Słów kilka o tym, jak być powinno

Informacja o wykorzystywaniu cookies winna się znaleźć na stronie internetowej, jeżeli zbiera ona przykładowo statystyki ruchu na stronie dla programu Google Analytics bądź Gemius, a zwłaszcza, jeśli wyświetla reklamy w oparciu o informacje zawarte w ciasteczkach – zatem w przypadkach wykorzystywania danych do różnego typu działań marketingowych i statystycznych.

Zgoda na pliki cookies wyrażona przed ich włączeniem na stronie internetowej

Należy podkreślić, iż użytkownik powinien wyrazić zgodę na korzystanie z cookies przed ich faktycznym wykorzystaniem, zatem tuż po wejściu na stronę www należy wyświetlić użytkownikowi komunikat i jeśli zostanie wyrażona zgoda na używanie cookies, można się nimi posłużyć.

Jak powinna być skonstruowana informacja o plikach cookies

Specjalny zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zwany Grupą Roboczą art. 29 wystosował wytyczne dotyczące sposobu korzystania z cookies. Rekomenduje się aby informacja o cookies była umieszczana na stronie, na której użytkownik rozpoczyna sesję korzystania z usługi (strona startowa). Można w tym celu zastosować ekran powitalny wyświetlany na otwieranej stronie, banner, okno dialogowe, wyraźnie wyróżniające się od pozostałej treści strony startowej. Informacja podstawowa może być wyświetlana w sposób trwały, przez pewien czas umożliwiający zapoznanie się z tekstem albo do pierwszej czynności użytkownika podjętej po wyświetleniu informacji. Początkowa, ogólna informacja o stosowaniu cookies powinna odsyłać użytkownika do specjalnego adresu, dostępnego w łatwy sposób (np. poprzez hiperłącze), pod którym dostępna jest pełna informacja o cookies. Informacja pełna powinna obejmować cel poszczególnych rodzajów cookies, wskazywać ich dysponenta, w szczególności podmioty inne niż dostawca usługi (cookies stron trzecich). Informacja powinna określać także okres przechowywania oraz typowe stany cookies (typical values). Informacja może zawierać także inne dane techniczne istotne dla wypełnienia obowiązku przekazania pełnej informacji użytkownikowi. Informacja powinna wskazywać jak użytkownik może zaakceptować wszystkie lub poszczególne rodzaje cookies albo odmówić takiej zgody, a także w jaki sposób może zmienić swoją decyzję w przyszłości.

Okres przetwarzania cookies do jednego roku

Okres przetwarzania cookies jest szczególnie istotny w przypadku cookies służących do prowadzenia działalności reklamowej, profilowania użytkowników i podobnych działań stron trzecich. Grupa Robocza proponuje, aby okres zgody na takie działania nie przekraczał jednego roku.

Cookies – zgoda zamiast braku sprzeciwu

W art. 5 ust. 3 dyrektywy 2002/58/WE zmieniono sposób wyrażania zgody (z tzw. opcji opt-out na opcję opt-in), a zatem zastąpiono dotychczasową możliwość wyrażenia sprzeciwu obowiązkiem uzyskania uprzedniej zgody. Co więcej, 1 października 2019 roku Trybunał Stanu Unii Europejskiej wydał wyrok zgodnie z którym zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. Ponadto zostało wskazane, że internauta powinien wiedzieć, jak długo pliki cookies będą działać. TSUE uznał po pierwsze, że wymagana od użytkownika witryny internetowej zgoda na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. To oznacza, że nie może być tak, że zaznaczenie trzeba usunąć, aby odmówić udzielenia zgody. I nie ma przy tym znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe. Prawo unijne ma bowiem chronić użytkowników przed każdą ingerencją w ich prywatność, a w szczególności przed ryzykiem wprowadzenia do ich urządzeń bez ich wiedzy ukrytych identyfikatorów lub innych podobnych narzędzi.

Nie tylko RODO

Należy także wspomnieć, w jaki sposób pozyskiwanie danych użytkowników stron internetowych zostało uregulowane w ustawie o świadczeniu usług drogą elektroniczną. Zgodnie z ostatnio przeprowadzoną nowelizacją przepisów, świadczący usługi on-line może przetwarzać́ nazwisko i imiona, numer ewidencyjny PESEL, adres zameldowania oraz do korespondencji, adresy elektroniczne.

Monitorowanie zachowań i preferencji użytkowników z wykorzystaniem plików cookies

Ponadto może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowania i preferencje usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną czyli tzw. profilowanie. Profilowanie polega na „tworzeniu” czy „uzupełnianiu” danych „nowymi” informacjami, np. o zainteresowaniach. Zwykle ich zakres jest szerszy niż niezbędny do świadczenia samej usługi. Ponadto cel bywa też inny niż świadczenie usługi, np. statystyki,  poprawa usługi, czy analiza zachowania użytkowników. Na tej podstawie mogą powstawać raporty o preferencjach użytkowników, ale też być dopasowywane reklamy. RODO w art. 21 dotyczącym prawa do sprzeciwu pośrednio przyznaje, że takie profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Art. 22 RODO precyzuje, że zgoda jest konieczna, jeśli profilowanie prowadzi do automatycznego podjęcia decyzji, np. udzielania kredytu, sprzedaży polisy.

Przepisy bardziej rygorystyczne niż RODO

Nowy art. 18 ust. 4 uśude z kolei wprowadza, że zgoda jest potrzebna nawet jeśli, kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji. Z powyższego wnika, że przepisy wprowadzone w uśude są bardziej rygorystyczne niż te wprowadzone przez RODO. Aby spełnić obowiązki nałożone przez uśdude, w przypadku dokonywania profilowania użytkowników strony internetowej rekomenduje się wyświetlenie komunikatu z możliwością wyrażenia zgody/braku zgody na  wykorzystywanie danych osobowych do profilowania użytkowników.

Kancelaria TURCZA specjalizuje się w tematach compliance, w tym w zakresie szeroko pojętej ochrony danych osobowych. Masz pytania? Zachęcamy do kontaktu.