Firma iSecure otrzymała upomnienie od UODO w decyzji w sprawie zainicjowanej naszą skargą. Skarga dotyczyła m.in. wysyłania przez stronę iSecure danych osobowych użytkownika w zakresie adresu IP, części historii przeglądania oraz identyfikatora internetowego z Cookie do Google oraz do operatora usługi czater.pl.
„Okienko o Cookies”, jakie pokazywała odwiedzającym strona iSecure w dniu złożenia naszej skargi, nie pozwalało wyłączyć skryptów - informowało tylko o tym, że strona używa cookiesów i podawało link do polityki prywatności:
Po otrzymaniu decyzji UODO firma iSecure zmieniła sposób, w jaki pozyskuje zgodę użytkowników i realizuje obowiązek informacyjny na swojej stronie. Obecnie strona nie ładuje skryptów śledzących, jeżeli użytkownik nie wyrazi na to zgody. Do okienka witającego nowych użytkowników została też dodana opcja niewyrażenia zgody na uruchamianie tych skryptów, za pomocą pojedynczego kliknięcia:
To jest istotna poprawa! Na szczególne wyróżnienie zasługuje przycisk „odrzuć wszystkie”. Jego obecność sprawia, że strona iSecure ma teraz w naszej ocenie lepsze okienko o cookiesach, niż zdecydowana większość polskich stron - ponieważ daje użytkownikom faktyczny wybór. Zaznaczymy, że ten przycisk pojawił się w nowym okienku po tym, jak zasygnalizowaliśmy firmie iSecure jego brak.
Niedawno firma na swoim blogu opublikowała komentarz do tej sytuacji. Nie możemy pozostawić go bez odpowiedzi. Konkretne cytaty z bloga iSecure opatrujemy komentarzem poniżej.
Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze)
blog iSecure.pl
To zdanie jest po prostu nieprawdziwe. Monitorujemy wnikliwie skrypty i cookiesy w polskim internecie. Owszem, są sytuacje, w których cookiesy są przydatne - wspominamy o tym w naszym przeglądzie metod na śledzenie użytkowników:
Jednak zdecydowana większość cookiesów nie jest konieczna do prawidłowego działania stron internetowych, tylko jest używana do śledzenia i targetowania użytkowników. Na wielu polskich stronach internetowych (np. na stronie Media Expert) znajdujemy cookiesy... TikTok-a. Gwarantujemy, że nie służą one do prawidłowego działania tych stron.
Ale nawet gdyby założyć, że cookiesy są praktycznie zawsze wykorzystywane do prawidłowego działania stron internetowych, to budzi nasze zdziwienie, że w poprzedniej wersji „okienka o RODO” firma iSecure traktowała całkowite wyłączenie cookiesów w przeglądarce jako sposób na wyrażenie sprzeciwu/braku zgody wobec udostępniania danych osobowych Googlowi na ich stronie:
W związku z tym, że o ciasteczkach mówi się bardzo dużo, ale bez większych konkretów, z uwagi na to, że brak jest wyraźnych przepisów prawnych, a nade wszystko zaleceń ze strony takich urzędów jak UKE czy UODO, większość właścicieli stron www stara się realizować wymóg akceptacji plików w lepszy lub gorszy sposób.
blog iSecure.pl
Pełna zgoda. Brakuje konkretnych wytycznych i liczymy, że UODO w końcu zacznie publikować decyzje, które wydaje wobec naszych skarg, aby administratorzy stron mieli oficjalne źródło informacji o tym, jakie rzeczy UODO uznaje za niezgodne z RODO. Marzy nam się też, że kiedyś UODO wyda oficjalne wytyczne przygotowane specjalnie dla administratorów stron internetowych.
Gdy rozmawiamy z administratorami stron na temat niepewności związanych z interpretacją RODO, zawsze rekomendujemy respektowanie przede wszystkim dwóch wartości: szacunek dla użytkownika oraz możliwość wyboru. Liczymy, że te wątpliwości pozwalają roztrzygnać niepewność dotyczącą dołączania 771 skryptów śledzących na mocy umowy z IAB, kosztem frustrującego użytkowników, ogromnego okienka informacyjnego.
iSecure nie osadza skryptów od IAB na swojej stronie, ale jako firma specjalizująca się między innymi w dziedzinie zgodności z RODO, mogłaby chociaż nie wprowadzać użytkowników w błąd twierdząc, że można wyrazić zgodę poprzez korzystanie ze strony.
