20 gru Pliki cookie w zgodzie z prawem

Dodane 13:45 w Cookies, Ochrona danych osobowych | RODO, Prawo e-commerce autor:

Znając techniczne aspekty cookies, sposób w jaki witryny rejestrują wejścia i zachowanie użytkowników w obrębie danego serwisu, w kolejnym z cyklu artykułów, przedstawiamy związane z nimi uregulowania prawne.

Przepisy regulujące cookies

Ciasteczka należą do technologii powszechnie stosowanych na całym świecie i występują na każdej stronie internetowej (nawet tych czysto informacyjnych). Są również regulowane odrębnie przez poszczególne kraje / stany, jak i całe grupy państw – na przykład w Unii Europejskiej.

W Europie korzystanie z cookies regulują przede wszystkim:

  • dyrektywa o prywatności i łączności elektronicznej (ePrivacy) z 2002 roku[1] – w zakresie instalowania i zbierania cookies przez administratorów stron;
  • RODO – w zakresie danych osobowych, które mogą być za pośrednictwem cookies przetwarzane;

W Polsce z kolei, jeśli chodzi o instalowanie, zbieranie oraz wykorzystywanie informacji zawartych w cookies przez administratorów stron, należy zwrócić uwagę przede wszystkim na:

  • ustawę Prawo Telekom[2], która implementowała dyrektywę ePrivacy;
  • ustawę ŚUDE[3].

Główne obowiązki związane z cookies

Przepisy przewidują dwa główne obowiązki dotyczące cookies, które należy spełnić:

1. Obowiązek informowania o cookiesprecyzuje kiedy, w jaki sposób i w jakiej formie użytkownik musi otrzymać informacje na temat celu przechowywania lub pobierania danych z jego urządzenia (laptopa / tabletu / telefonu). Te informacje powinny być dostarczone (z pewnym wyjątkiem) jeszcze przed instalacją ciasteczek, w jasnej i zrozumiałej formie.

W praktyce obowiązek ten może być spełniony:

  • w formie uproszczonej, już po wyświetleniu strony www – pod postacią komunikatu / powiadomienia (belka / baner cookies),
  • w pełnej wersji, w postaci polityki cookies – zamieszczonej w widocznym miejscu na stronie (najczęściej w stopce serwisu).

Na belkach spoczywa jednak główny ciężar spełnienia obowiązku informacyjnego – to one przekazują użytkownikom wiedzę, jakie cookies będą instalowane, w jakich celach i co z nimi może zrobić użytkownik. To tutaj powinny się znaleźć informacje o tym, czy strona ładuje tylko cookies niezbędne, czy np. też analityczne i marketingowe; czy tylko first-party cookies, czy także third-party cookies (przy czym third-party cookies mogą być instalowane także poprzez pewne treści zamieszczone na stronie, jak np. przycisk „lubię to” albo wideo z serwisu YouTube „wpisane” w kod strony).

2. Konieczność uzyskania zgody użytkownika na wykorzystywanie cookies (z pewnymi wyjątkami).

Forma wyrażenia zgody może być różna – zwłaszcza w Polsce przepisy i orzecznictwo nie jest w tym względzie jednolite i, zwłaszcza ostatnio, dochodzi do mieszania zgody na instalację plików cookie i ich wykorzystywanie ze zgodą na przetwarzanie danych osobowych, które cookie mogą zbierać – nie ulega wątpliwości, że są to dwie różne kwestie.

Jeśli chodzi o realizację obu powyższych obowiązków, wykształciło się podejście do odbierania ich w ramach belki cookies – praktycznie pierwszej informacji, jaką widzi użytkownik wchodzący na stronę.

Najczęściej spotykane rodzaje belek cookies

W praktyce można wyróżnić dwa główne rodzaje belek, przy czym w każdej z nich w inny sposób prosimy użytkownika o zgodę na wykorzystanie cookies:

  • Belki proste – odwołujące się do zgody wyrażanej przez użytkownika w ramach ustawień przeglądarki. Jeśli przeglądarka w swoich ustawieniach ma „odhaczone” pole „zezwalaj na instalowanie cookies”, wówczas można uznać, że użytkownik wyraził na nie zgodę[4]. Jak może wyglądać prosta belka cookies?
Prosta belka cookies
  • Belki rozszerzone – dzięki niej osoba odwiedzająca serwis może samodzielnie określić, które cookies mają być wykorzystywane podczas jej wizyty na stronie, a które nie. Przykład belki rozszerzonej poniżej:
Rozszerzona belka cookies

W praktyce można wyróżnić też tzw. cookie wall, który uzależnia dostęp do treści strony od zaakceptowania baneru cookie. Polega to najczęściej na zasłonięciu użytkownikowi całej strony ogromnym pop-up’em dotyczącym cookies, który zniknie dopiero w momencie ich akceptacji przez użytkownika – stosowanie podobnych mechanizmów nie jest jednak w praktyce pożądane i nasuwa poważne wątpliwości czy wyrażona w ten sposób zgoda spełnia wymogi przepisów. 

