Zdaniem TSUE wyraźna zgoda na pliki cookies jest konieczna

Trybunał Sprawiedliwości Unii Europejskiej w wyroku C-673/17 stwierdził, że zgoda na pliki cookie musi być konkretne i wyraźne. Sprawa dotyczyła organizacji loterii promocyjnej przez Planet49, która wykorzystywała pliki cookie do personalizacji danych. TSUE podkreślił konieczność udzielenia jasnych i wyczerpujących informacji użytkownikom oraz aktywnego wyrażenia zgody na przetwarzanie danych osobowych.

Tematyka: TSUE, C-673/17, zgoda na pliki cookie, ochrona danych osobowych, prywatność, wyraźna zgoda, informowanie użytkowników, jasne informacje

W sprawie C-673/17 mającej za przedmiot wniosek o wydanie orzeczenia w trybie prejudycjalnym, złożony
przez Bundesgerichtshof (Federalny Trybunał Sprawiedliwości, Niemcy, dalej jako: Bundesgerichtshof)
w postępowaniu: Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale
Bundesverband (Federalny Związek Organizacji i Stowarzyszeń Konsumenckich, dalej jako: „związek
organizacji konsumenckich”) przeciwko Planet49 GmbH (dalej jako: Planet49 lub Spółka), Trybunał
Sprawiedliwości Unii Europejskiej (dalej jako: TSUE) stwierdził, że zgoda na zainstalowanie plików cookie
musi być konkretna i wyraźna.
Stan faktyczny
W dniu 24.9.2013 r. Planet49 (spółką oferująca gry online) zorganizowała loterię promocyjną na stronie internetowej.
Chcąc wziąć udział w loterii należało podać swój kod pocztowy, imię i adres. Rejestracji towarzyszyły teksty dwóch
oświadczeń wraz z okienkami wyboru. Tekst pierwszego oświadczenia (okienko wyboru nie było domyślnie
oznaczone) brzmiał: „Wyrażam zgodę na informowanie mnie przez niektórych sponsorów i partnerów listownie lub
telefonicznie, lub e‑ mailem/SMS‑ em o ofertach z obszaru ich działalności. Sponsorów i partnerów mogę wybrać
niniejszym samodzielnie, w przeciwnym razie wyboru dokona organizator. Zgodę mogę w dowolnym momencie
wycofać. Dalsze informacje znajdują się tutaj”.
Tekst drugiego oświadczenia (okienko wyboru zaznaczone domyślnie): „Wyrażam zgodę na stosowanie wobec mnie
usługi analizy internetowej Remintre x. Skutkuje to tym, że organizator loterii promocyjnej, [Planet49], po
zarejestrowaniu uczestnika w loterii instaluje pliki cookie. Umożliwi to Planet49 ocenę mojego zachowania w zakresie
odwiedzania i korzystania ze stron internetowych partnerów reklamowych i dopasowanie reklam do moich preferencji
przez Remintrex. Pliki cookies mogę usunąć w dowolnym czasie. Więcej na ten temat przeczytacie Państwo tutaj”.
Link zamieszczony w tekście pierwszego oświadczenia odsyłał do listy 57 przedsiębiorstw, która zawierała ich
adresy, obszar działalności będący przedmiotem reklamy oraz określała sposób komunikacji używany do tych celów.
W przypadku kliknięcia na link umieszczony w tekście drugiego oświadczenia, pojawiały się następujące informacje:
„[…] Na podstawie udzielonej przy rejestracji do udziału w konkursie z nagrodami zgody na otrzymywanie reklam
[Planet 49] może Ci następnie przesyłać e‑ maile reklamowe, które uwzględniają preferencje ujawnione na stronie
internetowej partnera reklamowego. W przypadku cofnięcia zgody na przesyłanie reklam nie otrzymasz już
oczywiście żadnych e‑ maili z reklamami. Informacje dostarczone przez pliki cookie będą używane wyłącznie w celu
reklamowania produktów partnerów reklamowych. Informacje będą zbierane, przechowywane i używane odrębnie dla
każdego partnera reklamowego. W żadnym wypadku nie będą tworzone profile użytkownika dla kilku partnerów
reklamowych. Żadne dane osobowe nie zostaną przekazane poszczególnym partnerom reklamowym. Jeżeli nie
będziesz dłużej zainteresowany używaniem plików cookie, będziesz mógł je w dowolnym momencie usunąć w swojej
przeglądarce. Instrukcje znajdziesz w opcji »Pomoc« w przeglądarce. Oczywiście masz możliwość cofnięcia
niniejszej zgody w dowolnym momencie. Cofnięcie zgody możesz wysłać w formie pisemnej do [Planet 49] [adres].
Wystarczy jednak także e‑ mail do naszego serwisu klientów [adres e‑ mail]”.
Pytania prejudycjalne
Bundesgerichtshof postanowił zawiesić postępowanie i zwrócić się do TSUE z następującymi pytaniami
prejudycjalnymi:
„1. a) Czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f dyrektywy Parlamentu
Europejskiego i Rady 2002/58/WE z 12.7.2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności
w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz. Urz. z 2002 r. L Nr 201,
s. 37) zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25.11.2009 r. (Dz. Urz. z 2009 r. L Nr
337, s. 11, dalej jako: dyrektywa 2002/58/WE) w zw. z art. 2 lit. h) dyrektywy Parlamentu Europejskiego i Rady
95/46/WE z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych
i swobodnego przepływu tych danych (Dz. Urz. z 1995 r. L Nr 281, s. 31, dalej jako: dyrektywa 95/46/WE), w sytuacji
gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym
użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi
usunąć zaznaczenie w celu odmówienia wyrażenia zgody?
b) Czy na stosowanie art. 5 ust. 3 i art. 2 lit. f dyrektywy 2002/58/WE w zw. z art. 2 lit. h dyrektywy 95/46/WE ma
wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?

