Детально про режим cookie та вимогу до активної згоди.

Компанія Planet49 організувала в 2013 році рекламну онлайн-гру. Для участі гравці мали встановити прапорець, що дозволяє спонсорам надсилати їм пропозиції. Це зобов'язання не породжує жодних змін перед європейським суддею, навіть якщо воно задумується від Генерального адвоката [1]. Цікавим тут є те, що у грі також був другий ящик, необов’язковий для гри, але вже перевірений. Це передбачало можливість Planet 49 встановлювати файли cookie, що дозволяють надсилати цілеспрямовану рекламу гравцям на основі відвідувань веб-сайтів-партнерів. Bundesverband der Verbraucherzentralen, а саме федерація німецьких споживчих асоціацій (далі і в рішенні Федерація) вважає, що Planet49 не відповідає німецькому законодавству, частина з яких є результатом європейських змін.

cookie

Після офіційного повідомлення компанії Федерація взяла до суду німецькі суди, так і не отримавши повного задоволення. У апеляційній скарзі на перегляд апеляційного рішення Федеральний суд доводить, що результат суперечки залежить від сукупного тлумачення статті 5 (3) та статті 2 (f) Директиви 2002/58, статті 2 (h), Директива 95/46 та стаття 6 (1) (а) Регламенту 2016/679.

Відтепер ви сумніваєтесь у фундаментальному характері цього рішення. З огляду на факти, ви також сумніваєтесь у легкому та розважальному характері зупинки. І це правда, що якщо ми погано розуміємо, як і більшість із нас, терміни, що стосуються збору даних, ми легко опиняємось у погано схопленому світлотіні. Ми знаємо ці терміни, не маючи можливості їх точно зрозуміти, і відчуваємо стурбованість і знаємо важливість зацікавлення ними без подальшого наукового інтересу до нас.

Невизначеність рецепту печива

Ця обережність, безумовно, пов’язана з відсутністю поняття в текстах. Нарешті, він міститься у пункті 30 GDPR [5], не маючи змоги виявити конкретну специфіку. Ставки високі і лежать в основі пропозиції Комісії щодо перегляду Директиви 2002/58 [6]. Тим часом, якщо перевагу віддають національним визначенням, то видання CNIL видається найбільш повним.

Дві директиви та одне регулювання

Суд винесе своє рішення на основі трьох текстів: Директиви 95/46 (1) про захист та вільний рух персональних даних, скасованої 25 травня 2018 року Загальним положенням про захист персональних даних (2) і, нарешті, конкретної правила щодо даних, зібраних під час електронних комунікацій, Директиви 2002/58 (3). Якщо застосування Директиви 2002/58 не викликає питання в рішенні, необхідно було б прийняти рішення щодо застосування Директиви або положення про захист персональних даних. Однак Суд воліє перевірити дотримання цих двох текстів. Провадження у Федеральному суді було припинено до набрання чинності GDPR, але Суд бере до уваги саме те, що запропонував генеральний адвокат, зазначивши, що метою запитуючої Федерації було покласти край таким майбутнім іграм, як видових [7]. Отже, перевірка наслідків за двома текстами є доречною та виправданою. Навіть якщо нічого не вказати німецькому судді щодо тимчасової заяви, це могло б бути слизьким, проте тексти, читаючи думку генерального адвоката та рішення Суду, цілком узгоджені та ведуть до того ж рішення.

Не виключення GDPR зі своїх міркувань дозволяє Суду прийняти рішення, яке може бути застосоване в майбутньому іншими юрисдикціями, та надає інформацію про взаємозв'язок GDPR та Директиви 2002/58 - та майбутнього нормативного акта, що його замінює.

В основному, набрання чинності RGPD не змінює зобов'язань, зважених на постачальника з точки зору загальнодоступних електронних комунікацій [8], як це передбачено директивою 2002 р. Однак RGPD підтверджує, що перегляд Директиви 2002/58 буде необхідним, щоб забезпечити кращу координацію між текстами [9]. Тому досконала артикуляція між текстами ставиться під сумнів законодавцем, і в майбутньому, безумовно, будуть інші складніші справи.

