Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Wyrok Trybunału Sprawiedliwości UE z dnia 1 października 2019 r.

Wyrok TSUE w sprawie umieszczania plików cookie

C 673/17

13/10/2019

Zgoda Na Przetwarzanie Danych, Cookie,

Zgoda użytkownika witryny internetowej na instalowanie i udostępnianie plików cookie na jego urządzeniu, która została udzielona za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody, nie jest ważna.


WYROK TRYBUNAŁU (wielka izba)

z dnia 1 października 2019 r.

 

Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dyrektywa 2002/58/WE – Rozporządzenie (UE) 2016/679 – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Cookies – Pojęcie zgody osoby, której dane dotyczą – Oświadczenie o wyrażeniu zgody za pomocą zaznaczonego domyślnie okienka wyboru

 

W sprawie C‑673/17

 

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) postanowieniem z dnia 5 października 2017 r., które wpłynęło do Trybunału w dniu 30 listopada 2017 r., w postępowaniu:

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

przeciwko

Planet49 GmbH,

 

TRYBUNAŁ (wielka izba),

 

w składzie: K. Lenaerts, prezes, R. Silva de Lapuerta, wiceprezes, J.C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe i C. Lycourgos, prezesi izb, A. Rosas (sprawozdawca), L. Bay Larsen, M. Safjan i S. Rodin, sędziowie,

rzecznik generalny: M. Szpunar,

sekretarz: D. Dittert, kierownik wydziału,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 13 listopada 2018 r.,

rozważywszy uwagi przedstawione:

–        w imieniu Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV przez P. Wassermanna, Rechtsanwalt,

–        w imieniu Planet49 GmbH przez M. Jaschinskiego, J. Viniola oraz T. Petersena, Rechtsanwälte,

–        w imieniu rządu niemieckiego przez J. Möllera, działającego w charakterze pełnomocnika,

–        w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez F. De Lucę, avvocato dello Stato,

–        w imieniu rządu portugalskiego przez L. Ineza Fernandesa, M. Figueiredę, L. Medeiros oraz C. Guerrę, działających w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej przez G. Brauna, H. Kranenborga i P. Costę de Oliveirę, działających w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 21 marca 2019 r.,

wydaje następujący

Wyrok

1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2 lit. f) i art. 5 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11) (zwanej dalej „dyrektywą 2002/58”) w związku z art. 2 lit. h) dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), a także art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1).

2.Wniosek ten został złożony w ramach sporu między Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (federalnym związkiem organizacji i stowarzyszeń konsumenckich – związkiem organizacji konsumenckich, Niemcy) (zwanym dalej „związkiem organizacji konsumenckich”) a Planet49 GmbH, spółką oferującą gry online, w przedmiocie zgody uczestników organizowanej przez tę spółkę loterii promocyjnej na przekazanie ich danych osobowych jej sponsorom i partnerom oraz na przechowywanie informacji i dostęp do informacji przechowywanych w urządzeniach końcowych tych użytkowników.

 Ramy prawne

 Prawo Unii

 Dyrektywa 95/46

3. Artykuł 1 dyrektywy 95/46 stanowi:

„1.      Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.

2.      Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.

 

4. Artykuł 2 tej dyrektywy stanowi:

„Do celów niniejszej dyrektywy:

a)      »dane osobowe« oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;

b)      »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;

[…]

h)      „»zgoda osoby, której dane dotyczą« oznacza konkretne i świadome dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”.

 

5.  Artykuł 7 wskazanej dyrektywy stanowi:

„Państwa członkowskie zapewniają, [aby dane osobowe mogły] być przetwarzane tylko wówczas, gdy:

a)      osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub

[…]”.

 

6. W myśl art. 10 tej dyrektywy:

„Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy [osoba ta] informacje takie już posiada:

a)      tożsamości administratora danych i ewentualnie jego przedstawiciela;

b)      celów przetwarzania danych, do których dane są przeznaczone;

c)      wszelkich dalszych informacji, jak np.:

–        odbiorcy lub kategorie odbierających dane [odbiorców danych],

–        tego [to], czy odpowiedzi na pytania są obowiązkowe czy dobrowolne oraz ewentualne konsekwencje nieudzielenia odpowiedzi,

–        istnienie prawa wglądu do swoich danych oraz ich sprostowania,

o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą”.

 

Dyrektywa 2002/58

7. Motywy 17 i 24 dyrektywy 2002/58 mają następujące brzmienie:

„(17)      Do celów niniejszej dyrektywy zgoda użytkownika lub abonenta, niezależnie od tego, czy abonentem jest osoba fizyczna, czy prawna, powinna mieć to samo znaczenie co zgoda podmiotu danych [osoby, której dane dotyczą] opisana i szerzej określona w dyrektywie [95/46]. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne, [konkretne] i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej.

[…]

(24)      Wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności [podpisanej w Rzymie w dniu 4 listopada 1950 r.]. Programy określane mianem spyware, błędy sieciowe, ukryte identyfikatory i inne podobne narzędzia mogą się znaleźć w terminalu użytkownika bez jego wiedzy w celu uzyskania dostępu do informacji, przechowania ukrytych informacji lub śledzenia czynności użytkownika i mogą w poważny sposób naruszyć jego prywatność. Stosowanie takich narzędzi powinno być dozwolone wyłącznie dla uzasadnionych celów, po powiadomieniu zainteresowanych użytkowników”.

