Warianty tytułu
Consent to the Processing of Personal Data and Profiling. Observations on the Judgment of the EU Court of Justice of 1 October 2019 in Case C-673/17
Języki publikacji
Abstrakty
Przedmiot badań: Przedmiotem badania jest wyrok TSUE z dnia 1 października 2019 r. w sprawie C-673/17 (Planet 49). W niniejszym artykule przedstawiona została analiza problemu przetwarzania danych osobowych w zakresie obowiązków informacyjnych i warunków udzielenia zgody, wymaganych przez RODO, w sytuacji przetwarzania danych osobowych przez informatyczne narzędzia zbierania danych, które wywierają wpływ na sferę prywatności użytkownika sieci łączności elektronicznej jako informacje, w tym dane osobowe przechowywane w urządzeniach końcowych, służące zdalnej identyfikacji i śledzeniu użytkowników końcowych.1 Cel badawczy: Celem badawczym artykułu jest ocena rozwiązań prawnych dotyczących obowiązków stosowania plików cookies jako jednej z technologii, która przechowuje informacje na urządzeniach użytkowników końcowych lub uzyskuje do tych informacji dostęp. W aktualnym stanie prawnym brak jest legalnej definicji plików cookie nie tylko ze względu na to, że nie jest to jedyna technologia, pozwalająca na zbieranie informacji z urządzeń końcowych, ale także z uwagi na różne źródła pochodzenia plików cookie i ich funkcje (np. cookie analityczne, marketingowe, związane z bezpieczeństwem). Pliki cookie instalowane na urządzeniu końcowym użytkownika mogą zawierać numer przypisany do danych rejestracyjnych użytkownika. Oznacza to, że skojarzenie takiego numeru z danymi osobowymi użytkownika powoduje personalizację danych przechowywanych przez pliki cookie, wobec czego zbieranie danych za pomocą tych plików może być przetwarzaniem danych osobowych. Jedną z form zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej jest profilowanie. Przetwarzanie danych osobowych uwarunkowane jest zaistnieniem przesłanek dopuszczalności przetwarzania danych wskazanych w art. 6 i 9 RODO, wśród których znajduje się zgoda podmiotu danych. Zgoda jako jedna z niezależnych podstaw przetwarzania danych osobowych ma na celu zagwarantowanie autonomii informacyjnej podmiotu danych w sytuacji, gdy to właśnie od jego decyzji zależy możliwość przetwarzania danych. Dla zakwalifikowania danego działania lub oświadczenia jako wyrażenie zgody konieczne jest kumulatywne wystąpienie jej elementów konstrukcyjnych, wymienionych w art. 7 RODO, których spełnienie konieczne jest także w warunkach wyrażania oświadczeń on-line. Metoda badawcza: Stosując metodę prawno-porównawczą, przeprowadzona została analiza obowiązujących przepisów z uwzględnieniem tego, że Trybunał w Luksemburgu w wyroku z 1 października 2019 r. w sprawie C-673/17 (Planet 49) wypowiedział się na temat zgody na zamieszczenie plików cookie o funkcji marketingowej oraz zakresu informacji, jakich należy udzielić przy pozyskiwaniu takiej zgody. Wyniki: Zamieszczenie plików cookies o treści marketingowej wymaga zgody, spełnienia warunków jej pozyskiwania oraz zachowania standardów informacyjnych zgodnych z RODO.(abstrakt oryginalny)
Background: The subject matter of this research is the CJEU judgment on 1 October 2019 in case C-673/17 (Planet 49). The article analyses the issue of personal data protection in respect to information obligations and conditions of consent. These are required under the GDPR in cases where personal data are processed by computerised data collection tools that affect electronic communications networks' users' private of information including personal data stored on end devices used for remote identification and tracking of end users. Research purpose: The purpose of research in the article is to assess legal solutions relating to the obligation to use cookies as one of the technologies that store or access information on the devices of end users. In the current legal environment, there is no legal definition of cookies, not only because it is not the only technology allowing for collecting information from end devices but also due to various sources of origin as well as various functions of cookies (e.g. analytical, marketing, safety cookies). Cookies that may be installed on the end user's device may contain a number assigned to the user's registration data, which means that if such number is matched to the user's personal data, data stored by cookies are personalised and, therefore, collection of data with the use of cookies may constitute processing of personal data. One of the forms of automated personal data processing is profiling, which consists in the use of personal data for assessment of certain personal features of a natural person. Processing of personal data is conditional upon the existence of prerequisites to lawfulness of personal data processing indicated in Article 6 and Article 9 of the GDPR, which include consent of the data subject. The purpose of consent as one of independent grounds for personal data processing is to ensure that the data subject is granted information autonomy in cases where the possibility of data processing depends on his or her decision. In order for a given act or statement to qualify as consent, it is necessary that there cumulatively exist all the structural elements of consent, listed in Article 7 of the GDPR, which must be met also if statements are made online. Methods: The applicable provisions have been analysed using the legal comparative method, taking into account that in its judgment of 1 October 2019 in case C-673/17 (Planet 49) the Court in Luxembourg addressed the issue of consent to placing marketing cookies and the scope of information that must be provided when such consent is sought. Conclusions: Placement of marketing cookies requires consent, meeting conditions for obtaining consent, and applying GDPR-compliant information standards.(original abstract)
Twórcy
Bibliografia
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), Dz.U.UE.L.2016.119.1.
