Często okienka na stronach internetowych z ustawieniami cookies/danych osobowych zawierają obszerną listę celów przetwarzania danych, i każdy z nich jest opatrzony dwoma suwakami: „zgoda” oraz „uzasadniony interes”. Jaki one mają sens z prawnego punktu widzenia?
Jeżeli nie masz pewności, co faktycznie zmieniają te suwaki – pocieszamy, iż my również nie wiemy. Informacje w okienkach na stronach są bowiem sformułowane w sposób skomplikowany i nieczytelny.
Właściwie jedyny sposób, aby się przekonać, jak działają te suwaki, to odpalić wtyczkę typu Rentgen i następnie wczytać stronę po kilka razy, z różnymi kombinacjami ustawień zgód i uzasadnionych interesów. Sam interfejs jest niejasny – zarówno dla Kuby i Arka, od strony technicznej, a także dla Agnieszki, od strony prawnej.
ICD Express: Odcinek #3
Ten sam temat poruszamy w nowej serii ICD Express, którego możecie posłuchać tutaj:
Czym jest Uzasadniony Interes z prawnego punktu widzenia?
Na początek warto zapoznać się z materiałem z poprzedniego odcinka ICD Express, w którym Agnieszka opisuje, czym jest Uzasadniony Interes z prawnego punktu widzenia.
Następnie musimy zaznaczyć, iż w trakcie rozgryzania tematu podwójnych suwaków od Uzasadnionego Interesu i zgody, musimy mieć na uwadze nie tylko RODO, ale także Ustawę Prawo Telekomunikacyjne. Wedle tej ustawy administrator strony musi pozyskać zgodę użytkownika na dostęp do cookiesów, które nie są konieczne do działania strony (art. 173. Ustawy Prawo Telekomunikacyjne). O ile zgoda ta jest odrębna od zgody na mocy RODO, o tyle nie trzeba pytać o zgodę dwa razy (osobno dla RODO i osobno dla Prawa Telekomunikacyjnego). Wystarczy, iż użytkownik raz wyrazi zgodę na stosowanie określonego rodzaju cookies, które wiąże się z przetwarzaniem danych osobowych. To jest wystarczające, aby uznać, iż wyraził też zgodę na przetwarzanie danych osobowych. Zgodnie z RODO zgoda może być wyrażona nie tylko przez wyraźne oświadczenie, ale tez przez wyraźne działanie potwierdzające – w tym przypadku poprzez akceptację cookies, które wiążą się z przetwarzaniem danych osobowych.
Podstawa przetwarzania danych dzięki Uzasadnionego Interesu
Gdy podstawą prawną przetwarzania danych w kontekście RODO jest nie zgoda, ale Uzasadniony Interes (jest to bowiem możliwe), to użytkownikowi przysługuje prawo do zgłoszenia sprzeciwu wobec przetwarzania jego danych w określonym celu. przez cały czas jednak wymagana jest zgoda na stosowanie cookies innych niż niezbędne, które wiążą się z przetwarzaniem danych osobowych na podstawie Uzasadnionego Interesu. Niektórzy administratorzy stron twierdzą, iż przesunięcie suwaka „uzasadniony interes” do pozycji wyłączonej jest traktowane jako właśnie wyrażenie takiego sprzeciwu. Rodzi to jednak kilka problemów:
- Gdy suwak jest podpisany jako „Uzasadniony Interes”, to zdaje się sugerować użytkownikowi, iż to od niego zależy, czy administrator będzie miał uzasadniony interes przetwarzania jego danych osobowych w danym celu, czy nie. To jest jednak złudne, gdyż istnienie uzasadnionego interesu nie zależy od decyzji użytkownika.
- Gdy administrator zdecyduje się dla jednego celu zastosować dwa suwaki, osobny od zgody, i osobny od uzasadnionego interesu, tworzy to bezsensowną sytuację, w której użytkownik wyraża jednocześnie aktywną zgodę (tu powstaje pytanie: czy jest to zgoda na podstawie RODO, czy na podstawie Prawa Telekomunikacyjnego -- nie wynika to bowiem wprost z informacji publikowanych w okienkach) oraz aktywny sprzeciw wobec przetwarzania jego danych w określonym celu.
Kilka naszych porad dla administratorów
Nasze porady dla administratorów projektujących okienka ze zgodami na swojej stronie internetowej są następujące:
- Jeżeli dany proces przetwarzania danych jest bezwzględnie konieczny do działania strony (np. obsługa logowania, zabezpieczenia przed oszustwami), nie musisz pytać o zgodę użytkownika – choćby o ile korzystasz z cookiesów.
- Wybierz jedną podstawę prawną do realizacji każdego z celów przetwarzania danych osobowych.
- Jeżeli dany cel wymaga użycia cookiesów innych niż niezbędne, to musisz pytać o zgodę użytkownika na stosowanie cookiesów (zgodnie z Prawem Telekomunikacyjnym) – choćby o ile podstawą prawną przetwarzania danych osobowych wg RODO dla tego celu nie jest zgoda, tylko Uzasadniony Interes.
- Jeżeli podstawą prawną wg RODO dla przetwarzania danych osobowych w określonym celu jest Uzasadniony Interes i tego celu nie da rady realizować bez cookies, to wystarczy raz spytać o zgodę, dzięki jednego suwaka, który jest domyślnie w pozycji wyłączonej. o ile użytkownik wyrazi za jego pomocą zgodę, to możesz traktować ten fakt jako zgodę na mocy Prawa Telekomunikacyjnego oraz brak sprzeciwu w znaczeniu RODO. o ile użytkownik odmówi zgody, lub w ogóle nie kliknie suwaka, powinien on pozostać w pozycji wyłączonej i możesz to traktować jako brak zgody w znaczeniu Prawa Telekomunikacyjnego oraz jako sprzeciw w znaczeniu RODO.