 

8. Artykuł 1 dyrektywy 2002/58 stanowi:

„1.      Niniejsza dyrektywa przewiduje harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu [w Unii Europejskiej] tego typu danych oraz urządzeń i usług łączności elektronicznej.

2.      Przepisy niniejszej dyrektywy dookreślają i uzupełniają dyrektywę [95/46] zgodnie z celami przedstawionymi w ust. 1 […]”.

 

9. Artykuł 2 tej dyrektywy stanowi:

„Z zastrzeżeniem innych przepisów stosuje się definicje z dyrektywy [95/46] i dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektyw[y] ramow[ej]) [(Dz.U. 2002, L 108, s. 33)].

Stosuje się również następujące definicje:

a)      »użytkownik« oznacza każdą osobę fizyczną korzystającą z publicznie dostępnych usług łączności elektronicznej, do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu za te usługi;

[…]

f)      »zgoda« użytkownika lub abonenta odpowiada zgodzie podmiotu danych [osoby, której dane dotyczą] określonej w dyrektywie [95/46];

[…]”.

 

10.  Artykuł 5 ust. 3 wskazanej dyrektywy stanowi:

„Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę [po otrzymaniu] zgodnie z dyrektywą [95/46], […] jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

 

Rozporządzenie 2016/679

11. Motyw 32 rozporządzenia nr 2016/679 stanowi:

„Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy”.

 

12. Artykuł 4 tego rozporządzenia stanowi:

„Na użytek niniejszego rozporządzenia:

1)      »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2)      »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

11)      »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

[…]”.

 

1.3. Artykuł 6 wspomnianego rozporządzenia stanowi:

„1.      Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

[…]”.

 

14. Artykuł 7 ust. 4 tego rozporządzenia stanowi:

„Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.

 

15.  Zgodnie z art. 13 ust. 1 i 2 rozporządzenia nr 2016/679:

„1.      Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:

[…]

e)      informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją […];

[…]

2.      Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a)      okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

[…]”.

 

16. Artykuł 94 tego rozporządzenia stanowi:

„1.      Dyrektywa [95/46] zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.

2.      Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia. Odesłania do Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej w art. 29 dyrektywy [95/46], należy traktować jako odesłania do Europejskiej Rady Ochrony Danych, ustanowionej niniejszym rozporządzeniem”.

 

Prawo niemieckie

17. Zgodnie z § 307 ust. 1 zdanie pierwsze Bürgerliches Gesetzbuch (kodeksu cywilnego, zwanego dalej „BGB”) „postanowienia ogólnych warunków umów są bezskuteczne, jeżeli wbrew wymogowi dobrej wiary są niewspółmiernie niekorzystne dla drugiej strony umowy zawartej z podmiotem stosującym takie warunki”.

18. Paragraf 307 ust. 2 pkt 1 BGB stanowi, że „[w] razie wątpliwości należy przyjąć, że ma miejsce niewspółmiernie niekorzystne traktowanie, jeśli dane postanowienie nie jest zgodne z podstawowymi zasadami ustawowej regulacji, od której stanowi odstępstwo”.

19. Paragraf 12 Telemediengesetz (ustawy o mediach elektronicznych) z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179), w brzmieniu mającym zastosowanie do sporu rozpatrywanego w postępowaniu głównym (zwanej dalej „TMG”), stanowi:

„(1)      Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania mediów elektronicznych, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do mediów elektronicznych, lub gdy użytkownik wyraził na to zgodę.

(2)      Usługodawca może wykorzystywać dane osobowe, które zostały zgromadzone w celu udostępniania mediów elektronicznych, do innych celów tylko wtedy, gdy zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do mediów elektronicznych, lub jeżeli użytkownik wyraził na to zgodę.

(3)      O ile prawo nie stanowi inaczej, należy stosować przepisy obowiązujące w odniesieniu do ochrony danych osobowych, nawet jeżeli dane nie są przetwarzane w zautomatyzowany sposób”.

20.  Zgodnie z § 13 ust. 1 TMG dostawca usług w powszechnie zrozumiałej formie informuje użytkownika na początku procesu używania o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych, o ile takie powiadomienie nie miało jeszcze miejsca. W przypadku zautomatyzowanej procedury, która umożliwia późniejszą identyfikację użytkownika i przygotowuje gromadzenie i wykorzystywanie danych osobowych, użytkownika powiadamia się na początku tej procedury.

21.  Zgodnie z § 15 ust. 3 TMG dla celów reklamy, badania rynku lub ukształtowania mediów elektronicznych w zależności od potrzeb dostawca usług może tworzyć profile użytkowania w przypadku używania pseudonimów, o ile użytkownik, po pouczeniu go o przysługującym mu prawie sprzeciwu, nie sprzeciwi się temu.

22. Zgodnie z definicją zawartą w § 3 ust. 1 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 20 grudnia 1990 r. z dnia 20 grudnia 1990 r. (BGBl. 1990 I, s. 2954), w brzmieniu mającym zastosowanie do sporu rozpatrywanego w postępowaniu głównym (zwanej dalej „BDSG”), „dane osobowe” są to szczegółowe dane dotyczące sytuacji osobistej lub rzeczowej zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą)”.

