Nowe wytyczne EDPB – pliki cookies oraz inne technologie. Jak wylać dziecko z kąpielą?

by Piotr Mijal

W połowie listopada Europejska Rada Ochrony Danych (EROD, EDPB) przyjęła wytyczne w sprawie art. 5 ust. 3 dyrektywy o prywatności. W praktyce ma to znaczenie z punktu widzenia interpretacji regulacji dotyczących m.in. plików cookies. Wydane wytyczne mogą zatem mieć wpływ na to, jakie obowiązki należy wykonać korzystając z plików cookies, pikseli śledzących lub innych technologii.

Dyrektywa o prywatności – zgoda i obowiązek informacyjny

Zgodnie z art. 5 ust. 3 dyrektywy o prywatności, państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Wskazany przepis został wdrożony do krajowego porządku prawnego w ustawie prawo telekomunikacyjne.

Zakres zastosowania – pliki cookies i inne technologie

Zgodnie ze stanowiskiem EDPB, wskazany przepis obejmuje swoim zakresem nie tylko pliki cookies, ale również inne, podobne technologie. EDPB wskazuje, że obowiązek zgody dotyczy nie tylko sytuacji, gdy technologia umożliwia dostęp do danych osobowych, lecz wszelkich danych. Co istotne, obowiązki wynikające z dyrektywy o prywatności znajdują zastosowanie wobec uzyskiwania danych nie tylko osób fizycznych, ale także osób prawnych (spółek, fundacji).

Konsekwencje przyjęcia stanowiska EDPB

Stanowisko EDPB jest krytykowane przez wielu ekspertów. Po pierwsze interpretacja przedstawiona przez EDPB oznacza, że uzyskanie informacji o adresie IP albo o innych danych (parametrach) znajdujących się w adresie URL jest uzyskiwaniem dostępu do informacji. Pomimo faktu, że w takiej sytuacji nie następuje wysłanie jakiegokolwiek zapytania do urządzenia użytkownika. Trzeba mieć na uwadze, że każde połączenie przez Internet stanowi uzyskanie dostępu do informacji. W związku z tym adresy IP są elementem komunikacji przez Internet, a ich “udostępnienie” następuje automatycznie.

Warto także zwrócić uwagę na przykłady przywołane przez EDPB, m.in. wykorzystanie pikseli śledzących. Wszakże piksele śledzące nie są w żaden sposób związane z przechowywaniem informacji na urządzeniach końcowych. W związku z tym obejmowanie ich zakresem art. 5 ust. 3 dyrektywy o prywatności wydaje się wysoce wątpliwe.

Podsumowanie

Konsekwencje poglądu EDPB przez organy oraz sądy byłyby poważne – każda informacja związana z urządzeniem (adres IP, piksele śledzące, adresu URL) są objęte zakresem art. 5 ust. 3 dyrektywy o prywatności. To oznaczałoby konieczność uzyskania zgody o której mowa w tym przepisie. Aktualnie wytyczne EDPB podlegają procedurze publicznych konsultacji, do 28 grudnia 2023 r. Zmiana wytycznych jest pożądana, jednak z perspektywy doświadczeń z wydawaniem poprzednich wytycznych – jest to mało prawdopodobne.

W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl

Wytyczne EDPB są dostępne pod adresem: https://edpb.europa.eu/system/files/2023-11/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_en.pdf

0 komentarz

You may also like

Dodaj komentarz