Persetujuan kepada kuki berdasarkan kedudukan terkini CJEU

Perkhidmatan

Walaupun dua tahun akan berlalu pada Mei 2020 daripada pelaksanaan peruntukan GDPR, tafsiran peraturan yang betul masih menimbulkan keraguan yang besar. Pengawal data telah dibebani dengan kewajipan yang serius berkaitan dengan keperluan untuk menyediakan data peribadi yang diproses dengan tahap keselamatan yang sesuai. Pelanggaran peruntukan GDPR boleh mengakibatkan penalti kewangan yang tinggi, oleh itu penggunaan yang betul adalah penting dari sudut pandangan setiap usahawan. Semak rupa persetujuan kepada kuki berdasarkan kedudukan CJEU terkini

Persetujuan untuk kuki mesti dimaklumkan

Pada 1 Oktober 2019, Mahkamah Keadilan Kesatuan Eropah mengeluarkan penghakiman dalam kes C-673/17, yang sangat penting dari sudut pandangan praktikal. Mengikut kedudukan terkini CJEU, persetujuan terhadap kuki mesti dinyatakan oleh setiap pengguna tapak web (dan setiap tapak web). Petikan daripada penghakiman Mahkamah Keadilan Kesatuan Eropah pada 1 Oktober 2019.
„[…] persetujuan pengguna, untuk tujuan arahan ini, boleh diberikan dalam apa-apa cara yang membolehkan ungkapan bebas, khusus dan termaklum kehendak pengguna, khususnya dengan »menandakan kotak semasa menyemak imbas tapak web«". Pada masa yang sama, Tribunal menyatakan bahawa bentuk dan cara menyatakan persetujuan tidak penting dan boleh jadi, sebagai contoh, "memilih tetingkap pemilihan", dengan syarat persetujuan itu:

  • santai,
  • konkrit dan
  • menyedari.

Fakta pertikaian kuki

Untuk menilai dengan betul latar belakang pertikaian yang mengakibatkan keputusan di atas, adalah perlu untuk kembali ke 2013. Pada masa itu, syarikat Jerman Planet49 menganjurkan loteri melalui laman webnya. Borang pertandingan memerlukan penyediaan data khusus (nama dan alamat) dan persetujuan untuk penghantaran maklumat oleh penaja dan rakan kongsi penganjur melalui surat, telefon atau e-mel / SMS mengenai tawaran dalam bidang aktiviti mereka.Borang tersebut mengandungi kotak pilihan yang perlu diperiksa oleh pelawat laman web untuk menyertai loteri. Menyatakan persetujuan untuk menerima bahan pengiklanan adalah syarat untuk menyertai pertandingan.

Borang pertandingan juga mengandungi maklumat tentang persetujuan kedua - pengisytiharan persetujuan untuk "menggunakan perkhidmatan analisis web untuk pengguna tapak web. Akibatnya, penganjur loteri promosi memasang kuki selepas peserta mendaftar untuk loteri. Ini akan membolehkan penganjur menilai tingkah laku pengguna dari segi melawati dan menggunakan tapak web rakan kongsi pengiklanan dan untuk memadankan iklan dengan pilihan pengguna." Kenyataan itu juga menyatakan bahawa pengguna boleh memadamkan kuki pada bila-bila masa dan akan memaut ke laman web lain yang mengandungi maklumat tambahan mengenai prosedur analisis web. Antara lain, ditegaskan bahawa kuki adalah "fail yang dipasang oleh pembekal laman web pada komputer pengguna laman web itu dan yang boleh diaksesnya semula apabila pengguna melawati laman web itu semula, untuk memudahkan penyemakan imbas internet atau transaksi atau untuk mendapatkan maklumat di laman web. gelagat pengguna ". Persetujuan kepada kuki telah dipilih secara lalai.

Penganjur loteri telah diminta oleh kesatuan organisasi pengguna untuk berhenti menggunakan kenyataan yang disebutkan di atas sebagai bertentangan dengan undang-undang perlindungan pengguna Jerman. Kes itu berakhir di mahkamah yang mengekalkan penganjur loteri, menunjukkan bahawa kenyataan yang disiarkan adalah jelas dan boleh dibaca, dan setiap pengguna tapak web itu sedar bahawa persetujuan terhadap kuki boleh dialih keluar secara lalai. Mahkamah rayuan, disebabkan keraguan yang timbul daripada tafsiran yang betul bagi peruntukan yang terpakai, bertanya kepada CJEU soalan undang-undang mengenai dua isu penting:

  1. Adakah persetujuan diberikan secara lalai (iaitu melalui kotak pilihan yang dipilih secara automatik yang mana pengguna mesti menyahtanda jika dia tidak bersetuju dengan pemasangan kuki) berkesan?

dan

  1. Apakah maklumat yang perlu diberikan oleh pembekal perkhidmatan kepada pengguna sebagai sebahagian daripada maklumat yang jelas dan komprehensif yang diperlukan di bawah Arahan ePrivasi, termasuk adakah maklumat ini juga meliputi tempoh sah kuki dan akses pihak ketiga kepada kuki?

