Czy pliki cookies są danymi osobowymi?

Jeśli pliki cookies zawierają dane osobowe, jest to istotne z kilku powodów. RODO reguluje (tylko) zakres danych osobowych lub danych osobowo-podobnych, nie zaś plików cookies w szczególności. To również ma znaczenie dla organów nadzorujących i ewentualnie ich uprawnienia do nałożenia kar pieniężnych.

Wprowadzenie

Artykuł powstał przed ujawnieniem i wejściem w życie prawa o ochronie danych (TTDSG). Yes go dostosowałem. Jego pierwotna forma jest samodzielnie przetłumaczalna na obecną sytuację. Tylko odniesienia do TTDSG zamiast ePrivacy lub TMG są inaczej oceniane.

Temat ten został poruszony również przez Stephana Plesnika i mnie w odcinku 18 podcastu privacy Deluxe:

Jasne przepisy dotyczące RODO nie dotyczą w pierwszej kolejności cookies, ale danych osobowych. TTDSG mówi natomiast, że cookies mogą być przechowywane lub dostępne tylko na urządzeniu użytkownika, jeśli osoba ta wyraziła zgodę (technicznie niezbędne pliki cookie są z tym wyjątkiem). Ten artykuł powstał przed wejściem w życie TTDSG i odnosi się do niektórych punktów TMG. TTDSG jest specjalnym prawem dotyczącym RODO, również nazywanym lex specialis.

Sąd Najwyższy orzekał w połowie 2020 roku w sprawie Planet49, że § 15 ust. 3 TMG powinien być interpretowany zgodnie z art. 5 ust. 3 dyrektywy ePrivacy. Niemiecki ustawodawca był ponownie bardzo wolny i nie przekształcił w prawo krajowe dyrektywy ePrivacy, pomimo europejskiej wytycznej. Dopiero 1 grudnia 2021 r. weszło w życie Rozporządzenie o ochronie danych osobowych (TTDSG), które wprowadza europejską wytyczność. W maju 2024 roku TTDSG zostanie przeniesione do TDDDG, a TMG do DDG. Nowe przepisy są takie same jak dotychczasowe i mają tylko nową nazwę (ponieważ teraz "usługi" są uwzględniane zamiast "środków masowego przekazu").

Przed 01.12.2021 był również § 15 ust. 1 TMG. Tam początkowo brzmiało:

Ten przepis jest szczególnie istotny w przypadku kwestii, czy niemieckie organy nadzorujące ochronę danych mogą nakładać kar pieniężnych za nieprawidłowo używane pliki cookie. W tym przypadku decydująca jest kwestia, czy pliki cookie są danymi osobowymi lub nie. Tutaj nie rozważam krajowych przepisów dotyczących niemieckich organów nadzorujących ochronę danych, chociaż w poszczególnych przypadkach mogłyby one bezpośrednio zrobić to pytanie o osobiste powiązania plików cookie nieistotne. ([1])

Co to są ciasteczka?

Ciasteczka są magazynami danych. Ciastko jest przechowywane na urządzeniu użytkownika. Użytkownik jest właścicielem urządzenia. Gdy użytkownik odwiedza stronę internetową za pomocą przeglądarki, przeglądarka zarządza dla użytkownika ciasteczka tej strony. Ciasteczka są przechowywane przez przeglądarkę w dowolnym formacie.

Ciastko składa się z pary danych, która składa się z nazwy i wartości. Ta para danych jest wysyłana do strony internetowej przy wezwaniu strony internetowej. Gdy strona internetowa włącza plugin i używa tego plugiuna cookies, otrzymuje on te pary danych. Nie są wysyłane ciastka z urządzenia użytkownika do odwiedzanych mediów telekomunikacyjnych, ale nazwy i wartości każdego ciasta.

Ciasteczka są „tylko” jedną z form dostępu do urządzenia. Tak samo JavaScript może umożliwić taką akcesję. TTDSG nawet adresuje urządzenia bez ekranu, które wysyłają swoje dane przez sieć. Na takie urządzenia można również wprowadzić aktualizacje. Takie same aktualizacje są dostępem analogicznym do ciasteczek.

Co to są dane osobowe?

TMG nie dostarczył wystarczających informacji w tej sprawie. W TTDSG również nie ma zbyt wiele na ten temat. Zamiast tego można spróbować użyć BDSG i RODO, które (nie jestem prawnikiem) mogą być dla TTDSG istotne. Co najmniej RODO jest istotna dla organów ochrony danych. I co najmniej jeden z tych dwóch aktów prawnych (BDSG lub RODO) może być relevantny w przypadku TTDSG, według mojej naiwnej opinii. Proszę poprawić mnie, jeśli jestem nieprawidłowy.

Sekcja 46 nr 1 BDSG stanowi: Dane osobowe są …

W art. 4 pkt 1 RODO znajduje się niemalowo identyczne zdanie: Dane osobowe to…

Definicje z ustawy o ochronie danych osobowych (BDSG) i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) mówią, że wynika z osobowościowalności daty, że jest ona traktowana jako dotycząca osoby. Tutaj chodzi wyłącznie o naturalne osoby.

Czy ciasteczka reprezentują dane osobowe, można więc ograniczyć się do pytania, czy ciasteczka reprezentują dane osobowo-podobne. Dane osobowo-podobne są bardziej niż dane osobowe. Takie jest wynikiem definicji.

Co to są ciasteczka?

Ciasteczka są zestawami danych. Ciasteczka nie są udowodnionymi plikami tekstowymi, jak wiele osób twierdzi. Ciasteczka nie są również plikami tekstowymi, tylko dlatego, że nikomu nie przyjdzie lepszy termin, który według Dz.U. z 2018 r. art. 4 pkt 7 jest łatwy do zrozumienia. Istnieją lepsze terminy niż "plik tekstowy", które są jednak łatwe do zrozumienia. Na przykład "informacje w postaci małych kawałków" zamiast danych, chociaż uważam, że "dane" jest łatwe do zrozumienia. Lepiej jest opisać, do czego służą ciasteczka, a mianowicie do przechowywania informacji na komputerze użytkownika (lub na urządzeniu końcowym, takim jak urządzenie domowe).

Każdy plik cookie składa się z pary wartości, czyli Wartość Pary. Para ta tworzona jest z Nazwy i Wartości. Nie ma znaczenia, że jest to para. Jednowymiarowa wartość jest równoznaczna. Można ją uzyskać poprzez połączenie Nazwy i Wartości, które oddzielone są określonym znakiem rozdzielającym.

Ciastko powstaje, gdy usługa je tworzy. Usługa może być albo stroną internetową, która może tworzyć własne ciastka w razie potrzeby. Często tak się dzieje przy tworzeniu ciastek do zarządzania sesją. Dzięki temu można ustalić, czy użytkownik jest zalogowany lub nie. WordPress np. używa ciasteczek, aby umożliwić logowanie użytkownika. W takim przypadku mogą powstać tylko tzw. ciastka pierwszej partii, które są zarówno technicznie jak i fachowo przypisane do pierwszej strony. Pierwsza strona to właściciel strony internetowej lub odpowiedzialny za nią.

Ponadto ciasteczko może być wygenerowane przez logikę JavaScripta. W takim przypadku powstają również techniczne pliki cookie pierwszej strony. W przypadku Google Analytics, lecz fachowo jest to plik cookie trzeciej strony, ponieważ jest zarządzany przez Google.

Ostatnio pliki cookies mogą powstać, gdy pliki są pobierane z innego serwera. Na przykład pliki cookies powstają, gdy Google reCAPTCHA pobiera pliki z witryny internetowej. Te pliki cookies są technicznie i fachowo plikami cookies trzeciej strony.

Ciasteczka są zarządzane oddzielnie przez każdy browser użytkownika. Każdy użytkownik może mieć inne ciasteczka na swoim urządzeniu niż inni użytkownicy. Ciasteczka są jedyną (aktualną) informacją zgodnie z § 25 TTDSG, która jest przechowywana na urządzeniu użytkownika, jeśli chodzi o strony internetowe. Na smartfonach dodatkowo przechowywane są np. identyfikatory reklamowe Apple i Google. Z Google FloC, już wcześniej nieudanym podejściem Google do poprawienia ochrony danych, na urządzeniu użytkownika przechowywane są identyfikatory grup . Także Google Topics korzysta z urządzenia użytkownika.

Które pliki cookies są przechowywane na urządzeniu zależy od tych stron internetowych, które użytkownik odwiedził wcześniej. Samo to już wskazuje, że tak zwane scanners cookie nigdy nie będą mogli działać zgodnie z założeniami.

Jaki rodzaj danych przechowują pliki cookies?

Ogólnie rzecz biorąc, nie można odpowiedzieć na tę pytanie. Potencjalnie mogą być przechowywane wszystkie możliwe dane w jednym lub więcej plikach cookies. Oto kilka przykładów wartości cookies. Wartości są podane, ponieważ nazwy decydują o interpretacji i znaczeniu tych wartości jest przedstawione w tabeli.

Wartości drukowane grubym czcionką są bezpośrednio powiązane z danymi osobowymi. Jeśli więc wartość przechowywana w pliku cookie jest powiązana z danymi osobowymi, to logicznie również plik cookie jako kontener danych jest powiązany z danymi osobowymi. Po prostu wartość pliku cookie jest przesyłana i może być odczytana przy każdym odczytaniu danych wraz z odpowiednią domeną.

Tekst źródłowy: Ob Cookies tatsächlich ausgelesen werden, is an sich in zwei der drei weiter oben genannten Przepisy ciasteczekMało znaczące jest w tej sprawie ustalenie, czy dane są przetwarzane. Zbieranie danych następuje już wtedy, gdy (obiektywnie) możliwa jest ich poznanie, jeśli to zbieranie odbywa się na podstawie oferty. Oferta występuje zawsze przy stronie internetowej. Przynajmniejimplizite data processing liegt bei Third Party Cookies immer vor. Gleiches gilt für First Party Cookies von der besuchten Website selbst, die bei Pobieranie pliku übertragen werden. Der Personenbezug besteht hier alleine schon aufgrund des Kommunikationskanals, zusätzlich zu weiteren Gründen. Tłumaczenie: Jeśli cookies są faktycznie odczytane, to w dwóch z trzech powyżej wymienionych typów cookie jest to stosunkowo nieistotne, jeśli chodzi o ustalenie, czy następuje przetwarzanie danych. Zbieranie danych już występuje przy (obiektywnej) możliwości pozyskania danych, jeśli ta operacja odbywa się na podstawie oferty. Oferta jest zawsze dostępna na stronie internetowej. Co najmniej jedna implikowana przetwarzanie danych występuje przy Third Party Cookies zawsze. To samo dotyczy First Party Cookies ze strony odwiedzonej, które są przenoszone podczas odwołań do pliku. Związki z osobą wynikają tu jedynie z kanału komunikacyjnego, a dodatkowo z innych powodów. Tłumaczenie: Jeśli cookies są faktycznie odczytane, to w dwóch z trzech powyżej wymienionych typów cookie jest to stosunkowo nieistotne, jeśli chodzi o ustalenie, czy następuje przetwarzanie danych. Zbieranie danych już występuje przy (obiektywnej) możliwości pozyskania danych, jeśli ta operacja odbywa się na podstawie oferty. Oferta jest zawsze dostępna na stronie internetowej. Co najmniej jedna implikowana przetwarzanie danych występuje przy Third Party Cookies zawsze. To samo dotyczy First Party Cookies ze strony odwiedzonej, które są przenoszone podczas odwołań do pliku. Związki z osobą wynikają tu jedynie z kanału komunikacyjnego, a dodatkowo z innych powodów. Tłumaczenie: Jeśli cookies są faktycznie odczytane, to w dwóch z trzech powyżej wymienionych typów cookie jest to stosunkowo nieistotne, jeśli chodzi o ustalenie, czy następuje przetwarzanie danych. Zbieranie danych już występuje przy (obiektywnej) możliwości pozyskania danych, jeśli ta operacja odbywa się na podstawie oferty. Oferta jest zawsze dostępna na stronie internetowej. Co najmniej jedna impl. ([1])

Całkowicie jasne jest to w przypadku plików cookie takich jak te od Google Analytics. Wartości tych są Jasny odczytywane przez logikę JavaScript, aby następnie zostać wysłane na serwer Google, który znajduje się zawsze w USA.

