Poradnik Przedsiębiorcy

Kary za ciasteczka (cookies) w związku z RODO i nie tylko

W ostatnim czasie ponownie zrobiło się głośno o tzw. ciasteczkach i możliwości ich stosowania – a to wszystko za sprawą rekordowej kary nałożonej przez francuski urząd ochrony danych osobowych. Spółka Alphabet (Google) za śledzenie użytkowników w sieci otrzymała karę w wysokości 100 mln euro, z kolei Amazon został za taki proceder ukarany karą w wysokości 35 mln euro. Warto zatem dowiedzieć się, czym są cookies, jakie wymogi dotyczą ich stosowania i jakie kary za ciasteczka grożą za niespełnienie tych wymogów. Przeczytaj i nie daj się ukarać!

Czym są ciasteczka?

Ciasteczka są szeregiem cyfr i liter, w których ramach zapisane są dane o użytkowniku. Są to informacje, które wysyła do użytkownika odwiedzany przez niego serwis internetowy. Informacje te zapisywane są na urządzeniu końcowym użytkownika (komputer, smartfon), z którego korzysta, przeglądając daną stronę internetową. 

Zasadniczą funkcją ciasteczek jest zapewnienie prawidłowego funkcjonowania stron internetowych, w tym między innymi umożliwienie działania takich funkcji jak logowanie do serwisu czy zapisywanie ustawień.

Pomimo złej opinii, cookies to w większości nieszkodliwe pliki zawierające informacje niezbędne do właściwego funkcjonowania portali internetowych, bez jednoczesnego śledzenia użytkowników.

Ciasteczka mają jednak wiele innych zastosowań. Za pomocą cookies serwis internetowy może personalizować wyświetlane treści, w tym reklamy. Dzięki ciasteczkom strona internetowa zapamiętuje preferencje użytkownika, takie jak chociażby język strony czy jej wygląd. Tym samym przy pomocy ciasteczek serwis internetowy lub inny podmiot trzeci może zbierać informacje o użytkownikach. To z kolei wpływa już istotnie na prywatność użytkownika w sieci. 

Rodzaje cookies

Ciasteczka sesyjne tracą ważność po zakończeniu sesji, tj. np. po wylogowaniu się użytkownika z serwisu internetowego. Z kolei ciasteczka trwałe pozostają zapisane na urządzeniu użytkownika również po jej zakończeniu.

Cookies marketingowe i remarketingowe to ciasteczka wykorzystywane do celów reklamowych zbierające informacje o tym, że użytkownik przeglądał dany serwis internetowy i co w ramach tego serwisu robił. Tego rodzaju informacje wykorzystywane są następnie do personalizacji reklam i tworzenia kampanii marketingowych i remarketingowych nakierowanych na konkretne zainteresowania lub potrzeby danego użytkownika lub danej grupy użytkowników, do której dana osoba należy.

Cookies funkcjonalne umożliwiają z kolei zapamiętanie przez dany serwis internetowy preferencji użytkownika w zakresie wyglądu strony internetowej czy wyboru języka, czcionki.

Cookies analityczne pomagają tworzyć statystyki odwiedzin danego serwisu internetowego, zbierają informacje o źródłach ruchu użytkowników, a także mogą wspierać poprawę bezpieczeństwa serwisu, np. przez zbieranie informacji o pojawiających się na stronie błędach.

Third-party cookies (np. Google Analytics) to ciasteczka, które analizują zachowanie użytkownika poza serwisem „właściciela” ciasteczek i najczęściej mają na celu śledzenie zachowań użytkowników i stworzenie „profilu internetowego”. Przeciwieństwem są tzw. cookies własne, które są umieszczane w ramach serwisu przez jego właściciela (operatora).

