Un cookie poate fi definit ca fiind un fișier text de mici dimensiuni care este descărcat pe echipamentul terminal al utilizatorului (cum ar fi, de exemplu, un computer sau un smartphone) atunci când utilizatorul accesează un site web și care permite site-ului web să recunoască dispozitivul utilizatorului și să stocheze anumite informații despre preferințele sau istoricul căutărilor utilizatorului.[1]
Prezentul articol, fără a fi menit să ofere o analiză exhaustivă a condițiilor care trebuie respectate pentru ca operațiunea de utilizare a fișierelor cookies să fie conformă prevederilor legale în materie, își propune totuși să sintetizeze cadrul legal precum și principalele cerințe de conformare ce țin de existența unui scop legitim pentru utilizarea cookies și obținerea unui consimțământ valabil al utilizatorilor.
1. Cadrul legal cu privire la utilizarea cookies
- Directiva ePrivacy și legea națională de transpunere
Utilizarea fișierelor cookies este reglementată de Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată de Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009.
În acord cu prevederile Directivei 2002/58/CE, echipamentul terminal al utilizatorului de rețele de comunicații electronice și orice informație stocată în acesta fac parte din sfera privată a utilizatorului protejată conform Convenției Europene a Drepturilor Omului.[2] În acest context, utilizarea fișierelor cookies, care accesează terminalul utilizatorului și care pot urmări activitatea utilizatorului este permisă atât timp cât aceste fișiere sunt utilizate în scopuri legitime și cu condiția ca utilizatorilor să li se furnizeze informații clare și precise pentru a cunoaște ce informații sunt introduse pe echipamentul terminal pe care îl folosesc și să li se dea posibilitatea să refuze stocarea de astfel de instrumente în echipamentul lor terminal.[3]
La nivelul legislației interne, Directiva 2002/58/CE a fost transpusă prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. În acord cu prevederile art. 4 alin. (5) din legea de transpunere, stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai dacă abonatul sau utilizatorul în cauză și-a exprimat acordul și abonatului sau utilizatorului în cauză i s-au furnizat, într-un limbaj ușor de înțeles, anterior exprimării acordului, informații clare, complete și accesibile cu privire la scopul procesării informațiilor respective. În înțelesul legii, utilizator este orice persoană fizică care beneficiază de un serviciu de comunicații electronice destinat publicului, fără a avea în mod necesar calitatea de abonat al acestui serviciu.
- Regulamentul general privind protecția datelor
Deși utilizarea de fișiere cookies poate să nu presupună întotdeauna colectarea de date cu caracter personal, în anumite situații, identificatorii online, inclusiv fișierele cookies, pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor[4]. Un exemplu concludent în acest sens este oferit de autoritatea de supraveghere din UK (ICO): un cookie de autentificare a utilizatorului ar implica prelucrarea datelor cu caracter personal, deoarece este utilizat pentru a permite utilizatorului să se autentifice în contul său.[5]
Grupul de lucru ”Articolul 29” pentru protecția datelor (în continuare GL29), printr-un aviz emis în materie, consideră că ”metodele publicității comportamentale (…) implică deseori prelucrarea datelor cu caracter personal (…). Acest lucru se datorează mai multor motive: i) publicitatea comportamentală implică, în mod normal, colectarea de adrese IP și prelucrarea identificatorilor unici (prin modulul cookie). Utilizarea acestor dispozitive cu identificator unic permite urmărirea utilizatorilor unui anumit calculator, chiar și atunci când sunt folosite adrese IP dinamice. Cu alte cuvinte, aceste dispozitive fac posibilă identificarea persoanelor vizate chiar dacă numele lor reale nu sunt cunoscute; ii) de asemenea, informațiile culese în contextul publicității comportamentale se referă la (adică privesc) caracteristicile sau comportamentul unei persoane și sunt folosite pentru a influența acea persoană. Această opinie se confirmă, de asemenea, dacă se ține cont de posibilitatea asocierii, în orice moment, a profilurilor cu informații identificabile direct furnizate de persoana vizată, cum ar fi informațiile necesare înregistrării. Alte scenarii care pot conduce la identificare sunt fuziunile, pierderile de date și disponibilitatea tot mai ridicată pe internet a datelor cu caracter personal în combinație cu adrese IP.”[6]
Prin urmare, în toate cazurile în care, ca urmare a introducerii și recuperării informațiilor prin intermediul modulelor cookies, informațiile colectate pot fi considerate date cu caracter personal, devin incidente și prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
Este important a se menționa faptul că, indiferent dacă informațiile stocate în echipamentul terminal al utilizatorului reprezintă sau nu date cu caracter personal, prevederile Directivei 2002/58/CE, care impun obligația obținerii consimțământului informat al utilizatorului, continuă să se aplice.[7]
2. Conformitatea la reglementările în domeniu
Pentru a respecta reglementările în materie, respectiv Directiva 2002/58/CE, transpusă prin Legea 506/2004 și Regulamentul (UE) 2016/679, o serie de condiții se impun a fi îndeplinite atunci când sunt utilizate fișiere de tip cookies, legate, în principal de legitimitatea scopului în care fișierele cookies sunt folosite și de obținerea unui consimțământ informat din partea utilizatorului, condiții pe care le vom analiza în cele ce urmează.
