iSecure logo
Blog

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp

Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne.

Cookiewalls

Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, był zobligowany do wyrażenia zgody na wszelkie cookie, które znajdują się na stronie. Niewyrażenie takiej globalnej zgody blokuje dostęp do takiej strony. Dostęp do strony można uzyskać wyłącznie wtedy, gdy dokona się akceptacji takiego banneru.

Kryteria oceny zaproponowane przez CNIL

Pierwsze pytanie, nad którym pochyla się CNIL, dotyczy kwestii uzyskania alternatywy dostępu do treści dla użytkownika końcowego, który nie wyraził zgody na korzystanie z trackerów, by uzyskać dostęp do treści za cookiewall. CNIL zaznacza, iż użytkownik końcowy, który odmawia użycia znaczników na stronie internetowej (na przykład poprzez kliknięcie przycisku „odrzuć wszystko”), zaleca, by właściciele stron dawali możliwość innego alternatywnego dostępu do strony, co nie oznacza obowiązku wyrażenia zgody przez użytkowników końcowych na wykorzystywanie ich danych.

Drugą poruszaną kwestią jest cena, a konkretnie jej wysokości w przypadku, gdy właściciel strony wybrał alternatywny dostęp do strony jako obowiązek uiszczenia płatności. Według CNIL uzależnianie dostępu do treści znajdujących się na stronie od wyrażenia zgody na trackery wnoszące wynagrodzenie za usługę lub wpłaty pewnej sumy pieniężnej nie jest co do zasady zabronione. Należy to rozumieć jako alternatywę dla zgody na trackery. Ta pieniężna rekompensata nie może jednak pozbawiać internautów realnego wyboru. Należy pamiętać, żeby cena była rozsądna.

Pojawia się pytanie, co należy rozumieć pod pojęciem rozsądna cena? Tutaj także można liczyć na pomoc CNIL. Komisja sama nie może ustalić progu, który można uznać za rozsądny, lecz stwierdza, że obowiązek wykazania faktu o rozsądności ceny leży po stronie właściciela strony. CNIL idąc dalej w swoich rozważaniach zaznacza, iż jest możliwość wdrożenia na stronie paywalla, lecz należy pamiętać, by umieć uzasadnić ustalenie rozsądnej stawki. CNIL zachęca, by takie analizy co do rozsądności stawki były ogólnodostępne, co pozwoli zachować transparentność w tym zakresie.

CNIL zwraca również uwagę, żeby właściciele stron www podczas dokonywania oceny mającej na celu ustalenie rozsądnej kwoty uwzględniali również rodzaj usługi, jaką mają zamiar udostępnić. Nie należy zakładać, że jedynym właściwym rozwiązaniem będzie forma płatnej subskrypcji strony, aby uzyskać do niej dostęp bez trackerów. Można tutaj rozważyć korzystanie z wirtualnych portmonetek umożliwiających dokonywanie mikropłatności za okazjonalny dostęp do określonej treści lub usługi w sposób płynny i bez konieczności rejestrowania przez internautę danych swojej karty bankowej u właściciela strony www.

W sytuacji, gdy właściciel strony jednak zdecyduje się na wymóg zakładania kont użytkowników, to powinien liczyć się z tym, by umieć wykazać, że taki obowiązek jest uzasadniony w stosunku do zamierzonego celu. CNIL dodatkowo podkreśla, że właściciel strony musi przestrzegać pewnych zasad, w szczególności o:

  • informowaniu użytkowników końcowych o wykorzystywaniu ich danych;
  • ograniczeniu zbierania wyłącznie danych niezbędnych do realizacji zamierzonych celów;
  • poinformowaniu użytkownika końcowego, że jeśli chce ponownie wykorzystać dane zebrane podczas tworzenia konta do innych celów, to musi w szczególności zapewnić, że uprzednio i wyraźnie poinformował internautę oraz uzyskać, w razie potrzeby, zgodę internautów na te nowe cele.

Stosowanie cookiewall i paywall, a globalna zgoda

Według CNIL ogólnie brak możliwości zaakceptowania lub odrzucenia trackerów zgodnie z ich celem może mieć wpływ na wolność wyboru użytkownika, a tym samym na ważność jego zgody.

Jeśli nie jest zabronione uzależnianie dostępu do strony od zgody na jeden lub więcej celów śledzenia, właściciel strony musi wykazać, że jego cookiewall ogranicza się wyłącznie do celów, które pozwalają na godziwe wynagrodzenie za oferowaną usługę. Na przykład, jeśli wydawca uzna, że wynagrodzenie za jego usługę zależy od dochodów, jakie mógłby uzyskać z reklamy behawioralnej, tylko zgoda w tym celu powinna być konieczna, aby uzyskać dostęp do usługi: odmowa zgody na inne cele (personalizacja treści redakcyjnych, itp.) nie powinny wówczas uniemożliwiać dostępu do zawartości serwisu. Wydawca musi wyraźnie poinformować internautów o celach, dla których konieczne jest – lub nie – wyrażenie zgody na dostęp do usługi.