Regulacje dotyczące ciasteczek 

Cookies z jednej strony bardzo często będą kwalifikowane jako dane osobowe, z drugiej – zapisywanie cookies stałych na urządzeniach końcowych użytkowników traktowane będzie jako element prawa do prywatności. Stąd stosowanie cookies podlega regulacji prawnej na kilku płaszczyznach. Ciasteczek dotyczą m.in. ustawa Prawo telekomunikacyjne i ustawa o świadczeniu usług drogą elektroniczną, jak również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Cookies mogą zawierać dane osobowe i być chronione na gruncie RODO. Zapisywanie cookies stałych na urządzeniu końcowym użytkownika podlega regulacji na gruncie prawa do prywatności w sieci, które w prawie polskim jest realizowane w ramach ustawy Prawo telekomunikacyjne.

Cookies a prawo do prywatności

Zgodnie z ustawą Prawo telekomunikacyjne przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym użytkownika jest dozwolone, pod warunkiem że użytkownik zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:

  • celu przechowywania i uzyskiwania dostępu do tej informacji,

  • możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji usługi.

Co istotne, wymogiem ustawowym jest również to, by użytkownik po otrzymaniu powyższej informacji wyraził zgodę na zapisanie cookies na jego urządzeniu.

Na gruncie ustawy Prawo telekomunikacyjne cookies stałe wymagają przekazania użytkownikowi odpowiednich informacji oraz odebrania uprzedniej zgody na ich zapisanie.

Warto pamiętać, że przechowywana informacja lub uzyskiwanie do niej dostępu nie może powodować zmian konfiguracyjnych w urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Użytkownik może wyrazić powyższą zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji usługi.

Co jednak istotne, powyższe wymogi nie będą musiały być stosowane, jeżeli przechowywanie lub uzyskanie dostępu do informacji zapisanej w cookies jest konieczne do:

  • wykonania transmisji komunikatu za pośrednictwem sieci,

  • dostarczania usługi żądanej przez użytkownika.

Naruszenie powyższych wymogów podlega karze pieniężnej nakładanej przez Prezesa UKE na podstawie ustawy Prawo telekomunikacyjne, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.

Stosowanie cookies stałych bez przekazania informacji i uzyskania zgody grozi nałożeniem kary w wysokości do 3% przychodu osiągniętego w poprzednim roku kalendarzowym.

Kary za ciasteczka (cookies) - ochrona danych osobowych

Dane osobowe zawarte w plikach cookies podlegają również ochronie wynikającej z RODO. Jeśli ciasteczka zawierają dane osobowe w rozumieniu RODO, zastosowanie znajdą wszelkie zawarte w rozporządzeniu wymogi i obowiązki. Konieczne będzie między innymi ustalenie właściwej podstawy prawnej przetwarzania takich danych – może nią być m.in. uzasadniony interes administratora lub zgoda użytkownika. W konkretnych warunkach dopuszczalna może być np. sytuacja, gdy administrator zbierać będzie od użytkownika zgodę wymaganą na gruncie ustawy Prawo telekomunikacyjne, a na gruncie RODO opierać się będzie na swoim uzasadnionym interesie wynikającym z wyrażenia takiej zgody. W każdym jednak wypadku niezbędne będzie wypełnienie obowiązku informacyjnego wobec użytkowników.

Stosowanie cookies zawierających dane osobowe wymaga spełnienia wszystkich wymogów odnoszących się do przetwarzania danych osobowych, jakie wynikają z RODO, w tym m.in. przekazania danych osobowych.

Zgodnie z RODO naruszenie przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody oraz praw osób, których dane dotyczą, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

  • umyślny lub nieumyślny charakter naruszenia;

  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych;

  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

  • kategorie danych osobowych, których dotyczyło naruszenie;

  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki – przestrzeganie tych środków;

  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz

  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

W razie gdy w związku ze stosowaniem cookies zawierających dane osobowe dojdzie do naruszenia obowiązków wynikających z RODO – np. nie zostanie przekazana klauzula informacyjna lub nie zostanie zapewniona podstawa prawna przetwarzania – może zostać nałożona kara w wysokości do 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.