Evident că, dacă prin utilizarea de fișiere cookies se colectează și date cu caracter personal, astfel cum sunt definite de prevederile art. 4 pct. (1) din Regulamentul (UE) 2016/679, atunci se aplică deopotrivă și prevederile legale în materie de privacy, cu toate consecințele care derivă de aici vis-a-vis de principiile prelucrării, respectarea drepturilor persoanelor vizate și implementarea măsurilor de siguranță și securitate pentru protecția datelor cu caracter personal, aceste aspecte nefăcând însă obiectul prezentului articol.
- Scopul legitim al utilizării fișierelor cookies
Am arătat mai sus că fișierele cookies sunt permise exclusiv în situația în care acestea sunt utilizate în scopuri legitime. Printre scopurile legitime recunoscute la nivel legislativ se numără, cu titlu exemplificativ, utilizarea fișierelor cookies pentru analizarea eficienței designului și publicității efectuate pe un site, pentru verificarea identității utilizatorilor angajați în tranzacții on-line respectiv pentru facilitarea furnizării de servicii ale societății informaționale.[8]
- Obținerea consimțământului utilizatorului
Directiva 2002/58/CE, prin articolul 5 alin. (3), impune statelor membre obligația ca prin legea de transpunere a directivei să se asigure că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46/CE[9] inter alia, cu privire la scopurile prelucrării. Deci statele membre, prin legislația pe care o emit la nivel intern, trebuie să ofere utilizatorilor posibilitatea să refuze stocarea de fișiere de tip cookie în echipamentul lor terminal.
Sub acest aspect, apreciem că legislația internă transpune în mod corect directiva, ea impunând obligația obținerii consimțământului utilizatorilor pentru stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al acestora.[10]
Cu privire la aplicabilitatea prevederilor art. 5 alin. (3) din Directiva 2002/58/CE, este important a se cunoaște că GL29, prin recomandările emise în domeniu, consideră că aceste prevederi sunt dispoziții generale care se aplică nu numai în ceea ce privește serviciile de comunicații electronice, ci și alte servicii, în cazul în care se utilizează aceste tehnici.[11]
Orientări cu privire la consimțământul utilizatorilor au fost exprimate și de Comitetul european pentru protecția datelor (în continuare CEPD), opinându-se în sensul că este foarte probabil ca operatorii de date să trebuiască să obțină consimțământul persoanelor vizate pentru tot ceea ce implică activități de marketing online sau de monitorizare online a persoanelor vizate, inclusiv prin utilizarea de fișiere de tip cookie.[12]
Conform Regulamentului (UE) 2016/679[13], consimțământul constituie o manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Cât privește modul concret de obținere a consimțământului pentru utilizarea de fișiere cookies, observăm că nici Directiva 2002/58/CE și nici Legea de transpunere nr. 506/2004 nu reglementează acest aspect, limitându-se la a preciza că mecanismul de obținere a consimțământului trebuie să fie ”cât mai prietenos cu putință”[14] și că acordul (consimțământul) poate fi dat și prin utilizarea setărilor aplicației de navigare pe internet sau a altor tehnologii similare.[15]
Orientări cu privire la modul de obținere a consimțământului pentru module cookie au fost totuși oferite de GL29 prin Documentul de lucru 2/2013[16], statuându-se că, atunci când se construiește mecanismul de obținere a consimțământului, trebuie avute în vedere elementele unui consimțământ valabil, și anume:
- Caracterul informat al consimțământului, ceea ce presupune ca mecanismul să ofere o informare clară, comprehensivă și vizibilă cu privire la utilizarea de fișiere cookies care trebuie să existe acolo unde și atunci când consimțământul este colectat, cum ar fi, spre exemplu, pe prima pagină a unui website.
