113
0

Pliki cookies, czyli nowy rok i stare problemy

113
0

Informacja o cookies

W ostatnim czasie coraz częściej na stronach internetowych zaobserwować można niezwykle rozbudowane banery cookie, umożliwiające indywidualne dostosowanie preferencji cookies, w tym przede wszystkim wyrażenie zgody na zapisywanie konkretnego rodzaju „ciasteczek” (np. marketingowych). Z drugiej strony w wielu serwisach wciąż zaobserwować można krótką informację, do której przyzwyczailiśmy się przez lata, w stylu „strona wykorzystuje pliki cookies”. W związku z tym administratorzy i twórcy stron internetowych często pytają jakie działanie jest prawidłowe? Niestety, ale prace nad unijnym rozporządzeniem e-Privacy, które ma kompleksowo regulować te kwestie, wciąż trwają. Dlatego jednoznaczna odpowiedź na to pytanie jest obecnie niezwykle trudna. 

Rozporządzenie e-Privacy

Pierwotnie rozporządzenie e-Privacy miało zacząć obowiązywać równocześnie z RODO (które przypomnę obowiązuje od 2018 r.). Mamy rok 2022 i w dalszym ciągu nic się nie zmieniło, chociaż prognozuje się, że prace nad rozporządzeniem zostaną ukończone jeszcze w tym roku. Dlaczego więc o tym pisze, skoro nic się nie zmieniło? Bo kwestia cookies w ostatnim czasie stała się przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych i prowadzonych jest coraz więcej postępowań w związku ze stwierdzonymi nieprawidłowościami w zakresie stosowania plików cookies przez administratorów stron internetowych.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Dlaczego PUODO zajmuje się w ogóle plikami cookies?

Można by zapytać dlaczego PUODO zajmuje się w ogóle plikami cookies? To bardzo dobre pytanie. W głównej mierze bowiem istota problemu sprowadza się do tego, czy informacje zapisane w ramach plików cookies stanowią dane osobowe. Opinie wśród prawników są podzielone. Osobiście jestem zwolennikiem stanowiska, że pliki cookies mogą, ale nie zawszę będą stanowić dane osobowe. Informacje zapisane w ramach plików cookies nie pozwalają bowiem same w sobie na zidentyfikowanie konkretnej osoby fizycznej, co za tym idzie, nie wypełniają definicji danych osobowych z RODO.

Przykładem może tu być chociażby usługa Google Analytics, która bezpośrednio wiąże się ze stosowaniem plików cookies. W ramach tej usługi administrator strony pozyskuje całkiem sporo danych, ale czy w rzeczywistości jest na tej podstawie w stanie zidentyfikować konkretną osobę? W normalnych warunkach raczej nie jest to możliwe.


Z drugiej strony jednak, gdy informacje z plików cookies powiązane zostaną z pozostałymi danymi, w których posiadaniu jest administrator, to tak stworzony zestaw danych może pozwolić na identyfikację konkretnej osoby i pliki cookies łączne z pozostałymi danymi z tegoż zestawu stanowić będą dane osobowe. Tak będzie np. w sytuacji, gdy administrator sklepu internetowego powiąże pliki cookies z informacjami, którymi dysponuje w związku ze złożonym zamówieniem.

Pamiętać  natomiast trzeba, że uznanie plików cookies za dane osobowe rodzi daleko idące konsekwencje związane z prawidłowym ich przetwarzaniem, chodzi tu m.in. o analizę konieczności powołania inspektora ochrony danych osobowych, konieczności przeprowadzenia oceny skutków dla ochrony danych osobowych itd. Dlatego też byłbym ostrożny z kategorycznym stwierdzeniem, że cookies to zawsze dane osobowe.

Third party cookies

Wracając do powołanego powyżej przykładu usługi Google Analytics trzeba wskazać, że w związku z jej wykorzystywaniem w urządzeniu końcowym użytkownika strony internetowej zainstalowane są tzw. third party cookies, tworzone przez serwisy podmiotów trzecich, których usługi są wykorzystywane na danej stronie internetowej.

W ocenie czy informacje zapisane w ramach plików cookies stanowią dane osobowe niezwykle istotne jest moim zdaniem to jakiego z jakiego rodzaju plikami cookies mamy do czynienia, czyli mówiąc wprost „kogo są” te pliki cookies. Jak wspomniałem wcześniej, dane zapisane w ramach tej usługi – mimo ich szerokiego zakresu – dla administratora strony www są raczej anonimowe, ale czy tak samo anonimowe są dla dostawcy usługi Google Analytics? Raczej nie, dlatego w tym zakresie jestem zwolennikiem podejścia podmiotowego, a nie przedmiotowego, tj. analizując znaczenie plików cookies powinno się brać pod uwagę kto te pliki instaluje w urządzeniu końcowym użytkownika odwiedzającego serwis internetowy.

Podobnie rzecz ma się chociażby z usługą typu Facebook Pixel. Do jej prawidłowego działania również konieczne są pliki cookies, instalowane przez dostawcę serwisu społecznościowego. Czy administrator strony www, pod którą „podpięty” jest Facebook Pixel ma wpływ na to w jaki sposób te pliki są wykorzystywane? Raczej nie ma, a to użytkownik Facebooka ma możliwość ustawienia preferencji cookies w ramach serwisu społecznościowego, mogąc nawet zablokowanie ich wykorzystywanie w związku z odwiedzaniem innych niż Facebook witryn internetowych.

Newsletter dla e-biznesu 🎉

Zapisz się do newslettera, uzyskaj dostęp do unikalnych treści tworzonych przez prawników naszej kancelarii oraz otrzymuj informacje o najważniejszych aktualnościach prawnych.

Będziemy przetwarzać Twoje imię oraz adres e-mail w celu przesyłania Ci informacji handlowych. Administratorem Twoich danych osobowych jest Kancelaria Prawna Kantorowski, Głąb i Wspólnicy Sp.j. Szczegółowe informacje znajdziesz w naszej Polityce prywatności.

W jaki sposób powinna być wyrażona zgoda na cookies?

Spore problemy budzi również to w jaki sposób powinna być wyrażona zgoda na cookies. Jak wspomniałem wcześniej funkcjonują dwa podejścia. Pierwsze to rozbudowany baner cookie, który umożliwia personalizację cookies i wyrażenie zgody na poszczególne „ciasteczka”. Drugie podejście to informacja o stosowaniu plików cookies i ich zapisywanie bez jakiejkolwiek aktywności użytkownika. To drugie podejście bazuje na zgodzie wyrażonej poprzez domyślne ustawienia przeglądarki. Co ważne polskie przepisy wprost na to pozwalają.

Z czego wynika więc problem skoro zgodnie z polskimi przepisami, jeżeli ustawienia przeglądarki pozwalają na zapisanie plików cookies to użytkownik w ten sposób się na to zgadza? Z tego, że unijny trend jest zupełnie inny. Z unijnego orzecznictwa, wytycznych organów (np. Europejska Rada Ochrony Danych) oraz projektów aktów normatywnych wynika, że użytkownik powinien wyrazić zgodę w sposób aktywny. Stąd właśnie coraz częściej pojawiające się rozbudowane banery cookie.

Jakie działanie jest prawidłowe?

Jakie działanie jest więc prawidłowe? Obecny bałagan prawny uniemożliwia jednoznaczną odpowiedź na to pytanie. Odpowiedź na to pytanie sprowadza się więc w tym momencie do rozważenia tego, czy jako administrator strony internetowej chcesz w dalszym ciągu bazować na zgodzie wyrażonej poprzez domyślne ustawienia przeglądarki i zachować na obecnym poziomie analitykę i remarketing, jednocześnie ryzykując konieczność wdrożenia zmian w niedalekiej przyszłości i być może skarg użytkowników lub też wolisz kosztem analityki i remarketingu pobierać od użytkowników aktywne zgody na cookies.

Nie ulega bowiem wątpliwości, że w tym drugim przypadku chociażby remarketing drastycznie spadnie. Mało kto w ogóle czyta komunikaty o cookies, a co dopiero mówić o „odfajkowywaniu” zgód innych niż niezbędne do wejścia na stronę.  Należy, więc mieć nadzieje, że obecny rok przyniesie kompleksowe i jasne uregulowania w tym zakresie. Nie ma bowiem chyba nic gorszego w zakresie rozwiązań prawnych niż ich niepewność.

Doceniasz tworzone przeze mnie treści?

Paweł Głąb
RADCA PRAWNY

Specjalizuję się w prawie e-commerce, prawie własności intelektualnej oraz prawie danych osobowych. Pomagam firmom chronić ich marki, produkty i walczyć z nieuczciwą konkurencją. Przygotowuję regulaminy, polityki prywatności i cookies oraz dokumentację RODO. Zajmuję się również tworzeniem i audytowaniem umów.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.