Poradnik Przedsiębiorcy

Czy zgoda na Cookies jest wymagana przez RODO?

RODO nakłada na firmy obowiązek poinformowania o celu i sposobie przetwarzanych danych osobowych. A dana osoba musi wyrazić na to zgodę. Czy zgoda na Cookies również jest regulowana RODO? Czy może wystarczy samo poinformowanie (bez uzyskania zgody) na ciasteczka?

Czym i po co są ciasteczka cookies?

Pliki cookies (tzw. „ciasteczka”) to dane informatyczne, w szczególności pliki tekstowe w postaci szeregu liter i cyfr, przechowywane w komputerze użytkownika i przeznaczone do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na komputerze użytkownika oraz unikalny numer.

Wyróżnia się dwa rodzaje plików cookies:

  • sesyjne” (session cookies) -  to pliki tymczasowe, które przechowywane są w komputerze użytkownika do czasu wylogowania, opuszczenia strony internetowej lub zamknięcia przeglądarki,

  • stałe” (persistent cookies) - te pliki przechowywane są w komputerze użytkownika  przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.

W zależności od strony internetowej i jej celu, inny może być rodzaj wykorzystywania plików Cookies. Mogą być one wykorzystywane, np. do:

  • zapamiętywania haseł i loginów,

  • zapamiętywania danych w wypełnianym formularzu (automatyczne uzupełnianie formularzy),

  • analizy czasu spędzanego na danej stronie,

  • zapamiętywania informacji o sposobie korzystania ze strony,

  • zapamiętywania wybranych przez użytkownika ustawień i preferencji,

  • opracowania danych statystycznych, która podstrona/artykuł jest najbardziej popularna.

W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w komputerze użytkownika. Użytkownicy mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies lub je zablokować. Zmiany lub blokady dokonuje się w ustawieniach przeglądarki.

Należy jednak mieć na uwadze, że gdy ciasteczka będą zablokowane, strona nie będzie pamiętać ustawień, preferencji, czy haseł użytkownika. Wiąże się to z koniecznością wypełniania tych samych danych za każdym razem wchodzenia na stronę. 

Cookies a dane osobowe

Dane osobowe to informacje pozwalające na rozpoznanie konkretnej osoby. Czasem do jej identyfikacji wystarczy jedna informacja (np. najwyższa osoba w zespole), czasem tych informacji musi być więcej (np. imię, nazwisko i data urodzenia). Zdarza się, że ta sama dana w jednym miejscu pozwala na zidentyfikowanie konkretnej osoby (np. numer PESEL w urzędzie gminy), a w drugim już nic nie znaczy (np. PESEL zapisany na kartce papieru). Daną osobową może być również adres IP, ale tylko wtedy, gdy za jego pomocą można wskazać konkretną osobę.

A zatem, jeśli adres IP nie identyfikuje konkretnej osoby - nie można go uznać za daną osobową. A skoro, w takim przypadku poprzez adres IP nie da się nikogo zidentyfikować  - nie można mówić o przetwarzaniu danych osobowych.

Adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot przetwarzający nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Wyróżnia się adresy IP stałe oraz dynamiczne. Uważa się, adres stały jest daną osobową, ponieważ za jego pomocą można zidentyfikować konkretnego użytkownika.

Zgoda na cookies sprzed RODO

Zgoda na Cookies jest uregulowana przede wszystkim przez ustawę Prawo telekomunikacyjne oraz unijną dyrektywę o łączności (e-privacy). Te przepisy istnieją w Polsce od dobrych kilku lat. Wspomniane akty prawne nakazują właścicielom stron internetowych uzyskanie zgody na stosowanie i przechowywanie plików cookies w komputerach użytkowników.

Jako zgodę rozumie się świadome i wyraźne okazanie woli. A zatem, zgodą jest świadomy gest. Nie jest tu konieczne zbieranie oświadczeń, zaznaczanie checkboxów (małe, kwadratowe pola), wystarczy jeśli dana osoba okazała świadomy gest potwierdzający, np. wpisała e-mail w odpowiednie pole, czy wciąż przegląda stronę po przeczytaniu stosownych informacji o Cookies.

Podsumowując, zgoda na Cookies może być wyrażona poprzez samo ustawienie przeglądarki, czy zmianę jej ustawień. Uważa się, że jeśli użytkownik, po przeczytaniu wyraźniej informacji o stosowanych plikach Cookies, wciąż korzysta z danej strony - to wyraził świadomy gest, czyli wyraził zgodę na cookies (wyrażona zgoda na cookies poprzez świadomy gest). W przeciwnym wypadku, wyszedłby ze strony lub zmienił ustawienia przeglądarki (wyłączył lub zablokował ciasteczka).

Użytkownik musi zostać wyraźnie poinformowany o stosowanych i celach wykorzystywania Cookies.

Kiedy zgoda na Cookies nie jest wymagana?

Dyrektywa o łączności (a także polska ustawa Prawo telekomunikacyjne) przewiduje parę wyjątków, kiedy zgoda na Cookies nie jest wymagana. Zgodnie z przepisami, zgoda nie jest wymagana, jeśli plik cookie jest:

  • wykorzystywany „jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej”,

  • "szczególnie niezbędny w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

Zatem, zgoda na Cookies nie musi być wymagana, jeśli cookies służą wyłącznie jednemu z powyższych celów. Do takich celów można zaliczyć, np. zamówienie w e-sklepie, czy zapamiętanie języka wybranego przez użytkownika.

Grupa Robocza 29 (czyli eksperci w zakresie ochrony danych osobowych powołani jako ciało doradcze) w swej analizie mówi, że komunikat i zgoda na cookies nie jest wymagana, jeśli spełniony jest co najmniej jeden warunek:

  • pliki cookies nie są wykorzystywane do dodatkowych celów, a jedynie do realizacji usługi,

  • pliki cookies obejmują np. tzw. „user-input cookies” (wykorzystywane do śledzenia treści danych wprowadzanych przez użytkownika przy wypełnianiu formularzy online lub w przypadku kompletowania zamówienia w sklepie internetowym [wypełniania koszyka zakupami]), znane także jako „session-id cookies”; „multimedia player session cookies” oraz „user interface customization cookies” (np. „language preference cookies” w celu zapamiętania języka wybranego przez użytkownika),

  • plik cookie jest konieczny do zaoferowania użytkownikowi (lub abonentowi) konkretnej funkcji: funkcja nie będzie dostępna przy wyłączonej obsłudze plików cookie, zaś użytkownik (lub abonent) wyraźnie zażądał tej funkcji, jako części usługi (społeczeństwa informacyjnego).

Ponadto, w gronie specjalistów pojawiają się głosy, że jeśli Cookies mają służyć tylko analityce i reklamie, to przetwarzanie danych osobowych (jeśli w ramach Cookies dane osobowe rzeczywiście będą przetwarzane) można oprzeć na podstawie jaką jest prawnie usprawiedliwiony cel administratora. A przetwarzanie w oparciu o tę podstawę prawną, nie wymaga uzyskania zgody.

Zgoda na Cookies po RODO

Jeśli chodzi o RODO i zgodę na Cookies, to w tej sprawie pojawiają się dwugłosy. Niektórzy eksperci twierdzą, że zgoda na Cookies jest wymagana w postaci wyraźnych i świadomych zgód, np. poprzez zaznaczenie odpowiedniego pola, czy kliknięcia w odpowiedni przycisk potwierdzający, tzw. wykonanie akcji (bo dopiero poczyniona akcja jest świadomym wyrażeniem woli).

Natomiast druga ekspercka strona twierdzi, że  RODO nie wnosi nic nowego na temat zgody na Cookies. Ci specjaliści powołują się na artykuł 95 rozporządzenia, który mówi, że RODO nie nakłada dodatkowych obowiązków na zagadnienia uregulowane w dyrektywie o łączności (czyli tej o Cookies). A zatem, można wywnioskować, że jeżeli dyrektywa o łączności nie wymaga zbierania oświadczeń ze zgodami w zakresie cookies, to RODO też tego nie wymaga. I wystarczające jest samo wyraźne poinformowanie o stosowanych ciasteczkach.

