OPINIA RZECZNIKA GENERALNEGO
MACIEJA SZPUNARA
przedstawiona w dniu 21 marca 2019 r.(1)
Sprawa C‑673/17
Planet49 GmbH
przeciwko
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy)]
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dyrektywa 2002/58/WE – Rozporządzenie (EU) 2016/679 – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Pliki cookie – Pojęcie zgody osoby, której dane dotyczą – Oświadczenie o wyrażeniu zgody za pomocą preinstalowanego okienka wyboru
I. Wprowadzenie
1. Chcący wziąć udział w loterii organizowanej przez Planet49 użytkownik Internetu, zanim mógł przycisnąć „przycisk udziału”, natykał się na dwa okienka wyboru, które należało zaznaczyć lub pozostawić bez zaznaczenia. Jedno z pól wymagało od użytkownika zaakceptowania, że będzie się z nim kontaktować szereg firm w celach reklamowych, a drugie wymagało wyrażenia zgody na zainstalowanie plików cookie na jego komputerze. Tak przedstawiają się pokrótce okoliczności niniejszego wniosku o wydanie orzeczenia w trybie prejudycjalnym złożonego przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy).
2. Pod tymi pozornie niewinnymi faktami kryją się podstawowe kwestie unijnego prawa ochrony danych osobowych: jakie dokładnie są wymogi świadomej zgody, której należy udzielić w sposób dobrowolny? Czy istnieje różnica między przetwarzaniem (jedynie) danych osobowych a ustawianiem plików cookie i dostępem do nich? Które instrumenty prawne mają zastosowanie?
3. W niniejszej opinii wykażę, że w odniesieniu do niniejszej sprawy wymogi dotyczące udzielenia zgody są takie same na mocy dyrektywy 95/46/WE(2) i rozporządzenia (UE) 2016/679(3) i że w rozpatrywanej sprawie nie ma różnicy, czy mamy do czynienia z ogólną kwestią przetwarzania danych osobowych, czy też z bardziej szczegółową kwestią przechowywania i uzyskiwania dostępu do informacji za pomocą plików cookie.
II. Ramy prawne
A. Prawo Unii
1. Dyrektywa 95/46
4. Artykuł 2 dyrektywy 95/46, zatytułowany „Definicje”, przewiduje:
„Do celów niniejszej dyrektywy:
[…]
h) »zgoda osoby, której dane dotyczą« oznacza konkretne i świadome dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”.
5. W sekcji II tej dyrektywy, zatytułowanej „Kryteria legalności przetwarzania danych”, art. 7 przewiduje w lit. a):
„Państwa członkowskie zapewniają, że [by] dane osobowe mogą [mogły] być przetwarzane tylko wówczas, gdy:
a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub
[…]”.
6. Artykuł 10 dyrektywy 95/46, zatytułowany „Informacje w przypadku gromadzenia danych od osoby, której dane dotyczą”, przewiduje, co następuje:
„Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
a) tożsamości administratora danych i ewentualnie jego przedstawiciela;
b) celów przetwarzania danych, do których dane są przeznaczone;
c) wszelkich dalszych informacji, jak np.:
– odbiorcy lub kategorie odbiorców danych,
– tego [to], czy odpowiedzi na pytania są obowiązkowe, czy dobrowolne, oraz ewentualne konsekwencje nieudzielenia odpowiedzi,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą”.
2. Dyrektywa 2002/58(4)
7. Motywy 24 i 25 dyrektywy 2002/58/WE(5) mają następujące brzmienie:
„(24) Wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Programy określane mianem spyware, błędy sieciowe, ukryte identyfikatory i inne podobne narzędzia mogą się znaleźć w terminalu użytkownika bez jego wiedzy w celu uzyskania dostępu do informacji, przechowania ukrytych informacji lub śledzenia czynności użytkownika i mogą w poważny sposób naruszyć jego prywatność. Stosowanie takich narzędzi powinno być dozwolone wyłącznie dla uzasadnionych celów, po powiadomieniu zainteresowanych użytkowników.
(25) Jednakże takie narzędzia, jak na przykład tak zwane »cookie«, stanowią prawnie dopuszczalne i użyteczne narzędzie, na przykład w analizowaniu skuteczności projektu strony internetowej i reklamy oraz w sprawdzaniu tożsamości użytkowników prowadzących transakcje w systemie online. W przypadku gdy takie narzędzia, na przykład »cookie«, są przeznaczone do prawnie dopuszczalnych celów, takich jak ułatwienie dostarczania usług społeczeństwa informacyjnego, ich wykorzystywanie powinno być dozwolone, pod warunkiem że użytkownicy otrzymają wyraźną i dokładną informację zgodnie z dyrektywą 95/46/WE o celu »cookie« lub podobnego narzędzia w celu zapewnienia, że użytkownicy zostali zapoznani z informacją umieszczaną na użytkowanym przez nich terminalu. Użytkownicy powinni mieć możliwość odmówienia przechowywania »cookie« lub podobnego narzędzia w ich terminalu. Jest to szczególnie ważne w przypadku, gdy użytkownicy inni niż użytkownik początkowy mają dostęp do terminali, a przez to do danych zawierających informacje szczególnie chronione ze względu na prywatność przechowywane na tym urządzeniu. Informacja i prawo do odmowy mogą być oferowane jednorazowo dla różnego rodzaju narzędzi instalowanych w terminalu użytkownika w czasie tego samego połączenia oraz mogą obejmować wszelkie dalsze korzystanie z tych narzędzi w trakcie kolejnych połączeń. Metody udostępniania informacji oferujące prawo do odmowy lub wymagające zgody powinny być jak najbardziej przyjazne dla użytkownika. Dostęp do niektórych treści zamieszczonych na stronach internetowych może być nadal uzależniony od świadomej akceptacji zastosowania »cookie« lub podobnego urządzenia, jeżeli służy ono prawnie dopuszczalnemu celowi”.
8. Artykuł 2 wspomnianej dyrektywy, zatytułowany „Definicje”, przewiduje w lit. f):
„Z zastrzeżeniem innych przepisów stosuje się definicje z dyrektywy [95/46] i dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektyw[y] ramow[ej])[(6)].
Stosuje się również następujące definicje:
[…]
f) »zgoda« użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46[…];
[…]”.
9. Artykuł 5 tej dyrektywy, zatytułowany „Poufność komunikacji”, w ust. 3 stanowi:
„Państwa członkowskie zapewniają, że korzystanie z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskania dostępu do informacji przechowanej na terminalu abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem że abonent lub użytkownik otrzyma jasną i wyczerpującą informację zgodnie z dyrektywą 95/46/WE, między innymi o celach przetwarzania, oraz zostanie zaoferowane mu prawo do odmówienia zgody na takie przetwarzanie przez kontrolera danych. Nie stanowi to przeszkody dla technicznego przechowywania danych lub dostępu do danych jedynie w celu wykonania lub ułatwiania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.