Teraz do sprawy, co z tymi plikami cookie jest, które nie posiadają cech osobowo-identyfikujących. Są więc pliki cookie jako zbiorniki danych, przechowywane na urządzeniu jednej osoby, osobowo-identyfikujące?

Pierwszym jest technicznie udowodnione, że pliki cookies posiadają związanie z osobą. W końcu są one zarządzane na urządzeniu użytkownika, czyli osoby.

W związku z tym, że specyficzne pliki cookie są każdorazowo zawsze przypisywane do jednej osoby przez jej urządzenie, uważam, że są one również zawsze danych osobowych. Z mymi przesłankami zgadza się ePrivacy directive, która od grudnia 2021 roku w Niemczech została ostatecznie wprowadzona na mocy § 25 TTDSG. Uważam, że to samo dotyczy również przypadku, gdy ePrivacy directive daje pierwszeństwo ochrony urządzeń końcowych.

Analogicznie postępuje się z"danych ruchu drogowego" (metadanymi), które z prawdopodobieństwem powyżej 90% można odnaleźć u określonej osoby. Porównaj to z referencjami na końcu wpisu.

Dane dotyczące ruchu drogowego są tu rozumiane w technicznym sensie. Istnieje również znaczenie prawne tego pojęcia, które nie będę tutaj omawiał!

Z danymi związanych z ruchem internetowym mamy tu cyfrowy odcisk palca użytkownika, który korzysta z przeglądarki. Do tego należą rozdzielczość ekranu, wersja systemu operacyjnego, strefa czasowa i inne dane, nawet adres IP. Z adresem IP jest jeszcze wyższa szansa na ustalenie tożsamości użytkownika. Nawet bez tej adresy sieciowej możliwe jest przypisanie dowolnych danych związanych z ruchem internetowym do osoby z prawdopodobieństwem powyżej 90%.

Nieprzypadkowo Trybunał Sprawiedliwości Unii Europejskiej w wyroku dotyczącym adresów IP stwierdził, że nawet adresy IP dynamiczne uchodzą za dane osobowe. Adresy te mogą zmieniać się codziennie lub częściej (przykładem jest Reconnect, czyli ponowne nawiązanie połączenia).

Jeżeli pliki cookies są odczytywane, to przy odczycie zawsze musi być obecna adres IP użytkownika. Dlatego pliki cookies, nawet jeśli same byłyby nieosobowe (co jednak według moich opisów i opinii jest prawdą), są zawsze powiązane z osobistym adresem sieciowym. Nawet jeżeli adres sieciowy został anonimizowany, to został on wcześniej obowiązkowo pobrany. To właśnie dlatego według art. 12 RODOkażda strona internetowa musi zawierać informacje o ochronie danych (jeśli strona nie jest pusta, czyli przedstawia jakąś ofertę). Anonimizacja jako proces przetwarzania danych powinna być możliwa, ale nie jest tak łatwo ją usprawiedliwić, jak mogłoby się wydawać. ([1])

Wnioski

Po wszystkim dochodzę do następującego wniosku: pliki cookies, w swojej roli jako magazyn danych, zawsze znajdują się na urządzeniu użytkownika i są danych osobowych, ponieważ dostęp do nich może odbywać się tylko wraz z adresem IP użytkownika.

Przy plikach cookies z związkiem osobowym w odniesieniu do wartości zdaniem mnie nie ma już dalszych pytań dotyczących związku osobowego.

Fakt, że pliki cookies w urządzeniu użytkownika, przypisane do osoby, są zapisywane, pokazuje dodatkowo powiązanie z osobą plików cookie.

Fakt, że potencjalnie zawsze osobista adreś adres sieciowa jest również dostępna, gdy plik cookie zostaje ustawiony lub odczytany, wskazuje dalej na osobisty związek cookies.