Wytyczne Europejskiej Rady Ochrony Danych dotyczące zgody, pisane nb. czytelnym, przystępnym językiem, mówią wprost:
(...) Milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru.
Wytyczne 05/2020, par. 79
My jako iSecure, czyli podmiot specjalizujący się między innymi w tej dziedzinie, poradziliśmy sobie z tym w całkiem nienajgorszy sposób (baner był czytelny i napisany jasnym językiem, analogicznie polityka prywatności, która zawierała w tym zakresie wszystkie niezbędne informacje)
blog iSecure.pl
Nie, baner nie był czytelny. Jego treść była przesłonięta przez wyskakujące okienko z robo-konsultantem:
Niestety nie zapisaliśmy całej treści polityki prywatności w postaci, w jakiej była widoczna na stronie iSecure w dniu złożenia naszej skargi, ale zapisana przez WaybackMachine wersja z 24-02-2021 w istocie nie budzi wielu zastrzeżeń. Największą wątpliwość budzi zapis:
Korzystamy także z usług Google Analytics, któremu przekazujemy informacje zbierane za pomocą plików cookies (informacje statystyczne). Te informacje są anonimowe i nie stanowią danych osobowych.
treść polityki prywatności iSecure.pl w dniu 24-02-2021
Według naszej oceny te dane nie są anonimowe i stanowią dane osobowe. Były opatrzone identyfikatorem internetowym znajdującym się w Cookie. Z art. 4. pkt 1. Rozporządzenia 2016/679 (RODO):
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
art. 4. pkt 1. RODO
Dodatkowo, wytyczne EROD dotyczące targetowania użytkowników mediów społecznościowych traktują zachowanie i zainteresowania jako dane osobowe.
większość rodzajów targetowania nie opiera się na nazwach użytkowników, ale na innych rodzajach danych osobowych, takich jak zainteresowania, dane socjograficzne, zachowanie lub inne identyfikatory
Wytyczne 8/2020 dotyczące targetowania użytkowników mediów społecznościowych
Do Google Analytics jest wysyłane nasze zachowanie na stronie, opatrzone unikalnym identyfikatorem internetowym. Trudno jest nam nie postrzegać ich zatem jako danych osobowych.
Zwracamy też uwagę, że aktualnie czytanie polityki prywatności iSecure przed wyrażeniem zgody na urządzeniu mobilnym jest niczym sport ekstremalny:
Więc nad tą „czytelnością” można jeszcze popracować.
Otrzymaliśmy nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies, których nijak nie byliśmy w stanie powiązać z osobą, która złożyła skargę do UODO. (...)
Warto wspomnieć, że materiał dowodowy, który przedstawiliśmy, zawierał konkretne informacje, że dla iSecure adres IP i ID cookies, o których mowa powyżej, w żaden sposób nie dają możliwości identyfikacji skarżącego
blog iSecure.pl
Tutaj uwydatnia się różnorodność interpretacji danych osobowych. Art. 4. pkt 1. RODO, że dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” a nie: „informacje, za pomocą których można zidentyfikować konkretną osobę fizyczną”. Zapis mojej aktywności na stronie iSecure, jest informacją o mnie - według naszego rozumienia tej definicji, i według sposobów, w jakie pojęcie „dane osobowe” jest używane w wytycznych EROD, dane wysyłane do Google Analytics stanowią dane osobowe. W szczególności wtedy, gdy są opatrzone unikalnym identyfikatorem.
Mogliśmy tę sprawę po prostu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda?
blog iSecure.pl
Prawda! Chodzi o to, aby dawać użytkownikom faktyczny wybór i szanować ich prywatność. Jeżeli nie chcą, aby w trakcie odwiedzin danej strony informacje o nich były wysyłane do amerykańskej korporacji o ponadnarodowej sile i niespotykanym monopolu na technologie internetowe, to administratorzy stron powinni to umożliwić.
Dziś ten problem mieliśmy my, jutro może go mieć każdy kto posiada firmową stronę internetową.
blog iSecure.pl
Również prawda. Niech administratorzy boją się dodawać skrypty śledzące na swoich stronach! Niech zastanowią się 10 razy, czy to na pewno konieczne. Niech wybiorą prawidłową podstawę prawną. Niech nie mówią w okienkach, że szanują prywatność, kiedy wszystkie skrypty ładują się niezależnie od tego, czy użytkownik wyrazi zgodę, czy nie.
