E-commerce, RODO

Ciasteczkowe RODO – czyli pliki cookies a ochrona danych osobowych

Pliki cookies bywają często nie do końca rozumianą problematyką. W szczególności przeanalizowanie niniejszej problematyki jest istotną kwestią dla całego sektora e-commerce. Warto jednak wspomnieć, że rozwój technologiczny doprowadził do sytuacji, w której praktycznie każda strona internetowa korzysta z plików cookies. Zatem niniejsza problematyka ma równie istotne znaczenie dla wszystkich podmiotów, które korzystają – w ramach swoich działalności – ze stron internetowych. Co istotne, temat cookies ma doniosłe znaczenie prawne ze względu na ścisłe powiązanie z RODO.

Pliki cookies od technicznej strony

Tym co powoduje pewne komplikacje w interpretacji całego zagadnienia jest wymóg znajomości dwóch odrębnych branżowych języków – informatycznego oraz prawnego. Język branży IT, może być kompletnie niezrozumiały dla osób spoza branży. Dlatego na potrzeby zrozumienia znaczenia plików cookies omówimy sobie po krótce ich specyfikę techniczną.

Pliki cookies to małe nieszkodliwe pliki tekstowe, które służą stronom internetowym w różnych celach. Etymologia nazwy tych plików bierze się z języków programistycznych służących do programowania stron internetowych. Na tym etapie są wykorzystywane takowe pliki tekstowe o dość wyróżniającej się i chwytliwej nazwie. Głównymi zadaniami omawianych plików jest wspomaganie poprawnego funkcjonowania stron internetowych oraz ułatwianie użytkownikom korzystanie z nich. Istotną różnicą cookies od pozostałych terminów i pojęć języków programistycznych jest metodyka ich wykorzystywania. Pliki te zapisywane są na urządzeniach końcowych użytkowników (komputer, laptop, telefon, itp.). Co więcej, cookies zbierają informację o użytkowniku. Część zbieranych w ten sposób informacji to dane osobowe.

Należy w tym miejscu wskazać dwa niezwykle ważne typy plików cookies – „session cookies” (dalej: „cookies sesyjne”) oraz „persistent cookies” (dalej: „cookies stałe”). Ten podział ma istotne znaczenie w kontekście ochrony danych osobowych. Cookies sesyjne bowiem są przechowywane na urządzeniu końcowym użytkownika jedynie przez czas korzystania z danej strony internetowej. Służą najczęściej do utrzymywania bieżącej sesji. Cookies stałe natomiast są przechowywane na wyżej wspomnianych urządzeniach przez dłuższy czas. Okres przechowywania tego typu plików cookies może – w zależności od celu i charakterystyki – wynosić nawet 3 lata. Znajomość tego podziału oraz świadomość konsekwencji wynikających z umieszczania tychże plików na urządzeniach końcowych pozwoli na wykonanie ciążącego obowiązku informacyjnego.

Z perspektywy marketingu natomiast możemy spotkać się najczęściej z takim podziałem plików cookies:

“first party” cookies  – ten typ cookies jest instalowany oraz czytany jedynie przez domenę lub poddomeny, na których znajduje się dana strona internetowa,

second party” cookies – te pliki są przekazane od innego administratora, z którym administrator danej strony współpracuje,

third party” cookies – są instalowane z innych domen niż ta, na której jest strona internetowa. Te cookies najczęściej należą do “śledzących” i służą celom marketingowym. Są zatem przekazywane innym administratorom co ma doniosłe znaczenie prawne w zakresie obowiązku informacyjnego z art. 13 RODO.

W kontekście RODO podział o największym znaczeniu dotyczy dywersyfikacji plików cookies pod kątem ich pełnionej funkcji na danej stronie internetowej. W praktyce wyróżniamy pięć następujących funkcji plików cookies:

„Niezbędne” pliki cookies – umożliwiają poprawne funkcjonowanie strony oraz korzystanie z jej usług przez użytkowników. Służą też bezpieczeństwu danej domeny. Jako jedyne, te pliki cookies nie zawierają danych osobowych. Tym samym nie podlegają przepisom RODO. Najczęściej występują w postaci sesyjnych cookies zatem nie są przechowywane dłużej na urządzeniach końcowych niż na okres trwania danej sesji.

„Analityczne” pliki cookies – usprawniają stronę internetową poprzez zbieranie informacji o sposobie jej wykorzystywania przez użytkowników. Administratorzy stron internetowych wykorzystują te pliki w celu dostosowywania ich domen pod użytkowników. Na podstawie informacji takich jak najczęściej wykonywane ruchy oraz ilość dziennych wizyt na stronie poprawiana jest wydajność danych stron.

„Funkcjonalne” pliki cookies – zapamiętują ustawienia użytkowników na stronach internetowych (kolor tła, język, koszyk zakupowy). Dzięki temu użytkownicy po pierwszym wejściu na daną stronę oraz dostosowaniu jej do swoich preferencji, ponownie odwiedzając daną stronę nie muszą dokonywać ponownie tych samych ustawień. Ten typ plików najczęściej jest rodzajem stałych cookies. Są zatem instalowane na urządzeniach końcowych, aby móc zapamiętać konkretne ustawienia użytkownika.

„Reklamowe” pliki cookies – służą dostarczaniu zindywidualizowanych reklam dla użytkownika. Reklamy są dostosowywane na podstawie preferencji oraz zainteresowań poszczególnych użytkowników. Bardzo często dokonuje się tego poprzez remarketing przy wykorzystaniu third party cookies. Niezwykle ważnym zagadnieniem w tym przypadku jest profilowanie, które przeważnie jest wykorzystywane w trakcie budowania profili preferencji i zainteresowań na potrzeby chociażby remarkeitngu. Należy jednak wskazać, że najczęściej nieudzielnie zgody na ten typ plików cookies nie powoduje jakichkolwiek trudności z korzystaniem z danej strony internetowej.

„Społecznościowe” pliki cookies – umożliwiają łączenie się z mediami społecznościowymi oraz do udostępniania nim treści strony internetowej. Dochodzi zatem w tym zakresie do przekazywania danych do innych administratorów. Najczęściej ten typ plików jest aplikowany za pomocą wtyczek społecznościowych (przycisk “lubię to”, możliwość udostępnienia, itp.). Celem tych cookies jest szeroko pojęty marketing. Co do zasady niewyrażenie zgody na ten typ plików cookies nie powoduje żadnych negatywnych skutków dla użytkownika.

Podstawa prawna RODO na pliki cookies

Skoro zapoznaliśmy się z niezbędną nomenklaturą z zakresu IT i plików cookies jesteśmy w stanie ustalić podstawę prawną, jaką administratorzy powinni przyjąć na wykorzystywanie plików cookies na ich stronach internetowych. Jedyną podstawą prawną z RODO w kontekście cookies jest art. 6 ust. 1 lit a, czyli zgoda.

Bardzo często w politykach prywatności możemy się spotkać na stronach internetowych z podstawą jaką jest uzasadniony interes administratora. Zakres wspomnianej podstawy najczęściej dotyczy „niezbędnych” plików cookies. Te postanowienia są jednak okraszone błędem. Tak jak wspomniano “niezbędne” pliki cookies ze względu na swoją funkcję oraz charakter nie zawierają danych osobowych. Nie ma zatem żadnych przesłanek, które stałyby za tym, aby stosować jakąkolwiek podstawę prawną na te pliki cookies. Wynika to z faktu, że w tym zakresie przepisy RODO nie znajdują zastosowania. Nie ma wątpliwości, że inne pliki cookies powinny zostać oparte na zgodzie użytkownika. Wynika to z faktu, że nie są one warunkiem się qua non do korzystania ze strony internetowej a jedynie ułatwiają jej użytkowanie.  Podobnie sytuacja wygląda na gruncie przepisów krajowych. Art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (dalej “pr.tel.”) odnosi się do informacji, które są przechowywane na urządzeniach końcowych użytkowników zatem do plików cookies. Aby takie przechowywanie było legalne należy spełnić wszystkie trzy przesłanki z art. 173 ust. 1 pkt 1-3 wspomnianej ustawy. Jedną z tych przesłanek (art. 173 ust. 1 pkt 2) jest zgoda użytkownika. Jednakże ten sam artykuł zawiera wyłączenie wyżej wymienionych warunków. Owo wyłączenie zostało określone w art. 173 ust. 3 pkt 1-2, który stanowi, że:

“Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.”

Niezbędne pliki cookies  jak wspominano  są konieczne dla poprawnego funkcjonowania strony zatem wpisują się w przesłanki wyżej przytoczonego wyłączenia. Pozostałe pliki cookies wymagają spełnienia przesłanek z art. 173 ust. 1 pkt 1-3 w tym zgody użytkownika, ponieważ nie są one konieczne do funkcjonowania strony internetowej. Art. 174 pr. tel stanowi, że do uzyskania zgody użytkownika stosuje się przepisy o ochronie danych osobowych.

Należy zatem przyjąć, że jedyną podstawą prawną na gruncie RODO (a tym samym pr. tel., które odsyła do RODO) powinna być ta z art. 6 ust. 1 lit. a RODO, czyli zgoda osoby, której dane dotyczą.

Aktywna zgoda

Wiele stron internetowych domyślnie instaluje pliki cookies na urządzeniach końcowych użytkowników, przy czym jedynie informuje użytkowników, że takowe pliki cookies są wykorzystywane. Zgoda jest wyrażana zatem w sposób domyślny. Najczęściej przybiera to następująca postać:

“Używamy ciasteczek, wchodząc w odnośniki na stronie, wyrażasz na to zgodę”.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. o sygnaturze C-673/17 (dalej wyrok “Planet 49”) dotyczył wymogu wyrażenia czynnej zgody na internautów na użytkowanie plików cookies. Z treści wyroku wynika, że domyślnie udzielona zgoda jest na wykorzystywanie plików cookies jest nieważna. Zgoda ta powinna być jasna oraz precyzyjnie określać na co wyraża zgodę użytkownik. Należy zatem zwrócić uwagę na to jak powinna wyglądać owa aktywna zgoda na wykorzystywanie plików cookies. Aktualnie popularną formą wyrażenia aktywnej zgody przez użytkownika są checkboxy. Niejako zmusza to użytkownika do aktywności podczas udzielania zgody bądź jej nieudzielenia. Dodatkowo należy pamiętać, aby użytkownik miał świadomość na co wyraża zgodę. Zasadne jest zatem przy checkboxach umieścić odnośnik do pełnej polityki cookies lub innego dokumentu na stronie, który zawiera informacje o tych plikach. Należy zwrócić uwagę, że odwiedzający stronę powinni mieć możliwość zaznaczenia (np. suwakiem) na jakie pliki cookies wyrażają zgodę. Z tego powodu przy okienku dotyczącym plików cookies powinien zostać zamieszczony odnośnik, który pozwoli na wyrażenie zgody na konkretne pliki cookies.  Może to przybrać następującą formę:

“Wyrażam zgodę na wykorzystywanie następujących plików cookies:

Analityczne pliki cookies: [ x ]

Funkcjonalne pliki cookies: [ x ]

Reklamowe pliki cookies: [ x ]

Społecznościowe pliki cookies: [ x ]”

Taki zabieg pozwoli na wyrażenie aktywnej zgody przez użytkowników oraz uświadomi ich na jakie pliki cookies wyrażają zgodę. W pierwszej kolejności jednak, lepszym rozwiązaniem jest ustawienie strony tak, aby użytkownik – również poprzez chechboxy – wyraził zgodę na wszystkie pliki cookies albo żadne. Podczas pierwszych odwiedzin danej strony, osoba odwiedzająca powinna wyrazić albo nie wyrazić zgodę na pliki cookies, przed rozpoczęciem korzystania ze strony internetowej. Jeżeli użytkownik będzie miał możliwość ominięcia okna dotyczącego plików cookies to de facto pozostaje on bierny, wobec tego komunikatu. Taka sytuacja może prowadzić do wielu komplikacji oraz nieporozumień zatem zasadne jest niejako “wymuszenie” na użytkowniku wyrażenia albo niewyrażenia zgody. Dopiero w takim momencie użytkownik powinien mieć możliwość korzystania ze strony internetowej.

Należy zatem postawić na aktywną formę wyrażania zgody przy plikach cookies. W aktualnym stanie prawnym tylko taka forma jest prawidłowa w zakresie wykorzystywania plików cookies przez strony internetowe.

Obowiązek informacyjny

Niezwykle efektywnym oraz rekomendowanym sposobem spełniania obowiązku informacyjnego jest “warstwowe informowanie”. Nie inaczej jest w przypadku plików cookies. Dobrze wykonane informowanie jest również ważnym elementem dla aktywnej zgody bowiem użytkownik powinien mieć pełną świadomość na co wyraża swoją zgodę. Obowiązek ten płynie z art. 13 RODO, czyli podawanie informacji w przypadku zbierania danych od osoby, której dane dotyczą. Należy jednak raz jeszcze podkreślić – jeżeli dana strona nie używa innych plików cookies niż niezbędne, nie ma potrzeby spełniania w tym zakresie obowiązku informowania, ponieważ nie są przetwarzane wtedy dane osobowe.

Czy zatem “warstwowe informowanie” znajdzie zastosowanie w przypadku plików cookies? Zdecydowanie tak. Pierwszą linią informacyjną dla użytkownika powinno być wspomniane wcześniej okno zawierające checkboxy dotyczące zgód na pliki cookies. Takie okno powinno zawierać streszczenie informacji, jakie zostaną zamieszczone czy to w polityce prywatności czy polityce plików cookies. Przede wszystkim w takim oknie powinno się wskazać administratora danych osobowych oraz samą informację, że na danej stronie są wykorzystywane pliki cookies. Co więcej, należy przedstawić cele jakie stoją za wykorzystywaniem omawianych plików (analityczne, marketingowe, itp.). Ta pierwsza “warstwa” powinna zawierać również odnośnik do checkboxów dotyczących wyrażania zgody na poszczególne funkcje plików cookies. Takie informacje powinny w zupełności wystarczyć, aby użytkownik miał pełną świadomość na co i w jakim zakresie wyraża zgodę.

Kolejną – a przy tym najważniejszą – “warstwą” jest polityka prywatności, a w niej segment polityki plików cookies. W przypadku rozbudowanych stron internetowych, które korzystają z dużej ilości plików cookies zasadne jest utworzenie oddzielnego dokumentu dotyczącego jedynie plików cookies. Praktyka nakazuje na samym początku takiego dokumentu przedstawić krótką specyfikację techniczną plików cookies. Warto wskazać czym są oraz jak funkcjonują. Podstawą redagowania polityki plików cookies jest wciąż art. 13 RODO. Należy zatem podać cele, podstawy oraz prawa użytkownika w związku z wykorzystywanymi plikami cookies. Istotna jest zatem świadomość samej osoby prowadzącej daną stronę internetową o wykorzystywanych przez nią plikach. Bez takiej wiedzy nie będzie bowiem możliwe podania wyżej wymienionych elementów. Co więcej, dobrą praktyką jest podawanie zakresu zbieranych danych użytkownika. Pozwoli to osobom odwiedzającym stronę mieć pełną świadomość jakie konkretnie dane są przetwarzane. Jest to istotne, ponieważ przeciętny użytkownik najpewniej nie będzie wiedział jakie dane osobowe są zbierane przez pliki cookies. Administrator – co ma doniosłe znaczenie dla aktywnej zgody użytkownika – powinien podać jakie pliki cookies, ze względu na swoją funkcję, są wykorzystywane na stronie. Ponadto, należy opisać w sposób zwięzły i prosty istotę danych plików. Przykładowo, jeżeli korzystamy ze “społecznościowych” plików cookies, powinniśmy poinformować, że takowe są wykorzystywane oraz czym się charakteryzują. Wspomniany wcześniej wyrok w sprawie Planet 49 oprócz wskazania jaka zgoda na pliki cookies jest nieważna, dodaje dwa elementy jakie Administrator powinien podać – okres funkcjonowania plików cookies oraz określenie czy osoby trzecie mogą uzyskać dostęp do takich plików. Jednym ze sposobów na przejrzyste podanie takich informacji jest tabela:

Dostawca pliku cookieNazwa pliku cookieOkres funkcjonowania pliku cookieInformacja o dostępie osoby trzeciej do pliku cookie  
PodmiotnazwaWskazany okresTak/Nie

W takim dokumencie watro również dodać informację o stosowanych technologiach od zewnętrznych dostawców (Google Ads, Google Analytics, itp.). Zupełnie wystarczający będzie krótki opis danej technologii oraz odnośnik w postaci linku do strony, która będzie zawierała więcej informacji odnośnie danej technologii (najczęściej strona internetowa dostawcy).

Wnioski

Niniejszy artykuł nie opisuje całej problematyki plików cookies ani pod względem technicznym ani prawnym. Ma on jedynie za zadanie dość kompleksowo przedstawić daną problematykę, która ma istotne znaczenie dla całego sektora e-commerce.

W zakresie podstawy prawnej jedyną zasadną jest aktywna zgoda użytkownika. Wynika to ze specyfikacji technicznej plików cookies w zestawieniu z przepisami RODO. Aktywna zgoda musi mieć charakter aktywnego działania ze strony użytkownika. Warto przy tym “wymusić” takowe działanie dla bezpieczeństwa oraz uniknięcia ewentualnych komplikacji. Aktywna zgoda jest ściśle powiązana z obowiązkiem informowania. Warto zatem zwrócić szczególną uwagę na to jak został spełniony wyżej wspomniany obowiązek. Tak jak wcześniej wskazano, najlepszym rozwiązaniem będzie “warstwowe informowanie”.

Dynamiczne zmiany w zakresie nowych technologii wymuszają na prawodawcy ciągłe dostosowywanie się to aktualnego stanu faktycznego. Dla administratorów istotne jest zatem, bieżące monitorowanie wszelkich zmian, aby jak najlepiej podporządkowywać swój stan faktyczny do prawnego.

Bibliografia:

  • X. Konarski w: „Meritum. Ochrona danych osobowych” pod red. D. Lubasza, Warszawa 2020 r.,
  • M. Jakubik, P. Wojciechowski, „RODO w IT: pliki cookie – jak je ugryźć”, LEX/el. 2020

Autor: Michał Kolasiński

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s