Pamiętacie jak kilka lat temu dziwiło to, że w 2013 r. pojawiły się jakieś przepisy o plikach cookies? Każda strona musiała mieć banerek z informacją, że wykorzystuje takie pliki i użytkownik musiał kliknąć „akceptuję”. Ale to było dziwne – wcześniej po prostu wchodziło się na stronę i było dobrze, teraz trzeba coś klikać – dziwactwo i utrudnianie korzystania z Internetu, ludzie mówili. Niektórzy wieścili, że tak nieżyciowa regulacja nie może się ostać i będzie niedługo zmieniona.
Gdyby ludzie „z tamtych czasów” przeczytali o tym jakie wymogi dotyczące stosowania plików cookies mamy dzisiaj, pewnie padli by na kolana z wrażenia. Dziwnie się pisze o ludziach z tamtych czasów, do których zresztą sam się zaliczam, biorąc pod uwagę, że w Polsce ta regulacja weszła parę lat temu, ale świat pędzi do przodu i regulacja cyfrowej rzeczywistości przez te parę lat zrobiła ogromny skok do przodu – czy to dobrze czy nie to już sami oceńcie. Ja napiszę Wam o faktach, tzn. o tym z czego wynika regulacja dotycząca plików cookies, jak o nich informować i jakie jeszcze wymogi trzeba spełnić aby zgodnie z prawem z nich korzystać.
Tu mała uwaga: te kwestie są dość świeże i na ten moment zdecydowana większość stron nie robi tego poprawnie – tzn. informacja jest zbyt ogólna. Czy to oznacza, że trzeba zamknąć natychmiast pół Internetu – nie, na szczęście nie. Nie ma co dać się zwariować, żyjemy w świecie niepewności prawnej i tak niestety wygląda nasza rzeczywistość. Co warto zrobić? Podjąć działania, które mają na celu przedstawienie prawidłowej informacji i zmianę dotychczasowych banerów. Z tego co wiem nowe wtyczki dotyczące cookies np. do WordPressa już mają zgodną z przepisami informację. Zakładam więc, że narzędzi, które umożliwiają działanie strony zgodnie z prawem będzie coraz więcej, a tym samym również ich użycie będzie coraz powszechniejsze.
Zacznijmy od Polski, czyli art. 173 Prawa Telekomunikacyjnego
W Polsce przepis dotyczący stosowania plików cookies został umieszczony w ustawie Prawo Telekomunikacyjne i brzmi on tak:
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa
w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Tłumacząc to na normalny język, użytkownik (osoba wchodząca na stronę internetową) musi być poinformowana o tym, że dojdzie do zapisania plików cookies. Po wyświetleniu informacji użytkownik wyraża zgodę na stosowanie plików cookies. Taka informacja musi zostać przekazana PRZED tym jak zaczną działać – oznacza to, że użytkownik NAJPIERW klika na przycisk, że wyraża zgodę na dany rodzaj plików cookies, a dopiero PO KLIKNIĘCIU zaczynają one działać – nie na odwrót. To jest właśnie prawidłowa zgoda na stosowanie plików cookies.
Zgoda na stosowanie plików cookies
Wraz z informacją o tym, że pliki cookies będą wykorzystywane konieczne jest poinformowanie użytkownika o tym, w jakim celu są one stosowane. Innymi słowy, musi on wiedzieć PO CO są pliki cookies. I to nie wszystkie ogólnie, ale po co są poszczególne pliki cookies, podzielone co najmniej na jakieś kategorie (te niezbędne do technicznego wyświetlania strony, analityczne, marketingowe itp.).
Użytkownik musi uzyskać także informację o tym, że może wyrazić zgodę na korzystanie z plików cookies bezpośrednio na stronie lub poprzez odpowiednie ustawienia swojej przeglądarki.