Atunci când accesează o pagină web, utilizatorul trebuie să aibă posibilitatea să acceseze toată informația necesară cu privire la tipurile de cookies și scopul acestora ceea ce înseamnă că website-ul trebuie să furnizeze, într-o manieră ușor vizibilă, un link către locația unde este structurată toată informația relevantă (care de regulă îmbracă forma unei Politici cookies).
Pentru ca reglementările în domeniu să fie respectate și să se asigure o informare clară a utilizatorului, cel puțin următoarele informații trebuie să fie disponibile într-un limbaj simplu și clar: identitatea companiei responsabile cu plasarea fișierelor cookies și colectarea informației relevante (identitatea operatorului), tipurile de cookies folosite și scopul utilizării lor, faptul că fișierele cookies vor fi utilizate în scopul creării de profiluri, cu specificarea informațiilor care vor fi colectate în acest scop precum și a faptului că aceste profiluri vor fi utilizate în scopul livrării unor reclame targetate, specificarea faptului că fișierele cookies vor permite identificarea utilizatorului pe multiple website-uri, indicarea fișierelor cookie de tipul ”terță parte” (”third party” cookies) folosite și detalii cu privire la acestea, indicarea terțelor părți care au acces la datele colectate de fișierele cookies utilizate, indicarea perioadei de retenție (data de expirare a fișierelor cookie), indicarea modului în care utilizatorii pot seta ce tip de cookies permit și cum pot schimba aceste preferințe, odată setate precum și orice alte informații tehnice necesare utilizatorului pentru a-și exprima un consimțământ în deplină cunoștință de cauză.[17]
Cât privește durata de valabilitate a fișierelor cookie, GL29 consideră necesar ca furnizorii ”să pună în aplicare politici privind ștergerea sau punerea imediat sub anonimat a informațiilor colectate de fiecare dată când un cookie este citit, atâta vreme cât necesitatea păstrării a expirat. Fiecare operator de date trebuie să poată justifica necesitatea prevederii unei anumite perioade de păstrare a informațiilor. Grupul de lucru invită furnizorii de rețele de publicitate să prezinte motivele care justifică perioada de păstrare pe care o consideră necesară, în conformitate cu scopul urmărit al prelucrării datelor.”[18]
- Momentul obținerii consimțământului, care trebuie să fie anterior plasării fișierelor cookies
Acest lucru presupune ca website-ul să implementeze o soluție astfel încât niciun cookie să nu fie stocat pe terminalul utilizatorului (cu excepția acelora care sunt necesare pentru furnizarea serviciului solicitat de utilizator și care pot fi utilizate fără consimțământul acestuia – a se vedea pct. 2.4. de mai jos) anterior exprimării consimțământului valabil al utilizatorului.
Acesta este principalul considerent pentru care mecanismele de tipul ”opt-out” nu sunt considerate potrivite întrucât ele conferă utilizatorului posibilitatea să refuze fișierele cookies după ce acestea au fost plasate.
- Manifestarea de voință să fie făcută printr-o acțiune
Cât privește mecanismul concret de informare și colectare a consimțământului utilizatorilor, companiile beneficiază de o oarecare libertate atât timp cât mecanismul ales permite ca exprimarea consimțământului să fie făcută printr-o acțiune pozitivă (cum ar fi, spre exemplu, un click pe un buton de accept sau pe un link sau bifarea unei căsuțe) sau printr-un alt comportament activ și care nu este ambiguu, condiționat de informarea corespunzătoare a utilizatorului cu privire la consecințele unei asemenea acțiuni sau ale unui asemenea comportament.
Printr-un comportament activ se poate înțelege, conform Documentului de lucru 2/2013 emis de GL29[19], o acțiune pe care utilizatorul o poate întreprinde, de obicei manifestată printr-o solicitare efectuată pe website, cum ar fi un click pe un link, pe o imagine sau alt conținut aflat pe prima pagină a website-ului. Totuși, pentru ca un asemenea comportament să constituie un consimțământ valabil, este absolut necesar ca utilizatorul să fie informat cu privire la consecințele acestui comportament iar această informare să rămână vizibilă până la exprimarea consimțământului utilizatorului. Dacă informarea apare la accesarea website-ului însă dispare imediat după, înainte ca utilizatorul să se angajeze într-o acțiune sau într-un comportament care să exprime consimțământul, vor exista dubii cu privire la exprimarea unui consimțământ neechivoc.
Tot cu privire la comportamentul care poate fi interpretat drept o exprimare valabilă a consimțământului, este important a se cunoaște faptul că, lipsa unei acțiuni (a unui comportament activ) nu poate fi considerată drept consimțământ pentru fișierele de tip cookies. Astfel, dacă utilizatorul accesează prima pagină a unui website, chiar dacă la momentul accesării i se prezintă informații despre fișierele cookies, dacă utilizatorul nu întreprinde niciun comportament activ ci doar rămâne pe acea primă pagină a website-ului, această conduită va fi foarte greu de interpretat ca reprezentând o exprimare a unui consimțământ neechivoc. De asemenea, un click pe un link de tipul ”mai multe informații despre cookie” nu poate fi considerat ca fiind o exprimare a unui consimțământ.[20]
Concret, mecanismele utilizate pentru obținerea consimțământului utilizatorului pot consta în splash screens, bannere, căsuțe de dialog modal, inclusiv, în anumite condiții, setări de browser[21], cu mențiunea că această din urmă modalitate trebuie privită cu prudență și utilizată într-o manieră responsabilă, astfel cum vom detalia în cele ce urmează.
Utilizarea setărilor de browser ca metodă de acordare a consimțământului își găsește reglementarea legală în considerentul 66 din Directiva 2009/136/CE fiind specificat că, ”în cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispozițiile aplicabile din Directiva 95/46/CE (actualul Regulament (UE) 2016/679, n.n.), acordul utilizatorului privind procesarea se poate exprima prin folosirea setărilor adecvate ale unui browser sau ale unei alte aplicații.” Similar, conform Legii 506/2004, consimțământul poate fi dat şi prin utilizarea setărilor aplicației de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.
Obținerea consimțământului în acest sens, deși posibilă din punct de vedere legal, este însă un mecanism puțin recomandat și care ridică serioase probleme de valabilitate. GL29 specifică faptul că: ”Atunci când operatorul de website poate fi încrezător că utilizatorul a fost pe deplin informat și și-a configurat în mod activ browser-ul sau alte aplicații atunci, în circumstanțele corecte, o asemenea configurație ar semnifica un comportament activ și prin urmare ar trebui respectată de operatorul de website. Condițiile pentru ca setarea unui browser să poată fi considerată ca un consimțământ valabil și efectiv sunt descrise în Opinia 2/2010 a Grupului de lucru.” [22]
Susținem că acest mecanism trebuie utilizat cu prudență întrucât în foarte puține situații setările de browser vor constitui un consimțământ valabil. Aceasta deoarece, în primul rând, simpla utilizare a unui browser care, prin setările prestabilite, permite colectarea și prelucrarea datelor cu caracter personal nu poate fi considerată consimțământ pentru o astfel de prelucrare. În al doilea rând, pentru ca setările browserului să permită furnizarea consimțământului în cunoștință de cauză, ar trebui ca furnizorului de rețele de publicitate să îi fie imposibilă evitarea alegerii pe care utilizatorul o face atunci când își configurează browserul. Or, modulele cookie flash permit reactivarea modulelor cookie șterse, oferind posibilitatea furnizorului de rețele de publicitate să continue monitorizarea utilizatorului. În al treilea rând, consimțământul dat prin intermediul setărilor de browser implică un consimțământ acordat în masă, fără ca utilizatorul să cunoască circumstanțele prelucrării, care pot varia, evident, de la caz la caz, ceea ce lipsește consimțământul de caracterul său informat și îl face astfel să nu fie valabil.[23]
De asemenea, pentru ca browserele să poată genera un consimțământ valabil, ar trebui ca acestea să fie configurate implicit să respingă modulele cookies de la terți și, pe de altă parte, să transmită informații clare, complete și vizibile integral pentru a garanta un consimțământ în deplină cunoștință de cauză, avertismentele generice fără referiri explicite la rețeaua de publicitate care introduce modulul cookies nefiind considerate satisfăcătoare.[24]
O precizare importantă trebuie efectuată și cu privire la mecanismele de ”opt-out” care, deși sunt considerate binevenite, ele nu furnizează totuși un consimțământ întrucât se referă la o lipsă de reacție din partea utilizatorului după ce modulele cookies au fost instalate, pe când consimțământul presupune o acțiune a utilizatorului anterioară instalării modulelor cookie.[25]
- Manifestarea de voință să fie liberă, ceea ce presupune ca utilizatorul să aibă posibilitatea reală să permită sau să refuze fișierele cookies, sau să efectueze anumite setări cu privire la tipul de fișiere cookie permise (să accepte doar anumite cookies)
Conform recomandărilor emise în materie de GL29, mecanismul de colectare a consimțământului trebuie să ofere utilizatorului o posibilitate reală de alegere pe chiar pagina de intrare pe website. Alegerea trebuie să se refere nu doar la a permite sau nu fișiere cookies per general, ci și la tipul de fișiere cookie permise, ceea ce înseamnă că utilizatorului trebuie să i se dea posibilitatea să accepte anumite cookies și să refuze altele.[26]
Cât privește condiționarea accesului la website de acceptarea fișierelor cookie, devin relevante prevederile Directivei 2002/58/CE, în conformitate cu care: ”Accesul la un anumit conținut al unui site poate fi condiționat de acceptarea în cunoștință de cauză a unei cookie sau a unui instrument similar, în cazul în care acesta este folosit într-un scop legitim.”[27] În acord cu recomandările GL29, această clauză trebuie interpretată în sensul că un website nu trebuie să condiționeze accesul general la website de acceptarea tuturor fișierelor cookie, putând doar să limiteze accesul un anumit conținut dacă utilizatorul nu își exprimă consimțământul pentru cookie (spre exemplu, în cazul unui e-Commerce website, neacceptarea unor fișiere cookies de marketing, care sunt non-functional cookies, nu ar trebui să împiedice utilizatorul să cumpere produse de pe acel website).[28]
- Manifestarea de voință nu trebuie să fie considerată dată ”pentru totdeauna”
Cât privește sfera de aplicare a consimțământului, aceasta ar trebui limitată în timp, relevante în acest sens fiind recomandările GL29: ”Consimțământul privind monitorizarea nu ar trebui să fie „pentru totdeauna”, ci ar trebui să fie valabil o perioadă limitată de timp, de exemplu, un an. După această perioadă, furnizorii de rețele de publicitate ar trebui să obțină un nou consimțământ. Acest lucru ar putea fi realizat dacă, după introducerea în echipamentul terminal al utilizatorului, modulul cookie ar avea o durată de viață limitată (iar această durată nu este prelungită după data expirării).”[29]
- Responsabilitatea pentru obținerea consimțământului și conformarea la dispozițiile legale în contextul publicității comportamentale online
Publicitatea comportamentală implică diverși actori, cum ar fi furnizorii de rețele de publicitate, editorii (proprietarii site-urilor internet, care doresc să obțină venit din vânzarea de spațiu publicitar pe site-ul lor) și agenții de publicitate (cei care doresc să își promoveze produsele sau serviciile adresându-se unui public specific), fiind important să se evalueze rolul pe care aceștia îl joacă pentru a stabili obligațiile pe care le au în temeiul legislației, inclusiv obligația de obținere a consimțământului utilizatorilor pentru plasarea de cookies.[30]
Astfel, în ceea ce îi privește pe furnizorii de servicii de publicitate lucrurile sunt destul de clare, ei fiind cei care introduc module cookies și/sau recuperează informații din module cookies deja stocate în echipamentul terminal al persoanelor vizate, având astfel obligația să obțină consimțământul informat al acestora. Dacă informația colectată prin intermediul modulelor cookies reprezintă date cu caracter personal, furnizorii de servicii de publicitate reprezintă adevărați operatori de date cu caracter personal, în înțelesul Regulamentului (UE) 2016/679.
Editorii, în schimb, deși nu plasează direct modulele cookies în terminalul utilizatorului, nu procesează informația și nu creează profiluri (această activitate fiind făcută de regulă de furnizorii de publicitate), totuși poartă o anumită responsabilitate întrucât ei contribuie la livrarea de publicitate adaptată, prin aceea că își construiesc site-urile astfel încât, atunci când un utilizator le vizitează, browserul său este automat redirecționat către pagina de internet a furnizorului de rețele de publicitate, fapt ce permite transmiterea adresei IP furnizorului de rețele de publicitate care va plasa modulul cookie și va trimite materialele publicitare adaptate. Dimensiunea responsabilității lor trebuie analizată de la caz la caz, în funcție de condițiile specifice ale colaborării cu furnizorii de rețele de publicitate. Spre exemplu, editorii pot să nu dețină date cu caracter personal, caz în care dreptul de acces la date nu s-ar putea exercita împotriva lor însă, acest lucru nu presupune că nu au obligația de informare a utilizatorilor (în acest caz informarea va viza prelucrarea datelor care va avea loc prin redirecționarea browserului precum și scopul în care informațiile vor fi folosite ulterior de către furnizorii de rețele de publicitate). De asemenea, în anumite situații, cum ar fi cele în care editorii colectează și transmit furnizorului de rețele de publicitate date cu caracter personal despre vizitatorii lor ei pot fi considerați chiar operatori asociați cu acesta.[31]
Cât privește modalitatea în care editorii pot informa utilizatorii cu privire la plasarea modulelor cookies care se va realiza odată cu redirecționarea, GL29 consideră că pictogramele amplasate lângă reclamă pe site-ul internet al editorului, cu link-uri către informații suplimentare, constituie o metodă acceptată de informare a utilizatorilor[32].
Cât privește agenții de publicitate, atunci când un utilizator execută clic pe o reclamă și vizitează site-ul internet al agentului de publicitate, acesta poate urmări ce campanie a rezultat în urma accesării. Dacă agentul de publicitate colectează informațiile de identificare (de exemplu, anumite date demografice cum ar fi „tinere mame” sau un grup de interese precum „pasionații de sporturi extreme”) și le combină cu comportamentul de navigare pe internet al persoanei vizate sau cu datele de înregistrare, atunci agentul de publicitate este un operator de date independent pentru această parte a prelucrării datelor.[33]
- Excepții de la obținerea consimțământului pentru utilizarea de fișiere cookie
În conformitate cu prevederile art. 5 alin. (3) din Directiva 2002/58/CE, lipsa consimțământului utilizatorului nu împiedică stocarea de informații la echipamentul terminal al unui abonat sau utilizator sau accesul tehnic la aceste informații, în două cazuri, respectiv atunci când:
- fișierul cookie este folosit cu unicul scop de a efectua transmisia comunicării printr-o rețea de comunicații electronice (ceea ce înseamnă că, spre exemplu, utilizarea unui cookie pentru a accelera transmisia nu intră în această excepție și prin urmare necesită consimțământul) sau când
- fișierul cookie este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.
În acest sens se pot vedea și considerentul 66 din Directiva 2009/136/CE precum și prevederile art. 4 alin. (6) din Legea de transpunere nr. 506/2004.
Îndrumări practice legate de interpretarea celor două cazuri în care fișierele cookies pot fi utilizate fără a necesita consimțământul utilizatorului se regăsesc în Opinia 4/2012 a GL29.[34]
Fără a pretinde efectuarea unei prezentări exhaustive a acestor îndrumări, ne vom rezuma la prezentarea câtorva categorii de cookies a căror utilizare poate fi scutită, în anumite situații, de necesitatea obținerii consimțământului utilizatorului:
- User-input cookies, cum ar fi fișierele cookies care au ca scop memorarea informațiilor introduse de utilizator atunci când completează un formular online sau a produselor introduse în coșul de cumpărături online, pe durata unei sesiuni sau, în cazul unor cookies persistente, limitat la câteva ore și în anumite situații;
- Authentication cookies, utilizate pentru a identifica utilizatorul odată ce s-a conectat, pe durata unei sesiuni;
- User centric security cookies, utilizate pentru a detecta încercările de autentificare eșuate, pe o durată limitată;
- Multimedia content player session cookies, utilizate pentru a stoca date tehnice necesare pentru redarea conținutului video sau audio, pe durata unei sesiuni;
- User Interface customization cookies, utilizate pentru a salva preferințele utilizatorului, cum ar fi spre exemplu cele referitoare la limba în care este afișat conținutul website-ului, pe durata unei sesiuni;
- Social plug-in content sharing cookies, pentru membrii logați ai unei rețele de socializare.