Zanim wyślemy skargę, piszemy wiadomość email do administratora. Wyjaśniamy, jakie są problemy na stronie i na jakie pytania brakuje nam odpowiedzi po lekturze polityki prywatności. Niektórzy administratorzy idą w zaparte, a inni są wdzięczni za darmowy audyt.
Czy aby na pewno UODO jest właściwy w zakresie oceny zgodności naszego działania z wymogami określonymi w ustawie Prawo telekomunikacyjne?
blog iSecure.pl
To oczywiście rozstrzygnie Wojewódzki Sąd Administracyjny, ale na nasze, chociaż niepoparte dyplomem prawnika, rozumowanie Prawo telekomunikacyjne i RODO to dwa uzupełniające się akty prawne. W Internecie trzeba przestrzegać i RODO, i Prawa telekomunikacyjnego. To tak jakby ktoś spytał: „czy mogę kogoś okraść na przejściu dla pieszych? Ustawa Prawo o ruchu drogowym tego przecież nie zakazuje”.
Warto nadmienić, że ustawa Prawo telekomunikacyjne reguluje, kiedy można zapisywać pliki cookies, a nie: kiedy można ich treść wysyłać podmiotom trzecim. Takie stanowisko wyraża także Europejska Rada Ochrony Danych w Opinii 5/2019 (rozdział 4.).
Zapisywanie cookiesów reguluje Prawo telekomunikacyjne, a ich ujawnianie - RODO.
(...) nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) (...)
blog iSecure.pl
Nie, podmioty te nie pozyskały samodzielnie informacji o IP i ID z Cookies. To administrator strony iSecure skonfigurował stronę tak, aby strona wysyłała te dane do konkretnych podmiotów. Google nie włamał się na stronę iSecure i nie wepchnął tam skryptów Google Analytics siłą, bez wiedzy administratorów.
Nasze stanowisko popieramy wyrokiem TSUE w sprawie C‑40/17. Firma „Fashion ID” umieściła na swojej stronie skrypty Facebooka. W treści wyroku możemy przeczytać:
Umieszczając taką wtyczkę społecznościową w swojej witrynie internetowej, Fashion ID wpływa zresztą w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających wspomnianą witrynę na rzecz dostawcy wspomnianej wtyczki, w niniejszym przypadku Facebook Ireland, co w razie braku umieszczenia wspomnianej wtyczki nie miałoby miejsca.
W tych okolicznościach i z zastrzeżeniem ustaleń, których przeprowadzenie w tym względzie należy do sądu odsyłającego, trzeba uznać, że Facebook Ireland i Fashion ID wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniania poprzez transmisję.
Wyrok TSUE w sprawie C‑40/17, par. 78-79
W przypadku strony iSecure.pl mamy do czynienia z podobną sytuacją, ale dotyczącą Google'a, a nie Facebooka.
W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej Spółki, ale i każdej innej firmy obecnej w Internecie.
blog iSecure.pl
Na to liczymy! Zresztą, decyzje UODO w sprawach naszych skarg już teraz wpływają na zmniejszenie ilości skryptów śledzących w polskim Internecie:
liczymy na poważną, bo podpartą konkretem, dyskusję prawników specjalizujących się w ochronie danych osobowych w interesującym nas (i zapewne Was) temacie.
Mamy nadzieję, że w niniejszej odpowiedzi jest zawarta satysfakcjonująca Państwa ilość konkretów. Nie jesteśmy prawnikami. Na początku naszej działalności szukaliśmy kancelarii, która byłaby nam w stanie pomóc zrozumieć w pełni, jakie prawa nam przysługują i jakie obowiązki ciążą na administratorach, ale spotykaliśmy się albo z odpowiedziami „niestety nie mamy pojęcia” albo „zajmujemy się właśnie ochroną firm przed takimi ludźmi, jak wy”. Pozostało nam więc samodzielne badanie tematu.
Drodzy czytelnicy - pamiętajcie, że firmy zajmujące się zgodnością z RODO często są zainteresowane tylko ochroną samego administratora, a nie ochroną Waszych praw i upewnianiem się, że będzie Wam zapewniona taka swoboda wyboru dotyczącego danych o Was, na jaką zasługujecie.
Od tego drugiego jesteśmy my - nieprawnicy z Internet. Czas działać! 💪