3. Dyrektywa 2009/136(7)
10. Motyw 66 dyrektywy 2009/136/WE(8) ma następujące brzmienie:
„Osoby trzecie mogą chcieć przechowywać informacje na urządzeniach użytkownika lub uzyskiwać dostęp do informacji już przechowywanych z wielu względów, począwszy od uzasadnionych (takich jak niektóre rodzaje cookie), a skończywszy na tych obejmujących nieuzasadnioną ingerencję w sferę prywatną (takich jak oprogramowanie szpiegowskie lub wirusy). Dlatego też ogromne znaczenie ma przekazywanie użytkownikom jasnych i wyczerpujących informacji, gdy podejmują jakiekolwiek działania, które mogłyby skutkować nieuprawnionym przechowywaniem lub dostępem. Metody udostępniania informacji oraz oferowania prawa do odmowy powinny być jak najbardziej przyjazne dla użytkownika. Wyjątki od obowiązku udzielania informacji i oferowania prawa do odmowy powinny być ograniczone do tych sytuacji, w których techniczne przechowywanie lub dostęp jest ściśle konieczny do realizacji zgodnego z prawem celu, jakim jest umożliwienie korzystania z określonej usługi, której abonent lub użytkownik wyraźnie zażądał. W przypadku gdy jest to technicznie możliwe i skuteczne, zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE, użytkownik może wyrazić zgodę na działanie poprzez zastosowanie odpowiednich ustawień w przeglądarce lub innej aplikacji. Egzekwowanie powyższych wymogów powinno stać się skuteczniejsze w drodze przyznania właściwym organom krajowym większych uprawnień”.
4. Rozporządzenie 2016/679
11. Zgodnie z motywem 32 rozporządzenia 2016/679:
„Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na zapytanie elektroniczne, zapytanie takie musi być jasne, zwięzłe i nie może niepotrzebnie zakłócać korzystania z usługi, której dotyczy”.
12. Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, stanowi w pkt 11:
„Na użytek niniejszego rozporządzenia:
[…]
11) »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
[…]”.
13. Artykuł 6 tego samego rozporządzenia, zatytułowany „Legalność przetwarzania”, stanowi:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
[…]”.
14. Artykuł 7 rozporządzenia 2016/679 jest zatytułowany „Warunki wyrażenia zgody”. Zgodnie z art. 7 ust. 4 „[o]ceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się między innymi, czy wykonanie umowy, w tym świadczenie usługi, jest uzależnione od zgody na przetwarzanie danych osobowych, które nie jest niezbędne do wykonania tej umowy”.
B. Prawo niemieckie
1. Niemiecki kodeks cywilny
15. Paragraf 307(9) Bürgerliches Gesetzbuch (niemieckiego kodeksu cywilnego, zwanego dalej „BGB”) stanowi:
„(1) Postanowienia w ogólnych warunków umów są bezskuteczne, jeżeli wbrew wymogowi dobrej wiary są niewspółmiernie niekorzystne dla drugiej strony umowy z użytkownikiem. Niewspółmiernie niekorzystne traktowanie może wynikać także z tego, że dane postanowienie nie jest jasne i zrozumiałe.
(2) W razie wątpliwości należy przyjąć, że ma miejsce niewspółmiernie niekorzystne traktowanie, jeśli dane postanowienie
1. nie jest zgodne z podstawowymi zasadami ustawowej regulacji, od której stanowi odstępstwo, lub
2. ogranicza istotne prawa lub obowiązki wynikające z charakteru umowy w takim stopniu, że zagraża to osiągnięciu celu umowy.
(3) Ustępy 1 i 2 oraz §§ 308 i 309 stosują się tylko do tych postanowień w ogólnych warunkach umów, na podstawie których wprowadzane są uregulowania stanowiące odstępstwo od przepisów prawnych lub ich uzupełnienie. Inne postanowienia mogą być bezskuteczne zgodnie z ust. 1 zdanie drugie w związku z ust. 1 zdanie pierwsze powyżej”.
2. Ustawa o zwalczaniu nieuczciwej konkurencji
16. Gesetz gegen den unlauteren Wettbewerb (ustawa o zwalczaniu nieuczciwej konkurencji, zwana dalej „UWG”) zakazuje praktyk handlowych, które stanowią niedopuszczalną uciążliwość dla uczestnika rynku. Paragraf 7 ust. 2 UWG przewiduje w pkt 2, że przyjmuje się, iż niedopuszczalna uciążliwość ma miejsce zawsze w przypadku reklamy telefonicznej skierowanej do konsumenta bez jego uprzedniej wyraźnej zgody lub do innego podmiotu gospodarczego bezjego przynajmniej domniemanej zgody.
3. Ustawa o telemediach
17. Paragraf 12 ust. 1 Telemediengesetz (ustawy o telemediach, zwanej dalej „TMG”) stanowi transpozycję art. 7 lit. a) dyrektywy 95/46 i określa warunki, na jakich usługodawca jest uprawniony do gromadzenia i wykorzystywania danych osobowych do celów mediów elektronicznych. Na mocy tego artykułu usługodawca jest uprawniony do gromadzenia i wykorzystywania danych osobowych do celów mediów elektronicznych, wyłącznie jeżeli zezwala na to TMG lub inny instrument prawny regulujący wyraźnie media elektroniczne lub jeżeli użytkownik wyrazi na to zgodę.
18. Paragraf 12 ust. 3 TMG przewiduje, że obowiązujące przepisy regulujące dane osobowe muszą być stosowane, nawet jeżeli dane nie są przetwarzane w sposób zautomatyzowany.
19. Paragraf 13 ust. 1 TMG zobowiązuje usługodawców do poinformowania użytkownika na początku użytkowania o charakterze, zakresie i celu przetwarzania danych osobowych, jak również celu przetwarzania danych poza zakresem zastosowania dyrektywy 95/46.
20. Paragraf 15 ust. 1 TMG przewiduje, że usługodawcy mogą gromadzić i przetwarzać dane osobowe wyłącznie na potrzeby korzystania z mediów online lub do celów wystawienia faktury dotyczącej tego korzystania („dane użytkownika”). Dane użytkownika definiuje się jako między innymi dane umożliwiające identyfikację użytkowników.
21. Paragraf 15 ust. 3 TMG transponuje art. 5 ust. 3 dyrektywy 2002/58 i upoważnia usługodawcę do ustanowienia profili użytkownika przy użyciu pseudonimów do celów reklamy, analiz rynkowych lub konfiguracji mediów elektronicznych, pod warunkiem że użytkownik nie wyrazi sprzeciwu i usługodawca poinformował użytkownika o jego prawie odmowy zgodnie z obowiązkiem dostarczenia informacji na podstawie § 13 ust. 1 TMG.
4. Federalna ustawa o ochronie danych
22. Paragraf 3 ust. 1 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych, zwanej dalej „BDSG”)(10) dokonuje transpozycji art. 2 lit. a) dyrektywy 95/46 i definiuje pojęcie „danych osobowych” jako danych dotyczących sytuacji osobistej lub rzeczowej zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
23. Paragraf 4a BDSG transponuje do prawa krajowego art. 2 lit. h) dyrektywy 95/46 i stanowi, że zgoda jest ważna, tylko jeśli wynika z wolnego wyboru zainteresowanej osoby.
