Zgoda na przetwarzanie danych osobowych i profilowanie. Uwagi na tle wyroku Trybunału Sprawiedliwości UE z dnia 1 października 2019 r. w sprawie C-673/17
DOI:
https://doi.org/10.26485/SPE/2021/121/5Słowa kluczowe:
zgoda na przetwarzanie, pliki cookieAbstrakt
Przedmiot badań: Przedmiotem badania jest wyrok TSUE z dnia 1 października 2019 r. w sprawie C-673/17 (Planet 49). W niniejszym artykule przedstawiona została analiza problemu przetwarzania danych osobowych w zakresie obowiązków informacyjnych i warunków udzielenia zgody, wymaganych przez RODO, w sytuacji przetwarzania danych osobowych przez informatyczne narzędzia zbierania danych, które wywierają wpływ na sferę prywatności użytkownika sieci łączności elektronicznej jako informacje, w tym dane osobowe przechowywane w urządzeniach końcowych, służące zdalnej identyfikacji i śledzeniu użytkowników końcowych.1
Cel badawczy: Celem badawczym artykułu jest ocena rozwiązań prawnych dotyczących obowiązków stosowania plików cookies jako jednej z technologii, która przechowuje informacje na urządzeniach użytkowników końcowych lub uzyskuje do tych informacji dostęp. W aktualnym stanie prawnym brak jest legalnej definicji plików cookie nie tylko ze względu na to, że nie jest to jedyna technologia, pozwalająca na zbieranie informacji z urządzeń końcowych, ale także z uwagi na różne źródła pochodzenia plików cookie i ich funkcje (np. cookie analityczne, marketingowe, związane z bezpieczeństwem). Pliki cookie instalowane na urządzeniu końcowym użytkownika mogą zawierać numer przypisany do danych rejestracyjnych użytkownika. Oznacza to, że skojarzenie takiego numeru z danymi osobowymi użytkownika powoduje personalizację danych przechowywanych przez pliki cookie, wobec czego zbieranie danych za pomocą tych plików może być przetwarzaniem danych osobowych. Jedną z form zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej jest profilowanie. Przetwarzanie danych osobowych uwarunkowane jest zaistnieniem przesłanek dopuszczalności przetwarzania danych wskazanych w art. 6 i 9 RODO, wśród których znajduje się zgoda podmiotu danych. Zgoda jako jedna z niezależnych podstaw przetwarzania danych osobowych ma na celu zagwarantowanie autonomii informacyjnej podmiotu danych w sytuacji, gdy to właśnie od jego decyzji zależy możliwość przetwarzania danych. Dla zakwalifikowania danego działania lub oświadczenia jako wyrażenie zgody konieczne jest kumulatywne wystąpienie jej elementów konstrukcyjnych, wymienionych w art. 7 RODO, których spełnienie konieczne jest także w warunkach wyrażania oświadczeń on-line.
Metoda badawcza: Stosując metodę prawno-porównawczą, przeprowadzona została analiza obowiązujących przepisów z uwzględnieniem tego, że Trybunał w Luksemburgu w wyroku z 1 października 2019 r. w sprawie C-673/17 (Planet 49) wypowiedział się na temat zgody na zamieszczenie plików cookie o funkcji marketingowej oraz zakresu informacji, jakich należy udzielić przy pozyskiwaniu takiej zgody.
Wnioski: Zamieszczenie plików cookies o treści marketingowej wymaga zgody, spełnienia warunków jej pozyskiwania oraz zachowania standardów informacyjnych zgodnych z RODO.
Liczba pobrań
Bibliografia
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), Dz.U.UE.L.2016.119.1.
Dyrektywa Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotycząca prze¬twarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U.UE L.201.P.0037-0047).
Dyrektywa Parlamentu Europejskiego i Rady 2013/37/UE z dnia 26 czerwca 2013 r. zmienia¬jąca dyrektywę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U.UE.L.2013.175.1).
