CJUE face un pas inainte si reafirma ca nu putem pre-bifa consimtamantul persoanei vizate
5 minute • Ana-Maria Udriste • 22 martie 2019
Update: CJUE a publicat decizia oficială aici.
Căsuțele pentru consimțământ nu pot fi prebifate
Sub imperiul GDPR, a circulat o nebuloasă fantastică privind consimțământul persoanelor, în special în ceea ce privește cookies-urile.
Multe site-uri alegeau să ”prebifeze” pentru vizitator căsuțele de consimțământ, chiar dacă se refereau la cookies-uri care nu erau strict necesare pentru funcționarea site-ului (cum ar fi cele de marketing & analiză comportamentală, Facebook pixel, Facebook Custom Ads etc.).
Citește și: GDPR: bannerele care doar afișează utilizarea cookie-urilor sau a analiticelor îndeplinesc cerințele UE?
Astfel, CJUE a reiterat astăzi următoarele:
- consimțământul nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie‑uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul;
- nu contează dacă aceste date reprezintă sau nu informații cu caracter personal;
- informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri
Prin Concluziile din data de 21 martie 2019, avocatul general SZPUNAR (re)afirmă ceea ce știam deja: sub imperiul GDPR, căsuțele privind consimțământul nu pot fi prebifate!
În Cauza C-673/17 privind protecția datelor cu caracter personal, ni se arată că, pentru a participa la o loterie organizată de Planet49, un utilizator de internet a fost confruntat cu două casete de selectare (check-box) pe care trebuia să fie făcut click sau să fie debifate înainte de a putea apăsa butonul de participare.
Una dintre casetele de selectare solicita ca utilizatorul să accepte să fie contactat de o serie de firme pentru oferte promoționale, și încă o casetă de selectare a solicitat utilizatorului să consimtă ca cookie-urile să fie instalate pe computerul său. Acestea sunt, pe scurt, faptele prezentei decizii de trimitere din partea Bundesgerichtshof (Curtea Federală de Justiție, Germania).
Având în vedere aceste aspecte, Curtea din Germană a adresat CJUE următoarele întrebări:
”(1) (a) constituie un consimțământ valabil în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58 coroborat cu articolul 2 litera (h) din Directiva 95/46, dacă stocarea informații sau accesul la informațiile deja stocate în echipamentul terminal al utilizatorului sunt permise printr-o casetă de selectare preconfirmată, pe care utilizatorul trebuie să o deselecteze pentru a nu-și da acordul?
b) În sensul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58 coroborat cu articolul 2 litera (h) din Directiva 95/46, este relevant dacă informațiile stocate sau accesate constituie date cu caracter personal?
(c) În circumstanțele menționate la a prima întrebare litera (a), există un consimțământ valabil în sensul articolului 6 alineatul (1) litera (a) din Regulamentul nr. 2016/679?
(2) Ce informații trebuie oferite de furnizorul de servicii în scopul furnizării către utilizator a unor informații clare și complete care trebuie efectuate în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58? Aceasta include durata funcționării cookie-urilor și întrebarea dacă terților le este permis accesul la modulele cookie?”
Cum trebuie luat consimțământul?
Opinia avocatului general reafirma ceea ce am spus noi acum aproape 1 an de zile: consimțământul trebuie să fie dat separat, clar, neechivoc și liber exprimat și reiterează decizia din Franța de anul trecut despre cookie-uri.
Avocat General a propus Curții să răspundă în următorul mod:
(1) Nu există un consimțământ valabil în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58 / CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția (Directiva privind confidențialitatea și comunicațiile electronice), coroborat cu articolul 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor cu în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date într-o situație precum cea din acțiunea principală, în cazul în care stocarea informațiilor sau accesul la informațiile deja stocate în echipamentul terminal al utilizatorului este permisă printr-o căsuță preselectată pe care utilizatorul trebuie să o deselecteze pentru a refuza consimțământul și unde consimțământul nu este dat separat, dar în același timp cu confirmarea participării la o loterie online.
(2) Același lucru este valabil și pentru interpretarea articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58 coroborat cu articolul 4 punctul 11 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor – GDPR).
(3) În sensul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58 coroborat cu articolul 2 litera (h) din Directiva 95/46, nu are nicio importanță dacă informațiile stocate sau accesate constituie date personale.
(4) Informațiile clare și cuprinzătoare pe care un furnizor de servicii trebuie să le furnizeze unui utilizator, în temeiul articolului 5 alineatul (3) din Directiva 2002/58, include durata de funcționare a modulelor cookie și întrebarea dacă terților le este permis accesul la aceste cookie-urile sau nu.
Am scris cel mai mult despre GDPR din piață – găsești toate articolele noastre aici. Am inovat în acest domeniu oferind primul KIT complet de implementare GDPR, serviciu DPO externalizat si KIT pentru DPO.
Vrei să devii conform GDPR fără bătai de cap? Scrie-ne pe contact@avocatoo.ro.