III. Okoliczności faktyczne, postępowanie oraz pytania prejudycjalne
24. W dniu 24 września 2013 r. Planet49 GmbH zorganizowała loterię promocyjną pod adresem internetowym www.dein‑macbook.de(11). W celu wzięcia udziału w loterii internauta musiał wprowadzić swój kod pocztowy, który wywoływał stronę zawierającą pola do podania nazwy i adresu użytkownika. Pod polami, w których należało wpisać adres, znajdowały się teksty dwóch oświadczeń wraz z okienkami wyboru. Będę odnosić się do nich jako „pierwszego okienka wyboru” i „drugiego okienka wyboru”. Tekst pierwszego oświadczenia, przy którym okienko wyboru nie było domyślnie zaznaczone, brzmiał następująco:
„Wyrażam zgodę na informowanie mnie przez niektórych sponsorów i partnerów listownie lub telefonicznie, lub e‑mailem/SMS‑em o ofertach z obszaru ich działalności. Sponsorów i partnerów mogę wybrać niniejszym samodzielnie, w przeciwnym razie wyboru dokona organizator. Zgodę mogę w dowolnym momencie wycofać. Dalsze informacje znajdują się tu”.
25. Tekst drugiego oświadczenia, który był domyślnie zaznaczony, brzmiał następująco:
„Wyrażam zgodę na stosowanie wobec mnie usługi analizy internetowej Remintrex. Skutkuje to tym, że organizator loterii, Planet49 GmbH, po zarejestrowaniu uczestnika w loterii instaluje pliki cookie. Umożliwi to Planet49 ocenę mojego zachowania w zakresie odwiedzania i korzystania ze stron internetowych partnerów reklamowych i dopasowanie reklam do moich preferencji przez Remintrex. Pliki cookie mogę usunąć w dowolnym czasie. Więcej na ten temat przeczytacie Państwo tu”.
26. Udział w loterii był możliwy tylko wówczas, gdy zaznaczone zostało przynajmniej pierwsze okienko wyboru.
27. Link w tekście pierwszego oświadczenia umieszczony pod słowami „sponsorzy i partnerzy” oraz „tu” odsyłał do listy 57 przedsiębiorstw, która zawierała ich adresy, obszar działalności będący przedmiotem reklamy oraz określała sposób komunikacji (e‑mail, poczta lub telefon) używany dla celów reklamy, a także umieszczone po nazwie każdego przedsiębiorstwa podkreślone słowo „Rezygnacja”. Lista była poprzedzona następującym oświadczeniem:
„Poprzez kliknięcie linku »Rezygnacja« decyduję, że danemu partnerowi/sponsorowi nie może zostać udzielona zgoda na cele reklamowe. Jeżeli nie zrezygnuję z żadnego bądź zrezygnuję z niewystarczającej liczby partnerów/sponsorów, wyboru według własnego uznania dokona za mnie Planet49 (maksymalna liczba: 30 partnerów/sponsorów)”.
28. W przypadku kliknięcia na link umieszczony pod słowem „tu” w tekście drugiego oświadczenia pojawiały się następujące informacje:
„Instalowane pliki cookie o nazwach ceng_cache, ceng_etag, ceng_png i gcr są małymi zbiorami danych zapisywanymi na twardym dysku przez przeglądarkę, której używasz, które przekazują informacje umożliwiające bardziej efektywną i przyjazną użytkownikowi reklamę. Pliki cookie zawierają określony losowo wygenerowany numer (ID), który jest jednocześnie przyporządkowany do Twoich danych rejestrowych. Jeżeli odwiedzisz następnie stronę internetową zarejestrowanego w Remintrex partnera reklamowego (informacje o tym, czy jest on zarejestrowany, znajdziesz w oświadczeniu o ochronie danych partnera reklamowego), zainstalowany tam program iFrame Remintrexu automatycznie zarejestruje, że odwiedziłeś (tj. użytkownik o zapisanym ID) stronę, jakim produktem byłeś zainteresowany i czy doszło do zawarcia umowy.
Na podstawie udzielonej przy rejestracji do udziału w konkursie z nagrodami zgody na otrzymywanie reklam Planet 49 GmbH może Ci następnie przesyłać e‑maile reklamowe, które uwzględniają preferencje ujawnione na stronie internetowej partnera reklamowego. W przypadku cofnięcia zgody na przesyłanie reklam nie otrzymasz już oczywiście żadnych e‑maili z reklamami.
Informacje dostarczone przez pliki cookie będą używane wyłącznie w celu reklamowania produktów partnerów reklamowych. Informacje będą zbierane, przechowywane i używane odrębnie dla każdego partnera reklamowego. W żadnym wypadku nie będą tworzone profile użytkownika dla kilku partnerów reklamowych. Żadne dane osobowe nie zostaną przekazane poszczególnym partnerom reklamowym.
Jeżeli nie będziesz dłużej zainteresowany używaniem plików cookie, będziesz mógł je w dowolnym momencie usunąć w swojej przeglądarce. Instrukcje znajdziesz w opcji »Pomoc« w przeglądarce.
Pliki cookie nie uruchamiają programów ani nie przenoszą wirusów.
Oczywiście masz możliwość cofnięcia niniejszej zgody w dowolnym momencie. Cofnięcie zgody możesz wysłać w formie pisemnej do PLANET49 GmbH [adres]. Wystarczy jednak także e‑mail do naszego serwisu klientów [adres e‑mail]”.
29. Powód w postępowaniu głównym – Bundesverband der Verbraucherzentralen (federalny związek central konsumenckich) – jest wpisany na listę kwalifikowanych podmiotów zgodnie z Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (ustawą o powództwach o zaniechanie naruszeń praw konsumentów i innych naruszeń, zwaną dalej „UKlaG”). Zdaniem Bundesverband cytowane oświadczenia o wyrażeniu zgody stosowane przez Planet49 nie spełniały wymogów określonych w § 307 BGB, § 7 ust. 2 pkt 2, § 12 i nast. UWG i § 12 i nast. TMG. Przedsądowe wezwanie do zaprzestania naruszeń okazało się bezskuteczne.
30. Bundesverband wniósł pozew do Landgericht Frankfurt am Main (sądu okręgowego we Frankfurcie nad Menem, Niemcy), domagając się od Planet49 zaprzestania używania wspomnianych powyżej klauzul(12) i zasądzenia od tej spółki zapłaty na jego rzecz kwoty 214 EUR wraz z odsetkami od dnia 15 marca 2014 r.
31. Landgericht Frankfurt am Main (sąd okręgowy we Frankfurcie nad Menem) dopuścił niektóre żądania do rozpatrzenia, a w pozostałej części oddalił żądania pozwu. W następstwie odwołania co do istoty(13) do Oberlandesgericht Frankfurt am Main (wyższego sądu krajowy we Frankfurcie nad Menem, Niemcy) do Bundesgerichtshof (federalnego trybunału sprawiedliwości) wniesiono środek zaskarżenia dotyczący kwestii prawnych(14).
32. Bundesgerichtshof (federalny trybunał sprawiedliwości) uważa, że uwzględnienie środka zaskarżenia dotyczącego kwestii prawnych zależy od wykładni art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 oraz z art. 6 ust. 1 lit. a) rozporządzenia 2016/679. Zwrócił się on do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) a) Czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, w sytuacji gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody?
b) Czy na stosowanie art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 ma wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?
c) Czy w okolicznościach określonych w pytaniu prejudycjalnym 1 lit. a) została wyrażona skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a) rozporządzenia 2016/679?
2) Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z art. 5 ust. 3 dyrektywy 2002/58? Czy informacje te obejmują również czas działania plików cookie oraz kwestię dostępu osób trzecich do plików cookie?”.