Drugim argumentem jest przytaczany coraz częściej artykuł 11 RODO, który mówi, że jeśli cele, w których administrator przetwarza dane osobowe, nie wymagają zidentyfikowania osoby, to wtedy na takie przetwarzanie nie trzeba uzyskiwać zgód.

Kolejnym argumentem, na który powołują się powyżsi eksperci jest brak korelacji pomiędzy przedmiotem RODO a zastosowaniem Cookies. RODO, to rozporządzenie, które dotyczy ochrony danych osobowych, czyli tych, za pomocą których można zidentyfikować konkretną osobę. Ciasteczka Cookies służą natomiast bardziej do analizy danych statystycznych, za ich pomocą nie następuje identyfikacja pojedynczej osoby. Stąd RODO nie dotyczy Cookies.

Na pojawiające się pytanie “jak powinna wyglądać zgoda na Cookies”, Agnieszka Świątek-Druś, rzecznik prasowy GIODO (UODO) odpowiada “W związku ze sposobem implementacji w prawie telekomunikacyjnym art. 5 ust. 3 dyrektywy 2002/58/WE zmienionej dyrektywą 2009/136/WE (art. 2 pkt 5) istnieją wątpliwości prawne, czy zgoda, o której mowa w art. 173 ustawy – Prawo telekomunikacyjne [zgoda poprzez brak ustawień w przeglądarce - przyp.red.], jest zgodą właściwą w rozumieniu RODO. Zagadnienie to jest obecnie przedmiotem bardziej szczegółowej analizy GIODO.”

Jak poinformować o Cookies?

Związek Pracodawców Branży Internetowej IAB Polska opracował wytyczne, jak spełnić wymogi informacyjne o cookies. W dokumencie tym, zaleca się:

  • zamieszczenie na stronach serwisu (nie tylko na stronie głównej, lecz również na innych stronach, w sytuacji, gdy użytkownik rozpoczyna korzystanie z serwisu/witryny z podstron) stosownego „sztywnego okna”/”belki”/”paska”/itp., w ramach którego użytkownik informowany byłby – w sposób ogólny, w kilku słowach, maksymalnie w kilku zdaniach – o zasadach dotyczących plików cookies.

Przykładowy tekst komunikatu o ciasteczkach “W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej  szczegółów w naszejPolityce Cookies”/”Polityce Prywatności”.

  • odesłanie (np. poprzez link) do „Polityki Prywatności” lub dedykowanej „Polityki cookies”, gdzie użytkownik miałby możliwość zapoznania się z bardziej szczegółową informacją w tym zakresie (przy czym rekomendowanym rozwiązaniem byłoby opracowanie odrębnej „Polityki cookies”, oczywiście mającej związek z ogólną „Polityką prywatności”) oraz gdzie miałby możliwość dokonania określonych wyborów (tj. wyrażenia zgody/odznaczenia zgody na określone kategorie cookies).

Minimalny zakres informacji w ramach Polityki (na odrębnej stronie) powinien obejmować informacje o:

  • podmiotach, które zamieszczają na urządzeniach końcowych oraz wykorzystują pliki cookies,

  • celu przechowywania plików cookies, tzn. o celach ich wykorzystywania / funkcjach jakie spełniają,

  • możliwości określenia przez użytkownika warunków przechowywania lub uzyskiwania dostępu do plików cookies za pomocą ustawień oprogramowania/konfiguracji usług, tzn. w szczególności o zasadach związanych z ustawieniami przeglądarek internetowych, w tym dokonywaniem zmian w ich ustawieniach – „w jaki sposób można wyłączyć cookies?”, itp.

PRZYKŁADOWA POLITYKA PRYWATNOŚCI

  1. Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.

  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.

  3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu … [nazwa podmiotu] z siedzibą pod adresem ….

  4. Pliki cookies wykorzystywane są w celu:

    1. dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;

    2. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;

    3. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;

    4. …………………………………………………………………………….

  5. W ramach Serwisu stosowane są następujące rodzaje plików cookies:

    1. „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach Serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach Serwisu;

    2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach Serwisu;

    3. „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;

    4. „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;

    5. „reklamowe” pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.

    6. …………………………………………………………………………….

  6. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).

  7. Operator Serwisu informuje, że ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.

  8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.