Przetwarzanie danych osobowych na stronach internetowych tylko w zgodzie z rodo – decyzja węgierskiego organu nadzorczego w sprawie stosowania plików cookies.
Węgierski organ nadzorczy nałożył na TV2 Média Csoport Zrt. administracyjną karę pieniężną w forintach węgierskich w wysokości równej ok. 25 tys. euro. Powodem decyzji było stwierdzenie, że firma niezgodne z prawem zarządzała zgodami na pliki cookies na swoich stronach internetowych. Administrator – TV2 Média Csoport Zrt., prowadzący strony internetowe „tenyek.hu” i „tv2play.hu” udostępniał na nich publicznie własne treści medialne, w tym reklamy. Mimo że administrator ten zawierał umowy z osobami trzecimi na obsługę stron i materiałów promocyjnych, reklamy wybierał na podstawie własnej wyłącznej decyzji, co oznacza, że był administratorem w odniesieniu do wszystkich funkcji stron internetowych.
Na podstawie pkt 102 wyroku TSUE w sprawie C-40/17 osoba sprawująca decydującą kontrolę nad stronami internetowymi jest odpowiedzialna za wszystkie informacje, które należy przekazać osobom, których dane dotyczą, nawet jeśli informacje te odnoszą się do przetwarzania danych osobowych, gromadzonych w późniejszym czasie przez osobę trzecią.
Zgodność stosowania systemu zarządzania zgodami na pliki cookies z wymogami RODO stanowiła główny przedmiot postępowania prowadzonego przed węgierskim organem nadzorczym. Ustalono, że strony internetowe wykorzystują ten sam system zarządzania treścią CMS, a po wypełnieniu jednego formularza CMS pojawia się następny, co może wprowadzać w błąd. Ponadto drugi z wykorzystywanych formularzy – po zapytaniu o zgodę – nie przyjmował „nie” za odpowiedź, mimo że wyraźnie kierował prośbę o wyrażenie zgody. Ponieważ pliki cookies mogą być wykorzystywane do indywidualnego śledzenia i profilowania, informacja o nich dla osób, których dane dotyczą, była niewystarczająca i trudno dostępna ze względu na wadliwie skonstruowany interfejs użytkownika. W trakcie kilkumiesięcznego postępowania administrator oświadczył, że rozwiąże zidentyfikowane problemy z CMS, jednak wprowadził jedynie niewielkie zmiany, które nie miały wpływu na meritum sprawy. Węgierski organ nadzorczy stwierdził w swojej decyzji, że administrator powinien kontynuować przetwarzanie danych na stronach internetowych tylko wtedy, gdy przetwarzanie to będzie zgodne z wymaganiami RODO.
Administrator wszczął postępowanie sądowe przeciwko tej decyzji.
