splash-1
splash-2
splash-3
Kancelaria Radców Prawnych » Ciasteczka w Prawie komunikacji elektronicznej – wszystko po staremu?
Paulina Kosak
2022-02-07
e-handel

Ciasteczka w Prawie komunikacji elektronicznej – wszystko po staremu?

W lipcu 2020 r. pojawiły się dwa projekty ustaw – Prawo komunikacji elektronicznej (dalej jako: „PKE”)[1]  oraz Projekt ustawy wprowadzającej ustawę – Prawo komunikacji elektronicznej.[2] Mają one za zadanie zastąpić ustawę Prawo Telekomunikacyjne i wdrożyć Dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 (dalej jako: „Dyrektywa 2018/1972”). Implementacja Dyrektywy miała nastąpić co prawda do 21 grudnia 2020 r., jednak z uwagi na to, że na razie projekt PKP nie trafił jeszcze do sejmu, na wejście w życie ustawy trzeba będzie poczekać.

Pliki cookie w PKE

 Pliki cookie to pliki, które dostawca strony internetowej instaluje na komputerze użytkownika tej strony i do których może on uzyskać ponowny dostęp, gdy użytkownik odwiedzi stronę ponownie, w celu ułatwienia przeglądania Internetu lub transakcji lub w celu uzyskania informacji na temat zachowania użytkownika.

Plikom cookies zostały poświęcone art. –361 – 363 PKE[3]. Analiza obecnie obowiązujących przepisów prawa telekomunikacyjnego oraz projektowanych przepisów PKE skłania do wniosku, że są one jedynie „kalką” tych przepisów (tj. art. 172-174 prawa telekomunikacyjnego). Nie byłoby to też zaskakujące biorąc pod uwagę fakt, że PKE będzie stanowiło implementację nie tylko nowej Dyrektywy 2018/1972, ale również już obowiązującej Dyrektywy 2002/58/WE.

Przechowywanie plików cookies

 Projektowany art. 361 ust. 1 PKE (zastępujący art. 173 prawa telekomunikacyjnego) zakłada, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem, że:

  • abonent lub użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
    1. celu przechowywania i uzyskiwania dostępu do tej informacji,
    2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
  • abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę (może się to odbyć za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi);
  • przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Opisanych powyżej warunków nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do:

  • wykonania transmisji komunikatu elektronicznego za pośrednictwem publicznej sieci telekomunikacyjnej lub
  • dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Obowiązki dostawcy usługi komunikacji elektronicznej

Zgodnie z treścią art. 363 PKE dostawca usług komunikacji elektronicznej obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w tzw. RODO środki ochrony mają zapewniać co najmniej:

  • aby dostęp do danych osobowych miała osoba posiadająca upoważnienie wydane przez administratora danych;
  • ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
  • wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Wyrok TSUE ws  C‑673/17 przeciwko Planet49 GmbH a RODO

Projektowane zmiany nie uwzględniają wprost wyroku Trybunału Sprawiedliwości Unii Europejskiej (dalej jako: TSUE) z 1 października 2019 r.[4], w którym TSUE zajmował się formą, w jakiej zgoda na tzw. ciasteczka powinna być udzielana. TSUE orzekł, że zgoda nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody. Ponadto TSUE stwierdził, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

 Pomimo tego, że ustawodawca nie wskazał wprost sposobu, w jaki powinna być odbierana zgoda (tak jak to przedstawił TSUE), to w mojej ocenie samo odwołanie do RODO w ustawie PKE będzie wystarczające do tego, żeby obowiązek, o którym pisał TSUE, musiał być stosowany.

Wynika to z tego, że podobnie jak w prawie telekomunikacyjnym, również w PKE do uzyskania zgody abonenta lub użytkownika końcowego stosowane będą odpowiednio przepisy o ochronie danych osobowych (art. 362 PKE). Odbierana zgoda powinna być więc wyrażona w drodze jednoznacznej, potwierdzającej czynności (czyli zgoda musi być dobrowolna, świadoma i jednoznaczna – art. 4 pkt 11 RODO), a podmiot jej udzielający powinien mieć prawo wycofać ją w dowolnym momencie (art. 7 ust. 3 RODO).

Motyw 32 RODO rozstrzyga, że zgoda może być wyrażona poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Natomiast nie powinny oznaczać zgody takie zachowania jak milczenie, domyślnie zaznaczone okienka lub niepodjęcie działania.

Podstawa prawna

  1. Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE. L. z 2002 r. Nr 201, str. 37 z późn. zm.) – Dyrektywa 2002/58/WE
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – RODO
  3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972. z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona)Tekst mający znaczenie dla EOG (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.) – Dyrektywa2018/1972 .

 

Graphic designed by Freepik from Flaticon https://www.flaticon.com.

 

[1] https://legislacja.gov.pl/projekt/12336501

[2] https://legislacja.gov.pl/projekt/12336502

[3] W projekcie z lipca 2020 r. był to art. 363 PKE

[4]http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6169753

Autor
Paulina
Kosak
Sprawdź naszą ofertę

Ostatnie wpisy:

Kategorie:

Szukasz pomocy prawnej w ramach naszych specjalizacji? Zobacz listę usług.

Znamy realia biznesowe, zapewniamy praktyczne rozwiązania dla przedsiębiorców.

Posiadamy wieloletnie doświadczenie procesowe. Na bieżąco reagujemy na zmiany w przepisach prawa. Stawiamy na wiedzę, wysoki poziom naszych usług i dobrą komunikację z Klientami. Zapraszamy do kontaktu.

Sprawdź naszą ofertę lub Przejdź do kontaktu

Blog

To może Cię zainteresować

Więcej wpisów na blogu
Olaf Maciejowski 26.04.2024
Duża uchwała Izby Cywilnej SN dotycząca kredytów walutowych, sygn. III CZP 25/22 zgodna z orzecznictwem TSUE
Julia Telec 01.04.2024
WNIOSEK O OGŁOSZENIE UPADŁOŚCI SPÓŁKI Z O.O.
Julia Telec 26.02.2024
UPADŁOŚĆ SPÓŁKI Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ KROK PO KROKU. JAK OGŁOSIĆ UPADŁOŚĆ SPÓŁKI Z O. O.?
dr Edyta Kozak-Hamala 16.02.2024
Wygrana z Bankiem BPH S.A. w Sądzie Rejonowym w Tarnowie w 3 miesiące
Julia Telec 05.02.2024
KIEDY NALEŻY OGŁOSIĆ UPADŁOŚĆ SPÓŁKI Z O.O.?
Paulina Kosak 15.12.2023
TSUE po raz kolejny staje po stronie konsumentów
Olaf Maciejowski 22.11.2023
Cuda się zdarzają – mBank nie złożył wniosku o uzasadnienie – prawomocna wygrana w I instancji przed Sądem Okręgowym w Warszawie!
dr Edyta Kozak-Hamala 17.11.2023
Na skutek wniosku kancelarii, sąd rejestrowy (KRS) wszczął tzw. postępowanie przymuszające, które ma na celu ochronić interesy naszego Klienta
Olaf Maciejowski 01.10.2023
Co obejmuje prawo własności intelektualnej?
Olaf Maciejowski 13.09.2023
Bank nie zapłacił mimo prawomocnego wyroku sądu i dokonanego rozliczenia z wypłaconego kapitału? Jest na to sposób – egzekucja komornicza
Więcej wpisów na blogu