Dobre wiadomości! 🙂 Prezes UODO wyciąga wnioski z dotychczasowych postępowań dotyczących cookies. W wyniku naszej skargi duży operator telekomunikacyjny dostaje upomnienie i zmienia sposób odbierania zgód na swojej stronie internetowej.

ICD Express: Odcinek #1

Ten sam temat poruszamy w nowej serii ICD Express, którego możecie posłuchać tutaj:

W połowie 2021 r. do UODO wpłynęła skarga Kuby dotycząca udostępnienia przez T-Mobile Polska S.A. danych osobowych w zakresie adresu IP oraz sztucznie nadanego ID z cookies nieuprawnionym podmiotom. Cała sprawa zaczęła się od odwiedzenia strony internetowej T-Mobile. Skrypty umieszczone na powyższej stronie bez jakiejkolwiek zgody użytkownika (Kuby) przekazały adres IP oraz sztucznie nadany ID z cookies do szeregu podmiotów trzecich. Użytkownik nie miał możliwości uprzedniego zapoznania się z Polityką prywatności T-Mobile. Nie mógł także aktywnie wyrazić bądź odmówić wyrażenia zgody na powyższe działania operatora za pomocą np. baneru wyświetlającego się na stronie. T-Mobile przyjęło bowiem rozwiązanie, zgodnie z którym korzystanie z serwisu oznaczało zgodę na korzystanie z cookies w celu „poznania preferencji użytkownika na podstawie zachowań na stronie”. Taka informacja była wyświetlana na stronie internetowej T-Mobile jeszcze w 2022 r.:

Wycinek zrzutu ekranu ze strony T-mobile.pl. Na górze jest pasek z napisem „Korzystamy z plików cookies i umożliwiamy zamieszczanie ich osobom trzecim. Pliki cookie pozwalają na poznanie Twoich preferencji na podstawie zachowań na stronie. Kontynuując korzystanie z serwisu, wyrażasz na to zgodę. Poznaj szczegóły i możliwości zmiany ustawień w Polityce Cookies”. Jest tylko przycisk "Zamknij x"

Jak T-Mobile próbowała się usprawiedliwiać

W korespondencji prowadzonej z Kubą ze strony T-Mobile padały argumenty, że „informacje zawarte w plikach cookies nie zawsze są danymi osobowymi w rozumieniu przepisów rozporządzenia 2016/679, a zgodnie z wyjaśnieniami zawartymi w Polityce prywatności informacje o użytkownikach odwiedzających stronę internetową www.t-mobile.pl zbierane są w sposób anonimowy lub pseudonimowy”. Spółka wskazywała, że nie posiada danych dostatecznie identyfikujących konkretnego użytkownika, a w szczególności twierdziła, że takiego charakteru nie miał dynamiczny adres IP wskazywany przez Kubę.

Co ciekawe, ów dynamiczny adres IP, jak również ID z cookies, został ujawniony takim podmiotom jak: Facebook Ireland Limited (właściciel domen facebook.com oraz facebook.net), Wirtualna Polska Holding S.A. (właściciel domeny wp.pl), Synerise S.A. (właściciel domeny snrbox.com), SALELIFTER Sp. z o.o. (właściciel domeny revhunter.tech), Google LLC (właściciel domen googleanalytics.com, google.com, google.pl, googleapis.com oraz googletagmanager.com) i Playlink Sp. z o.o. (właściciel domeny emailpartners.net). Z wyjaśnień T-Mobile wynikało także, iż spółka umożliwiała zewnętrznym dostawcom świadczenie swoich usług niezależnie od niej, za pomocą przesyłanych im cookies i podobnych technologii. Dostawcami takich usług byli w szczególności Google LLC (w związku z wykorzystywaniem funkcji Google Maps, Google AdWords oraz Captcha), Facebook Ireland Limited (w związku z korzystaniem z usług Facebook Customer Audience i Facebook Pixel) oraz Linkedln Ireland (za pomocą tagu Linkedln Insight).