Dyrektywa Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. zmieniająca dyrekty¬wę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U.UE.L.2003.345.90 ze zm.).
Dyrektywa Parlamentu Europejskiego i Rady z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego.
Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz.U., poz. 1641).
Barta P., Kawecki M., komentarz do art. 4 pkt 4, w: P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swo¬bodnym przepływem takich danych. Komentarz, C.H. BECK, Warszawa 2018, s. 205–207.
Brzozowska M., Ochrona danych osobowych w sieci, PRESSCOM, Wrocław 2012, s. 37.
Ciechomska M., Prawne aspekty profilowania oraz podejmowania zautomatyzowanych decyzji w ogólnym rozporządzeniu o ochronie danych osobowych, Europejski Przegląd Sądowy, maj 2017 r., s. 37–42.
Fischer B., Piskorz-Ryń A., Sakowska-Baryła M., Wyporska-Frankiewicz J., Ustawa o ponow¬nym wykorzystywaniu informacji sektora publicznego. Komentarz, Lex, Warszawa 2019, ko¬mentarz do art. 7, s. 220–273.
Franke M., Pytania wokół wyroku w sprawie cookies, ABI Expert 2020/1, s. 16–19.
Kaczorowski M., Przetwarzanie danych osobowych w działaniach marketingowych prowadzo¬nych on-line, Aktualne Problemy Prawnej Ochrony Danych Osobowych 2014, w: G. Sibiga (red.), dodatek do Monitora Prawniczego 2014/9, s. 34–37.
Leja P., Ochrona danych osobowych a Internet rzeczy, profilowanie i repersonalizacja danych, Prawo Mediów Elektronicznych 2017/3, s. 10–16.
Mednis A., Prawo ochrony danych osobowych wobec profilowania osób fizycznych, Wydawnic¬two Presscom, Wrocław 2019, s. 61.
Nerka A., komentarz do art. 4 pkt 11, w: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Legalis, Warszawa 2018, s. 115–121.
Nowe ramy ochrony danych osobowych w Unii Europejskiej jako wyzwanie dla polskiego sądow¬nictwa, Krajowa Rada Sądownictwa 2013/1, s. 21.
Opinia 15/2011 Grupy Roboczej Art.29 w sprawie definicji zgody (WP 187).
Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej, pkt 2.3, (WP…).
Rekomendacja Rady Europy CM/Rec (2010) 13 w sprawie ochrony osób w związku z automa¬tycznym przetwarzaniem danych osobowych podczas tworzenia profili.
Szymielewicz K., Walkowiak A., Autonomia informacyjna w kontekście usług internetowych: o znaczeniu zgody na przetwarzanie danych i ryzykach związanych z profilowaniem (doda¬tek do Monitora Prawniczego 2014/9, s. 29–33.
Wiewiórowski W.R., Ochrona prywatności jako ograniczenie prawa do ponownego przetwarza¬nia informacji publicznej, Gdańskie Studia Prawnicze 2014/XXXI, s. 146–147.
Wiewiórowski W.R., Personal Profiling Based on Generally Accessible Data, International Jour¬nal on Information Technology and Security 2012/3, s. 31–46.
Wiewiórowski W.R., Profilowanie osób na podstawie ogólnodostępnych danych, w: A. Mednis (red.), Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym, Wy¬dawnictwo Stow. Absolwentów WPiA UW, Warszawa 2013, s. 25–27.
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pl.pdf; stan na 3.08.2020 r.
http://www.coe.int/t/dghl/standardsetting/cdcj/CDCJ%20Recommendations/CMRec%282010% 2913E_Profiling.pdf; stan na 3.08.2020 r.
http://www.polityka.pl/tygodnikpolityka/ludzieistyle/1603593,1,za-prywatnosc-w-internecie¬-trzeba-placic.read; stan na 3.08.2020 r.
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52017PC0010; stan na 3.08.2020 r.
https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.ht¬ml?nn=10690868; stan na 29.05.2020 r.
https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi stan na 29.05.2020 r.
