CNIL nakłada na Yahoo grzywnę za naruszenie w plikach cookie

Francuski organ ochrony danych (CNIL) nałożył na Yahoo karę w wysokości 10 milionów euro za naruszenie francuskiej ustawy o przetwarzaniu danych. Yahoo nie szanowało wyborów użytkowników dot. plików cookie i instalowało je bez zgody. CNIL uznał, że użytkownicy nie mogli swobodnie wycofać zgody na pliki cookie, co stanowiło naruszenie przepisów o ochronie danych osobowych. Decyzja CNIL może stanowić ostrzeżenie dla firm technologicznych, które nie respektują wymogów dotyczących plików cookies i zgody na ich przechowywanie.

Tematyka: CNIL, Yahoo, pliki cookie, naruszenie, ochrona danych osobowych, zgoda, przetwarzanie danych, kara, RODO, dark patterns

Francuski organ ochrony danych (CNIL) opublikował decyzję, w której na skutek wielokrotnie zgłaszanych
przez indywidualnych użytkowników serwisu Yahoo Emea Limited (Yahoo) skarg, nałożył na ten podmiot
karę w wysokości 10 000 000 euro, za naruszenie francuskiej ustawy o przetwarzaniu danych, plikach danych
i wolnościach jednostki. Powodem otrzymanej przez Yahoo kary było nieprzestrzeganie wymogów
dotyczących plików cookie, bowiem spółka nie szanowała wyborów użytkowników, którzy nie wyrazili zgody
na ich przechowywanie i co ważne, wbrew ich woli instalowała pliki o charakterze marketingowym. Ponadto,
jak wynika ze stanu fatycznego sprawy, Yahoo nie umożliwiało użytkownikom komunikatora „Yahoo Mail”
swobodnego wycofania zgody na pliki cookie pod pretekstem zablokowania dostępu do świadczonych
usług.
Stan faktyczny i ustalenia
Yahoo oferuje wiele usług internetowych, takich jak wyszukiwarka czy poczta elektroniczna „Yahoo Mail”. Do CNIL
wpłynęło blisko 30 skarg informujących o nieuwzględnieniu przez spółkę decyzji użytkowników o odrzuceniu plików
cookies oraz o przeszkodach napotkanych przy wycofaniu zgody na dalsze ich przechowywanie w systemie.
W październiku 2020 r. i czerwcu 2021 r. francuski organ ochrony danych osobowych zdecydował się na
przeprowadzenie wieloetapowej kontroli strony internetowej Yahoo.com i oferowanej usługi przesyłania wiadomości
za pomocą poczty elektronicznej. Na podstawie dokonanych ustaleń CNIL uznał, iż Yahoo nie wypełniła obowiązków
przewidzianych we francuskiej ustawie o ochronie danych osobowych (art. 82) - w myśl którego zapisywanie plików
cookies na urządzeniu możliwe jest jedynie w przypadku uzyskanej uprzednio zgody użytkownika (z zastrzeżeniem,
że pliki te nie są niezbędne do realizacji usługi). W celu ustalenia wysokości kary komisja ds. kontroli wzięła pod
uwagę fakt, iż przedsiębiorstwo nie uszanowało wyboru internautów dotyczącego plików cookies oraz wprowadziło
środki mające na celu zniechęcenie ich do wycofania zgody na dalsze ich przechowywanie.
Pliki cookies umieszczane bez zgody użytkownika
W pierwszej kolejności, w trakcie trwającego dochodzenia w październiku 2020 r., komisja ds. kontroli zauważyła, że
użytkownikowi odwiedzającemu witrynę „Yahoo.com”, wyświetlał się rozbudowany baner umożliwiający wyrażenie
zgody na przechowywanie wszelkiego rodzaju plików cookies. CNIL zauważył jednak, że niezależnie od tego czy
zgodę taką wyrażono lub nie, około dwudziestu plików cookies o charakterze marketingowym instalowało się na
urządzeniu końcowym użytkownika bez wiedzy i zgody osoby odwiedzającej stronę internetową.
Komisja ds. kontroli uznała, że Yahoo uchybiło zobowiązaniom ciążącym na niej na mocy francuskiej ustawy
o ochronie danych osobowych (art. 82), ponieważ pliki cookie do celów marketingowych mogą być umieszczane
wówczas, gdy użytkownik wyrazi na to zgodę.
Zachęta do (nie)wycofywania zgody
Ponadto w odniesieniu do poczty Yahoo Mail, komisja ds. kontroli ustaliła, że przy próbie wycofania zgody na
przechowywanie ww. plików wyświetlał się komunikat informujący użytkownika o zablokowaniu dostępu do usługi.
CNIL przypomniało, że zgodę nie uważa się za wyrażoną dobrowolnie, jeśli dana osoba nie ma rzeczywistej wolności
wyboru lub nie jest w stanie odmówić zgody lub ją wycofać bez poniesienia szkody. W takich warunkach CNIL uznał,
że wycofanie zgody nie może nastąpić w sposób swobodny, gdyż adres e-mail stanowi element życia prywatnego
użytkownika, co umożliwia wymianę informacji z innymi osobami, rozwijanie sieci kontaktów i archiwizowanie
ważnych rozmów osobistych lub zawodowych. CNIL sprecyzował, że użytkownicy mogą zostać uzależnieni od
określonej usługi przesyłania wiadomości i dlatego nie mogą łatwo zastąpić danej usługi poczty elektronicznej inną
podobną usługą. Nakładając kare w wysokości 10 milionów euro, francuski organ nadzorczy wziął pod uwagę także
liczbę użytkowników serwisu dotkniętych nieprawidłowościami, która wyniosła blisko 5 milionów osób.