33. Postanowienie odsyłające wpłynęło do Trybunału w dniu 30 listopada 2017 r. Uwagi na piśmie zostały przedstawione Trybunałowi przez Planet49, Bundesverband, rządy portugalski i włoski oraz Komisję Europejską. W dniu 13 listopada 2018 r. odbyła się rozprawa, w której uczestniczyli Planet49, Bundesverband, rząd niemiecki oraz Komisja.
IV. Ocena
34. Oba pytania przedstawione przez Bundesgerichtshof (federalny trybunał sprawiedliwości) w trybie prejudycjalnym dotyczą udzielania zgody na przechowywanie informacji i uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika, to znaczy do plików cookie, w szczególnym kontekście przepisów dyrektywy 2002/58 w związku z przepisami dyrektywy 95/46 lub rozporządzenia 2016/679.
35. Uważam za przydatne przedstawienie tytułem uwag wstępnych rzeczowych wyjaśnień na temat plików cookie i związanej z nimi terminologii, jak również wyjaśnień prawnych co do instrumentów prawnych mających zastosowanie w niniejszej sprawie.
A. Uwagi wstępne
1. W przedmiocie plików cookie
36. Plik cookie jest sposobem na gromadzenie informacji generowanych przez stronę internetową i zapisywanych przez przeglądarkę internauty(15). Jest to niewielki zbiór danych lub tekst, zwykle o wielkości mniejszej niż jeden kilobajt; na stronie internetowej pojawia się skierowany do internauty komunikat o żądaniu zapisania pliku cookie na lokalnym twardym dysku komputera lub urządzenia mobilnego użytkownika(16).
37. Plik cookie pozwala stronie internetowej „zapamiętać” działania lub preferencje użytkownika przez pewien czas. Większość przeglądarek internetowych obsługuje pliki cookie, ale użytkownicy mogą ustawić w swoich przeglądarkach ich odrzucanie. Mogą oni również je usunąć, kiedy tylko chcą. Faktycznie wielu użytkowników wybiera takie ustawienia plików cookie w swoich przeglądarkach, by automatycznie usuwały one pliki cookie domyślnie przy zamykaniu okna przeglądarki. Niemniej jednak dowody empiryczne pokazują jednoznacznie, że ludzie rzadko zmieniają ustawienia domyślne, na które to zjawisko ukuto termin „domyślna inercja”(17).
38. Strony internetowe wykorzystują pliki cookie do celów identyfikacji użytkowników, zapamiętywania ich zwyczajowych preferencji i umożliwiania użytkownikom wypełniania zadań bez konieczności ponownego wprowadzania informacji, kiedy przy przeglądaniu zmieniają strony lub gdy później wchodzą na stronę.
39. Pliki cookie mogą być używane również do gromadzenia informacji na potrzeby ukierunkowanej reklamy i marketingu online opartych na zachowaniu(18). Przedsiębiorstwa używają na przykład programów do śledzenia zachowań użytkowników i tworzenia profilów osobistych, które umożliwiają pokazywanie użytkownikom reklam odpowiednich do poprzednich wyszukiwań użytkownika(19).
40. Istnieją różne rodzaje plików cookie, niektóre z nich są klasyfikowane odpowiednio do ich żywotności (np. pliki cookie sesyjne i trwałe), a inne oparte są na domenie, do której należy plik cookie (np. pliki cookie domeny odwiedzanej i domen trzecich)(20). Kiedy serwer dostarczający stronę internetową zapisuje pliki cookie na komputerze lub urządzeniu mobilnym użytkownika, określane są one jako „http header cookie”(21). Inny rodzaj zapisywania plików cookie ma miejsce w ramach skryptu JavaScript, który jest zawarty na tej stronie lub do którego ona odsyła(22). Ważność zgody na umieszczenie plików cookie i zastosowanie jakichkolwiek istotnych wyłączeń należy jednak oceniać raczej w oparciu o cel pliku cookie niż charakterystykę techniczną(23).
2. W przedmiocie mających zastosowanie instrumentów prawnych
41. Ramy prawne mające zastosowanie w postępowaniu głównym zmieniały się przez lata, prowadząc ostatnio do wejścia w życie rozporządzenia 2016/679.
42. Dwa zestawy instrumentów prawnych Unii mają zastosowanie do rozpatrywanej sprawy. Po pierwsze, dyrektywa 95/46 i rozporządzenie 2016/679. Po drugie, dyrektywa 2002/58, zmieniona dyrektywą 2009/136(24).
43. Chciałbym uczynić dwie uwagi w odniesieniu do tych dwóch zestawów instrumentów.
44. Pierwsza uwaga dotyczy stosowania przepisów dyrektywy 95/46 i rozporządzenia 2016/679.
45. Rozporządzenie 2016/679, które ma zastosowanie od dnia 25 maja 2018 r.(25), uchyliło dyrektywę 95/46 z tym samym dniem(26).
46. Data 25 maja 2018 r. jest późniejsza niż data ostatniej rozprawy przed sądem odsyłającym w dniu 14 lipca 2017 r., a także niż dzień 5 października 2017 r., kiedy niniejsza sprawa została skierowana do Trybunału Sprawiedliwości w celu wydania orzeczenia w trybie prejudycjalnym.
47. Zatem w odniesieniu do sytuacji przed dniem 25 maja 2018 r. zastosowanie ma dyrektywa 2002/58 w związku z dyrektywą 95/46, natomiast w odniesieniu do sytuacji od dnia 25 maja 2018 r. – dyrektywa 2002/58 w związku z rozporządzeniem 2016/679.
48. W zakresie, w jakim Bundesverband zmierza poprzez podniesione roszczenie(27) do tego, aby Planet49 nie zachowywała się w przyszłości tak jak do tego czasu, zastosowanie w niniejszej sprawie ma rozporządzenie nr 2016/679. W orzeczeniu dotyczącym podniesionego roszczenia w odniesieniu do przyszłości Bundesgerichtshof (federalny trybunał sprawiedliwości) będzie zatem musiał uwzględnić wymogi rozporządzenia 2016/679. W tym kontekście rząd niemiecki wskazuje na utrwalone orzecznictwo krajowe dotyczące odpowiedniego stanu prawnego w ramach powództw o zaniechanie(28).
49. Należy zatem udzielić odpowiedzi na zadane pytanie zarówno w świetle dyrektywy 95/46, jak i rozporządzenia 2016/679(29).
50. Ponadto należy zauważyć, że zawarte w dyrektywie 2002/58 odniesienia do dyrektywy 95/46 należy traktować jako odniesienia do rozporządzenia nr 2016/679(30).
51. Druga uwaga dotyczy zmian art. 5 ust. 3 dyrektywy 2002/58.
52. Dyrektywa 2002/58 dąży do zapewnienia pełnego poszanowania praw określonych w Karcie praw podstawowych Unii Europejskiej, a w szczególności w jej art. 7 i 8(31). Artykuł 5 tej dyrektywy zmierza do zapewnienia „poufności komunikacji”. W szczególności art. 5 ust. 3 reguluje wykorzystanie plików cookie i określa wymogi, jakie należy spełnić, zanim dane będą mogły być przechowywane lub dostępne na komputerze użytkownika poprzez ustawienia pliku cookie.
