CJUE, Cauza Planet49. Despre caracterul activ al consimțământului și căsuțe prebifate

Acest articol este un scurt fragment din lucrarea „Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020) care poate fi descărcată gratuit de aici.

 

C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801

Cuvinte-cheie: comunicații electronice, cookie-uri, consimțământ, declarare a consimțământului prin intermediul unei căsuțe bifate în prealabil, informarea persoanei vizate, e-privacy

Litigiul principal

La 24 septembrie 2013, Planet49 a organizat un joc promoțional pe site‑ul internet www.dein‑macbook.de. Internauții doritori să participe la acest joc trebuiau să comunice codul poștal, ceea ce îi conducea pe o pagină web pe care trebuiau să își înscrie numele și adresa. Sub căsuțele care trebuiau completate pentru adresă se regăseau două mențiuni, însoțite de două căsuțe de bifat. 

Prima căsuță nu era bifată în prealabil și avea următorul cuprins „Sunt de acord să primesc, prin poștă, prin telefon sau prin e‑mail/SMS informații cu privire la oferte din domeniul de activitate comercială al unor sponsori și parteneri, pe care, dacă nu îi numesc eu aici, îi va selecta organizatorul. Pot revoca acest acord oricând. Informații suplimentare în legătură cu acest aspect, pot fi găsite aici.”

A doua căsuță era bifată în prealabil și avea următorul cuprins: „Sunt de acord cu utilizarea, în cazul meu, a serviciului de analiză web Remintrex, ceea ce înseamnă că organizatorul jocului promoțional, [Planet49], va instala cookie‑uri, după înregistrarea mea în cadrul jocului de noroc, ceea ce îi va permite să exploateze cu ajutorul Remintrex navigările mele pe internet și vizitele mele pe site‑urile internet ale partenerilor publicitari și, astfel, să îmi adreseze publicitate axată pe interesele mele. Pot șterge din nou cookie‑urile în orice moment. Puteți citi mai multe detalii în legătură cu acest aspect aici.”

KIT GDPR Premium

 

Participarea la jocul de noroc era posibilă numai după bifarea cel puțin a primei căsuțe de bifat.

Federația a introdus o acțiune în fața Landgericht Frankfurt am Main (Tribunalul Regional din Frankfurt pe Main, Germania) prin care se solicita în esență încetarea utilizării de către Planet49 a unor astfel de declarații de consimțământ și obligarea acesteia la plata sumei de 214 euro majorată cu dobânzi începând cu 15 martie 2014. Instanța a admis în parte acțiunea. Planet49 a declarant apel în fața în fața Oberlandesgericht Frankfurt am Main (Tribunalul Regional Superior din Frankfurt pe Main, Germania) susținând că a existat un consimțământ valabil al utilizatorilor deoarece „utilizatorul avea cunoștință de posibilitatea de debifare a căsuței și, pe de altă parte, aceasta se prezenta într‑o tipografie suficient de clară și oferea informații cu privire la modalitățile de utilizare a cookie‑urilor, fără a fi necesar să se divulge identitatea terților care pot avea acces la informațiile colectate.” (pct. 35).

Instanța a suspendat judecarea cauzei și a adresat Curții mai multe întrebări preliminare.

 

Te-ar putea interesa și:

 

Întrebările preliminare

„1)      a)             Se consideră că există un consimțământ valabil, în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din Directiva [95/46], atunci când stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al utilizatorului este permisă pe baza unei casete de selectare predefinite, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul vizat?

b)       În cazul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din [Directiva 95/46], prezintă relevanță aspectul dacă informațiile stocate sau accesate constituie date cu caracter personal?

c)       În condițiile menționate la [prima întrebare] litera a) există un consimțământ valabil în sensul articolului 6 alineatul (1) litera (a) din Regulamentul [2016/679]?

2)           În conformitate cu articolul 5 alineatul (3) din Directiva [2002/58], ce date trebuie să comunice furnizorul de servicii utilizatorului, astfel încât acestea să constituie informații clare și complete în sensul acestei dispoziții? Este obligatoriu ca aceste date să se refere și la durata de funcționare a cookie‑urilor și la aspectul dacă terții pot să dobândească acces la acestea?”

 

Hotărârea și argumentele Curții de Justiție

Având în vedere circumstanțele cauzei, instanța a considerat necesar să se răspundă la întrebările adresate atât în raport cu Directiva 95/46, cât și cu RGPD.

***

Prin intermediul primei întrebări lit. a) și c), instanța de trimitere a solicitat, în esență, să se stabilească dacă un consimțământ[1] este valabil atunci când este dat prin intermediul unei căsuțe bifate în prealabil (pct. 44). CJUE a răspuns că un consimțământ dat prin intermediul unei căsuțe bifate în prealabil pe care utilizatorul are posibilitatea de a o debifa nu este valabil în conformitate cu prevederile art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58 și art. 6 alin. (1) lit. a) RGPD.

Pentru a ajunge la această concluzie, CJUE a reținut mai multe argumente (pct. 45-63), iar o parte din ele vor fi prezentate succint în continuare. CJUE a adus în discuție două cerințe importante pe care trebuie să le îndeplinească un consimțământ, respectiv acesta trebuie să fie activ și neechivoc. CJUE a subliniat faptul că legislația privind protecția datelor „impune o manifestare de voință <<liberă, specifică, informată și lipsită de ambiguitate>> a persoanei vizate, sub forma unei declarații sau a unei <<acțiuni fără echivoc>> care reprezintă acordul său pentru prelucrarea datelor cu caracter personal care o privesc.” (pct. 61). CJUE a adus în discuție considerentul (32) din RGPD potrivit căruia „exprimarea consimțământului ar putea include printre altele bifarea unei căsuțe atunci când persoana vizitează un site. În schimb, considerentul respectiv exclude în mod expres ca <<absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni>> să constituie un consimțământ.” (pct. 62). CJUE consideră că „este necesară o acțiune a utilizatorului pentru a‑și exprima consimțământul” (pct. 49), iar posibilitatea de a debifa o căsuță nu reprezintă o acțiune activă, ci una pasivă (pct. 52). Cu privire la cerința consimțământului de a fi neechivoc, CJUE precizează că „numai un comportament activ din partea acestei persoane, în scopul de a‑și manifesta consimțământul, este de natură să îndeplinească această cerință” (pct. 54).

***

Prin intermediul primei întrebări lit. b), instanța de trimitere solicită în esență să se stabilească dacă art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58[2] coroborate cu dispozițiile din Directiva 95/46 și RGPD trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal. La această întrebare, CJUE a răspuns că este necesar un consimțământ al utilizatorului indiferent dacă informațiile stocate constituie sau nu date cu caracter personal (pct. 70-71) deoarece informațiile stocate pe echipamentul terminal fac parte din sfera privată a utilizatorului care trebuie protejată conform Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale. „Această protecție se aplică oricărei informații stocate pe acest echipament terminal, indiferent dacă este vorba sau nu despre date cu caracter personal și urmărește printre altele, astfel cum reiese din același considerent, să protejeze utilizatorii împotriva riscului ca hidden identifiers sau alte procedee similare să acceseze echipamentul terminal al acestor utilizatori fără știrea lor.” (pct. 70).

***

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 5 alineatul (3) din Directiva 2002/58 trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri. La această întrebare CJUE a răspuns în sens pozitiv, respectiv că „informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri.” CJUE a precizat că este necesară o informare clară și completă a utilizatorilor (pct. 74) care să cuprindă „durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri” (pct. 75) și, „pe lângă identitatea operatorului și scopul prelucrării căreia îi sunt destinate datele, orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor, în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.” (pct. 77).

 

Legislație relevantă

art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58, Art. 7 RGPD, Considerentele (32)-(33), (42)-(43) RGPD

 

Referințe:

[1] Pentru mai multe informații despre standardele RGPD în materia consimțământului persoanei vizate a se consulta, de exemplu, GL29, Orientări privind consimțământul în temeiul Regulamentului 2016/679, adoptate la 28 noiembrie 2017, astfel cum au fost revizuite ultima dată și adoptate la 10 aprilie 2018, document disponibil la https://www.dataprotection.ro/servlet/ViewDocument?id=1600, link accesat la 01.12.2020.

[2] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37-47.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]


EVENIMENTE VIITOARE

ALTE ARTICOLE

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!