Ochrona danych osobowych użytkowników a belki cookies

Na skutek wejścia w życie RODO oraz opublikowania stanowiska TSUE w wyroku z 1 października 2019 r[5]., zaakcentowano, że w ramach cookies może dochodzić również do przetwarzania danych osobowych[6] – wymusza to stosowanie wymogów RODO dot. odbierania zgód (taka zgoda musi być konkretna [dotyczy określonych operacji przetwarzania], dobrowolna [niewymuszona], świadoma i uzyskana aktywnym działaniem użytkownika) od osób, których dane są przetwarzane.

Preferowanym rozwiązaniem stały się więc rozszerzone belki cookies, umożliwiające dokonanie przez użytkownika swobodnych wyborów i spełniające w/w wymogi.

Przepisy RODO uzupełniła praktyka unijnych organów ochrony danych osobowych – mimo, że nie są one oficjalnie wiążące, warto mieć je na uwadze, ponieważ mogą służyć jako wzór dla pozostałych organów – w tym w Polsce.

Francuski CNIL[7] np. wskazał, że użytkownik musi być w jasny i wyraźny sposób poinformowany o celach korzystania z cookies przez administratorów stron – tzn. że musi mieć informację czy cookies mają charakter niezbędny (bez nich strona nie zadziała), czy np. marketingowy (wyświetlanie reklam), natomiast odmowa ich instalacji w urządzeniach użytkowników musi być równie łatwa, jak ich akceptacja.

Pod koniec 2021 r. polski organ ochrony danych osobowych zaaprobował z kolei wymóg, zgodnie z którym użytkownik powinien aktywnym działaniem akceptować cookies, które są instalowane na urządzeniu, tzn. nie można polegać wyłącznie na domyślnych ustawieniach przeglądarki – stanowisko to przyjmuje tzw. aktywnie wyrażoną zgodę jako domyślną dla wszystkich administratorów stron internetowych – w praktyce takie podejście jest jednak zbyt daleko idące i nieuzasadnione, o czym poniżej.

RODO vs Prawo Telekom

Stanowisko polskiego organu zaakcentowało pewną nieścisłość między przepisami Prawa Telekom, konkretnie między art. 173 oraz art. 174 tej ustawy.

  1. Art. 174 Prawa Telekom wymusza bowiem stosowanie przepisów o ochronie danych osobowych do zgód na cookies;
  2. Art. 173 Prawa Telekom stwierdza, że wystarczająca jest zgoda na cookies udzielona za pośrednictwem konfiguracji przeglądarki.

Tym samym, pierwszy z wymienionych przepisów wymaga zgody aktywnej, konkretnej, świadomej, z kolei drugi dopuszcza zgodę milczącą i bierną – wydaje się więc, że mamy do czynienia ze sprzecznością w przepisach.

Administratorzy stron mają jednak kilka możliwości poradzenia sobie z powyższym problemem – niektóre z nich to:

  1. zbieranie zgód na wszystkie cookies bez wyjątku zgodnie z wymogami RODO – wówczas nie zachodzi praktycznie żadne ryzyko, że naruszamy przepisy;
  2. oddzielne traktowanie cookies, które wymagają przetworzenia danych osobowych oraz cookies, które danych osobowych nie przetwarzają i na tej podstawie:
  • odbieranie zgody RODOwskiej tj. konkretnej, świadomie wyrażonej i uzyskana aktywnym działaniem użytkownika tam, gdzie cookies przetwarzają (zbierają, przechowują) dane osobowe użytkowników – np. adres ID;
  • odbieranie zgody milczącej i biernej z art. 173 Prawa Telekom tam, gdzie nie mamy do czynienia z danymi osobowymi.

Cookies w zgodzie z prawem – branża e-commerce pod lupą

Powyższe pokazuje, że stosowanie cookies w praktyce nadal budzi wątpliwości – jest to też w dalszym ciągu jeden z topowych i wbrew pozorom kluczowych tematów dla każdego podmiotu prowadzącego działalność w Internecie.

Pod koniec 2020 r. przekonały się o tym zwłaszcza Google oraz Amazon, na które zostały nałożone gigantyczne kary (Google – 100 mln euro, Amazon – 35 mln euro) przez francuski CNIL. Dotyczyły one przechowywania reklamowych plików cookie na komputerach użytkowników, bez uprzedniej zgody i bez wystarczających informacji. W konsekwencji nałożonych kar, CNIL zapowiedział kontrole by sprawdzić, czy inni operatorzy stron www zastosowali się do wytycznych w zakresie cookies.

Podobną kontrolę wykonuje fundacja Maxa Schremsa – NOYB. Organizacja dąży do zakończenia, jak to nazywa, „terroru banerów cookies”, które są niezgodne z przyjętymi przepisami / wytycznymi. W tym celu automatycznie analizuje, poprzez odpowiednie algorytmy, banery cookies na stronach dużych podmiotów (zwłaszcza z branży e-commerce) oraz generuje skargi do organów ochrony danych w odpowiednich krajach.

Widoki na przyszłość – co nas czeka?

To nie koniec przygód związanych z ciasteczkami. Nadal trwają prace nad wdrożeniem następujących aktów:

  • Prawo komunikacji elektronicznej oraz związane z nią ustawy implementujące europejską dyrektywę z 2018 r.[8] Prawo komunikacji elektronicznej ma zastąpić dotychczasowe Prawo Telekom i będzie jeszcze szerzej regulować kwestie usług łączności elektronicznej, w tym także cookies. Ma też uporządkować dotychczasowe przepisy, które zdążyły stracić na aktualności od wejścia w życie Prawa Telekom w 2004 r.
  • Nowe ePrivacy, tym razem pod postacią rozporządzenia (nie wymaga implementacji na poziomie krajowym, więc będzie stosowane bezpośrednio, tak jak RODO), które obejmie wszystkie technologie śledzące w komunikacji elektronicznej. Jej celem ma być odpowiednie dostosowanie aktualnych przepisów w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego.

Ostateczne brzmienie nowych przepisów dotyczących cookies poznamy dopiero po wypracowaniu ich finalnych wersji. Już teraz jednak warto mieć je na uwadze, aby nie musieć zmieniać swoich polityk i zasad działania na ostatnią chwilę. By pomóc w przygotowaniu się do nadchodzących zmian, w kolejnych artykułach omówimy główne założenia tych projektów oraz trendy związane z wykorzystaniem plików cookie w ogóle.  

Ciasteczka zgodnie z prawem

Zbierając informacje o użytkownikach witryny czy sklepu internetowego, należy upewnić się, że takie działania są prowadzone zgodnie z obowiązującymi przepisami. O czym warto pamiętać?

  • Chcąc wykorzystywać cookies należy zwracać uwagę na obowiązujące akty prawne – dyrektywę ePrivacy z 2002 r., RODO, ŚUDE i Prawo Telekom.
  • Główne obowiązki związane z cookies obejmują: konieczność informowania użytkowników o tym, jakie cookies są wykorzystywane w serwisie oraz konieczność pozyskania na nie zgody (z wyjątkiem niezbędnych, bez których strona nie może funkcjonować).
  • Obowiązek informowania o cookies i pozyskiwania zgody jest realizowany na ogół w postaci banneru / belki cookies.

Preferowanym rozwiązaniem, z uwagi na przepisy i wytyczne organów ochrony danych osobowych, są belki rozszerzone, które umożliwiają użytkownikom dowolny wybór cookies, które będą instalowane oraz dane osobowe, które będą przetwarzane. Uzależnia to też moment załadowania cookies w urządzeniu końcowym użytkownika.

Już teraz zachęcamy do lektury kolejnego z cyklu artykułów, w którym przyjrzymy się bliżej niektórym działaniom europejskich organizacji pozarządowych oraz regulatorów w sprawach dot. cookies – wraz z cennymi wskazówkami dla przedsiębiorców.

[1] Pełna nazwa: Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).

[2] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

[3] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

[4] Nie oznacza jednak automatycznie prawa do przetwarzania danych osobowych na gruncie RODO.

[5] C-673/17.

[6] Co jednak istotne, nie zawsze dzięki cookies możemy przypisać do konkretnej danej osobę, której ta dana dotyczy. Co za tym idzie, nie zawsze do cookies znajdzie zastosowanie RODO.

[7] Francuski organ ochrony danych osobowych, odpowiednik polskiego UODO.

[8] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dyrektywa o Europejskim kodeksie łączności elektronicznej).

Autor: Przemysław Gruchała

Autor: Anita Nowicka

Powiązane wpisy:

Wiosenny RODO update4 najciekawsze orzeczenia unijne dot. ochrony danych osobowych Naruszenie ochrony danych osobowychNaruszenie ochrony danych osobowych – najważniejsze nowe wskazówki UODO i EROD dynamiczny adres IP_dane osoboweDynamiczny adres IP w cookies a dane osobowe google analytics czy potrzebna alternatywaGoogle Analytics pod lupą organów. Czy pora szukać alternatywy?
Tagi:
, , , , , , , , ,