- Dyrektywa Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U.UE L.201.P.0037-0047).
- Dyrektywa Parlamentu Europejskiego i Rady 2013/37/UE z dnia 26 czerwca 2013 r. zmieniająca dyrektywę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U.UE.L.2013.175.1).
- Dyrektywa Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. zmieniająca dyrektywę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U.UE.L.2003.345.90 ze zm.).
- Dyrektywa Parlamentu Europejskiego i Rady z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego.
- Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz.U., poz. 1641).
- Barta P., Kawecki M., komentarz do art. 4 pkt 4, w: P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warszawa 2018, s. 205-207.
- Brzozowska M., Ochrona danych osobowych w sieci, Wydawnictwo Presscom, Wrocław 2012, s. 37.
- Ciechomska M., Prawne aspekty profilowania oraz podejmowania zautomatyzowanych decyzji w ogólnym rozporządzeniu o ochronie danych osobowych, Europejski Przegląd Sądowy, maj 2017 r., s. 37-42.
- Fischer B., Piskorz-Ryń A., Sakowska-Baryła M., Wyporska-Frankiewicz J., Ustawa o ponownym wykorzystywaniu informacji sektora publicznego. Komentarz, Lex, Warszawa 2019, komentarz do art. 7, s. 220-273.
- Franke M., Pytania wokół wyroku w sprawie cookies, ABI Expert 2020/1, s. 16-19.
- Kaczorowski M., Przetwarzanie danych osobowych w działaniach marketingowych prowadzonych on-line, Aktualne Problemy Prawnej Ochrony Danych Osobowych 2014, w: G. Sibiga (red.), dodatek do Monitora Prawniczego 2014/9, s. 34-37.
- Leja P., Ochrona danych osobowych a Internet rzeczy, profilowanie i repersonalizacja danych, Prawo Mediów Elektronicznych 2017/3, s. 10-16.
- Mednis A., Prawo ochrony danych osobowych wobec profilowania osób fizycznych, Wydawnictwo Presscom, Wrocław 2019, s. 61.
- Nerka A., komentarz do art. 4 pkt 11, w: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Legalis, Warszawa 2018, s. 115-121.
- Nowe ramy ochrony danych osobowych w Unii Europejskiej jako wyzwanie dla polskiego sądownictwa, Krajowa Rada Sądownictwa 2013/1, s. 21.
- Opinia 15/2011 Grupy Roboczej Art.29 w sprawie definicji zgody (WP 187).
- Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej, pkt 2.3, (WP...).
- Rekomendacja Rady Europy CM/Rec (2010) 13 w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili.
- Szymielewicz K., Walkowiak A., Autonomia informacyjna w kontekście usług internetowych: o znaczeniu zgody na przetwarzanie danych i ryzykach związanych z profilowaniem, dodatek do Monitora Prawniczego 2014/9, s. 29-33.
- Wiewiórowski W.R., Ochrona prywatności jako ograniczenie prawa do ponownego przetwarzania informacji publicznej, Gdańskie Studia Prawnicze 2014/XXXI, s. 146-147.
- Wiewiórowski W.R., Personal Profiling Based on Generally Accessible Data, International Journal on Information Technology and Security 2012/3, s. 31-46.
- Wiewiórowski W.R., Profilowanie osób na podstawie ogólnodostępnych danych, w: A. Mednis (red.), Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym, Wydawnictwo Stow. Absolwentów WPiA UW, Warszawa 2013, s. 25-27.
- http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pl.pdf; stan na 3.08.2020 r.
- http://www.coe.int/t/dghl/standardsetting/cdcj/CDCJ Recommendations/CMRec(2010% 2913E_Profiling.pdf; stan na 3.08.2020 r.
- http://www.polityka.pl/tygodnikpolityka/ludzieistyle/1603593,1,za-prywatnosc-w-internecie- -trzeba-placic.read; stan na 3.08.2020 r.
- https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52017PC0010; stan na 3.08.2020 r.
- https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868; stan na 29.05.2020 r.
- https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi; stan na 29.05.2020 r.
Typ dokumentu
Bibliografia
Identyfikatory
Identyfikator YADDA
bwmeta1.element.ekon-element-000171664283