Wstęp

Pliki cookie to niewielkie informacje, zazwyczaj składające się z liter i cyfr, które są instalowane na urządzeniach końcowych użytkowników przez wykorzystujące je strony internetowe. Pliki cookie są stosowane w różnych celach, w tym na potrzeby personalizacji reklam wyświetlanych użytkownikowi odwiedzającemu konkretną witrynę. Niektórzy operatorzy stron internetowych uzależniają bezpłatny dostęp do publikowanych przez nich treści od uzyskania zgody użytkownika na umieszczenie określonych plików cookie na jego urządzeniu końcowym. Taka praktyka, nazywana stosowaniem ścian plików cookie (ang. cookie walls), została uznana przez Europejską Radę Ochrony Danych (EROD) za naruszającą wymóg „dobrowolności” zgody, o której mowa w art. 4 pkt 11 RODO[1] (pkt 39 Wytycznych 05/2020 EROD dotyczących zgody na mocy rozporządzenia 2016/679). Dnia 16 maja 2022 r. francuski organ nadzorczy (Commission Nationale Informatique et Libertés, CNIL) wydał komunikat na temat możliwej dopuszczalności stosowania cookie walls. W artykule przedstawiam stanowisko organu.

Na początku komunikatu z 16 maja 2022 r. CNIL odnosi się do decyzji Rady Stanu (Conseil d’État) z 19 lipca 2021 r., w której stwierdzono, że wymóg dobrowolnej zgody nie może uzasadniać ogólnego zakazu praktyki „ścian trackerów”, a swobodę wyrażania zgody przez osoby należy oceniać indywidualnie, biorąc pod uwagę w szczególności istnienie rzeczywistej i zadowalającej alternatywy oferowanej w przypadku odmowy przyjęcia plików cookie.

W związku z powyższym, w oczekiwaniu na działania ustawodawcy lub orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, CNIL zdecydowała się przedstawić następujące kryteria, które mogą pomóc operatorom stron ocenić, czy stosowanie przez nich cookie walls niesie za sobą ryzyko naruszenia zasady „dobrowolności”:

1. Czy istnieje uczciwa alternatywa dla użytkownika, który nie chce korzystać z trackerów w celu uzyskania dostępu do treści?

CNIL wskazuje, że wydawca strony internetowej, który uzależnia dostęp do niej od wyrażenia zgody na instalację plików cookie, musi zaoferować rzeczywistą i uczciwą alternatywę umożliwiającą dostęp do witryny, która nie wiąże się z koniecznością wyrażenia zgody na wykorzystanie danych osobowych. Wymóg dobrowolności zgody nie zostanie zachowany, jeżeli strona ukryta za ścianą cookies będzie zawierała treści lub usługi oferowane wyłącznie przez jej wydawcę.

2. Czy w przypadku płatnej alternatywy wysokość opłaty jest rozsądna?

3. Czy ściana z cookie wall lub paywall może systemowo wymuszać akceptację wszystkich trackerów witryny?

CNIL wskazuje, że wydawca strony internetowej stosujący ścianę cookies musi wykazać, że jest ona ograniczona do celów, które pozwalają na uczciwe wynagrodzenie za oferowaną usługę. Na przykład jeżeli wydawca uważa, że wynagrodzenie za jego usługę zależy od dochodu, jaki mógłby uzyskać z reklam opartych na targetowaniu, do uzyskania dostępu do usługi powinna być konieczna tylko zgoda na ten cel – odmowa zgody na inne cele (personalizacja treści itp.) nie powinna uniemożliwiać dostępu do treści witryny.

4. W jakich (ograniczonych) przypadkach pliki cookie mogą być nadal umieszczane, gdy użytkownik wybiera płatny dostęp do treści, nie wyrażając zgody na pliki cookie?

CNIL wyjaśnia, że co do zasady nie należy instalować trackerów wymagających zgody internauty, gdy ten wybiera alternatywę zaproponowaną przez wydawcę. Stosowane mogą być wyłącznie pliki cookie niezbędne do funkcjonowania witryny.

Inne organy nie podzieliły na razie stanowiska CNIL, które stanowi jedną z możliwych wykładni przepisów dotyczących ochrony danych osobowych. Komunikat CNIL na temat ścian plików cookie dostępny jest tutaj: https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).