20 gru Pliki cookie w zgodzie z prawem
Znając techniczne aspekty cookies, sposób w jaki witryny rejestrują wejścia i zachowanie użytkowników w obrębie danego serwisu, w kolejnym z cyklu artykułów, przedstawiamy związane z nimi uregulowania prawne.
Przepisy regulujące cookies
Ciasteczka należą do technologii powszechnie stosowanych na całym świecie i występują na każdej stronie internetowej (nawet tych czysto informacyjnych). Są również regulowane odrębnie przez poszczególne kraje / stany, jak i całe grupy państw – na przykład w Unii Europejskiej.
W Europie korzystanie z cookies regulują przede wszystkim:
- dyrektywa o prywatności i łączności elektronicznej (ePrivacy) z 2002 roku[1] – w zakresie instalowania i zbierania cookies przez administratorów stron;
- RODO – w zakresie danych osobowych, które mogą być za pośrednictwem cookies przetwarzane;
W Polsce z kolei, jeśli chodzi o instalowanie, zbieranie oraz wykorzystywanie informacji zawartych w cookies przez administratorów stron, należy zwrócić uwagę przede wszystkim na:
Główne obowiązki związane z cookies
Przepisy przewidują dwa główne obowiązki dotyczące cookies, które należy spełnić:
1. Obowiązek informowania o cookies – precyzuje kiedy, w jaki sposób i w jakiej formie użytkownik musi otrzymać informacje na temat celu przechowywania lub pobierania danych z jego urządzenia (laptopa / tabletu / telefonu). Te informacje powinny być dostarczone (z pewnym wyjątkiem) jeszcze przed instalacją ciasteczek, w jasnej i zrozumiałej formie.
W praktyce obowiązek ten może być spełniony:
- w formie uproszczonej, już po wyświetleniu strony www – pod postacią komunikatu / powiadomienia (belka / baner cookies),
- w pełnej wersji, w postaci polityki cookies – zamieszczonej w widocznym miejscu na stronie (najczęściej w stopce serwisu).
Na belkach spoczywa jednak główny ciężar spełnienia obowiązku informacyjnego – to one przekazują użytkownikom wiedzę, jakie cookies będą instalowane, w jakich celach i co z nimi może zrobić użytkownik. To tutaj powinny się znaleźć informacje o tym, czy strona ładuje tylko cookies niezbędne, czy np. też analityczne i marketingowe; czy tylko first-party cookies, czy także third-party cookies (przy czym third-party cookies mogą być instalowane także poprzez pewne treści zamieszczone na stronie, jak np. przycisk „lubię to” albo wideo z serwisu YouTube „wpisane” w kod strony).
2. Konieczność uzyskania zgody użytkownika na wykorzystywanie cookies (z pewnymi wyjątkami).
Forma wyrażenia zgody może być różna – zwłaszcza w Polsce przepisy i orzecznictwo nie jest w tym względzie jednolite i, zwłaszcza ostatnio, dochodzi do mieszania zgody na instalację plików cookie i ich wykorzystywanie ze zgodą na przetwarzanie danych osobowych, które cookie mogą zbierać – nie ulega wątpliwości, że są to dwie różne kwestie.
Jeśli chodzi o realizację obu powyższych obowiązków, wykształciło się podejście do odbierania ich w ramach belki cookies – praktycznie pierwszej informacji, jaką widzi użytkownik wchodzący na stronę.
Najczęściej spotykane rodzaje belek cookies
W praktyce można wyróżnić dwa główne rodzaje belek, przy czym w każdej z nich w inny sposób prosimy użytkownika o zgodę na wykorzystanie cookies:
- Belki proste – odwołujące się do zgody wyrażanej przez użytkownika w ramach ustawień przeglądarki. Jeśli przeglądarka w swoich ustawieniach ma „odhaczone” pole „zezwalaj na instalowanie cookies”, wówczas można uznać, że użytkownik wyraził na nie zgodę[4]. Jak może wyglądać prosta belka cookies?
- Belki rozszerzone – dzięki niej osoba odwiedzająca serwis może samodzielnie określić, które cookies mają być wykorzystywane podczas jej wizyty na stronie, a które nie. Przykład belki rozszerzonej poniżej:
W praktyce można wyróżnić też tzw. cookie wall, który uzależnia dostęp do treści strony od zaakceptowania baneru cookie. Polega to najczęściej na zasłonięciu użytkownikowi całej strony ogromnym pop-up’em dotyczącym cookies, który zniknie dopiero w momencie ich akceptacji przez użytkownika – stosowanie podobnych mechanizmów nie jest jednak w praktyce pożądane i nasuwa poważne wątpliwości czy wyrażona w ten sposób zgoda spełnia wymogi przepisów.
Ochrona danych osobowych użytkowników a belki cookies
Na skutek wejścia w życie RODO oraz opublikowania stanowiska TSUE w wyroku z 1 października 2019 r[5]., zaakcentowano, że w ramach cookies może dochodzić również do przetwarzania danych osobowych[6] – wymusza to stosowanie wymogów RODO dot. odbierania zgód (taka zgoda musi być konkretna [dotyczy określonych operacji przetwarzania], dobrowolna [niewymuszona], świadoma i uzyskana aktywnym działaniem użytkownika) od osób, których dane są przetwarzane.
Preferowanym rozwiązaniem stały się więc rozszerzone belki cookies, umożliwiające dokonanie przez użytkownika swobodnych wyborów i spełniające w/w wymogi.
Przepisy RODO uzupełniła praktyka unijnych organów ochrony danych osobowych – mimo, że nie są one oficjalnie wiążące, warto mieć je na uwadze, ponieważ mogą służyć jako wzór dla pozostałych organów – w tym w Polsce.
Francuski CNIL[7] np. wskazał, że użytkownik musi być w jasny i wyraźny sposób poinformowany o celach korzystania z cookies przez administratorów stron – tzn. że musi mieć informację czy cookies mają charakter niezbędny (bez nich strona nie zadziała), czy np. marketingowy (wyświetlanie reklam), natomiast odmowa ich instalacji w urządzeniach użytkowników musi być równie łatwa, jak ich akceptacja.
Pod koniec 2021 r. polski organ ochrony danych osobowych zaaprobował z kolei wymóg, zgodnie z którym użytkownik powinien aktywnym działaniem akceptować cookies, które są instalowane na urządzeniu, tzn. nie można polegać wyłącznie na domyślnych ustawieniach przeglądarki – stanowisko to przyjmuje tzw. aktywnie wyrażoną zgodę jako domyślną dla wszystkich administratorów stron internetowych – w praktyce takie podejście jest jednak zbyt daleko idące i nieuzasadnione, o czym poniżej.
RODO vs Prawo Telekom
Stanowisko polskiego organu zaakcentowało pewną nieścisłość między przepisami Prawa Telekom, konkretnie między art. 173 oraz art. 174 tej ustawy.
- Art. 174 Prawa Telekom wymusza bowiem stosowanie przepisów o ochronie danych osobowych do zgód na cookies;
- Art. 173 Prawa Telekom stwierdza, że wystarczająca jest zgoda na cookies udzielona za pośrednictwem konfiguracji przeglądarki.
Tym samym, pierwszy z wymienionych przepisów wymaga zgody aktywnej, konkretnej, świadomej, z kolei drugi dopuszcza zgodę milczącą i bierną – wydaje się więc, że mamy do czynienia ze sprzecznością w przepisach.
Administratorzy stron mają jednak kilka możliwości poradzenia sobie z powyższym problemem – niektóre z nich to:
- zbieranie zgód na wszystkie cookies bez wyjątku zgodnie z wymogami RODO – wówczas nie zachodzi praktycznie żadne ryzyko, że naruszamy przepisy;
- oddzielne traktowanie cookies, które wymagają przetworzenia danych osobowych oraz cookies, które danych osobowych nie przetwarzają i na tej podstawie:
- odbieranie zgody RODOwskiej tj. konkretnej, świadomie wyrażonej i uzyskana aktywnym działaniem użytkownika tam, gdzie cookies przetwarzają (zbierają, przechowują) dane osobowe użytkowników – np. adres ID;
- odbieranie zgody milczącej i biernej z art. 173 Prawa Telekom tam, gdzie nie mamy do czynienia z danymi osobowymi.
Cookies w zgodzie z prawem – branża e-commerce pod lupą
Powyższe pokazuje, że stosowanie cookies w praktyce nadal budzi wątpliwości – jest to też w dalszym ciągu jeden z topowych i wbrew pozorom kluczowych tematów dla każdego podmiotu prowadzącego działalność w Internecie.