To wyrażanie zgody przez ustawienia przeglądarki brzmi bardzo kusząco - bo gdyby tak po prostu napisać użytkownikowi, że może sobie wyłączyć w przeglądarce pliki cookies, to załatwiałoby nam wiele spraw. Mamy zresztą w Prawie telekomunikacyjnym przepis, że użytkownik może zgodę, o na wykorzystanie plików cookies własnie, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu (ładnie napisano to tak: w telekomunikacyjnym urządzeniu końcowym lub w ramach konfiguracji usługi). Takie rozwiązanie jednak nie jest prawidłowe.
Możliwość zablokowania plików cookies nie oznacza jednak, że to ma być jedyna opcja dana użytkownikowi -tzn. on może tak tę zgodę wyrazić, ale niezależnie od tego czy robi to przez przeglądarkę czy nie, taka możliwość powinna być dostępna w ramach danej strony internetowej - to jest bowiem wybór użytkownika jak to zrobi.
Te rzeczy powyżej to całkiem sporo informacji, które powinny znaleźć się w informacji o plikach cookies, która wyświetla się podczas wejścia na stronę internetową. W mojej ocenie informacje w tym zakresie można przekazać skrótowo w informacji wyświetlanej po wejściu na stronie, a szczegóły zawrzeć w polityce prywatności.
Co jest w tym wszystkim ważne:
zgoda musi spełniać warunki zgody z RODO (o tym zaraz napiszę nieco więcej),
dotyczy to nie tylko ściśle „plików cookies” ale także innych technologii, które działają w podobny sposób – tzn. zbierają dane o użytkowniku, zapisują na jego urządzeniu (nawet na chwilę) i umożliwiają przesłanie ich do dostawcy,
pliki cookies nie mogą zmieniać ustawień/konfiguracji urządzenia wykorzystywanego przez użytkownika.
Czy zawsze potrzebna jest zgoda?
Nie zawsze – zgoda nie jest potrzebna na „techniczne” cookies, czyli takie, które są niezbędne do prawidłowego działania lub wyświetlania strony, nawiązania komunikacji z urządzeniem użytkownika i przesłania na nie danych. W mojej opinii wyraźna zgoda nie jest wymagana także na te pliki cookies, które są czasem nazywane funkcjonalnymi – czyli takimi, które umożliwiają np. zapamiętanie wprowadzonych przez użytkownika informacji w ramach sklepu internetowego, takich jak wybrane przez niego produkty i umożliwienie mu przejście przez cały proces zakupu. Aby być obiektywnym muszę przyznać, że niekiedy jednak tego rodzaju pliki cookies są traktowane osobno i użytkownicy musza wyrazić na nie osobną zgodę.
W każdym innym przypadku wykorzystania plików cookies, czyli np.:
cookies analitycznych, w ramach np. narzędzi takich jak Google Analytics, Hotjar,
cookies marketingowych, umożliwiających wyświetlanie reklam użytkownikom, także w ramach innych portali i stron (Google, Facebook Piksel),
cookies społecznościowych (LinkedIn, Instagram, Facebook, Pinterest itp.),
cookies związanych z działaniem różnych innych wtyczek na Twojej stronie internetowej np. w związku z przekazywaniem informacji o odwiedzających zewnętrznemu usługodawcy, który obsługuje komentarze na blogu (np. Disqus),
użytkownik musi wyrazić zgodę na ich używanie.
Czy pliki cookies zawierają dane osobowe?
Dane osobowe to jakieś informacje, które są powiązane z konkretną osobą albo mogą być (przy odrobinie wysiłku) powiązane z taką osobą. W RODO wskazano, że takimi danymi może być np. adres IP. Skoro może być to adres IP to mogą być to też np. dane o urządzeniu, o przeglądarce, adres fizyczny urządzenia, nie wspominając o danych z Facebooka czy danych zbieranych przez Google itp.
Oczywiście, od razu pojawiają się argumenty – adres IP czy informacje o przeglądarce można powiązać z urządzeniem, a nie z osobą – ok, ale organy ochrony danych uznają, że to wystarczy aby uznać go za dane osobowe, bo cały szereg tych danych może umożliwiać zidentyfikowanie konkretnej osoby, którą może być usługobiorca (czyt. osoba, która ma umowę na usługę dostępu do Internetu), nawet jeśli wymaga to zwrócenia się do dostawcy usług internetowych (ISP) – były zresztą orzeczenia Trybunału Sprawiedliwości Unii Europejskiej, które wskazywały na to, że są to dane osobowe.
Drugi argument jest taki, że przecież często nie widzimy tych danych jako administrator strony (np. który użytkownik Facebooka wszedł na stronę). To nic – wystarczy, że umożliwiamy Facebookowi dostęp do tych danych za pośrednictwem naszej strony. W dodatku mamy też pewne korzyści z tym związane, np. możliwość wyświetlania reklam albo możliwość polubienia naszego profilu na Facebooku bezpośrednio z poziomu strony.
Niezależnie od tego, musimy pamiętać, że obowiązki, które wynikają z przepisów i dotyczą plików cookies, nie dotyczą tylko danych osobowych - nawet więc jeśli pliki cookies ich nie zawierają, i tak trzeba stosować się do opisanych tutaj reguł.
Jakie warunki musi spełniać zgoda?
Przepisy Prawa Telekomunikacyjnego mówią, że zgoda na pliki cookies powinna spełniać wymogi przewidziane dla wyrażania zgód stosownie do przepisów RODO. To oznacza, że zgoda musi być wyrażona dobrowolnie, świadomie, jednoznacznie i konkretnie, w formie oświadczenia woli lub jednoznacznego działania potwierdzającego. W praktyce oznacza to, że zgoda:
nie może być domyślnie zaznaczona, a checkboxy na jej wyrażenie powinny być odznaczone – to jeden z najczęściej popełnianych błędów, tzn. wchodzimy na stronę, jest tam nawet możliwość zaznaczenia na jakie pliki cookies się zgadzamy, ale wszystkie są domyślnie zaznaczone, a jeśli chcemy aby jakieś pliki cookies nie były wykorzystywane na naszym urządzeniu musimy odznaczyć zgodę. To jest błędne także dlatego, że powoduje, że pliki działają już po samym wejściu na stronę, zanim jeszcze użytkownik może tej zgody nie wyrazić,
zgoda nie może obejmować wszystkich celów naraz i dawać użytkownikowi możliwość wyboru na co się zgadza a na co nie – np. cookies związane z analityką są dla niego ok, ale te marketingowe już nie.
zgody nie mogą być ukryte – np. informacja w tym zakresie jest dostępna dopiero po przeklikaniu się przez pół strony,
osoba, która wyraża zgodę, musi wiedzieć na co się zgadza – dlatego informacje wyjaśniające w jakim celu wykorzystywane są dane pliki cookies powinny być czytelne i zrozumiałe.
Czy trzeba tworzyć osobne checkboxy na każdy plik cookies? Wydaje się, że nie i na razie niewiele osób tak robi (acz widziałem takie przypadki) – z reguły zgody wyrażane są na poziomie kategorii związanych z wykorzystaniem cookies – marketingowe, analityczne itp. Niemniej jednak, biorąc pod uwagę ciągłe „usztywnianie” stanowisk w tym zakresie możemy się spodziewać, że kiedyś organy nadzorcze postawią w tym zakresie wyższe wymagania – szczególnie jeśli chodzi o przekazywanie danych w celach marketingowych (mogę chcieć aby moje dane były przekazane tylko do LinkedIn a nie do Facebooka).
Jaka jest podstawa prawna przetwarzania danych osobowych w związku ze zgodą na pliki cookies?
Teraz prawnicza sztuczka – wydawałoby się, że skoro prawo telekomunikacyjne mówi, że do wykorzystywania plików cookies jest potrzebna zgoda, to podstawą prawna do przetwarzania tych danych jest właśnie zgoda osoby, której dane dotyczą.
A tak nie jest (a w każdym razie nie musi być) – bo zgoda na wykorzystanie plików cookies z prawa telekomunikacyjnego nie jest tym samym co zgoda z RODO – chociaż musi spełniać takie same warunki jak zgoda z RODO aby była prawidłowa.
Innymi słowy, to że mamy zgodę na wykorzystanie plików cookies nie oznacza, że musimy przetwarzać dane z tym związane na podstawie zgody. Pamiętajmy tu, że pliki cookies to nie to samo co dane osobowe, które do nas trafiają w związku z wykorzystaniem tych plików. Dlatego dane osobowe mogą być przetwarzane na podstawie prawnie usprawiedliwionego interesu administratora danych, takiego jak np. chęć prawidłowego wyświetlania strony użytkownikowi lub kontrola liczby osób, które odwiedzają stronę. Zarządzanie danymi w tym przypadku jest łatwiejsze niż w przypadku zgody – np. dlatego, że nie musimy dawać osobie możliwości cofnięcia zgody na przetwarzanie danych, a jedynie rozpatrywać jej sprzeciwy związane z przetwarzaniem danych.
Oczywiście nadal użytkownik może cofnąć zgodę na wykorzystanie plików cookies (tą z prawa telekomunikacyjnego), czyli po prostu je zablokować i usunąć ze swojego urządzenia.
Ważne orzeczenie na koniec:
Część z tych kwestii, które opisałem powyżej, wynika z dość nowego (w świecie prawnym 😊 ) wyroku Trybunału Sprawiedliwości Unii Europejskiej, dotyczącego właśnie plików cookies. Mowa tu o wyroku w sprawie C-673/17 z 1 października 2019 r. Nie przedłużając wstępami i opisem tego o co dokładnie w wyroku chodziło, Trybunał wskazał w nim, że:
zgoda nie może być wyrażona domyślnie, to użytkownik ma ją wyrazić,
dla kwestii zgód na wykorzystanie plików cookies nie ma znaczenia to, czy w związku z ich działaniem są przetwarzane dane osobowe czy nie – zgoda ma spełniać wymogi zgody z RODO tak czy siak,
wraz z możliwością udzielenia zgody użytkownik powinien uzyskać informację jak długo wykorzystywane będą pliki cookies oraz to czy pliki cookies umożliwiają przekazywanie informacji do podmiotów trzecich, tzn. innych niż usługodawca (właściciel strony).
Na sam koniec coś o przyszłości. Nasze krajowe regulacje, zawarte w Prawie Telekomunikacyjnym wynikają z tego, że musieliśmy uchwalić przepisy implementujące unijną dyrektywę ePrivacy. W UE od paru lat projektowane sa przepisy, które dyrektywę ePrivacy zastąpią – będzie to nowe rozporządzenie ePrivacy, stosowane bezpośrednio we wszystkich krajach unii. Tam ma być uregulowana kwestia stosowania plików cookies, a we wczesnych projektach rozporządzenia pewne zasady dotyczące cookies miały być uproszczone – np. brak konieczności pozyskiwania odrębnej zgody na cookies analityczne.
A tu jest filmik na youtube z moim wystąpieniem na ten temat:
Niestety problem z nowym Eprivacy jest taki, że tworzenie tych przepisów się przeciąga (trwa to już ze 3 lata), a niedawno Rada UE odrzuciła kolejny projekt. I nie wiadomo, kiedy te regulacje wejdą w życie – na razie pozostaje nam więc czekać i prosić o zgody na korzystanie z plików cookies tak jak niedawno powiedział TSUE.
Masz wątpliwości dotyczące zgodnego z prawem wykorzystania plików cookies? Możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
Comments