23. Zgodnie z definicją zawartą w § 3 ust. 3 BDSG „zbieranie” oznacza uzyskanie danych o osobie, której dane dotyczą.

24. Paragraf 4a ust. 1 zdanie pierwsze BDSG, który transponuje art. 2 lit. h) dyrektywy 95/46, stanowi, że zgoda jest ważna, tylko jeśli wynika z wolnego wyboru zainteresowanej osoby.

 Postępowanie główne i pytania prejudycjalne

25. W dniu 24 września 2013 r. spółka Planet49 zorganizowała loterię promocyjną na stronie internetowej www.dein‑macbook.de.

26. Internauci chcący wziąć udział w tej loterii musieli podać swój kod pocztowy, po czym byli przekierowywani na stronę internetową, na której musieli wpisać swoje imię i adres. Pod polami, w których należało wpisać adres, znajdowały się teksty dwóch oświadczeń wraz z okienkami wyboru. Tekst pierwszego oświadczenia, przy którym okienko wyboru (zwane dalej „pierwszym okienkiem wyboru”) nie było zaznaczone domyślnie, miał następujące brzmienie:

„Wyrażam zgodę na informowanie mnie przez niektórych sponsorów i partnerów listownie lub telefonicznie, lub e‑mailem/SMS‑em o ofertach z obszaru ich działalności. Sponsorów i partnerów mogę wybrać niniejszym samodzielnie, w przeciwnym razie wyboru dokona organizator. Zgodę mogę w dowolnym momencie wycofać. Dalsze informacje znajdują się tutaj”.

27. Tekst drugiego oświadczenia, przy którym okienko wyboru (zwane dalej „drugim okienkiem wyboru”) było zaznaczone domyślnie, miał następujące brzmienie:

„Wyrażam zgodę na stosowanie wobec mnie usługi analizy internetowej Remintrex. Skutkuje to tym, że organizator loterii promocyjnej, [Planet49], po zarejestrowaniu uczestnika w loterii instaluje pliki cookie. Umożliwi to Planet49 ocenę mojego zachowania w zakresie odwiedzania i korzystania ze stron internetowych partnerów reklamowych i dopasowanie reklam do moich preferencji przez Remintrex. Pliki cookies mogę usunąć w dowolnym czasie. Więcej na ten temat przeczytacie Państwo tutaj”.

28. Udział w loterii był możliwy tylko wówczas, gdy zaznaczone zostało przynajmniej pierwsze okienko wyboru.

29. Link zamieszczony w tekście oświadczenia towarzyszącego pierwszemu okienku wyboru, pod słowami „sponsorzy i partnerzy” oraz „tutaj”, odsyłał do listy 57 przedsiębiorstw, która zawierała ich adresy, obszar działalności będący przedmiotem reklamy oraz określała sposób komunikacji (e‑mail, poczta lub telefon) używany do celów reklamy. Po nazwie każdego przedsiębiorstwa umieszczone było podkreślone słowo „Rezygnacja”. Lista była poprzedzona następującym oświadczeniem:

„Poprzez kliknięcie linku »Rezygnacja« decyduję, że danemu partnerowi/sponsorowi nie może zostać udzielona zgoda na cele reklamowe. Jeżeli nie zrezygnuję z żadnego bądź zrezygnuję z niewystarczającej liczby partnerów/sponsorów, wyboru według własnego uznania dokona za mnie Planet49 (maksymalna liczba: 30 partnerów/sponsorów)”.

30. W przypadku kliknięcia na link umieszczony w tekście oświadczenia towarzyszącego drugiemu okienku wyboru, pod słowem „tutaj”, pojawiały się następujące informacje:

„Instalowane pliki cookie o nazwach ceng_cache, ceng_etag, ceng_png i gcr są małymi zbiorami danych zapisywanymi na twardym dysku przez przeglądarkę, której używasz, które przekazują informacje umożliwiające bardziej efektywną i przyjazną użytkownikowi reklamę. Pliki cookie zawierają określony losowo wygenerowany numer (ID), który jest jednocześnie przyporządkowany do Twoich danych rejestrowych. Jeżeli odwiedzisz następnie stronę internetową zarejestrowanego w Remintrex partnera reklamowego (informacje o tym, czy jest on zarejestrowany, znajdziesz w oświadczeniu o ochronie danych partnera reklamowego), zainstalowany tam program iFrame Remintrexu automatycznie zarejestruje, że odwiedziłeś (tj. użytkownik o zapisanym ID) stronę, jakim produktem byłeś zainteresowany i czy doszło do zawarcia umowy.

Na podstawie udzielonej przy rejestracji do udziału w konkursie z nagrodami zgody na otrzymywanie reklam [Planet 49] może Ci następnie przesyłać e‑maile reklamowe, które uwzględniają preferencje ujawnione na stronie internetowej partnera reklamowego. W przypadku cofnięcia zgody na przesyłanie reklam nie otrzymasz już oczywiście żadnych e‑maili z reklamami.