Pod koniec 2020 r. przekonały się o tym zwłaszcza Google oraz Amazon, na które zostały nałożone gigantyczne kary (Google – 100 mln euro, Amazon – 35 mln euro) przez francuski CNIL. Dotyczyły one przechowywania reklamowych plików cookie na komputerach użytkowników, bez uprzedniej zgody i bez wystarczających informacji. W konsekwencji nałożonych kar, CNIL zapowiedział kontrole by sprawdzić, czy inni operatorzy stron www zastosowali się do wytycznych w zakresie cookies.
Podobną kontrolę wykonuje fundacja Maxa Schremsa – NOYB. Organizacja dąży do zakończenia, jak to nazywa, „terroru banerów cookies”, które są niezgodne z przyjętymi przepisami / wytycznymi. W tym celu automatycznie analizuje, poprzez odpowiednie algorytmy, banery cookies na stronach dużych podmiotów (zwłaszcza z branży e-commerce) oraz generuje skargi do organów ochrony danych w odpowiednich krajach.
Widoki na przyszłość – co nas czeka?
To nie koniec przygód związanych z ciasteczkami. Nadal trwają prace nad wdrożeniem następujących aktów:
- Prawo komunikacji elektronicznej oraz związane z nią ustawy implementujące europejską dyrektywę z 2018 r.[8] Prawo komunikacji elektronicznej ma zastąpić dotychczasowe Prawo Telekom i będzie jeszcze szerzej regulować kwestie usług łączności elektronicznej, w tym także cookies. Ma też uporządkować dotychczasowe przepisy, które zdążyły stracić na aktualności od wejścia w życie Prawa Telekom w 2004 r.
- Nowe ePrivacy, tym razem pod postacią rozporządzenia (nie wymaga implementacji na poziomie krajowym, więc będzie stosowane bezpośrednio, tak jak RODO), które obejmie wszystkie technologie śledzące w komunikacji elektronicznej. Jej celem ma być odpowiednie dostosowanie aktualnych przepisów w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego.
Ostateczne brzmienie nowych przepisów dotyczących cookies poznamy dopiero po wypracowaniu ich finalnych wersji. Już teraz jednak warto mieć je na uwadze, aby nie musieć zmieniać swoich polityk i zasad działania na ostatnią chwilę. By pomóc w przygotowaniu się do nadchodzących zmian, w kolejnych artykułach omówimy główne założenia tych projektów oraz trendy związane z wykorzystaniem plików cookie w ogóle.
Ciasteczka zgodnie z prawem
Zbierając informacje o użytkownikach witryny czy sklepu internetowego, należy upewnić się, że takie działania są prowadzone zgodnie z obowiązującymi przepisami. O czym warto pamiętać?
- Chcąc wykorzystywać cookies należy zwracać uwagę na obowiązujące akty prawne – dyrektywę ePrivacy z 2002 r., RODO, ŚUDE i Prawo Telekom.
- Główne obowiązki związane z cookies obejmują: konieczność informowania użytkowników o tym, jakie cookies są wykorzystywane w serwisie oraz konieczność pozyskania na nie zgody (z wyjątkiem niezbędnych, bez których strona nie może funkcjonować).
- Obowiązek informowania o cookies i pozyskiwania zgody jest realizowany na ogół w postaci banneru / belki cookies.
Preferowanym rozwiązaniem, z uwagi na przepisy i wytyczne organów ochrony danych osobowych, są belki rozszerzone, które umożliwiają użytkownikom dowolny wybór cookies, które będą instalowane oraz dane osobowe, które będą przetwarzane. Uzależnia to też moment załadowania cookies w urządzeniu końcowym użytkownika.
Już teraz zachęcamy do lektury kolejnego z cyklu artykułów, w którym przyjrzymy się bliżej niektórym działaniom europejskich organizacji pozarządowych oraz regulatorów w sprawach dot. cookies – wraz z cennymi wskazówkami dla przedsiębiorców.
[1] Pełna nazwa: Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).
[2] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
[3] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
[4] Nie oznacza jednak automatycznie prawa do przetwarzania danych osobowych na gruncie RODO.
[5] C-673/17.
[6] Co jednak istotne, nie zawsze dzięki cookies możemy przypisać do konkretnej danej osobę, której ta dana dotyczy. Co za tym idzie, nie zawsze do cookies znajdzie zastosowanie RODO.
[7] Francuski organ ochrony danych osobowych, odpowiednik polskiego UODO.
[8] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dyrektywa o Europejskim kodeksie łączności elektronicznej).