Persetujuan kepada kuki mengenal pasti pengguna tapak web

Mengenai isu pertama, iaitu keberkesanan persetujuan yang diberikan secara lalai, CJEU menunjukkan bahawa persetujuan kepada kuki yang dipasang pada peranti orang yang menggunakan tapak web itu mengandungi nombor yang diberikan kepada data yang diberikan oleh pengguna tapak web. Menggabungkan nombor ini dengan data pengguna memperibadikan data yang disimpan oleh fail. Disebabkan oleh keadaan ini, pengumpulan data melalui apa yang dipanggil kuki ialah pemprosesan data peribadi. Memasang kuki pada peranti kepunyaan pengguna tapak web ialah pemprosesan data peribadi disebabkan akibat mendaftarkan data pengguna. Dalam kes ini, peruntukan yang berkuat kuasa di Negara Anggota Kesatuan Eropah memerlukan pengguna dengan maklumat yang jelas dan lengkap tentang prinsip dan tujuan pemprosesan data dan memberikan hak untuk menolak persetujuan pemprosesan sedemikian oleh pengawal data. Memberi persetujuan kepada pemprosesan data peribadi (termasuk pemasangan kuki) mestilah aktif, bukan pasif. Secara lalai, kotak semak yang dipilih tidak dianggap sebagai tingkah laku aktif. Untuk memberi persetujuan secara berkesan terhadap penggunaan kuki, pengguna tapak web mesti memberikan persetujuannya sendiri dan secara bebas dengan memilih pilihan yang sesuai di tapak web.

CJEU juga menyatakan bahawa pada dasarnya adalah mustahil untuk menyemak sama ada orang yang menggunakan tapak web itu sebenarnya telah bersetuju untuk memproses data peribadinya dengan meninggalkan kotak pilihan lalai ditandakan - termasuk sama ada pengguna sebenarnya telah bersetuju dengan kebenaran menurut peraturan yang berlaku. CJEU menganggap bahawa majoriti orang yang menggunakan Internet tidak membaca maklumat yang dilampirkan pada kenyataan yang terkandung di laman web. Mulakan tempoh percubaan 30 hari percuma tanpa sebarang ikatan!

Mahkamah dengan jelas menyatakan bahawa persetujuan kepada kuki yang dinyatakan secara lalai adalah tidak sah - pengawal data tidak boleh menggunakan borang yang mengandungi kotak pilihan yang mesti dialih keluar oleh pengguna untuk menolak persetujuan. Persetujuan akan sah hanya jika ia diberikan secara aktif, melalui tindakan orang yang berkenaan.

Kewajipan untuk mendapatkan persetujuan pengguna "aktif" untuk memasang kuki bukanlah satu-satunya kewajipan yang dikenakan ke atas pengawal data.

Menurut perkara kedua dalam keputusan CJEU, pemilik tapak web juga mesti memaklumkan pengguna tentang:

  • identiti pengawal data;
  • tujuan memproses data peribadi yang dikumpul melalui pemasangan kuki;
  • penerima atau kategori penerima data;
  • masa pemprosesan data dan
  • keadaan tambahan, jika perlu untuk memastikan pemprosesan data yang adil

Pengawal data yang mendapat persetujuan daripada pengguna tapak web untuk pemasangan kuki mempunyai kewajipan bermaklumat terhadap pengguna tersebut. CJEU menunjukkan bahawa masa pemprosesan lanjutan (atau tidak terhad) maklumat yang dikumpul hasil daripada pemasangan kuki mengakibatkan pengumpulan sejumlah besar maklumat "tentang tabiat pengguna tertentu", terutamanya dalam skop penyemakan imbas laman web tertentu (dan dengan itu cth pilihan membeli-belah yang berpotensi, maklumat tentang kesihatan atau pekerjaan). Disebabkan potensi risiko untuk mendapatkan jumlah maklumat yang begitu besar, adalah perlu untuk memaklumkan sepenuhnya kepada pengguna tentang tujuan dan peraturan memproses datanya, termasuk yang diperoleh hasil daripada pemasangan kuki.