetowej zgodę użytkowników na wykorzystanie plików cookies przez ustawienia przeglądarki internetowej na końcowym urządzeniu użytkownika, przez co, o ile sam nie zmienił on jej ustawień, zgoda pobierana była niejako w sposób bierny, automatyczny. Prezes UODO stwierdził w swojej decyzji, że użytkownik, wyrażając zgodę, powinien działać aktywnie, a sama zgoda musi mieć charakter wyraźny, nie dorozumiany.[1] Powołał się przy tym na wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r., sygn. C-673/17 w sprawie Planet49, w którym stwierdzono, że „wymagana od użytkownika witryny internetowej zgoda na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru” oraz że „Udział w loterii internetowej i udzielenie zgody na instalowanie plików cookie nie mogą stanowić części tego samego aktu, bo użytkownik nie jest w stanie dobrowolnie wyrazić odrębnej zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w jego urządzeniu końcowym. Trybunał podkreślił, że zgoda musi być konkretna, wobec czego okoliczność, że dany użytkownik aktywował przycisk uczestnictwa w loterii promocyjnej, nie jest wystarczająca do uznania, że skutecznie wyraził on zgodę na zainstalowanie plików cookie”.[2]

 

Największym problemem tak dla ustawodawstwa polskiego, jak i unijnego jest brak całościowych regulacji prawnych odnoszących się do współczesnej problematyki związanej z cookies, prywatnością i komunikacją. Wciąż bowiem czekamy zarówno na rozporządzenie w sprawie prywatności i łączności elektronicznej (tzw. „ePrivacy” lub „RODO II”) oraz na wdrożenie przepisów zastępujących dotychczasowe „Prawo telekomunikacyjne”, czyli na ustawę Prawo Komunikacji Elektronicznej. Ujrzeniu światła dziennego przez te dokumenty o zasadniczej wadze z pewnością nie pomogła ani pandemia, ani wrażliwa materia, którą regulują. Niemniej wdrożenie ich powinno być kwestią czasu, gdyż z powagą omawianej materii idzie zarazem jej ogromne znaczenie dla codziennego życia internautów oraz dla praktyki internetowych przedsiębiorców, w tym administratorów danych osobowych.

 

Jednakże zgodnie z art. 173 ust. 2 ustawy Prawo telekomunikacyjne: „Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”. Oznacza to w praktyce, że działanie spółki iSecure mieściło się w granicach prawa, jeśli dotyczyło zgody na instalowanie plików cookies, a nie zgody na przetwarzanie danych osobowych. Jednocześnie w takim przypadku do stwierdzenia niezgodności działań spółki w takim przypadku właściwym organem byłby Prezes Urzędu Komunikacji Elektronicznej, a nie Prezes UODO. Do podobnych wniosków musiał dojść Wojewódzki Sąd Administracyjny w Warszawie, w dniu 11 lipca 2022 r. uchylając decyzję Prezesa UODO. Zarazem oznacza to, że nie każdy plik cookies będzie mieścił się w zakresie pojęcia „dane osobowe”.[3] Przykładowo sam adres IP w niektórych przypadkach będzie stanowił dane osobowe (gdy na dłuższy czas lub na stałe adres IP przypisano do konkretnego urządzenia należącego do konkretnego użytkownika), zaś w innych niekoniecznie (gdy jednoznaczne przypisanie tego adresu do zidentyfikowanej i konkretnej osoby nie jest możliwe).[4]

 

Oprócz adresu IP, na którego podstawie możliwe jest z dużym prawdopodobieństwem zidentyfikowanie danej osoby fizycznej, podobne cechy przypisuje się wskazanym w motywie 30 RODO identyfikatorom takim jak: identyfikatory plików cookie – generowanym przez  urządzenia, aplikacje, narzędzia i protokoły, czy też identyfikatorom generowanym na przykład przez etykiety RFID. Ustalenie jakimi danymi osobowymi faktycznie posługuje się administrator jest ważne z punktu widzenia bezpieczeństwa danych, możliwych “wycieków”.

 

Współadministratorzy

Należy pamiętać, że jeśli identyfikator zostanie uznany za dane osobowe, odpowiedzialność za ich prawidłowe przetwarzanie spoczywa na administratorze. Na podstawie art. 4 pkt 7) RODO można uznać, że administrator jest osobą fizyczną lub prawną, organem publicznym, bądź inną jednostką lub podmiotem, który samodzielnie lub wspólnie z innymi administratorami ustala cele i sposoby przetwarzania danych osobowych. Natomiast podmiotem przetwarzającym (procesorem), zgodnie z art. 28 RODO, jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora i zgodnie z jego zaleceniami. W przypadku uznania plików cookies za dane osobowe niepewności dostarcza jednoznaczne zakwalifikowanie danego podmiotu odpowiednio jako administratora lub jako procesora. Kiedy w konkretnym przypadku pojawia się bardzo duża liczba podmiotów, problematyczne jest także przejrzyste i zwięzłe realizowanie obowiązku informacyjnego. Dodatkowo różnica między oboma podmiotami rozmywa się chociażby w przypadku korzystania z technologii oferowanych przez „gigantów” rynku usług cyfrowych, takich jak np. Facebook, którzy wykorzystują zebrane dane osobowe we własnym celu, ale również udostępniają je w różnym zakresie innym podmiotom.[5]  Transfer danych za granicę nadal budzi sporo wątpliwości, np. o  transferze danych do Wielkiej Brytanii pisaliśmy przy okazji Brexit.