53. Dyrektywa 2009/136 wprowadziła istotne zmiany do wymogów dotyczących zgody na podstawie art. 5 ust. 3 dyrektywy 2002/58 w celu zwiększenia ochrony użytkowników. Przed zmianami wprowadzonymi przez tę dyrektywę art. 5 ust. 3 wymagał jedynie, by użytkownicy byli poinformowani o prawie do odmowy przetwarzania danych za pomocą plików cookie. Innymi słowy – zgodnie z pierwotną wersją art. 5 ust. 3 w przypadku przechowywania informacji na urządzeniu końcowym użytkownika lub uzyskania dostępu do przechowywanych tam informacji usługodawca musiał poinformować użytkownika w sposób jasny i wyczerpujący w szczególności o celach przetwarzania i zaoferować użytkownikowi prawo do odmówienia zgody na takie przetwarzanie.
54. Dyrektywa 2009/136 zastąpiła ten wymóg poinformowania o prawie do odmowy wymogiem, aby „abonent lub użytkownik wyraził zgodę”, co oznacza, że zastąpiła ona łatwiejszy do spełnienia system świadomego opt‑out systemem świadomego opt‑in. Z zastrzeżeniem bardzo ograniczonego wyjątku, który nie ma zastosowania w niniejszej sprawie(32), wykorzystanie plików cookie na mocy zmienionego art. 5 ust. 3 dyrektywy 2002/58 jest dozwolone tylko wtedy, gdy użytkownik wyrazi na to zgodę, po otrzymaniu jasnych i wyczerpujących informacji zgodnie z dyrektywą 95/46 o tym, dlaczego jego dane są śledzone, czyli o celach przetwarzania(33).
55. Jak będzie można zobaczyć bardziej szczegółowo poniżej, zakres obowiązku udzielenia informacji na podstawie art. 5 ust. 3 dyrektywy 2002/58 leży u podstaw spornej kwestii, w szczególności w kontekście domyślnych ustawień dla aktywności online.
B. Pytanie pierwsze
56. Poprzez pytanie 1 lit. a) sąd odsyłający zmierza do ustalenia, czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, w sytuacji gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody. W tym kontekście sąd odsyłający zastanawia się, czy ma znaczenie to, czy przechowywane lub udostępniane informacje stanowią dane osobowe [pytanie 1 lit. b)]. Wreszcie sąd odsyłający chciałby się dowiedzieć, czy w okolicznościach opisanych powyżej ma miejsce skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a) rozporządzenia nr 2016/679 [pytanie 1 lit. c)].
1. W przedmiocie dobrowolnej i świadomej zgody
57. Podstawową kwestią unijnego prawa ochrony danych leżących jest kwestia zgody.
58. Przed zbadaniem szczegółowych kwestii plików cookie chciałbym ustalić ogólne zasady wynikające z mających zastosowanie aktów prawnych dotyczących wyrażenia zgody.
a) Dyrektywa 95/46
1) Czynna zgoda
59. Wnioskuję z przepisów dyrektywy 95/46, że zgoda musi być wyrażona w sposób czynny(34).
60. Artykuł 2 lit. h) dyrektywy 95/46 odnosi się do wskazania woli przez osobę, którą dane dotyczą, co wyraźnie sugeruje zachowanie czynne, a nie bierne. Ponadto art. 7 lit. a) dyrektywy 95/46, który odnosi się do kryteriów legalności przetwarzania danych (osobowych), stanowi, że osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę. Również tu niejednoznaczność można usunąć wyłącznie poprzez zachowanie czynne, a nie bierne.
61. Wnioskuję z tego, że nie wystarczy w tym względzie, by oświadczenie o wyrażeniu zgody użytkownika było już sformułowane w gotowy sposób i by użytkownik musiał czynnie wyrazić sprzeciw, w sytuacji gdy nie zgadza się na przetwarzanie danych.
62. W tym ostatnim przypadku nie wiadomo bowiem, czy taki sformułowany na gotowo tekst został przeczytany i przemyślany. Sytuacja nie jest jednoznaczna. Użytkownik mógł przeczytać tekst albo nie. Mógł tego nie zrobić z czystego zaniedbania. W takiej sytuacji nie jest możliwe ustalenie, czy zgoda została udzielona dobrowolnie.
2) Odrębna zgoda
63. Ściśle powiązany z wymogiem czynnej zgody jest wymóg odrębnej zgody(35).
64. Można argumentować, tak jak Planet49, że osoba, której dane dotyczą, udziela skutecznej zgody nie wtedy, gdy nie usuwa zaznaczenia z okienka sformułowanego w gotowy sposób oświadczenia o wyrażeniu zgody, ale kiedy aktywnie „klika” przycisk udziału w loterii online.
65. Nie podzielam takiej interpretacji.
66. Aby udzielenie zgody było „dobrowolne” i „świadome”, musi ono nie tylko być czynne, ale także odrębne. Aktywność prowadzona przez użytkownika w Internecie (czytanie strony internetowej, udział w loterii, oglądanie filmów wideo itp.) i udzielanie zgody nie mogą stanowić części tego samego aktu. W szczególności z punktu widzenia użytkownika wyrażenie zgody nie może mieć charakteru pomocniczego w stosunku do udziału w loterii. Te dwa działania muszą być przedstawiane, w szczególności optycznie, na równym poziomie. W rezultacie wydaje mi się wątpliwe, by pakiet oświadczeń, który obejmowałyby wyrażenie zgody, był zgodny z pojęciem zgody na podstawie dyrektywy 95/46.
3) Obowiązek pełnego poinformowania
67. W tym kontekście użytkownikowi należy udzielić absolutnie jednoznacznej informacji, czy aktywność prowadzona przez niego w Internecie jest uzależniona od wyrażenia zgody. Użytkownik musi być w stanie ocenić, do jakiego stopnia jest gotowy do przekazania swoich danych w celu kontynuowania swojej aktywności w Internecie. Nie może tu być miejsca na jakąkolwiek niejednoznaczność(36). Użytkownik musi wiedzieć, czy wyrażenie przez niego zgody ma wpływ na prowadzenie jego aktywności w Internecie, a jeżeli tak, to w jakim zakresie.
b) Rozporządzenie 2016/679
68. Zasady określone powyżej są równie ważne w odniesieniu do rozporządzenia 2016/679.
69. Artykuł 4 pkt 11 rozporządzenia 2016/679 definiuje „zgodę” osoby, której dane dotyczą, jako każde dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
70. Należy zauważyć, że definicja ta jest węższa niż w art. 2 lit. h) dyrektywy 95/46, gdyż wymaga ona jednoznacznego okazania woli przez osobę, której dane dotyczą, i wyraźnego działania potwierdzającego oznaczającego zgodę na przetwarzanie danych osobowych.
71. Ponadto szczególnie pouczające są motywy rozporządzenia 2016/679. Jako że dokonam obszernego odniesienia do tych motywów(37), uważam za konieczne przypomnieć, że oczywiście nie mają one same w sobie mocy prawnej(38), jednak Trybunał często odwołuje się do nich przy wykładni przepisów aktu prawa Unii. W porządku prawnym Unii mają one charakter opisowy, a nie normatywny. Kwestia ich mocy prawnej normalnie nie pojawia się z tej prostej przyczyny, że zazwyczaj treść motywów zostaje odzwierciedlona w części normatywnej dyrektywy. Zasady dobrej praktyki stanowienia prawa przez instytucje polityczne Unii zmierzają do osiągnięcia sytuacji, w której motywy preambuły będą stanowić użyteczne uwarunkowania części normatywnej(39).
