Ciasteczka w Prawie komunikacji elektronicznej – wszystko po staremu?

Ciasteczka w Prawie komunikacji elektronicznej – wszystko po staremu?

W lipcu 2020 r. pojawiły się dwa projekty ustaw – Prawo komunikacji elektronicznej (dalej jako: „PKE”)[1]  oraz Projekt ustawy wprowadzającej ustawę – Prawo komunikacji elektronicznej.[2] Mają one za zadanie zastąpić ustawę Prawo Telekomunikacyjne i wdrożyć Dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 (dalej jako: „Dyrektywa 2018/1972”). Implementacja Dyrektywy miała nastąpić co prawda do 21 grudnia 2020 r., jednak z uwagi na to, że na razie projekt PKP nie trafił jeszcze do sejmu, na wejście w życie ustawy trzeba będzie poczekać.

Pliki cookie w PKE

 Pliki cookie to pliki, które dostawca strony internetowej instaluje na komputerze użytkownika tej strony i do których może on uzyskać ponowny dostęp, gdy użytkownik odwiedzi stronę ponownie, w celu ułatwienia przeglądania Internetu lub transakcji lub w celu uzyskania informacji na temat zachowania użytkownika.

Plikom cookies zostały poświęcone art. –361 – 363 PKE[3]. Analiza obecnie obowiązujących przepisów prawa telekomunikacyjnego oraz projektowanych przepisów PKE skłania do wniosku, że są one jedynie „kalką” tych przepisów (tj. art. 172-174 prawa telekomunikacyjnego). Nie byłoby to też zaskakujące biorąc pod uwagę fakt, że PKE będzie stanowiło implementację nie tylko nowej Dyrektywy 2018/1972, ale również już obowiązującej Dyrektywy 2002/58/WE.

Przechowywanie plików cookies

 Projektowany art. 361 ust. 1 PKE (zastępujący art. 173 prawa telekomunikacyjnego) zakłada, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem, że:

  • abonent lub użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
    1. celu przechowywania i uzyskiwania dostępu do tej informacji,
    2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
  • abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę (może się to odbyć za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi);
  • przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Opisanych powyżej warunków nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do:

  • wykonania transmisji komunikatu elektronicznego za pośrednictwem publicznej sieci telekomunikacyjnej lub
  • dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

 

Obowiązki dostawcy usługi komunikacji elektronicznej

Zgodnie z treścią art. 363 PKE dostawca usług komunikacji elektronicznej obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w tzw. RODO środki ochrony mają zapewniać co najmniej:

  • aby dostęp do danych osobowych miała osoba posiadająca upoważnienie wydane przez administratora danych;
  • ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
  • wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

 

Wyrok TSUE ws  C‑673/17 przeciwko Planet49 GmbH a RODO

Projektowane zmiany nie uwzględniają wprost wyroku Trybunału Sprawiedliwości Unii Europejskiej (dalej jako: TSUE) z 1 października 2019 r.[4], w którym TSUE zajmował się formą, w jakiej zgoda na tzw. ciasteczka powinna być udzielana. TSUE orzekł, że zgoda nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody. Ponadto TSUE stwierdził, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

 Pomimo tego, że ustawodawca nie wskazał wprost sposobu, w jaki powinna być odbierana zgoda (tak jak to przedstawił TSUE), to w mojej ocenie samo odwołanie do RODO w ustawie PKE będzie wystarczające do tego, żeby obowiązek, o którym pisał TSUE, musiał być stosowany.

Wynika to z tego, że podobnie jak w prawie telekomunikacyjnym, również w PKE do uzyskania zgody abonenta lub użytkownika końcowego stosowane będą odpowiednio przepisy o ochronie danych osobowych (art. 362 PKE). Odbierana zgoda powinna być więc wyrażona w drodze jednoznacznej, potwierdzającej czynności (czyli zgoda musi być dobrowolna, świadoma i jednoznaczna – art. 4 pkt 11 RODO), a podmiot jej udzielający powinien mieć prawo wycofać ją w dowolnym momencie (art. 7 ust. 3 RODO).

Motyw 32 RODO rozstrzyga, że zgoda może być wyrażona poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Natomiast nie powinny oznaczać zgody takie zachowania jak milczenie, domyślnie zaznaczone okienka lub niepodjęcie działania.

 

Podstawa prawna:

  1. Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE. L. z 2002 r. Nr 201, str. 37 z późn. zm.) – Dyrektywa 2002/58/WE
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – RODO
  3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972. z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona)Tekst mający znaczenie dla EOG (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.) – Dyrektywa2018/1972 .

 

Graphic designed by Freepik from Flaticon https://www.flaticon.com.

 

[1] https://legislacja.gov.pl/projekt/12336501

[2] https://legislacja.gov.pl/projekt/12336502

[3] W projekcie z lipca 2020 r. był to art. 363 PKE

[4]http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6169753