T-Mobile twierdziła także, że „podczas pierwszego wejścia na stronę www każdy użytkownik jest pytany o zgodę na pliki cookies”. Preferencje użytkownika miały być określane za pomocą ustawień przeglądarki – jakoby fakt włączonej obsługi cookies miał oznaczać zgodę. Spółka uznała, że wyświetlanie informacji o tym, że strona internetowa gromadzi cookies, wraz z podaniem celu korzystania z cookies i przedstawieniem użytkownikowi sposobu zarządzania tą technologią na własnym urządzeniu, była łatwa i zrozumiała nawet dla przeciętnego użytkownika i nie wymagała specjalistycznej wiedzy z tego zakresu. Zdaniem spółki taki tryb postępowania był zgodny z przepisami prawa telekomunikacyjnego.

UODO argumenty T-Mobile nie przekonały

Co nas bardzo cieszy, z powyższą argumentacją operatora nie zgodził się Prezes UODO. W dniu 9 marca 2023 r. wydał decyzję (sygn. akt DS.523.4364.2021.PR.PAM, niepubl.), w której udzielił T-Mobile upomnienia za nieuprawnione udostępnienie danych osobowych użytkownika podmiotom trzecim. Uzasadnienie przedmiotowej decyzji ewidentnie uwzględnia argumenty przedstawione przez Wojewódzki Sąd Administracyjny w sprawie przeciwko iSecure oraz w naszej sprawie przeciwko Wirtualnej Polsce (wspominaliśmy o niej na końcu tego wpisu).

Sprawa z iSecure postępuje. Mitów i niedomówień nie brakuje
Jak pewnie pamiętacie, iSecure zaskarżyło decyzję PUODO wydaną w sprawie rozpoczętej naszą skargą. WSA wydał wyrok w tym postępowaniu, uchylający decyzję Prezesa UODO. Przyszedł czas na nasz komentarz. Czy przegraliśmy sprawę, a WSA uznał, że cookies nie stanowią danych osobowych? Wyjaśniamy.

Organ nadzorczy podkreślił w uzasadnieniu przedmiotowej decyzji, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, co jest szczególnie istotne w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu. Jak słusznie zauważył organ, na wskazany cel powołała się zresztą sama spółka T-Mobile, podając w swoich wyjaśnieniach, iż ID jest nadawane w celu wewnętrznej identyfikacji żądań użytkownika, w trakcie poszczególnych kolejnych odsłon. Jak dalej stwierdził Prezes UODO:

skoro więc ID będąc przypisanym do konkretnego urządzenia służy identyfikacji jego (unikalnego) użytkownika, to stanowi on dane osobowe. Do tego samego urządzenia przypisany jest także numer IP (stały lub zmienny). Numer ten (IP) stanowi zatem informację o już zidentyfikowanej (w środowisku cyfrowym) osobie, tym właśnie konkretnym użytkowniku.

Jest to bardzo ważne stwierdzenie, którego zdecydowanie brakowało we wcześniejszych decyzjach UODO!

Włączone cookiesy nie mogą być zgodą w rozumieniu RODO

Odnośnie do kwestii legalności ujawnienia danych osobowych w postaci ID z cookies oraz adresu IP podmiotom zewnętrznym takim jak Facebook Ireland Limited, Wirtualna Polska Holding S.A., Synerise S.A., SALELIFTER Sp. z o.o., Google LLC czy Playlink Sp. z o.o., organ wyraźnie wskazał, że T-Mobile powinna była uzyskać uprzednio zgodę na takie działania. W toku sprawy spółka nie wskazała, aby przekazywanie danych osobowych skarżącego użytkownika ww. podmiotom było niezbędne do zapewnienia prawidłowego funkcjonowania strony internetowej operatora. Ujawnianie danych miało bowiem następować w celu wyświetlania na urządzeniu skarżącego reklam ww. partnerów w sposób sprofilowany, tj. np. na podstawie informacji przypisanych do ID z cookies zainstalowanych na urządzeniu użytkownika. Organ nadzorczy podkreślił, że sposób uzyskiwania przez T-Mobile zgód użytkowników strony internetowej należy uznać za zgodę wyrażoną w sposób bierny i milczący – nie może być ona wobec tego ważna w świetle obowiązujących przepisów RODO. Nie spełnia ona bowiem wymogu dobrowolności, świadomości, jednoznaczności oraz konkretności, ani – jak wskazał TSUE w wyroku w sprawie Planet49 – wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane podlegać będą przetwarzaniu.