Informacje dostarczone przez pliki cookie będą używane wyłącznie w celu reklamowania produktów partnerów reklamowych. Informacje będą zbierane, przechowywane i używane odrębnie dla każdego partnera reklamowego. W żadnym wypadku nie będą tworzone profile użytkownika dla kilku partnerów reklamowych. Żadne dane osobowe nie zostaną przekazane poszczególnym partnerom reklamowym.

Jeżeli nie będziesz dłużej zainteresowany używaniem plików cookie, będziesz mógł je w dowolnym momencie usunąć w swojej przeglądarce. Instrukcje znajdziesz w opcji »Pomoc« w przeglądarce.

Pliki cookie nie uruchamiają programów ani nie przenoszą wirusów.

Oczywiście masz możliwość cofnięcia niniejszej zgody w dowolnym momencie. Cofnięcie zgody możesz wysłać w formie pisemnej do [Planet 49] [adres]. Wystarczy jednak także e‑mail do naszego serwisu klientów [adres e‑mail]”.

31. Z postanowienia odsyłającego wynika, że pliki cookie są to pliki, które dostawca strony internetowej instaluje na komputerze użytkownika tej strony i do których może on uzyskać ponowny dostęp, gdy użytkownik odwiedzi stronę ponownie, w celu ułatwienia przeglądania Internetu lub transakcji lub w celu uzyskania informacji na temat zachowania użytkownika.

32. W wezwaniu do usunięcia uchybienia, które pozostało bez odpowiedzi, związek organizacji konsumenckich, który jest wpisany na listę podmiotów mających legitymację procesową na podstawie § 4 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (ustawy w sprawie powództw o zaniechanie naruszeń praw konsumentów i innych naruszeń) z dnia 26 listopada 2001 r. (BGBl. 2001 I, s. 3138), podniósł, że oświadczenia o wyrażeniu zgody, których złożenia poprzez zaznaczenie pierwszego i drugiego okienka wyboru domagała się spółka Planet49, nie spełniały wymogów określonych w przepisach § 307 BGB w związku z § 7 ust. 2 pkt 2 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji) z dnia 3 lipca 2004 r. (BGBl. 2004 I, s. 1414) w brzmieniu mającym zastosowanie do sporu rozpatrywanego w postępowaniu głównym, oraz w art. 12 i nast. TMG.

33. Związek organizacji konsumenckich wniósł do Landgericht Frankfurt am Main (sądu okręgowego we Frankfurcie nad Menem, Niemcy) pozew, w którym zasadniczo domaga się od spółki Planet49 zaprzestania żądania tego rodzaju oświadczeń o wyrażeniu zgody oraz zapłaty na swą rzecz kwoty 214 EUR wraz z odsetkami od dnia 15 marca 2014 r.

34. Landgericht Frankfurt am Main (sąd okręgowy we Frankfurcie nad Menem) częściowo uwzględnił żądania tego pozwu.

35.Po rozpoznaniu odwołania wniesionego przez spółkę Planet49 do Oberlandesgericht Frankfurt am Main (wyższego sądu krajowego we Frankfurcie nad Menem, Niemcy) sąd ten orzekł, że przedstawione przez związek organizacji konsumenckich żądanie, aby spółka Planet49 zaprzestała zamieszczania w zawieranych z konsumentami umowach dotyczących loterii promocyjnej oświadczenia przytoczonego w pkt 27 niniejszego wyroku, w wypadku którego odnośne okienko wyboru jest zaznaczane domyślnie, nie jest zasadne, ponieważ, po pierwsze, użytkownik jest świadomy możliwości usunięcia zaznaczenia tego okienka, a po drugie, oświadczenie to zostało sporządzone czytelnym drukiem, w sposób dostatecznie wyraźny, i podawało informacje na temat sposobów używania plików cookie, bez konieczności ujawniania tożsamości osób trzecich, które mogłyby mieć dostęp do zebranych informacji.

36. Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy), do którego związek organizacji konsumenckich wniósł środek zaskarżenia dotyczący kwestii prawnych, stoi na stanowisku, że wynik postępowania głównego zależy od wykładni art. 5 ust. 3 i art. 2 lit. f) dyrektywy 2002/58, art. 2 lit. h) dyrektywy 95/46, jak też art. 6 ust. 1 lit. a) rozporządzenia 2016/679.

37. W związku z wątpliwościami co do ważności, w świetle tych przepisów, uzyskania przez spółkę Planet49 zgody użytkowników strony internetowej www.dein‑macbook.de za pomocą drugiego okienka wyboru oraz co do zakresu obowiązku udzielenia informacji przewidzianego w art. 5 ust. 3 dyrektywy 2002/58 Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      a)      Czy mamy do czynienia ze skuteczną zgodą w rozumieniu art. 5 ust. 3 i art. 2 lit. f) dyrektywy [2002/58] w związku z art. 2 lit. h) dyrektywy [95/46], w sytuacji gdy przechowywanie informacji lub dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika, są dozwolone na podstawie domyślnie zaznaczonego okienka wyboru, z którego użytkownik musi usunąć zaznaczenie w celu odmówienia wyrażenia zgody?

b)      Czy na stosowanie art. 5 ust. 3 i art. 2 lit. f) dyrektywy [2002/58] w związku z art. 2 lit. h) dyrektywy [95/46] ma wpływ fakt, że przechowywane lub udostępniane informacje są danymi osobowymi?

c)      Czy w okolicznościach określonych w pytaniu [pierwszym] lit. a) została wyrażona skuteczna zgoda w rozumieniu art. 6 ust. 1 lit. a) rozporządzenia [2016/679]?