72. Zgodnie z motywem 32 rozporządzenia 2016/679 zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
73. Tak więc czynna zgoda jest obecnie wyraźnie przewidziana przez rozporządzenie 2016/679.
74. Ponadto w motywie 43 tego rozporządzenia jest mowa o tym, że aby zapewnić dobrowolność udzielenia zgody, zgoda ta nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
75. Potrzeba odrębnej zgody jest zatem obecnie wyraźnie podkreślona w tym motywie.
c) Dyrektywa 2002/58 – przypadek plików cookie
76. Zgodnie z art. 5 ust. 3 dyrektywy 2002/58 państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46 po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.
77. Przepis ten nie ustanawia żadnych dalszych kryteriów w odniesieniu do pojęcia zgody.
78. Niemniej motywy dyrektywy 2002/58 oraz dyrektywy 2009/136 udzielają wskazówek co do wyrażenia zgody w odniesieniu do plików cookie.
79. I tak motyw 17 dyrektywy 2002/58 wskazuje, że zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okienka wyboru podczas przeglądania witryny internetowej(40).
80. Ponadto motyw 66 dyrektywy 2009/136 wyjaśnia nadrzędne znaczenie przekazywania użytkownikom jasnych i wyczerpujących informacji, gdy podejmują jakiekolwiek działania, które mogłyby skutkować przechowywaniem informacji o sprzęcie użytkownika lub uzyskaniem dostępu do informacji już przechowywanej, oraz że metody dostarczania informacji oraz oferowania prawa do odmowy powinny być jak najbardziej przyjazne dla użytkownika.
81. W tym kontekście chciałbym również wskazać na niewiążące, ale mimo to pouczające wyniki prac grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych utworzonej na podstawie art. 29 (zwanej dalej „grupą roboczą z art. 29”)(41), zgodnie z którymi zgoda wymaga uprzedniego działania potwierdzającego ze strony użytkowników na przechowywanie i wykorzystywanie pliku cookie(42). Grupa robocza zaznacza, że pojęcie „wskazania” oznacza konieczność działania(43). Interpretację tę wspierają inne elementy definicji zgody oraz dodatkowy wymóg w art. 7 lit. a) dyrektywy 95/46, by zgoda była jednoznaczna(44). Wymóg, by osoba, której dane dotyczą, „wyraziła” przyzwolenie, wskazuje na to, że zwykła bezczynność nie jest wystarczająca i że konieczne jest podjęcie jakieś rodzaju działania, aby wyrazić zgodę, choć możliwe są różne rodzaje działania, które należy oceniać „w kontekście”(45).
2. Zastosowanie do rozpatrywanej sprawy
82. Teraz chciałbym zastosować te kryteria do rozpatrywanej sprawy. Przy tym w pierwszej kolejności zajmę się pytaniami 1 lit. a) i c), to znaczy pytaniem, czy miała miejsce skuteczna zgoda w odniesieniu do ustawień plików cookie i dostępu do nich. Dotyczy to drugiego okienka wyboru.
83. Co więcej, mając na uwadze – jak właśnie ustalono – że wymagania dotyczące zgody nie różnią się w znacznym stopniu jeżeli chodzi o pliki cookie i bardziej ogólnie przetwarzanie danych osobowych, uważam, że dla celów zarówno kompletności, jak i jasności – chociaż sąd odsyłający nie zawraca się wyraźnie o wyjaśnienie tej kwestii – dla prawidłowej i jednolitej interpretacji prawa Unii konieczne jest przeprowadzenie krótkiej analizy, czy została udzielona skutecznie zgoda na przetwarzanie danych osobowych w kontekście pierwszego okienka wyboru. Rozumiem również, że w kontekście prowadzonego przed nim postępowania Bundesgerichtshof (federalny trybunał sprawiedliwości) będzie musiał orzec w sprawie pierwszego okienka wyboru(46).
a) Drugie okienko wyboru – pytanie 1 lit. a) i c)
84. Sąd odsyłający zwraca się o ustalenie, czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, w sytuacji gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okna wyboru, które użytkownik musi odznaczyć w celu odmowy wyrażenia zgody.
85. Kluczowe wyrażenia art. 2 lit. h) dyrektywy 95/46 i art. 4 pkt 11 rozporządzenia 2016/679 dla celów tego pytania to „dobrowolne” i „świadome”. Powstaje pytanie, czy w sytuacji takiej jak opisana przez sąd odsyłający zgoda może być udzielona dobrowolnie i świadomie.
86. Planet49 uważa, że tak jest. Wszyscy pozostali uczestnicy(47) się z tym nie zgadzają. W tym kontekście spór prawny skupia się głównie na tym, czy zaznaczenie lub odznaczenie okienka wyboru zawierającego już domyślne zaznaczenie spełnia te wymogi. Dyskusja toczy się wokół kwestii czynności i bierności. Niemniej aspekt ten, jakkolwiek istotny, stanowi jedynie część wymogów. Do niego odnosi się jedynie wymóg czynnej, ale nie odrębnej zgody.
87. Moim zdaniem na podstawie kryteriów ustalonych powyżej odpowiedź brzmi, że w rozpatrywanej sprawie brak jest skutecznej zgody.
88. Po pierwsze, wymaganie od użytkownika, by dokonał usunięcia zaznaczenia okienka i w związku z tym stał się aktywny, jeżeli nie wyraża zgody na instalowanie plików cookie, nie spełnia kryterium czynnej zgody. W takiej sytuacji praktycznie niemożliwe jest obiektywne określenie, czy użytkownik wyraził zgodę w drodze dobrowolnej i świadomej decyzji. Natomiast wymaganie od użytkownika zaznaczenia okienka wyboru czyni takie stwierdzenie dużo bardziej prawdopodobnym.
89. Po drugie – i co ważniejsze – udział w loterii internetowej i udzielenie zgody na instalowanie plików cookie nie mogą stanowić części tego samego aktu. Taka jednak właśnie sytuacja ma miejsce w niniejszym postępowaniu. Użytkownik dokonuje ostatecznie wyłącznie jednego kliknięcia przycisku udziału w celu wzięcia udziału w loterii, a jednocześnie wyraża on zgodę na zainstalowanie plików cookie. Wyrażenie dwóch zamiarów (udział w loterii i zgoda na zainstalowanie plików cookie) odbywa się w tym samym czasie. Te dwa zamiary nie mogą być realizowane jednocześnie poprzez użycie tego samego przycisku udziału. W niniejszej sprawie wyrażenie zgody na pliki cookie wydaje się mieć charakter pomocniczy, w tym znaczeniu, że w żaden sposób nie jest oczywiste, że stanowi ono część odrębnego aktu. Innymi słowy – (nie)zaznaczenie okienka wyboru plików cookie wygląda jak akt przygotowawczy do ostatecznego i prawnie wiążącego aktu, którym jest kliknięcie przycisku udziału.
90. W takiej sytuacji użytkownik nie jest w stanie dobrowolnie wyrazić odrębnej zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w jego urządzeniu końcowym.