CURIA - Documents

Jak teraz wygląda strona T-Mobile?

Ze sprawą zainicjowaną przed Prezesem UODO skargą Kuby zbiegły się w czasie także zmiany na stronie internetowej T-Mobile. Operator zmienił bowiem sposób odbierania zgód na stosowanie cookies i podobnych technologii. Nie uważa już, że za zgodę uznawane jest dalsze korzystanie ze strony internetowej bez zmiany ustawień przeglądarki. Obecnie baner wygląda tak:

Wycinek ze screenshota strony t-mobile. "Pliki cookies w T-mobile Polska s.a. Korzystamy z plików cookies w celu sprawnego działania witryny (cookies niezbędne) oraz tworzenia usług i ofert dostosowanych do Twoich potrzeb (cookies opcjonalne – możesz na nie wyrazić zgodę). Klikając w ustawienia dowiesz się więcej na ten temat oraz jak zmienić preferencje urządzenia, z którego korzystasz. Szczegółowe informacje znajdziesz również w naszej polityce prywatności". Dwa przyciski: „zaakceptuj wszystkie” i „zmiana ustawień”

Czy powyższy sposób zbierania zgody faktycznie jest w naszej ocenie prawidłowy? Nie – jak pokazuje analiza za pomocą naszego narzędzia Rentgen, strona dokonuje dostępu do cookiesów śledzących, zanim użytkownik podejmie jakikolwiek wybór w okienku dot. zgód:

Informujemy, że omówiona decyzja nie jest jeszcze prawomocna, tzn. może zostać zaskarżona. Cieszymy się jednak z – naszym zdaniem – bardziej przekonującej argumentacji Prezesa UODO co do tego, że ID z cookies i adres IP w środowisku cyfrowym w tym konkretnym przypadku (jak również potencjalnie w wielu innych sytuacjach) stanowią dane osobowe.


Powiązane:

Treść decyzji w sprawie DS.523.4364.2021.PR.PAM

Rentgen - prześwietl stronę internetową i wygeneruj maila do administratora
Z radością ogłaszamy premierę owocu ostatnich miesięcy naszej ciężkiej pracy: wtyczki do Firefoxa, która analizuje skrypty na stronach i na podstawie zebranych danych ułatwia sformułowanie maila do administratora strony opisującego potencjalne problemy ze zgodnością z RODO.
Sprawa z iSecure postępuje. Mitów i niedomówień nie brakuje
Jak pewnie pamiętacie, iSecure zaskarżyło decyzję PUODO wydaną w sprawie rozpoczętej naszą skargą. WSA wydał wyrok w tym postępowaniu, uchylający decyzję Prezesa UODO. Przyszedł czas na nasz komentarz. Czy przegraliśmy sprawę, a WSA uznał, że cookies nie stanowią danych osobowych? Wyjaśniamy.
iSecure zaskarżyło decyzję UODO o cookiesach na ich stronie. Nasz komentarz
Firma iSecure dostała upomnienie od UODO w reakcji na naszą skargę. Odpowiadamy na ich komentarz do tej sprawy.
Przegląd sposobów na śledzenie użytkowników Internetu
Internet jest pełen technologii, które pomagają zarówno nam, jak i wszechobecnym reklamodawcom. Opisujemy najważniejsze z nich i tłumaczymy zasady ich działania.