c) Czy w okolicznościach określonych w pytaniu pierwszym lit. a została wyrażona skuteczna zgoda w rozumieniu
art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. z 2016 r. L Nr 119, s. 1, ze zmianą ogłoszoną w Dz. Urz. z 2018 r. L Nr
127, s. 2; dalej jako: RODO)?
2. Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji
wymaganych zgodnie z art. 5 ust. 3 dyrektywy 2002/58/WE? Czy informacje te obejmują również okres ważności
plików cookie oraz kwestię dostępu osób trzecich do plików cookie?”.
Rozstrzygnięcie
Odpowiadając na pytanie pierwsze lit. a i c TSUE wskazał, że pliki cookie, które mogą być instalowane na urządzeniu
końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez Planet49, zawierają numer
przypisany do danych rejestracyjnych tego użytkownika. Połączenie tego numeru z tymi danymi powoduje
personalizację danych przechowywanych przez pliki cookie, wobec czego zbieranie tych danych za pomocą plików
cookie jest przetwarzaniem danych osobowych.
Zgodnie z art. 5 ust. 3 dyrektywy 2002/58/WE państwa członkowskie zapewniają, aby przechowywanie informacji lub
uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika było dozwolone tylko
pod warunkiem, że użytkownik wyraził zgodę, po otrzymaniu, zgodnie z dyrektywą 95/46/WE, jasnych
i wyczerpujących informacji, między innymi o celach przetwarzania. W motywie 17 dyrektywy 2002/58/WE uściślono,
że do celów tej dyrektywy zgoda użytkownika powinna mieć to samo znaczenie co zgoda podmiotu danych opisana
i szerzej określona w dyrektywie 95/46/WE, w art. 2 lit. h. Wykładnię tę potwierdza art. 7 dyrektywy 95/46/WE.
Wymóg jednoznaczności, o którym mowa w tym artykule może być spełniona jedynie poprzez czynne zachowanie tej
osoby podjęte w celu wyrażenia zgody.
Zatem w sposób obiektywny nie można ocenić, czy użytkownik strony internetowej rzeczywiście wyraził zgodę na
przetwarzanie jego danych osobowych poprzez to, że nie usunął domyślnego zaznaczenia okienka wyboru,
a w każdym razie czy zgoda ta została udzielona w sposób świadomy. Wyrażenie woli, o którym mowa w art. 2 lit. h
dyrektywy 95/46/WE, musi być w szczególności „konkretne”. Cech „konkretności” nie można przypisać okoliczność,
że użytkownik aktywuje przycisk uczestnictwa w loterii promocyjnej. Nie można tym samym uznać, że dany
użytkownik skutecznie wyraził zgodę na zainstalowanie plików cookie.
Na pytanie pierwsze lit. a i c TSUE odpowiedział, że art. 2 lit. f i art. 5 ust. 3 dyrektywy 2002/58/WE w zw. z art. 2
lit. h dyrektywy 95/46/WE, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a RODO, należy interpretować w ten sposób, że
zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji
już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie,
zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten
musi usunąć, aby odmówić udzielenia zgody.
W przedmiocie pytania pierwszego lit. b TSUE stwierdził, że art. 5 ust. 3 dyrektywy 2002/58/WE odnosi się do
„przechowywani[a] informacji” lub „uzyskani[a] dostępu do informacji już przechowywanych”, przy czym przepis ten
nie precyzuje, że powinny to być dane osobowe. Sposób interpretowania art. 2 lit. f i art. 5 ust. 3 dyrektywy
2002/58/WE w związku z art. 2 lit. h dyrektywy 95/46/WE, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a RODO, nie
powinien jednak pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu
końcowym stanowią dane osobowe w rozumieniu dyrektywy 95/46/WE i RODO.
W przedmiocie pytania drugiego, TSUE uznał, że art. 5 ust. 3 dyrektywy 2002/58/WE wymaga, aby użytkownik
wyraził zgodę, po otrzymaniu (zgodnie z dyrektywą 95/46/WE) jasnych i wyczerpujących informacji, w szczególności
na temat celów przetwarzania. Artykuł 10 dyrektywy 95/46/WE, jak również art. 13 RODO, określają informacje, które
administrator danych musi przekazać osobie, od której pobiera dotyczące jej dane. Jeżeli chodzi o możliwość
dostępu stron trzecich do plików cookie lub jej brak – jest to informacja należąca do informacji, o których mowa w art.
10 dyrektywy 95/46/WE i w art. 13 RODO.
Zatem art. 5 ust. 3 dyrektywy 2002/58/WE należy interpretować w ten sposób, że informacje, jakich usługodawca
powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików
cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.
TSUE stanął na straży podstawowych zasad przetwarzania danych osobowych i ochrony prawa do prywatności
poprzez wyraźnie podkreślenie, że podmiot danych musi być dokładnie poinformowany o tym, w jaki sposób
jego dane będą przetwarzane, a wszelkie oświadczenia, które składa muszą być aktywne. W przeciwnym
wypadku niemożliwym jest obiektywna ocena, czy użytkownik strony internetowej rzeczywiście wyraził zgodę na
przetwarzanie jego danych osobowych poprzez to, że nie usunął domyślnie zaznaczonego okienka wyboru.

Ponadto zgody na zainstalowanie plików cookie nie można wnioskować z innych aktywności użytkownika
takich jak aktywowanie przez niego przycisku uczestnictwa w loterii promocyjnej. TSUE stanął ponadto na
stanowisku, że art. 5 ust. 3 dyrektywy 2002/58/WE ma na celu ochronę użytkownika przed każdą ingerencją w sferę
prywatną, bez względu na to, czy ingerencja ta obejmuje dane osobowe.
Wyrok TSUE z 1.10.2019 r., C-673/17

Wyrok TSUE wprowadza klarowne wytyczne dotyczące zgody na pliki cookie, podkreślając konieczność informowania użytkowników oraz aktywnego wyrażenia zgody. Decyzja ta ma istotne znaczenie dla ochrony danych osobowych i prywatności w kontekście korzystania z usług online.