Komentarz
Od czasu wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr
119, s. 1; dalej: RODO) i innych aktów prawa europejskiego oraz krajowego regulujących aspekt przechowywania
informacji na urządzeniach końcowych, firmy technologiczne zobowiązane są sprostać wymaganiom dotyczących
plików cookies oraz sposobu wyrażania lub wycofania zgody na ich przechowywanie. Organizacje, które nie chcą się
dostosować i stawiają na pierwszym miejscu cel biznesowy ryzykują otrzymaniem kary finansowej w wysokości do 20
milionów euro lub 4% całkowitego rocznego światowego obrotu.

Na gruncie przepisów prawa polskiego aspekt plików cookies ma się nie inaczej, a wymogi ich dotyczące reguluje art.
173 i 174 ustawy z 16.7.2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2024 r. poz. 34; dalej: PrTelekom). Pomimo że
PrTelekom nie przywołuje wprost terminu „cookies” czy „ciasteczka”, to odwołuje się do ww. terminu w ujęciu bardziej
ogólnym. Niemniej konstrukcja wskazanego artykułu wprost wymaga, aby użytkownik został uprzednio
poinformowany przez administratora strony internetowej o możliwości przechowywania lub uzyskiwania dostępu do
informacji za pomocą plików cookies i, co istotne, wyraził w tym celu ważną, świadomą i dobrowolną zgodę
w rozumieniu przepisów o ochronie danych osobowych (art. 7 RODO).
W myśl wytycznych Europejskiej Rady Ochrony Danych (dalej: EROD), dotyczących zgody na mocy RODO, aby
zgoda była „ważna”, musi być „konkretna” (jasno określać wyraźny i prawnie uzasadniony cel zamierzonej czynności
przetwarzania), „świadoma” (umożliwiać użytkownikowi zrozumienie, na co się godzi), a co za tym idzie „dobrowolna”
(rzeczywista możliwość dokonania wyboru przez osoby, których dane dotyczą, oraz sprawowania przez nie kontroli).
Dodatkowo, jak wskazał Trybunał Sprawiedliwości Unii Europejskiej: „(…) zgoda użytkownika (...) może zostać
udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika,
w szczególności poprzez »zaznaczenie okna wyboru podczas przeglądania witryny internetowej»” (wyrok TSUE
z 1.10.2019 r., C-673/17,
, pkt 7). Co ważne, wycofanie zgody powinno być tak samo proste jak jej wyrażenie
i nie powinno być obwarowane żadnymi ograniczeniami, o ile nie zachodzi przesłanka niezbędności.
W przedmiotowej sprawie korzystanie z poczty elektronicznej Yahoo Mail nie wymagało utrzymania aktywnej zgody
na dalsze przechowywanie plików cookies, a przede wszystkim nie miało żadnego związku z oferowaną usługą.
Dodać należy, iż mechanizm umożliwiający instalowanie ukrytych plików cookies, bez wiedzy jak i zgody
użytkownika, stanowi wzorzec niedozwolonych praktyk „dark patterns”. Rozporządzenie Parlamentu Europejskiego
i Rady (UE) 2022/2065 z 19.102022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy
2000/31/WE (akt o usługach cyfrowych) (Dz.Urz. UE L z 2022 r. Nr 277, s. 1; dalej: DSA) w motywie 67 określa „dark
patterns” jako praktyki, które w istotny sposób zniekształcają lub ograniczają (celowo lub w praktyce) zdolność
odbiorców usługi, w sklepie czy serwisie internetowym, do dokonywania niezależnych i świadomych wyborów lub
podejmowania decyzji. Celem wskazanej praktyki jest zmylenie użytkownika podejmującego decyzję lub
wprowadzenie go w błąd, co ma się przełożyć na korzyść dostawcy platformy lub aplikacji. Stosowanie
manipulacyjnych i nieetycznych praktyk w interfejsach cyfrowych może w pewnym zakresie naruszać przepisy
RODO, ustawy z 10.8.2018 r. o ochronie danych osobowych (t.j. Dz.U z 2019 r. poz. 1781), ustawy z 16.2.2007 r.
o ochronie konkurencji i konsumentów (t.j. Dz.U. z 2023 r. poz. 1689), a od 17.2.2024 r. także DSA, które
bezpośrednio zakazuje stosowania „dark patterns” przez platformy internetowe. Tak więc wzorce niezawierające
wystarczających informacji czy wprowadzające w błąd, mogą być sprzeczne z zasadą rzetelnego i przejrzystego
przetwarzania danych określoną w art. 5 ust. 1 lit. a RODO, a w zakresie ochrony konsumentów wprowadzać będą
one praktyki nieuczciwej konkurencji.

Decyzja CNIL, SAN-2023-024 z 29.12.2023 r.

Prawne konsekwencje naruszeń związanych z plikami cookies są coraz poważniejsze. W obliczu rosnącej ochrony danych osobowych, firmy technologiczne muszą respektować przepisy dotyczące zgody na przechowywanie plików cookies. Decyzja CNIL pokazuje, że łamanie tych przepisów może skutkować wysokimi karaimi finansowymi.