Także fakt, że Dyrektywa ochrony danych osobowych w ramach komunikacji elektronicznej uznaje pliki cookies za wymagające zgody (niezależnie od ich wartości), co zostało potwierdzone przez wyrok Europejskiego Trybunału Sprawiedliwości w sprawie Planet49, może być wskaźnikiem związku z osobą cookies. Zostałem jednak poinformowany, że ePrivacy directive głównie chroni bezpieczeństwo urządzenia użytkownika. Urządzenie użytkownika jest oczywiście związane z osobą, która je posiada. ePrivacy directive szczególnie chroni prywatność. Prywatność jest bezpośrednio związana z związkiem z osobą, myślę. To potwierdzone zostało w Rn. 24 tej dyrektywy. W Rn. 25 natomiast mowa jest o korzystaniu z urządzenia przez kilka użytkowników.

Sogar wiedza o danych dotyczących ruchu użytkownika bez wiedzy o jego adresie IP wystarcza, aby z prawdopodobieństwem powyżej 90% odnaleźć się do jednej osoby.

Tak samo orzeczenie Trybunału Sprawiedliwości Unii Europejskiej, że nawet adresy IP dynamiczne są danymi osobowymi, jest wskaznikiem na związanie się z osobą plików cookies. Ponieważ orzeczenie to ustanawia związek z osobą już na samym początku, nie ma znaczenia fakt, że nikt nie potrafi ustalić osoby na podstawie adresu IP. Według Trybunału Sprawiedliwości Unii Europejskiej nie odgrywa to roli. Także ostatnio Najwyższy Sąd Federalny (Bundesgerichtshof) wyjaśnił (orzeczenie z dnia 15 czerwca 2021 r., Az. VI ZR 576/19), że termin danych osobowych lub danych osobowo-związanych jest „bardzo szeroko rozumiany”. Najwyższy Sąd Federalny pisze, że termin danych osobowych „… obejmuje potencjalnie wszystkie rodzaje informacji zarówno obiektywnych jak i subiektywnych w postaci opinii lub ocen, pod warunkiem, że chodzi o informacje dotyczące osoby będącej przedmiotem rozważań. Ostatnia z tych przesłanek jest spełniona, jeśli informacja ta na mocy swojego treści, celu lub skutków została połączona z określoną osobą …”.

Zatem uważam, że ciasteczka zawsze powinny być traktowane jako dane osobowe. Naturalnie jestem otwarty na przeciwwskazania i gotów zmienić swoją opinię lub poprawić ją w niektórych aspektach, jeśli będą istniały argumenty logiczne.

Poniższe przepisy obowiązywały przed wejściem w życie TTDSG: Z powyższego wynika, że również niemieckie organy nadzorcze mogą zgodnie z § 15 ust. 1 TMG nałożyć karę pieniężną za nieuprawnione użycie plików cookie, a w najgorszym przypadku doprowadzić do rozstrzygnięcia kwestii prawnej.

Niestety niemieckie władze zdawały się nie być gotowe do tego na szeroką skalę. Co może być przyczyną? Nie może już być złożonością sprawy, bo wiele rzeczy powinno teraz wreszcie być znane i wyjaśnione, a jeśli jest to konieczne, to też przed sądem.

Odwołania do FingerPrintingu

Fingerprinting jest sposobem pozwalającym na ustalenie z danych ruchu do systemu użytkownika na użytkownika, umożliwiając tym samym jego jednoznaczne rozróżnienie od innych użytkowników. Przy Fingerprintingu nie musi istnieć nawet prawdziwe dane osobowe. Zamiast tego suma znanych cech systemu użytkownika daje bardzo dobre możliwości ustalenia tożsamości jednostki. W ten sposób (cyfrowy) fingerabdruck użytkownika jest danymi osobowymi, czyli osobistymi.

Porównaj to z następującymi źródłami:

• aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
• Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
• Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
• Pojazdowy znak wizytowy Google
• Dodatkowe wyniki Google Patent dotyczące Device Fingerprintingu