CNIL zwraca uwagę, że nie można zapomnieć, że reklama behawioralna i personalizacja treści redakcyjnych to dwa różne cele, które należy rozróżnić, i które należy określić podczas warunkowania dostępu do usług, czy też treści.

Płatny dostęp do treści, a trackery

CNIL omawia również sytuację, gdy użytkownik końcowy wybiera płatny dostęp do usługi/ treści bez zgody na pliki cookie. Właściciel strony może w ograniczonych przypadkach nadal wykorzystywać trackery. Co do zasady żaden znacznik wymagający zgody użytkownika końcowego nie powinien być załadowany, gdy ten odmawia załadowania znaczników i wybiera alternatywę proponowaną przez właściciela strony, a konkretnie płatność za dostęp. Właściciel strony powinien w takiej sytuacji stosować jedynie trackery, które są niezbędne do działania usługi/ serwisu. Należy jednak pamiętać, że w indywidualnych przypadkach właściciel strony ma prawo zażądać zgody użytkownika końcowego na umieszczenie trackerów, gdy te ostatnie są wymagane do uzyskania dostępu do treści hostowanych w witrynie innej firmy (na przykład w celu obejrzenia wideo hostowanego przez witrynę strony trzeciej), która wymaga użycia pliku cookie, który nie jest bezwzględnie konieczny, lub usługi żądanej przez użytkownika (na przykład w celu zapewnienia dostępu do przycisków udostępniania w sieciach społecznościowych).

Zgoda użytkownika końcowego może być zbierana np. w ramach dedykowanego okna wyświetlanego, gdy internauta chce aktywować treści, i w którym musi mieć czytelną informację:

  • że aktywacja treści zewnętrznych lub użycie przycisków udostępniania wymaga zgody na deponowanie znaczników poprzez określenie celu(-ów) użytych znaczników oraz link do polityki prywatności, od strony zewnętrznej dostawcy treści;
  • o możliwości łatwego wycofania zgody w dowolnym momencie;
  • o konsekwencjach odmowy lub cofnięcia zgody na deponowanie znaczników, w tym brak możliwości dostępu do treści zewnętrznych.

W każdym przypadku internauta musi mieć zawsze możliwość samodzielnego przejścia do ustawień serwisu, aby wyrazić zgodę na określone zastosowania (np. personalizację treści redakcyjnych).

Podsumowanie

Należy pamiętać, iż to tylko propozycja CNIL i nie można jej porównywać do aktów prawnych czy też wyroków Trybunału Sprawiedliwości Unii Europejskiej. Jak jednak można zauważyć, stanowisko CNIL staje się bardziej elastyczne oraz nie zabrania kategorycznie stosowania cookiewall, czy też paywall. Nie można jednak wdrażać tego typu rozwiązań bez żadnych uwarunkowań, które zostały omówione w niniejszym wpisie.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dzień z życia IOD-y – fabularyzowany opis obsługi incydentu – wszelkie podobieństwa do osób/klientów/niepotrzebne skreślić przypadkowe ;-)

I znowu mamy poniedziałek. W dodatku poniedziałek po długim weekendzie. Bajka…. Już z samego rana wszystkim IOD towarzyszy myśl, czy będzie to bajka, w której będzie nam towarzyszyć armia dobrych wróżek oraz krasnoludków (wiadomo – im większy zespół, tym więcej rąk do pracy), czy raczej zjawi się zła królowa, chcąca wcisnąć nam zatrute jabłko. Najważniejsze […]

Bezpieczne zbieranie leadów: jak stworzyć formularz kontaktowy zgodny z RODO w branży deweloperskiej?

Załóżmy taki scenariusz: tworzysz stronę internetową nowej inwestycji. Pomiędzy układem, grafiką, danych o lokalach, pojawia się też temat formularza kontaktowego. Jak go zaprojektować, żeby był zgodny z RODO? Cele przetwarzania Jak nie wiadomo, od czego zacząć, to najlepiej zacząć od początku. A więc – czemu ma w ogóle służyć Twój formularz kontaktowy? Oczywiście ma on […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Jak stworzyć stronę internetową zgodną z RODO? Część 1 – regulaminy.

Zajmując się doradztwem z zakresu ochrony danych osobowych na pewno weryfikowaliście klauzule informacyjne, opiniowaliście umowy powierzenia czy wykonywaliście audyt funkcjonującej strony internetowej. Co jednak możemy zrobić, gdy takiej strony nie ma, a dopiero powstaje? Mam nadzieję, że poniższy artykuł pozwoli uporządkować zawartość dokumentów, w których przedsiębiorca powinien zamieścić odpowiednie obowiązki informacyjne, nakazane przepisami prawa.   […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki