zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

23 marca 2018


Słodko-gorzkie ciasteczka (ang. cookies)


Już tylko tygodnie dzielą nas od rozpoczęcia obowiązywania RODO. Tymczasem wciąż brakuje potwierdzonych i pewnych interpretacji, w jaki sposób zbierać zgody na używanie cookies. Jak przygotować politykę dotyczącą ciasteczek, by nie narazić firmy na sankcje?



Sage

Spełniasz
wymogi
RODO?

Sprawdź



W większości użytkownicy Internetu przyzwyczaili się już do tzw. ciasteczek (cookies). Dla przypomnienia – to mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych odwiedzinach witryny. To dzięki temu użytkownik nie musi wpisywać tych samych informacji za każdym razem, gdy powróci na tę stronę lub przejdzie z jednej strony na inną. Z drugiej strony dzięki ciasteczkom możliwe jest śledzenie aktywności użytkownika strony. I o ile na gruncie ciągle jeszcze obowiązujących przepisów o ochronie danych osobowych ich stosowanie wymaga jedynie stosownej informacji, o tyle już niedługo konieczne będzie udzielenie wyraźnej zgody.

Wynika to z RODO*, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), którego egzekucja we wszystkich państwach UE rozpocznie się od 25 maja br.

Zgoda buduje

I chociaż wszystko wskazywało na to, że dla cookies nic się nie zmieni, bo artykuł 95 RODO wprost nie nakłada dodatkowych obowiązków „(…) w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii”, których dotyczy dyrektywa 2002/58/WE*, to jednak część interpretacji prawnych mówi o konieczności pozyskiwania wyraźnych zgód na cookies.

Sytuację dodatkowo komplikuje fakt ciągle niezakończonych prac nad rozporządzeniem ePrivacy, które ma jednoznacznie nakazać uzyskiwanie jednoznacznych zgód na wykorzystanie cookies. Nie wiadomo jednak, kiedy ostatecznie to rozporządzenie zostanie uchwalone. Na pewno ważne jest stanowisko Grupy Roboczej Art. 29 gromadzącej organy ochrony danych osobowych wszystkich państw UE, która uznała w wytycznych, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna) nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy ePrivacy.

Dla swej ważności zgoda musi więc zostać udzielona  przez użytkownika w sposób świadomy i w odniesieniu do  skonkretyzowanego celu użycia jego danych. Dlatego właśnie strony internetowe już nie tylko informują nas o samych cookies, ale również w różnoraki sposób pytają o zgodę na przetwarzanie danych przed ustawianiem i używaniem ciasteczek śledzących. Istotne jest to, by wyrażenie zgody było efektem podjęcia świadomej decyzji w jednoznaczny sposób, np. poprzez zaznaczenie odpowiedniego pola czy kliknięcia w określony przycisk potwierdzający zgodę.

Ważne też, by jedna klauzula nie zawierała w sobie zgody na różne cele przetwarzania: poszczególne możliwości dokonania wyboru powinny być określone dla każdego celu, w jakim pliki cookies są zapisywane, nie zaś w jednej zbiorczej zgodzie na zapisywanie wszystkich plików cookies we wszystkich celach jednocześnie. Istotne jest również to, by możliwa była opcja niewyrażenie zgody na przetwarzanie danych w celach marketingowych, w tym na profilowanie oraz tak samo prosty mechanizm odwołania, co wyrażenia zgody (art. 7 ust. 3 RODO).

Ciasteczko bez zgody?

Jak to bywa z przepisami prawa: sytuacja nie jest jednoznaczna. Nie wszyscy bowiem zgadzają się z tym restrykcyjnym poglądem Grupy Roboczej Art. 29. Coraz częściej można spotkać się z opiniami, które wskazują np. na to, że art.11 RODO może stanowić podstawę do zwolnienia z obowiązku uzyskiwania zgód na stosowanie cookies. Jeżeli cele, dla których przetwarzamy dane osobowe, nie wymagają zidentyfikowania przez nas osoby, której dane dotyczą, to nie musimy tego robić i nie musimy realizować praw jednostki. Oczywiście z wyjątkiem obowiązków informacyjnych bądź też gdy ktoś sam dokona autoidentyfikacji, by wykonać swoje prawa.

Zgoda to nie jest jedyną a z podstaw przetwarzania danych. Jeśli więc cookies mają służyć analityce i reklamie, to można przetwarzanie danych oprzeć na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej (art. 6 ust. 1 lit. f RODO). Jest jak najbardziej możliwe, by administrator danych powołał się na uzasadniony interes jako podstawę przetwarzania danych, jeżeli osoba, której dane dotyczą, w chwili zbierania danych i z uwzględnieniem kontekstu ich zbierania ma rozsądne przesłanki, by spodziewać się, że jej dane mogą być przetwarzane w danym celu (motyw 47 RODO). Przetwarzanie danych osobowych do celów marketingu bezpośredniego jest tu więc działaniem w uzasadnionym interesie, bez widocznego rozróżnienia na marketing własny i cudzy.

Informacja czy zgoda?

Do egzekucji przepisów RODO coraz bliżej. W Polsce jest zarejestrowanych 2,6 mln domen z końcówką .pl. Ile z nich używa cookies? Sprawa zgody na ciasteczka jest bardzo poważna, a mimo to nie ma jednoznacznego stanowiska w tej sprawie. Główny Inspektor Danych Osobowych, dostrzegając problem i jego wagę, dopiero analizuje to zagadnienie**. Do czasu wydania jednoznacznego stanowiska polskim administratorom stron sen z powiek może spędzać odpowiedź na pytanie: „Czy w związku z RODO zgoda będzie musiała być wyrażana w sposób wyraźny?” Jeśli odpowiedź będzie brzmiała „tak”, to dotknie to zarówno wielkie serwisy informacyjne czy sklepy internetowe, jak i te mniejsze, aż po różnego rodzaje blogi, a nawet strony prywatne.

Do tego czasu Prawo telekomunikacyjne, które reguluje w Polsce zasady używania plików cookies, pozwala na zgodę dorozumianą, tzn. na samo poinformowanie użytkownika o ich używaniu.

* W 2012 roku Unia Europejska nałożyła na właścicieli witryn obowiązek informowania o tego typu praktykach (efektywnie regulacje weszły w życie 22 marca 2013 roku); RODO wywarło bezpośredni wpływ na przepisy dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (ePrivacy), która to dyrektywa reguluje zasady zgód na cookies, a której nie udało się zaktualizować na czas.

** https://giodo.gov.pl/pl/1520281/9826


/*gatedcontent/