2)      Jakich informacji usługodawca powinien udzielić użytkownikowi w ramach jasnych i wyczerpujących informacji wymaganych zgodnie z art. 5 ust. 3 dyrektywy [2002/58]? Czy informacje te obejmują również okres ważności plików cookie oraz kwestię dostępu osób trzecich do plików cookie?”.

 

W przedmiocie pytań prejudycjalnych

 Uwagi wstępne

38. Na wstępie należy zbadać, czy dyrektywa 95/46 i rozporządzenie 2016/679 mogą zostać zastosowane do okoliczności faktycznych badanych w postępowaniu głównym.

39. Ze skutkiem od dnia 25 maja 2018 r. dyrektywa 95/46 została uchylona i zastąpiona rozporządzeniem 2016/679, zgodnie z art. 94 ust. 1 wskazanego rozporządzenia.

40. Co prawda data ta jest późniejsza niż data ostatniej rozprawy przed sądem odsyłającym, która odbyła się w dniu 14 lipca 2017 r., jak też data wpływu do Trybunału przedstawionego przez ten sąd wniosku o wydanie orzeczenia w trybie prejudycjalnym.

41. Sąd odsyłający wskazał jednak, że z uwagi na wejście w życie w dniu 25 maja 2018 r. rozporządzenia 2016/679, którego dotyczy zresztą część pytania pierwszego, rozporządzenie to prawdopodobnie będzie musiało zostać uwzględnione przy rozstrzyganiu sporu w postępowaniu głównym. Ponadto, jak wskazał rząd niemiecki na rozprawie przed Trybunałem, nie można wykluczyć, że w zakresie, w jakim postępowanie wszczęte przez związek organizacji konsumenckich ma na celu położenie kresu działaniom spółki Planet49 ze skutkiem na przyszłość, rozporządzenie 2016/679 znajduje zastosowanie ratione temporis w postępowaniu głównym ze względu na krajowe orzecznictwo dotyczące właściwej sytuacji prawnej w dziedzinie powództw o zaprzestanie szkodliwych praktyk, co ustalić powinien sąd krajowy (zob. w odniesieniu do skargi o charakterze deklaratoryjnym wyrok z dnia 16 stycznia 2019 r., Deutsche Post, C‑496/17, EU:C:2019:26, pkt 38).

42. W tych okolicznościach, oraz biorąc pod uwagę to, że zgodnie z art. 94 ust. 2 rozporządzenia 2016/679 zawarte w dyrektywie 2002/58 odniesienia do dyrektywy 95/46 należy traktować jako odniesienia do tego rozporządzenia, nie można wykluczyć, że dyrektywa 2002/58 może w tym wypadku mieć zastosowanie łącznie z dyrektywą 95/46 lub rozporządzeniem 2016/679, w zależności od charakteru żądań związku organizacji konsumenckich i okresu, którego żądania te dotyczą.

43. Konieczne jest zatem udzielenie odpowiedzi na przedstawione pytania zarówno na podstawie dyrektywy 95/46, jak i na podstawie rozporządzenia 2016/679.

 

 W przedmiocie pytania pierwszego lit. a) i c)

 44.  Poprzez pytanie pierwsze lit. a) i c) sąd odsyłający dąży zasadniczo do ustalenia, czy art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 i z art. 6 ust. 1 lit. a) rozporządzenia 2016/679 należy interpretować w ten sposób, że zgoda, o której mowa w tych przepisach, jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik musi usunąć, aby odmówić udzielenia zgody.

45. Na wstępie należy zauważyć, że – jak wynika z treści postanowienia odsyłającego – pliki cookie, które mogą być instalowane na urządzeniu końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez spółkę Planet49, zawierają numer przypisany do danych rejestracyjnych tego użytkownika, który w formularzu uczestnictwa w tej grze musi wpisać swoje imię i nazwisko oraz adres. Sąd odsyłający dodaje, że skojarzenie tego numeru z tymi danymi powoduje personalizację danych przechowywanych przez pliki cookie, gdy użytkownik korzysta z Internetu, wobec czego zbieranie tych danych za pomocą plików cookie jest przetwarzaniem danych osobowych. Informacje te zostały potwierdzone przez spółkę Planet49, która w swoich uwagach na piśmie podkreśliła, że zgoda odpowiadająca drugiemu okienku wyboru ma skutkować akceptacją gromadzenia i przetwarzania danych osobowych, a nie informacji anonimowych.

46. W związku z tym należy zauważyć, że zgodnie z art. 5 ust. 3 dyrektywy 2002/58 państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika było dozwolone tylko pod warunkiem, że użytkownik wyraził zgodę, po otrzymaniu, zgodnie z dyrektywą 95/46, jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.

