OMR Reviews
Dowiedz się więcej"W końcu znalazłem narzędzie, które pozwala mi osadzać wideo na stronie zgodnie z RODO i bez dodatkowych cookies."
Wywiad
Wywiad ekspercki o rozporządzeniu cookie: „Dobrze pomyślane, ale źle wykonane"
Centralny system zarządzania zgodami, niedawno zatwierdzony przez niemiecki Bundesrat, ma jeden główny cel: ograniczenie przytłaczającej fali cookies. Zamiast wyrażać zgodę indywidualnie na każdej stronie i przedzierać się przez niezliczone bannery, użytkownicy mieliby możliwość centralnego zapisywania swoich zgód lub sprzeciwów.
Koncepcja brzmi obiecująco. Po szerokiej medialnej dyskusji w grudniu 2024 roku postanowiliśmy dokładnie zbadać tę inicjatywę: Jak działa ten nowy system w Niemczech? Jakie są korzyści? Za co jest krytykowany? Jak funkcjonuje w praktyce? Czy naprawdę ograniczy nadmiar cookies? Czy system jest praktyczny dla właścicieli stron? I czy ma jakiekolwiek znaczenie dla innych krajów? Na te i inne pytania odpowiadamy w tym artykule:
ALE wciąż mieliśmy pewne wątpliwości. Czy jesteśmy zbyt krytyczni, ponieważ z natury podchodzimy do tematu z innej perspektywy? Gdyby to zależało od nas, nie wybieralibyśmy osobnego niemieckiego rozwiązania; zamiast tego dążylibyśmy do rozwiązań, w których problem w ogóle nie powstaje. W naszym przypadku oznacza to hosting wideo całkowicie bez konieczności uzyskiwania zgody i bez cookies, stworzony z myślą o Europie.
Aby rozwiać nasze wątpliwości, skonsultowaliśmy się z dr. jur. Thomasem Schwenke, LL.M. (UoA). Thomas jest niemieckim prawnikiem i ekspertem ds. ochrony danych, który doradza firmom w zakresie marketingu i wykorzystania AI. Prowadzi również podcast Rechtsbelehrung.com i udostępnia popularne narzędzie do tworzenia polityk prywatności i wytycznych AI na Datenschutz-Generator.de.
Zapowiedź: Niestety, nasza opinia o centralnym zarządzaniu zgodami nie uległa poprawie, co podsumowuje Thomas:
„[...] Rozporządzenie cookie to dobry przykład podejścia «dobrze pomyślane, ale źle wykonane». Wygląda na to, że autorzy przeoczyli fakt, iż zasady dotyczące zgody są określone przez UE. Dlatego skuteczne uproszczenie zgód cookie może się udać wyłącznie na poziomie UE.[...]" (Uwaga: ten cytat jest tłumaczeniem)
Nasze główne pytania dotyczyły:
- zakresu zastosowania systemu zarządzania zgodami,
- jego międzynarodowego zastosowania, biorąc pod uwagę, że niewiele stron działa wyłącznie w Niemczech,
- oraz kwestii odpowiedzialności w praktyce, zwłaszcza że znaczna liczba stron do dziś nie jest zgodna z RODO.
Każdą z tych kwestii omówiliśmy na praktycznych przykładach. Odpowiedzi na te pytania znajdziesz w naszym wywiadzie z Thomasem.
Wywiad: Z Thomasem Schwenke o centralnym zarządzaniu zgodami
Cześć Thomas, przejdźmy od razu do pierwszego pytania.
Temat #1: Ograniczony zakres zarządzania zgodami
Krytycy twierdzą, że centralne zarządzanie zgodami obejmuje jedynie zakres § 25 TDDSG. Wiele zgód, np. te wymagane do przetwarzania danych osobowych na mocy RODO, nie jest uwzględnionych.
Przykład:
- Używam Google Analytics na mojej stronie. § 25 TDDSG (aspekt technologiczny) reguluje, że mogę zapisać tracking cookie na urządzeniu końcowym użytkownika – do czego potrzebuję zgody.
- Jednak § 25 TDDSG nie reguluje przetwarzania danych zebranych za pośrednictwem tego cookie. Obejmuje to adres IP i zachowania użytkownika. Dane te mogą być przetwarzane wyłącznie zgodnie z wymogami RODO (aspekt danych), co wymaga odrębnej zgody.
Czy dla firm oznacza to, że muszą nadal prowadzić równoległe systemy? Jak w praktyce sensownie połączyć regulacje TDDSG i RODO?
„Możliwe jest uzyskanie wielu zgód jednym kliknięciem, np. klikając przycisk «Zaakceptuj wszystkie cookies». Tak dzieje się już dziś w każdym banerze cookie. Oznacza to, że system zbierający centralne zgody na podstawie TDDSG może jednocześnie zbierać zgody na podstawie RODO. Ważne jest jednak, aby użytkownicy byli informowani o zakresie swojej zgody i o tym, że służy ona również innym operatorom stron.
Innym pytaniem jest jednak to, czy dopuszczalne jest wyrażenie zgody obejmującej wszystkich operatorów stron, jak zamierza EinwV. Graniczy to ze zgodą ogólną, która z kolei nie jest dozwolona przez RODO. Oznacza to, że nie jest pewne, czy EinwV jest prawnie dopuszczalne w świetle prawa UE." (Uwaga: ten cytat jest tłumaczeniem)
Temat #2: Kwestie odpowiedzialności przy błędach centralnego serwisu
Według badań 54% stron internetowych (źródło) nie jest wdrożonych zgodnie z RODO. Gdy operator strony korzysta z niemieckiego centralnego serwisu zgód, a ten serwis nieprawidłowo działa na innej stronie, nie jest jasne, kto ponosi odpowiedzialność.
Przykład:
- Inna strona zapisuje błędną zgodę użytkownika, ponieważ usługa jest nieprawidłowo sklasyfikowana jako „niezbędna", a ja jako operator strony nie mogę tego ani prześledzić, ani zobaczyć.
Kto ponosi odpowiedzialność prawną w takich przypadkach? Jak firmy mogą się zabezpieczyć, korzystając z centralnych serwisów zgód?
„Odpowiedzialność za ochronę danych w odniesieniu do usług zintegrowanych na stronie spoczywa na dostawcy strony. Niemieckie rozporządzenie nie przewiduje żadnych ulg zwalniających operatora strony z odpowiedzialności. Oznacza to, że jeśli korzysta z zewnętrznego systemu, dostawca strony może jedynie dochodzić roszczeń gwarancyjnych od dostawcy usługi. Ponieważ EinwV stanowi, że dostawcy «uznanych usług zarządzania zgodami» nie mogą mieć interesu ekonomicznego w danych użytkowników, musieliby opracować inny model biznesowy, aby oferować taką gwarancję.
Alternatywnie, należałoby wyłączyć odpowiedzialność, co jest prawnie problematyczne i raczej nie zwiększy zaufania operatorów stron do takiego systemu." (Uwaga: ten cytat jest tłumaczeniem)
Temat #3: Złożoność zgodności z RODO
RODO wymaga, aby zgody były „dobrowolne, konkretne i świadome". Zapewnienie tego jest kluczowe również przy korzystaniu z centralnego serwisu. W praktyce istnieje szeroki wachlarz banerów zgód, z których część budzi wątpliwości prawne. Na ten moment nie istnieje uniwersalne rozwiązanie.
Przykład: Załóżmy, że zgoda jest uzyskiwana za pomocą prawnie kontrowersyjnego baneru „Pay-or-Okay", stosowanego przez wiele serwisów medialnych, co skutkuje niemal powszechnym wskaźnikiem zgód. Używam tej samej usługi na mojej stronie B2B...
Jakie widzisz największe wyzwania w pogodzeniu wymogów prawnych z praktyczną implementacją? Czy powinny nadal istnieć różne wersje tych banerów zgód?
„Główne wyzwanie leży w adopcji scentralizowanej zgody. Biorąc pod uwagę, że jest to lokalna niemiecka ustawa, jest mało prawdopodobne, by dostawcy przeglądarek dobrowolnie ją zintegrowali. Ponadto obowiązują tu bariery dla dostawców komercyjnych wspomniane w pytaniu 2. Dodatkową komplikacją jest to, że zgoda musi być stosowna do każdej konkretnej usługi, jej prawidłowej wersji i wybranych ustawień. Ta złożoność stanowi ryzyko dla operatorów stron, którzy mogą ponosić odpowiedzialność za wszelkie nieważne zgody.
Jednak w odniesieniu do wspomnianego przykładu, baner «Zgoda albo płatność» nie jest z natury nielegalny. Jego legalność zależy w dużej mierze od sposobu implementacji."
Temat #4: Wyzwania międzynarodowe
Rozporządzenie obowiązuje wyłącznie w Niemczech, podczas gdy inne kraje UE mogą mieć własne, często bardziej restrykcyjne zasady dotyczące banerów cookie. Stanowi to wyzwanie dla firm działających międzynarodowo, próbujących tworzyć jednolite rozwiązania.
Przykład:
- Mam stronę w języku niemieckim i francuskim. We Francji nie ma centralnego systemu zbierania zgód.
Jak firmy mogą radzić sobie z takimi regionalnymi różnicami?
„Firmy mają możliwość albo stosowania się do surowszych regulacji w ramach UE, albo opracowania dostosowanych rozwiązań cookie dla różnych krajów. Większość firm wybiera pierwsze podejście. Choć zgoda na stosowanie cookies jest regulowana jednolicie w całej UE, państwa członkowskie mają niewielkie pole manewru w zakresie ułatwiania lub utrudniania procesu uzyskiwania tej zgody. Niemieckie EinwV jest doskonałym przykładem trudności związanych z odbieganiem od zasad UE." (Uwaga: ten cytat jest tłumaczeniem)
Temat #4: Jak realistyczne jest rozporządzenie?
Na podstawie twoich dotychczasowych odpowiedzi i ogólnej krytyki, twoja konkluzja nie wydaje się zbyt pozytywna. Co prowadzi nas do ostatniego pytania:
Czy cel rozporządzenia jest realistyczny, czy prowadzi do większej złożoności dla firm i użytkowników?
„Rozporządzenie cookie to dobry przykład podejścia «dobrze pomyślane, ale źle wykonane». Wygląda na to, że autorzy przeoczyli fakt, iż zasady dotyczące zgody są określone przez UE. Dlatego skuteczne uproszczenie zgód cookie może się udać wyłącznie na poziomie UE.
Niemieckie rozporządzenie cookie mogłoby co najwyżej służyć jako propozycja tego, jak takie uproszczenie mogłoby wyglądać na poziomie UE. W praktyce wdrożenie niemieckiego rozporządzenia cookie przyniosłoby ulgę jedynie tym użytkownikom, którzy generalnie są skłonni do hojnego wyrażania zgód. Użytkownicy, którzy odmawiają, mogliby natomiast napotkać jeszcze większe zamieszanie wynikające z różnych procedur cookie. Z frustracji mogłoby to ich ostatecznie skłonić do kliknięcia «Zaakceptuj wszystko».
Istnieje znaczne ryzyko, że EinwV, z perspektywy ochrony konsumentów, może wyrządzić więcej szkody niż pożytku." (Uwaga: ten cytat jest tłumaczeniem)
Dziękujemy za odpowiedzi na nasze pytania, Thomas!
Zainteresowanych zapraszamy do zapoznania się z naszą ogólną prezentacją EinwV. Więcej o dr. jur. Thomasie Schwenke znajdziesz tutaj:
