blog

Co z tymi ciasteczkami (cookies) na stronach internetowych?

Przeglądając randomowe strony internetowe można odnieść wrażenie, że regulacje dotyczące zasad wykorzystywania plików cookies przez poszczególnych przedsiębiorców w dalszym ciągu pozostają w najlepszym wypadku przemilczane. Przyczyna? Dążąc do dostosowania się do wytycznych najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe. A z tego nikt rezygnować nie chce.

Słów kilka o tym, jak być powinno

Informacja o wykorzystywaniu cookies winna się znaleźć na stronie internetowej, jeżeli zbiera ona przykładowo statystyki ruchu na stronie dla programu Google Analytics bądź Gemius, a zwłaszcza, jeśli wyświetla reklamy w oparciu o informacje zawarte w ciasteczkach – zatem w przypadkach wykorzystywania danych do różnego typu działań marketingowych i statystycznych.

Zgoda na pliki cookies wyrażona przed ich włączeniem na stronie internetowej

Należy podkreślić, iż użytkownik powinien wyrazić zgodę na korzystanie z cookies przed ich faktycznym wykorzystaniem, zatem tuż po wejściu na stronę www należy wyświetlić użytkownikowi komunikat i jeśli zostanie wyrażona zgoda na używanie cookies, można się nimi posłużyć.

Jak powinna być skonstruowana informacja o plikach cookies

Specjalny zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwany Grupą Roboczą art. 29 wystosował wytyczne dotyczące sposobu korzystania z cookies. Rekomenduje się aby informacja o cookies była umieszczana na stronie, na której użytkownik rozpoczyna sesję korzystania z usługi (strona startowa). Można w tym celu zastosować ekran powitalny wyświetlany na otwieranej stronie, banner, okno dialogowe, wyraźnie wyróżniające się od pozostałej treści strony startowej. Informacja podstawowa może być wyświetlana w sposób trwały, przez pewien czas umożliwiający zapoznanie się z tekstem albo do pierwszej czynności użytkownika podjętej po wyświetleniu informacji. Początkowa, ogólna informacja o stosowaniu cookies powinna odsyłać użytkownika do specjalnego adresu, dostępnego w łatwy sposób (np. poprzez hiperłącze), pod którym dostępna jest pełna informacja o cookies. Informacja pełna powinna obejmować cel poszczególnych rodzajów cookies, wskazywać ich dysponenta, w szczególności podmioty inne niż dostawca usługi (cookies stron trzecich). Informacja powinna określać także okres przechowywania oraz typowe stany cookies (typical values). Informacja może zawierać także inne dane techniczne istotne dla wypełnienia obowiązku przekazania pełnej informacji użytkownikowi. Informacja powinna wskazywać jak użytkownik może zaakceptować wszystkie lub poszczególne rodzaje cookies albo odmówić takiej zgody, a także w jaki sposób może zmienić swoją decyzję w przyszłości.

Okres przetwarzania cookies do jednego roku

Okres przetwarzania cookies jest szczególnie istotny w przypadku cookies służących do prowadzenia działalności reklamowej, profilowania użytkowników i podobnych działań stron trzecich. Grupa Robocza proponuje, aby okres zgody na takie działania nie przekraczał jednego roku.

Cookies – zgoda zamiast braku sprzeciwu

W art. 5 ust. 3 dyrektywy 2002/58/WE zmieniono sposób wyrażania zgody (z tzw. opcji opt-out na opcję opt-in), a zatem zastąpiono dotychczasową możliwość wyrażenia sprzeciwu obowiązkiem uzyskania uprzedniej zgody. Co więcej, 1 października 2019 roku Trybunał Stanu Unii Europejskiej wydał wyrok zgodnie z którym zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. Ponadto zostało wskazane, że internauta powinien wiedzieć, jak długo pliki cookies będą działać. TSUE uznał po pierwsze, że wymagana od użytkownika witryny internetowej zgoda na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. To oznacza, że nie może być tak, że zaznaczenie trzeba usunąć, aby odmówić udzielenia zgody. I nie ma przy tym znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe. Prawo unijne ma bowiem chronić użytkowników przed każdą ingerencją w ich prywatność, a w szczególności przed ryzykiem wprowadzenia do ich urządzeń bez ich wiedzy ukrytych identyfikatorów lub innych podobnych narzędzi.

Nie tylko RODO

Należy także wspomnieć, w jaki sposób pozyskiwanie danych użytkowników stron internetowych zostało uregulowane w ustawie o świadczeniu usług drogą elektroniczną. Zgodnie z ostatnio przeprowadzoną nowelizacją przepisów, świadczący usługi on-line może przetwarzać́ nazwisko i imiona, numer ewidencyjny PESEL, adres zameldowania oraz do korespondencji, adresy elektroniczne.

Monitorowanie zachowań i preferencji użytkowników z wykorzystaniem plików cookies

Ponadto może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowania i preferencje usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną czyli tzw. profilowanie. Profilowanie polega na „tworzeniu” czy „uzupełnianiu” danych „nowymi” informacjami, np. o zainteresowaniach. Zwykle ich zakres jest szerszy niż niezbędny do świadczenia samej usługi. Ponadto cel bywa też inny niż świadczenie usługi, np. statystyki,  poprawa usługi, czy analiza zachowania użytkowników. Na tej podstawie mogą powstawać raporty o preferencjach użytkowników, ale też być dopasowywane reklamy. RODO w art. 21 dotyczącym prawa do sprzeciwu pośrednio przyznaje, że takie profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Art. 22 RODO precyzuje, że zgoda jest konieczna, jeśli profilowanie prowadzi do automatycznego podjęcia decyzji, np. udzielania kredytu, sprzedaży polisy.

Przepisy bardziej rygorystyczne niż RODO

Nowy art. 18 ust. 4 uśude z kolei wprowadza, że zgoda jest potrzebna nawet jeśli, kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji. Z powyższego wnika, że przepisy wprowadzone w uśude są bardziej rygorystyczne niż te wprowadzone przez RODO. Aby spełnić obowiązki nałożone przez uśdude, w przypadku dokonywania profilowania użytkowników strony internetowej rekomenduje się wyświetlenie komunikatu z możliwością wyrażenia zgody/braku zgody na  wykorzystywanie danych osobowych do profilowania użytkowników.

 

Kancelaria TURCZA specjalizuje się w tematach compliance, w tym w zakresie szeroko pojętej ochrony danych osobowych. Masz pytania? Zachęcamy do kontaktu.

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Plan kontroli sektorowych UODO

Plan kontroli sektorowych UODO

W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

ul. Grochowska 56
60 – 347 Poznań

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-347), ul. Grochowska 56, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.

    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Grochowska 56
    60-347 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.