47. W tym względzie należy przypomnieć, iż względy zarówno jednolitego stosowania prawa Unii, jak i zasady równości wskazują na to, że treści przepisu prawa Unii, który nie zawiera wyraźnego odesłania do prawa państw członkowskich dla określenia swego znaczenia i zakresu, należy zwykle nadać w całej Unii autonomiczną i jednolitą wykładnię [wyroki: z dnia 26 marca 2019 r., SM (Dziecko pozostające pod opieką prawną w ramach algierskiego systemu kafali), C‑129/18, EU:C:2019:248, pkt 50; z dnia 11 kwietnia 2019 r., Tarola, C‑483/17, EU:C:2019:309, pkt 36].

48. Ponadto zgodnie z utrwalonym orzecznictwem Trybunału przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko brzmienie i cele tego przepisu, lecz także jego kontekst, a także ogół przepisów prawa Unii. Geneza przepisu prawa Unii również może dostarczyć informacji istotnych dla jego wykładni (wyrok z dnia 10 grudnia 2018 r., Wightman i in., C‑621/18, EU:C:2018:999, pkt 47 i przytoczone tam orzecznictwo).

49.  W odniesieniu do treści art. 5 ust. 3 dyrektywy 2002/58 należy zauważyć, że chociaż przepis ten wyraźnie stanowi, że użytkownik musi „wyrazić zgodę” na zainstalowanie i udostępnianie plików cookie na swoim urządzeniu końcowym, to jednak przepis ten nie zawiera wskazówek co do sposobu wyrażenia tej zgody. Sformułowanie „wyrazić zgodę” powinno jednak podlegać wykładni językowej, zgodnie z którą do wyrażenia zgody niezbędne jest działanie użytkownika. W tym względzie z motywu 17 dyrektywy 2002/58 wynika, że zgoda użytkownika, do celów tej dyrektywy, może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez „zaznaczenie okna wyboru podczas przeglądania witryny internetowej”.

50.  Co się tyczy kontekstu art. 5 ust. 3 dyrektywy 2002/58, należy podkreślić, że art. 2 lit. f) tej dyrektywy, w którym zdefiniowano „zgodę” na potrzeby tej dyrektywy, odsyła w tym względzie do wyrażenia „zgoda osoby, której dane dotyczą”, którym posłużono się w dyrektywie 95/46. W motywie 17 dyrektywy 2002/58 uściślono, że do celów tej dyrektywy zgoda użytkownika powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46.

51. W art. 2 lit. h) tej drugiej dyrektywy zdefiniowano „zgod[ę] osoby, której dane dotyczą” jako „konkretne i świadome dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”.

52. Tak więc, jak podkreślił rzecznik generalny w pkt 60 opinii, wymóg „wskazania” woli przez osobę, której dane dotyczą, wyraźnie sugeruje zachowanie czynne, a nie bierne. Tymczasem zgoda udzielona za pomocą zaznaczonego domyślnie okienka wyboru nie oznacza czynnego zachowania użytkownika strony internetowej.

53.  Wykładnię tę potwierdza art. 7 dyrektywy 95/46, który zawiera wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych można uznać za zgodne z prawem (zob. podobnie wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30; a także z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 57).

54. W szczególności art. 7 lit. a) dyrektywy 95/46 stanowi, że zgoda osoby, której dane dotyczą, może sprawić, że takie przetwarzanie danych stanie się zgodne z prawem, pod warunkiem że zgoda taka została „jednoznacznie” wyrażona przez ową osobę, której dane dotyczą. Tymczasem wymóg ten może spełniać jedynie czynne zachowanie tej osoby podjęte w celu wyrażenia zgody.

55. W tym względzie należy stwierdzić, że praktycznie niemożliwe wydaje się ustalenie w sposób obiektywny, czy użytkownik strony internetowej rzeczywiście wyraził zgodę na przetwarzanie jego danych osobowych poprzez to, że nie usunął domyślnego zaznaczenia okienka wyboru, a w każdym razie czy zgoda ta została udzielona w sposób świadomy. Nie można bowiem wykluczyć, że wspomniany użytkownik nie przeczytał informacji towarzyszących domyślnie zaznaczonemu okienku wyboru czy wręcz nie zwrócił uwagi na to okienko przed podjęciem dalszej aktywności na odwiedzanej przezeń stronie internetowej.

56. Wreszcie, jeśli chodzi o genezę art. 5 ust. 3 dyrektywy 2002/58, należy zaznaczyć, że pierwotna wersja tego przepisu przewidywała jedynie wymóg, zgodnie z którym użytkownik powinien mieć „prawo do odmówienia zgody” na umieszczenie plików cookie, po otrzymaniu, zgodnie z dyrektywą 95/46, jasnych i wyczerpujących informacji między innymi o celach przetwarzania. W dyrektywie 2009/136 wprowadzono istotną zmianę brzmienia tego przepisu, zastępując to sformułowanie wyrażeniem „wyraził zgodę”. Geneza art. 5 ust. 3 dyrektywy 2002/58 sugeruje zatem, że zgoda użytkownika nie może być dłużej domniemana i musi wynikać z jego czynnego zachowania.

57. W świetle powyższego zgoda, o której mowa w art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46 nie jest zatem ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej zostały zaakceptowane za pomocą zaznaczonego domyślnie przez usługodawcę okienka wyboru, którego zaznaczenie użytkownik musi usunąć, aby odmówić udzielenia zgody.

58. Należy dodać, że wyrażenie woli, o którym mowa w art. 2 lit. h) dyrektywy 95/46, musi być w szczególności „konkretne”, to znaczy musi odnosić się dokładnie do określonego przetwarzania danych i nie może zostać wywnioskowane z treści wyrażenia woli mającego inny cel.

59. W tym przypadku, wbrew temu, co twierdzi spółka Planet49, okoliczność, że użytkownik aktywuje przycisk uczestnictwa w loterii promocyjnej organizowanej przez tę spółkę, nie może zatem być wystarczająca do uznania, że dany użytkownik skutecznie wyraził zgodę na zainstalowanie plików cookie.

60. Powyższa wykładnia narzuca się jeszcze bardziej w świetle rozporządzenia 2016/679.

61. Jak stwierdził bowiem rzecznik generalny w pkt 70 opinii, brzmienie art. 4 ust. 11 rozporządzenia 2016/679, który definiuje „zgodę osoby, której dane dotyczą” do celów tego rozporządzenia, a w szczególności do celów jego art. 6 ust. 1 lit. a), o którym mowa w pytaniu pierwszym lit. c), wydaje się jeszcze bardziej rygorystyczne niż brzmienie art. 2 lit. h) dyrektywy 95/46, gdyż przepis ten wymaga „dobrowolnego, konkretnego, świadomego i jednoznacznego” wyrażenia woli przez osobę, której dane dotyczą, w postaci oświadczenia lub „wyraźnego działania potwierdzającego” oznaczającego zgodę tej osoby na przetwarzanie dotyczących jej danych osobowych.

62. Czynna zgoda jest zatem obecnie wyraźnie przewidziana w rozporządzeniu 2016/679. W tym względzie należy zauważyć, że zgodnie z motywem 32 tego rozporządzenia zgodę można wyrazić w szczególności poprzez zaznaczenie okienka wyboru przy przeglądaniu strony internetowej. Z drugiej strony wspomniany motyw wyraźnie wyklucza możliwość wyrażenia zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania”.

63. Wynika z tego, że zgoda, o której mowa w art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 4 ust. 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.

64. Należy wreszcie podkreślić, że sąd odsyłający nie skierował do Trybunału pytania, czy okoliczność, że zgoda użytkownika na przetwarzanie jego danych osobowych do celów reklamowych decyduje o tym, czy może on uczestniczyć w loterii promocyjnej, co wydaje się mieć miejsce w niniejszej sprawie – jak wynika z treści postanowienia odsyłającego – przynajmniej w przypadku pierwszego okienka wyboru, jest zgodna z wymogiem zgody „dobrowolnej” w rozumieniu art. 2 lit. h) dyrektywy 95/46, jak też art. 4 pkt 11 i art. 7 ust. 4 rozporządzenia 2016/679. W tym stanie rzeczy badanie tej kwestii przez Trybunał nie jest konieczne.

65. W świetle wszystkich powyższych rozważań na pytanie pierwsze lit. a) i c) należy odpowiedzieć, że art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, należy interpretować w ten sposób, że zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.

 

 W przedmiocie pytania pierwszego lit. b)

66. Poprzez pytanie pierwsze lit. b) sąd odsyłający dąży zasadniczo do ustalenia, czy sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, powinien pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i rozporządzenia 2016/679.

67. Jak wskazano w pkt 45 niniejszego wyroku, z postanowienia odsyłającego jasno wynika, że instalowanie plików cookie, o których mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych.

68. W związku z tym należy stwierdzić w każdym wypadku, że art. 5 ust. 3 dyrektywy 2002/58 odnosi się do „przechowywani[a] informacji” lub „uzyskani[a] dostępu do informacji już przechowywanych”, przy czym przepis ten nie kwalifikuje takich informacji ani nie precyzuje, że powinny to być dane osobowe.

69. Jak stwierdził rzecznik generalny w pkt 107 opinii, przepis ten ma zatem na celu ochronę użytkownika przed każdą ingerencją w sferę prywatną, bez względu na to, czy ingerencja ta obejmuje dane osobowe.

70. Wykładnia ta znajduje potwierdzenie w treści motywu 24 dyrektywy 2002/58, zgodnie z którym wszelkie informacje przechowywane w urządzeniach końcowych użytkownika sieci łączności elektronicznej nalezą do sfery prywatnej tego użytkownika, która podlega ochronie na mocy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Ochrona ta ma zastosowanie do wszelkich informacji przechowywanych w takich urządzeniach końcowych, niezależnie od tego, czy są to dane osobowe, i ma na celu w szczególności, jak stwierdzono w tym samym motywie, ochronę użytkowników przed ryzykiem wprowadzenia ukrytych identyfikatorów lub innych podobnych narzędzi do urządzeń końcowych użytkowników bez ich wiedzy.

71. W świetle powyższych rozważań na pytanie pierwsze lit. b) należy odpowiedzieć, że sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, nie powinien pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i rozporządzenia 2016/679.

 

 W przedmiocie pytania drugiego

72. Poprzez pytanie drugie sąd odsyłający dąży zasadniczo do ustalenia, czy art. 5 ust. 3 dyrektywy 2002/58 należy interpretować w ten sposób, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

73. Jak już stwierdzono w pkt 46 niniejszego wyroku, art. 5 ust. 3 dyrektywy 2002/58 wymaga, aby użytkownik wyraził zgodę, po otrzymaniu „zgodnie z dyrektywą [95/46]” jasnych i wyczerpujących informacji, w szczególności na temat celów przetwarzania.

74. Jak podkreślił rzecznik generalny w pkt 115 opinii, jasne i wyczerpujące informacje powinny umożliwiać użytkownikowi łatwe ustalenie konsekwencji zgody, której może udzielić, oraz gwarantować, że zgoda ta zostanie udzielona przy pełnej znajomości stanu rzeczy. Informacje te muszą być wyraźnie zrozumiałe i wystarczająco dokładne, aby umożliwić użytkownikowi zrozumienie funkcjonowania plików cookie, które są wykorzystywane.

75. Tymczasem w sytuacji takiej jak ta analizowana w postępowaniu głównym, w której – zgodnie z informacjami zawartymi w aktach sprawy przedłożonych Trybunałowi – pliki cookie mają na celu zbieranie informacji do celów reklamowych w odniesieniu do produktów partnerów organizatora loterii promocyjnej, wskazanie okresu funkcjonowania plików cookie, jak też określenie, czy osoby trzecie mogą mieć dostęp do tych plików, stanowią elementy jasnych i wyczerpujących informacji, które należy przekazać użytkownikowi zgodnie z art. 5 ust. 3 dyrektywy 2002/58.

76.  W tym względzie należy zaznaczyć, że art. 10 dyrektywy 95/46, do której odsyła art. 5 ust. 3 dyrektywy 2002/58, jak również art. 13 rozporządzenia 2016/679, określają informacje, które administrator danych musi przekazać osobie, od której pobiera dotyczące jej dane.

77.  Informacje te obejmują w szczególności, zgodnie z art. 10 dyrektywy 95/46, oprócz informacji o tożsamości administratora danych i celach przetwarzania, do których dane są przeznaczone, wszelkie dodatkowe informacje, takie jak informacje o odbiorcach lub kategoriach odbiorców danych, o ile, uwzględniając szczególne okoliczności, w których dane są gromadzone, takie dodatkowe informacje są niezbędne do zapewnienia rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.

78. Chociaż czas trwania przetwarzania danych nie został uwzględniony w ramach tych informacji, to jednak użycie w art. 10 dyrektywy 95/46 wyrażenia „co najmniej” świadczy o tym, że informacje te nie zostały wymienione w sposób wyczerpujący. Jednakże informacje dotyczące okresu funkcjonowania plików cookie należy uznać za spełniające przewidziany we wskazanym artykule wymóg rzetelnego przetwarzania danych, ponieważ w sytuacji takiej jak analizowana w postępowaniu głównym długi czy wręcz nieograniczony okres funkcjonowania takich plików oznacza, że zgromadzona zostanie duża ilość informacji na temat zwyczajów danego użytkownika związanych z przeglądaniem stron internetowych oraz częstotliwości ewentualnego odwiedzania przez tego użytkownika stron partnerów reklamowych organizatora loterii promocyjnej.

79. Wykładnia ta znajduje potwierdzenie w art. 13 ust. 2 lit. a) rozporządzenia 2016/679, który stanowi, że administrator danych musi przekazać osobie, której dane dotyczą, w celu zapewnienia rzetelności i przejrzystości przetwarzania, informacje dotyczące w szczególności okresu przechowywania danych osobowych lub, jeżeli nie jest to możliwe, kryteriów ustalania tego okresu.

80. Jeżeli chodzi o możliwość dostępu stron trzecich do plików cookie lub jej brak – jest to informacja należąca do informacji, o których mowa w art. 10 lit. c) dyrektywy 95/46 i w art. 13 ust. 1 lit. e) rozporządzenia 2016/679, skoro przepisy te wyraźnie wymieniają odbiorców lub kategorie odbiorców danych.

81. W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, że art. 5 ust. 3 dyrektywy 2002/58 należy interpretować w ten sposób, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

 W przedmiocie kosztów

82. Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1)      Artykuł 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z dnia 25 listopada 2009 r., w związku z art. 2 lit. h) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), należy interpretować w ten sposób, że zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody.

2)      Sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58, zmienionej dyrektywą 2009/136, w związku z art. 2 lit. h) dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, nie powinien pozostawać w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe w rozumieniu dyrektywy 95/46 i rozporządzenia 2016/679.

3)      Artykuł 5 ust. 3 dyrektywy 2002/58 należy interpretować w ten sposób, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

Podpisy

 

Wyrok Trybunału Sprawiedliwości z dnia 1 października 2019 r.

 

Komunikat Prasowy TSUE nr 125/19

 

Zgoda Na Przetwarzanie Danych, Cookie,
WYROK TSUE z dnia 7 marca 2024 r. w sprawie C‑604/22
WYROK TSUE z dnia 7 marca 2024 r. w sprawie C‑604/22
OPINIA RZECZNIKA GENERALNEGO  TSUE (MACIEJA SZPUNARA) z dnia 27 października 2022 r.
OPINIA RZECZNIKA GENERALNEGO TSUE (MACIEJA SZPUNARA) z dnia 27 października 2022 r.
Wyrok TSUE z dnia 20 października 2022 r.
Wyrok TSUE z dnia 20 października 2022 r.