91. Ponadto ustalono powyżej, że udział w loterii był możliwy tylko wtedy, gdy co najmniej pierwsze okienko wyboru zostało zaznaczone. W rezultacie udział w loterii nie był uzależniony(48) od udzielenia zgody na instalację plików cookie i uzyskanie dostępu do nich. Użytkownik mógł również zaznaczyć (jedynie) pierwsze okienko wyboru.
92. Niemniej według mojej najlepszej wiedzy użytkownika w ogóle o tym nie poinformowano. Nie spełnia to ustalonych powyżej kryteriów dotyczących pełnego informowania użytkowników.
93. Podsumowując: proponowana przeze mnie odpowiedź na pytanie 1 lit. a) i c) brzmi, że jest brak skutecznej zgody w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 w sytuacji takiej w postępowaniu głównym, w której zgoda na przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika jest uzyskiwana w drodze zaakceptowania domyślnie zaznaczonego okienka wyboru, z którego użytkownik, aby odmówić zgody, musi usunąć zaznaczenie, i w której zgoda nie jest udzielana odrębnie, ale jednocześnie, jako potwierdzenie udziału w loterii online. To samo dotyczy wykładni art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 4 pkt 11 rozporządzenia 2016/679.
b) Pierwsze okienko wyboru
94. Choć pytania sądu odsyłającego dotyczą jedynie drugiego okienka wyboru, chciałbym poczynić dwie konkretne uwagi w odniesieniu do pierwszego okienka wyboru, które mogą pomóc sądowi odsyłającemu w przyjęciu ostatecznego rozstrzygnięcia.
95. Dla przypomnienia: pierwsze okienko wyboru nie dotyczy plików cookie, ale wyłącznie przetwarzania danych osobowych. Użytkownik zgadza się tutaj nie na przechowywanie informacji na jego urządzeniu, lecz (jedynie) na kontaktowanie się z nim przez szereg przedsiębiorstw pocztą, telefonicznie lub przez wiadomości elektroniczne.
96. Po pierwsze, kryteria dotyczące czynnej i odrębnej zgody i pełnego informowania w oczywisty sposób mają również zastosowanie do pierwszego okienka wyboru. Czynna zgoda nie wydaje się stanowić problemu, ponieważ okienko wyboru nie jest zaznaczone domyślnie. Mam natomiast pewne wątpliwości co do odrębności zgody. W świetle analizy przeprowadzonej powyżej(49) w odniesieniu do stanu faktycznego w niniejszej sprawie byłoby lepiej, gdyby istniał, mówiąc obrazowo, odrębny przycisk, który należy kliknąć(50), a nie tylko okienko do zaznaczenia, aby wyrazić zgodę na przetwarzanie danych osobowych.
97. Po drugie, jeśli chodzi o pierwsze okienko wyboru, dotyczące kontaktu ze strony sponsorów i partnerów współpracujących, należy odnieść się do art. 7 ust. 4 rozporządzenia nr 2016/679. Zgodnie z tym przepisem przy ocenie, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się między innymi, czy wykonanie umowy, w tym świadczenie usługi, jest uzależnione od zgody na przetwarzanie danych osobowych, które nie jest niezbędne do wykonania tej umowy. Artykuł 7 ust. 4 rozporządzenia nr 2016/679 kodyfikuje zatem obecnie „zakaz ofert wiązanych”(51).
98. Jak wynika z wyrażenia „w jak największym stopniu uwzględnia się”, ten zakaz ofert wiązanych nie ma charakteru bezwzględnego(52).
99. W niniejszej sprawie do właściwego sądu należeć będzie dokonanie oceny, czy zgoda na przetwarzanie danych osobowych jest niezbędna do udziału w grze losowej. W tym względzie należy pamiętać, że podstawowym celem uczestnictwa w loterii jest „sprzedaż” danych osobowych (tj. zgoda na nawiązanie kontaktu przez tzw. sponsorów w celach reklamowych). Innymi słowy właśnie dostarczenie danych osobowych stanowi główne zobowiązanie użytkownika decydującego się wziąć udział w grze losowej. W takiej sytuacji wydaje mi się, że przetwarzanie tych danych osobowych jest konieczne do udziału w loterii(53).
3. W przedmiocie danych osobowych [pytanie 1 lit. b)]
100. Chciałbym zbadać teraz, czy dla stosowania art. 5 ust. 3 oraz art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 ma znaczenie, czy przechowywane lub pobierane informacje są danymi osobowymi.
101. To pytanie można zrozumieć najlepiej w kontekście prawa niemieckiego transponującego art. 5 ust. 3 dyrektywy 2002/58(54). Prawo niemieckie wprowadza bowiem rozróżnienie między gromadzeniem i wykorzystywaniem danych osobowych i innych danych.
102. Zgodnie z § 12 ust. 1 TMG usługodawca może gromadzić i wykorzystywać dane osobowe tylko wtedy, gdy, między innymi, użytkownik wyraził na to zgodę.
103. Natomiast zgodnie z § 15 ust. 3 TMG usługodawca może tworzyć profile użytkowników za pomocą pseudonimów między innymi do celów reklamy i badań rynkowych, pod warunkiem że użytkownik się temu nie sprzeciwi. W zakresie, w jakim dane osobowe nie są wykorzystywane, w prawie niemieckim wymóg jest zatem mniej rygorystyczny: nie jest wymagana zgoda, lecz jedynie brak sprzeciwu.
104. Dane osobowe zgodnie z definicją legalną w art. 4 pkt 1 rozporządzenia 2016/679 oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
105. Myślę, że nie ma wątpliwości, iż w zakresie, w jakim dotyczy to niniejszej sprawy, „informacje”, do których odnosi się art. 5 ust. 3 dyrektywy 2002/58, stanowią „dane osobowe”. Taki też wydaje się być pogląd sądu odsyłającego, który wyraźnie stwierdza w postanowieniu odsyłającym, że dostęp do danych z plików cookie używanych przez pozwaną wymaga uzyskania zgody przewidzianej w § 12 ust. 1 TMG, gdyż dane, których to dotyczy, są danymi osobowymi(55). Zresztą dla stron postępowania głównego nie jest sporne, że zajmujemy się tutaj danymi osobowymi.
106. Można się zatem zastanawiać nad znaczeniem tego pytania dla niniejszej sprawy i nad tym, czy pytanie to nie jest hipotetyczne(56).
107. Tak czy inaczej uważam, że odpowiedź na to pytanie jest dość prosta: nie ma znaczenia, czy przechowywane lub udostępniane informacje stanowią dane osobowe. Artykuł 5 ust. 3 dyrektywy 2002/58 odnosi się do „przechowywania informacji lub uzyskania dostępu do informacji [już] przechowywanej”(57). Jest jasne, że każda taka informacja ma aspekt prywatności, niezależnie od tego, czy stanowi ona „dane osobowe” w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679. Jak słusznie podkreśliła Komisja, art. 5 ust. 3 dyrektywy 2002/58 ma na celu ochronę użytkownika przed ingerencją w sferę prywatną bez względu na to, czy ingerencja ta obejmuje dane osobowe, czy inne dane.