 

Zgodnie z art. 26 RODO:

  1.  Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.
  2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.
  3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

 

W świetle powyższego zwarto zastanowić się zatem, czy podmioty, których współpraca opiera się chociażby na pozyskiwaniu danych przez jeden podmiot w zamian za korzystanie przez niego z konkretnych funkcjonalności na portalu drugiego podmiotu (np. fanpage na Facebooku), któremu przekazano owe dane, nosi znamiona „współadministrowania”. Jedno jest pewne – dużo zależy od konkretnego przypadku i podmioty te w różnym stopniu, razem bądź osobno, mogą decydować o przetwarzaniu danych. Warto zaznaczyć, że RODO nie rozstrzyga, by współadministratorzy musieli w równym stopniu określać cele i sposoby przetwarzania. Jednakże wydaje się, że rola wszystkich podmiotów musi być więcej, aniżeli tylko marginalna. Dodatkowo, aby zostać uznanym za współadministratorów, podmiotami powinna kierować tożsamość celów oraz określone współdziałanie.

 

Rola operatora witryny internetowej będzie różnić się w sytuacji, gdy przetwarza on własne pliki cookies (wówczas mamy do czynienia z tzw. first party cookies, a operator taki jako administrator z reguły samodzielnie decyduje o celach i sposobach przetwarzania danych użytkowników), inaczej zaś będzie wyglądać to w odniesieniu do tzw. third party cookies (cudzych plików cookies). Dobrze widać to na przykładzie znanej niemal wszystkim wtyczki „Lubię to”, gdzie administratorem danych osobowych jest w pierwszej kolejności podmiot, który udostępnia daną technologię pozwalającą mu na pozyskanie dodatkowych danych, zaś operator witryny internetowej (np. właściciel fanpage’a) nie zna wszystkich celów i sposobów przetwarzania danych przez Facebook, a jego rola ogranicza się w zasadzie jedynie do wyboru narzędzia. Nie jest to jednak tak jednoznaczne – czasem właściciel fanpage’a, mimo ograniczonych możliwości, może decydować o celach i sposobach przetwarzania danych, a także wpływać na ich przetwarzanie przez Facebook.[6]

 

Stąd ważne, by zdawać sobie sprawę z tego, kto w rzeczywistości jest administratorem (lub współadministratorem) naszych danych. Pobierane przez nich różnego rodzaju identyfikatory to nie tylko sposób na podsunięcie nam pod nos idealnej patelni, o której nawet nie wiedzieliśmy, że szukaliśmy, ale również kopalnia wiedzy na temat naszych miejsc zamieszkania, spędzania czasu wolnego, czy przekonań. Z jednej strony nic nie powinno dziać się bez naszej zgody, z drugiej – czasem ze względu na zawiłość klauzul przy wielopodmiotowości po stronie administratorów nie jest pewne, w jakim zakresie właściwie udziela się takiej zgody. To także ważne dla samych administratorów ze względu na ich odpowiedzialność w zakresie przetwarzania danych (pisaliśmy niedawno o kontrolach o świcie które mogą dotyczyć także danych osobowych). Jeśli potrzebujesz pomocy w interpretacji zagadnień związanych z ochroną danych osobowych skontaktuj się z nami!

[1] R. Krupa-Dąbrowska, Ważny wyrok WSA – nie każde cookies jest zaraz daną osobową, artykuł dla serwisu Prawo.pl z dn. 15.07.2022, online: https://www.prawo.pl/?_ga=2.242450434.1867894476.1659005821-1328443555.1646139000 [dostęp: 28.07.2022 r.].
[2] J. Ojczyk, Zgoda internautów na pliki cookies musi być wyraźna. Omówienie wyroku TS z dnia 1 października 2019 r., C-673/17 (Planet49), LEX/el. 2019.
[3] R. Krupa-Dąbrowska, Ważny…
[4] https://archiwum.giodo.gov.pl/pl/319/2258 [dostęp: 28.07.22 r.].
[5] Zob. J. Byrski, H. Hosner, Social media i technologie umożliwiające śledzenie użytkowników a współadministrowanie danymi osobowymi, online: https://iuscase.pl/social-media-itechnologie-umozliwiajace-sledzenie-uzytkownikow-a-wspoladministrowanie-danymi-osobowymi/ [dostęp: 29.07.2022 r.].
[6] Zob. Ibidem.

 

Photo by Slashio Photography on Unsplash

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂

Bądźmy w kontakcie

Podaj nam swoje imię i adres mailowy, jeśli chcesz otrzymywać wiadomości na temat nowych publikacji na naszych blogach o praktycznych aspektach własności intelektualnej (IP), ciekawych wydarzeniach, nowych usługach, wzorach, e-bookach czy narzędziach do zarządzania IP, warsztatach, szkoleniach i spotkaniach tematycznych.

Wyrażam zgodę na przesyłanie mi informacji handlowych na podany przeze mnie adres, przez Lewandowski Gradek Lewandowska sp.p. radców prawnych z siedzibą w Warszawie, ul. Mokotowska 41/2B NIP: 7010438256

Pod linkiem https://lgl-iplaw.pl/polityka-prywatnosci/ znajdziesz informacje na temat przetwarzania danych osobowych.

Julia Szcześniak

julia.szczesniak@lgl-iplaw.pl

Studentka IV roku prawa na Uniwersytecie Warszawskim. Obecnie Wiceprezeska Koła Naukowego Własności Intelektualnej „IP”.