blog
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Słów kilka o tym, jak być powinno
Informacja o wykorzystywaniu cookies winna się znaleźć na stronie internetowej, jeżeli zbiera ona przykładowo statystyki ruchu na stronie dla programu Google Analytics bądź Gemius, a zwłaszcza, jeśli wyświetla reklamy w oparciu o informacje zawarte w ciasteczkach – zatem w przypadkach wykorzystywania danych do różnego typu działań marketingowych i statystycznych.
Zgoda na pliki cookies wyrażona przed ich włączeniem na stronie internetowej
Należy podkreślić, iż użytkownik powinien wyrazić zgodę na korzystanie z cookies przed ich faktycznym wykorzystaniem, zatem tuż po wejściu na stronę www należy wyświetlić użytkownikowi komunikat i jeśli zostanie wyrażona zgoda na używanie cookies, można się nimi posłużyć.
Jak powinna być skonstruowana informacja o plikach cookies
Specjalny zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwany Grupą Roboczą art. 29 wystosował wytyczne dotyczące sposobu korzystania z cookies. Rekomenduje się aby informacja o cookies była umieszczana na stronie, na której użytkownik rozpoczyna sesję korzystania z usługi (strona startowa). Można w tym celu zastosować ekran powitalny wyświetlany na otwieranej stronie, banner, okno dialogowe, wyraźnie wyróżniające się od pozostałej treści strony startowej. Informacja podstawowa może być wyświetlana w sposób trwały, przez pewien czas umożliwiający zapoznanie się z tekstem albo do pierwszej czynności użytkownika podjętej po wyświetleniu informacji. Początkowa, ogólna informacja o stosowaniu cookies powinna odsyłać użytkownika do specjalnego adresu, dostępnego w łatwy sposób (np. poprzez hiperłącze), pod którym dostępna jest pełna informacja o cookies. Informacja pełna powinna obejmować cel poszczególnych rodzajów cookies, wskazywać ich dysponenta, w szczególności podmioty inne niż dostawca usługi (cookies stron trzecich). Informacja powinna określać także okres przechowywania oraz typowe stany cookies (typical values). Informacja może zawierać także inne dane techniczne istotne dla wypełnienia obowiązku przekazania pełnej informacji użytkownikowi. Informacja powinna wskazywać jak użytkownik może zaakceptować wszystkie lub poszczególne rodzaje cookies albo odmówić takiej zgody, a także w jaki sposób może zmienić swoją decyzję w przyszłości.
Okres przetwarzania cookies do jednego roku
Okres przetwarzania cookies jest szczególnie istotny w przypadku cookies służących do prowadzenia działalności reklamowej, profilowania użytkowników i podobnych działań stron trzecich. Grupa Robocza proponuje, aby okres zgody na takie działania nie przekraczał jednego roku.
Cookies – zgoda zamiast braku sprzeciwu
W art. 5 ust. 3 dyrektywy 2002/58/WE zmieniono sposób wyrażania zgody (z tzw. opcji opt-out na opcję opt-in), a zatem zastąpiono dotychczasową możliwość wyrażenia sprzeciwu obowiązkiem uzyskania uprzedniej zgody. Co więcej, 1 października 2019 roku Trybunał Stanu Unii Europejskiej wydał wyrok zgodnie z którym zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. Ponadto zostało wskazane, że internauta powinien wiedzieć, jak długo pliki cookies będą działać. TSUE uznał po pierwsze, że wymagana od użytkownika witryny internetowej zgoda na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. To oznacza, że nie może być tak, że zaznaczenie trzeba usunąć, aby odmówić udzielenia zgody. I nie ma przy tym znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe. Prawo unijne ma bowiem chronić użytkowników przed każdą ingerencją w ich prywatność, a w szczególności przed ryzykiem wprowadzenia do ich urządzeń bez ich wiedzy ukrytych identyfikatorów lub innych podobnych narzędzi.
Nie tylko RODO
Należy także wspomnieć, w jaki sposób pozyskiwanie danych użytkowników stron internetowych zostało uregulowane w ustawie o świadczeniu usług drogą elektroniczną. Zgodnie z ostatnio przeprowadzoną nowelizacją przepisów, świadczący usługi on-line może przetwarzać́ nazwisko i imiona, numer ewidencyjny PESEL, adres zameldowania oraz do korespondencji, adresy elektroniczne.
Monitorowanie zachowań i preferencji użytkowników z wykorzystaniem plików cookies
Ponadto może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowania i preferencje usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną czyli tzw. profilowanie. Profilowanie polega na „tworzeniu” czy „uzupełnianiu” danych „nowymi” informacjami, np. o zainteresowaniach. Zwykle ich zakres jest szerszy niż niezbędny do świadczenia samej usługi. Ponadto cel bywa też inny niż świadczenie usługi, np. statystyki, poprawa usługi, czy analiza zachowania użytkowników. Na tej podstawie mogą powstawać raporty o preferencjach użytkowników, ale też być dopasowywane reklamy. RODO w art. 21 dotyczącym prawa do sprzeciwu pośrednio przyznaje, że takie profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Art. 22 RODO precyzuje, że zgoda jest konieczna, jeśli profilowanie prowadzi do automatycznego podjęcia decyzji, np. udzielania kredytu, sprzedaży polisy.
Przepisy bardziej rygorystyczne niż RODO
Nowy art. 18 ust. 4 uśude z kolei wprowadza, że zgoda jest potrzebna nawet jeśli, kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji. Z powyższego wnika, że przepisy wprowadzone w uśude są bardziej rygorystyczne niż te wprowadzone przez RODO. Aby spełnić obowiązki nałożone przez uśdude, w przypadku dokonywania profilowania użytkowników strony internetowej rekomenduje się wyświetlenie komunikatu z możliwością wyrażenia zgody/braku zgody na wykorzystywanie danych osobowych do profilowania użytkowników.
Kancelaria TURCZA specjalizuje się w tematach compliance, w tym w zakresie szeroko pojętej ochrony danych osobowych. Masz pytania? Zachęcamy do kontaktu.
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.