108. Taką interpretację art. 5 ust. 3 dyrektywy 2002/58 potwierdzają ponadto motywy 24(58) i 25(59) tej dyrektywy, jak również opinie grupy roboczej z art. 29. Otóż zdaniem tej grupy roboczej „art. 5 ust. 3 ma zastosowanie do »informacji« (przechowywanych lub udostępnianych). Nie kwalifikuje on takich informacji. Przesłanką stosowania tego przepisu nie jest to, by informacje te stanowiły dane osobowe w rozumieniu dyrektywy 95/46”(60).
109. W rezultacie wydaje się, że § art. 15 ust. 3 TMG nie dokonuje pełnej transpozycji wymogów art. 5 ust. 3 dyrektywy 2002/58 do prawa niemieckiego(61).
110. Proponuję zatem odpowiedzieć na pytanie 1 lit. b), że dla celów stosowania art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 nie ma znaczenia, czy przechowywane lub udostępniane informacje są danymi osobowymi.
C. W przedmiocie pytania drugiego
111. Poprzez pytanie drugie sąd odsyłający zmierza do ustalenia, jakich informacji musi udzielić usługodawca w zakresie wymogu dostarczenia użytkownikowi jasnych i wyczerpujących informacji zgodnie z art. 5 ust. 3 dyrektywy 2002/58 i czy obejmuje to czas działania plików cookie oraz to, czy dostęp do plików cookie uzyskują strony trzecie.
1. W przedmiocie jasnych i wyczerpujących informacji
112. Artykuły 10 i 11 dyrektywy 95/46 (i art. 13 i 14 rozporządzenia 2016/679) określają obowiązek przekazywania informacji osobom, których dane dotyczą. Obowiązek informowania jest powiązany ze zgodą w ten sposób, że zawsze muszą istnieć informacje, zanim będzie można udzielić zgody.
113. Z uwagi na bliskość konceptualną użytkownika (i dostawcy) Internetu oraz konsumenta (i przedsiębiorcy)(62) można na tym etapie posłużyć się pojęciem przeciętnego konsumenta, który jest właściwie poinformowany oraz dostatecznie uważny i rozsądny(63) i który jest w stanie podjąć decyzję o świadomym zobowiązaniu(64).
114. Jednakże ze względu na techniczną złożoność plików cookie asymetria informacji między dostawcą a użytkownikiem, a bardziej ogólnie ze względu na stosunkowy brak wiedzy każdego przeciętnego użytkownika Internetu, nie można oczekiwać od przeciętnego użytkownika Internetu wysokiego poziomu wiedzy o działaniu plików cookie.
115. Jasne i wyczerpujące informacje wymagają zatem, by użytkownik był w stanie łatwo określić skutki jakiejkolwiek zgody, której może udzielić. W tym celu musi on być w stanie ocenić skutki swoich działań. Podane informacje muszą być wyraźnie zrozumiałe i nie podlegać wątpliwościom lub interpretacji. Muszą być one wystarczająco dokładne, aby umożliwić użytkownikowi zrozumienie funkcjonowania plików cookie, które są faktycznie wykorzystywane.
116. Obejmuje to, jak słusznie sugeruje sąd odsyłający, zarówno czas działania plików cookie, jak i to, czy osoby trzecie uzyskują do nich dostęp.
2. Informacje na temat czasu działania plików cookie
117. Zgodnie z motywami 23 i 26 dyrektywy 2002/58 czas działania plików cookie jest elementem wymogu świadomej zgody, w tym znaczeniu, że dostawcy usług powinni „na bieżąco informować abonentów o rodzajach danych przez nich przetwarzanych oraz celach i czasie trwania przetwarzania danych”. Nawet jeżeli plik cookie jest niezbędny, kwestia stopnia jego ingerencyjności musi zostać zbadana w kontekście zgody w świetle okoliczności towarzyszących. Oprócz pytania, jakie dane zatrzymuje każdy plik cookie i czy jest on powiązany z wszelkimi innymi informacjami na temat użytkownika, usługodawcy muszą wziąć pod uwagę czas działania plików cookie i kwestię, czy ten czas jest odpowiedni w świetle celu stosowania plików cookie.
118. Czas działania plików cookie jest związany z wymogami wyraźnej i świadomej zgody jeżeli chodzi o jakość i dostępność informacji udzielanych użytkownikom. Informacje te mają zasadnicze znaczenie dla umożliwienia jednostkom podjęcia świadomych decyzji przed przetwarzaniem(65). Jak podniosły rządy portugalski i włoski, z tego, że dane gromadzone przez pliki cookie muszą być usuwane, jeżeli nie są już konieczne do osiągnięcia pierwotnego celu, wynika, że okres przechowywania zebranych danych musi być wyraźnie podany do wiadomości użytkownika.
3. Informacje dotyczące dostępu stron trzecich
119. Planet49 utrzymuje, że jeżeli strony trzecie uzyskują dostęp do plików cookie, użytkownicy również muszą zostać o tym poinformowani. Jeżeli jednak, jak w niniejszej sprawie, dostęp do pliku cookie ma jedynie dostawca, który chce go zainstalować, wystarczy zwrócić uwagę na ten fakt. Fakt, że inne osoby trzecie nie mają dostępu, nie musi być wskazywany oddzielnie. Obowiązek taki nie byłby zgodny z zamiarem ustawodawcy, by teksty dotyczące ochrony danych byłe przyjazne dla użytkownika i zwięzłe.
120. Nie mogę zgodzić się z taką wykładnią. Przeciwnie, aby informacja była jasna i wyczerpująca, użytkownika powinno się wyraźnie poinformować, czy osoby trzecie mają dostęp do plików cookie, czy nie, a jeżeli strony trzecie mają dostęp, należy ujawnić ich tożsamość. Jak słusznie podkreśla Bundesverband, jest to niezbędne dla zapewnienia świadomego udzielenia zgody.
4. Podsumowanie
121. Proponuję zatem odpowiedzieć na pytanie drugie, że jasna i wyczerpująca informacja, której usługodawca powinien udzielić użytkownikowi zgodnie z art. 5 ust. 3 dyrektywy 2002/58, obejmuje informację o czasie działania plików cookie oraz o tym, czy strony trzecie uzyskują dostęp do plików cookie, czy nie.
V. Wnioski
122. W świetle powyższych rozważań proponuję, aby na pytania prejudycjalne przedstawione przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) Trybunał odpowiedział w następujący sposób:
1) Brak jest skutecznej zgody w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) w związku z art. 2 lit. h) dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu tych danych w sytuacji takiej jak w postępowaniu głównym, w której zgoda na przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika jest uzyskiwana w drodze zaakceptowania domyślnie zaznaczonego okienka wyboru, z którego użytkownik, aby odmówić zgody, musi usunąć zaznaczenie, i w której zgoda nie jest udzielana odrębnie, ale jednocześnie, jako potwierdzenie udziału w loterii online.
2) To samo dotyczy wykładni art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 4 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych).
3) Dla celów stosowania art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 nie ma znaczenia, czy przechowywane lub udostępniane informacje są danymi osobowymi.
4) Jasna i wyczerpująca informacja, której usługodawca powinien udzielić użytkownikowi zgodnie z art. 5 ust. 3 dyrektywy 2002/58, obejmuje informację o czasie działania plików cookie oraz o tym, czy strony trzecie uzyskują dostęp do plików cookie, czy nie.