" Я хочу це "

Суд та Генеральний адвокат приєднуються до клопотання Федерації, накладаючи активну згоду та відхиляючи аргументи Planet49. Відповідь видалася досить очевидною, зокрема через поправку до Директиви 2002/58, яка замінила можливість користувачеві Інтернету, після того як він був проінформований про обробку даних, що проводитиметься на зібраних даних, відмовити в цій обробці обов'язок останнього "домовитись". Видається логічним, що на цьому етапі в поєднанні інтерпретації директиви 1995 р. Та зміненої директиви 2002 р. Логіка перейшла від потенційного пасивного прийняття до необхідного активного прийняття. За тією ж логікою потрібно окреме прийняття, і клік перевірки ніколи не буде розумітись як припущення про активне прийняття всієї згаданої інформації. Тому ми повинні активно ставити галочки в кожному полі, що дозволяє окреме використання наших даних, щоб побачити, наскільки ця відмінність застосовується.

Логіка, яка лежить в основі цієї потреби в активному та чіткому прийнятті, міститься в рішенні Суду, коли воно вказує на те, що пасивне прийняття не дає можливості в "об'єктивному" ключі вважати, що особа насправді прочитала і, отже, зрозуміла та прийняла процес їх даних [10]. Генеральний адвокат також подумав, оскільки для нього головним рішенням повинен бути не активний характер, а вільна та поінформована згода, яка включає багато інших елементів. Генеральний адвокат неодмінно прагне однозначної згоди, як того вимагають тексти, тоді як Суд не використовує цю концепцію. Однак це головна ідея встановити галочку: продемонструвати, що я даю згоду вільно та поінформовано - оскільки я маю інформацію, яка повинна передаватися відповідно до Директиви 95/46 та GDPR - я підтверджую своє розуміння наданої інформації та мого однозначного зобов’язання. Звичайно, цей урочистий персонаж не витримує суб’єктивності. Мета полягає в тому, щоб нав’язати суспільству прозорість та добросовісність, не сумніваючись у тому, що це не є обов’язком ставити галочку, яка покладе край недоліку пильності громадянина.

Тому рішення вимагає від компаній, які бажають встановити файли cookie з наших даних на наших пристроях, отримати нашу згоду. Це нове зобов'язання має суттєвий вплив, оскільки з цього рішення Суд вирішив слідувати своєму Генеральному адвокату та вказати, що це зобов'язання щодо отримання активної та чіткої згоди може поширюватися лише на файли cookie, які передбачають обробку персональних даних. На думку Суду, навіть якщо дані не є особистими, зібрана інформація може розкрити конфіденційність користувача [11]. Цей обсяг цікавий, і його обов’язково доведеться з’ясувати в майбутньому. У цьому випадку особистий характер даних був прийнятий сторонами, але інші компанії, які не збирають персональні дані, можуть зазнати впливу цього зобов'язання, що обов'язково призведе до інших випадків, безумовно, більш складних і ще більше ставить під сумнів поняття печиво.

Не ставлячи під сумнів підняті вище питання, той факт, що Суд не прагне визначити файли cookie, безумовно, зумовлений їх різноманітністю та безліччю проблем, які кожен із них створює. Зараз наукове співтовариство повністю погоджується, що файли cookie можуть зробити набагато більше, ніж стимулювати покупку за допомогою реклами, як це має місце тут. Уявлення про те, що на політичні вибори можна впливати цифровими засобами, це вже не наукова фантастика, і хоча файли cookie в основному нешкідливі, проте АНБ їх може використовувати як трекери.

Судова практика щодо файлів cookie лише зароджується, і, швидше за все, з’явиться більш резонансна справа, яка виявить більш проблематичні тонкощі. Тоді настав час Суду взяти до уваги цю прецедентну практику та дотримуватися логіки, щоб продовжувати захищати дані користувачів навіть за межами файлів cookie. Тим часом, тепер, коли різдвяні подарунки добре розгорнуті, напевно настав час користувачам запитати, чи справді Alexa найкраще дати їм рецепт печива.