Top conform recomandărilor GL29, fișierele cookies de tipul social plug-in tracking, third party advertising și first party analitics nu pot fi considerate ca fiind strict necesare pentru furnizarea unui serviciu al societății informaționale cerut în mod expres de către utilizator și deci nu pot fi utilizate fără obținerea consimțământului informat al utilizatorului. Ca regulă generală, fișierele cookie de tipul ”terță parte” (third party cookies) nu vor fi considerate ca strict necesare furnizării serviciului solicitat de utilizator câtă vreme ele au legătură cu un serviciu care este distinct de cel solicitat în mod expres de utilizator. [35]
Pe post de concluzii, ne vom rezuma la a preciza că, atunci când prin intermediul fișierelor cookie sunt prelucrate date cu caracter personal, este important ca această activitate să se realizeze nu doar cu respectarea cerințelor punctate în acest articol dar și cu respectarea principiilor generale prevăzute de articolul 5 din Regulamentul (UE) 2016/679, cu respectarea drepturilor persoanelor vizate și evident cu adoptarea unor măsuri de securitate corespunzătoare riscurilor generate de această prelucrare.
____________________________________________________________________________________________
[1] ICO, Cookies and similar technologies <https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/> accesat 15 mai 2020.
[2] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37), considerentul 24.
[3] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37), considerentul 25.
[4] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE) JO L 119, 4.5.2016, p. 1–88, considerentul (30).
[5] ICO, How do the cookie rules relate to the GDPR? <https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-the-cookie-rules-relate-to-the-gdpr/> accesat 15 mai 2020.
[6] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 10.
[7] Article 29 Data Protection Working Party, Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising, adopted on 08 December 2011 (WP 188), secțiunea III.1, pag. 8.
[8] Directiva 2002/58/CE (n 2), considerentul 25.
[9] Directiva 95/46/CE a fost înlocuită de Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE) JO L 119, 4.5.2016, p. 1–88.
[10] Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, M.Of. 1101 din 2004.11.25, art. 4 alin. (5).
[11] Grupul de lucru ”Articolul 29”, Avizul 1/2008 privind aspecte de protecție a datelor legate de motoarele de căutare, adoptat la 04 Aprilie 2008 (WP 148), secțiunea 4.1.3. pag. 13.
[12] European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.0, adopted on 4 May 2020, par. 6.
[13] Art. 4 pct. 11. A se vedea de asemenea considerentul 32.
[14] Directiva 2002/58/CE, considerentul 25.
[15] Legea 506/2004, art. 4 alin. (51).
[16] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208), pag. 3-6.
[17] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208), pag. 3.
[18] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 23.
[19] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208).
[20] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208).
[21] Directiva 2009/136/CE, considerentul 66; Legea 506/2004, art. 4 alin. (51).
[22] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208), text tradus, pag. 4.
[23] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 15-17.
[24] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 17.
[25] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 18.
[26] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208), pag. 5.
[27] Directiva 2002/58/CE, considerentul 25.
[28] Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 (WP 208), pag. 5.
[29] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 19.
[30] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 5.
[31] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 12-13.
[32] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 20.
[33] Grupul de lucru ”Articolul 29”, Avizul 2/2010 cu privire la publicitatea comportamentală online, adoptat la 22 iunie 2010 (GL171), pag. 14.
[34] Article 29 Data Protection Working Party, Opinion 04/2012 on Cookie Consent Exemption, adopted on 7 June 2012 (WP 194).
[35] Article 29 Data Protection Working Party, Opinion 04/2012 on Cookie Consent Exemption, adopted on 7 June 2012 (WP 194).