Ciasteczkowy zawrót głowy
Pliki cookies wykorzystywane są dzisiaj niemal na każdej stronie internetowej. Informacje o użytkowniku danego sprzętu pozwalają dostosować usługi do konkretnej osoby, zebrać informacje statystyczne i analityczne o działaniu serwisu, ale także poznać zachowania odwiedzających/kupujących, które później wyznaczają kierunki kampanii reklamowych.
Pliki cookies to technologia zbierająca dane o użytkownikach, a ich użycie jest regulowane przepisami prawa. Na chwilę obecną ramy prawne wyznacza głównie unijna dyrektywa e-Privacy[1], dlatego też w poszczególnych krajach członkowskich można odnaleźć różne regulacje ustawowe. Dodatkowo europejskie organy ochrony danych, organy nadzorujące działalność podmiotów w zakresie komunikacji elektronicznej oraz sądy wydawały decyzje i wyroki zawierające liczne wytyczne w zakresie ich stosowania.
Polski ustawodawca uregulował zasadę korzystania z plików cookies jednym przepisem (art. 173 prawa telekomunikacyjnego), którego treść (powielana zresztą w nowym projekcie Prawa Komunikacji Elektronicznej) wprowadza pewne zamieszanie, idąc wbrew tendencjom europejskim. Co więcej, urzędy nadzorcze (PUODO i UOKIK) niespecjalnie wykazują zainteresowanie tą tematyką, przez co w regulacjach polskich istnieje pewien chaos sprawiający problemy w praktyce.
Mierząc się z potrzebą uporządkowania tej materii warto wyłuskać z różnych źródeł informacje niezbędne dla codziennej biznesowej praktyki.
Pliki cookies – założenia wstępne
Na początek dwa ustalenia, które zostały rozstrzygnięte w dyskusji o plikach cookies:
1 – Pliki cookies przetwarzają dane osobowe – mimo pojawiających się wątpliwości interpretacyjnych czy dany zestaw informacji (np. adres IP, rodzaj przeglądarki, język domyślny i rodzaj urządzenia) należy traktować jako dane osobowe, na dzień dzisiejszy nie mamy w praktyce wątpliwości – zestaw zbieranych informacji oraz cel, w jakim są pozyskiwane sprawia, że należy traktować takie przetwarzanie, jako przetwarzanie danych osobowych.
2 – Regulacje dotyczące plików cookies stosuje się także do technologii podobnych – nie wszystkie technologie umożliwiające śledzenie zachowania osób w sieci lub zbieranie o nich określonych informacji są technicznie plikami cookies. Mimo to, organy publikujące wytyczne bardzo często wymieniają tzw. technologie podobne obok plików cookies wskazując, że zasady ich stosowania rozciągają się także na całą grupę technologii podobnych stosowanych w takich samych celach.
Pliki cookies (i technologie podobne) zgodnie z polskimi przepisami – niezbędne minimum
Jak już wspomniano, polska regulacja nie należy do najprostszych, przede wszystkim dlatego, że przy wymogu udzielenia uprzedniej zgody na stosowanie plików cookies jednocześnie wymaga spełnienia warunków zgody określonych w RODO (a więc musi być ona uprzednia, wyraźna, precyzyjna oraz dobrowolna), a z drugiej strony dopuszcza jej wyrażenie poprzez ustawienia urządzenia lub przeglądarki internetowej, które właściwie stanowi zaprzeczenie tych cech.
Mimo tej niekonsekwencji trzeba w końcu wdrożyć jakieś rozwiązania, żeby bez narażania się na odpowiedzialność móc bezpiecznie korzystać z plików cookies:
1. Spełnienie obowiązku informacyjnego – w miejscu, gdzie są stosowane pliki cookies (i technologie podobne) powinna być łatwo dostępna informacja o ich stosowaniu zawierająca:
-
- Informację o tym, kto jest administratorem danych osobowych zebranych za pomocą cookies oraz czy są one zbierane przez podmiot prowadzący stronę (tzw. cookies własne) czy też przez partnerów (tzw. cookies stron trzecich np. portali społecznościowych),
- jakie rodzaje cookies i w jakim celu są stosowane (np. cookies funkcjonalne zapamiętujące ustawienia przeglądarki użytkownika takie jak rozdzielczość, czcionka i język w celu dostosowania wyglądu serwisu lub cookies analityczne zbierające informacje na temat zainteresowania określonymi treściami czy częstotliwości korzystania w celu poprawy jakości publikowanych treści),
- jakie informacje i dane są zbierane przez cookies (np. IP, model i rodzaj urządzenia, przybliżona lokalizacja, domyślny język),
- jak długo dane są przechowywane (np. na czas trwania sesji lub przez jeden rok),
- w jaki sposób zmienić ustawienia urządzenia/przeglądarki, aby włączyć lub wyłączyć możliwość wykorzystywania plików cookies oraz usunąć pliki już zainstalowane.
Zaleca się także, aby obowiązek informacyjny w wersji pełnej był umieszczony w odrębnym miejscu (np. polityce plików cookies) tak, aby odróżniał się od regulaminu serwisu lub polityki prywatności czy ochrony danych osobowych.
Informacja o wykorzystywaniu plików cookies powinna pojawić się od razu przy wejściu na stronę internetową lub zalogowaniu się do aplikacji np. w postaci wyskakującego okienka (tzw. cookie banner), który powinien zawierać co najmniej skrócone informacje dotyczące:
– administratora danych
– rodzaju używanych cookies
– kategorii zbieranych danych
– celu używania plików cookies
– możliwości zmiany ustawień lub wyrażenia zgody
– odniesienia do “pełnej” informacji o stosowaniu plików cookies
Przykład: Na stronie korzystamy z plików cookies, które zbierają informacje na temat twojego urządzenia oraz zachowania w naszym serwisie, w celu dostosowania jego wyglądu i publikowanych w nim treści. Możesz wyłączyć możliwość stosowania cookies klikając przycisk “nie wyrażam zgody” lub zmieniając ustawienia swojego urządzenia/przeglądarki. Więcej informacji znajdziesz w naszej Polityce Plików Cookies.
2. Zgoda na wykorzystywanie plików cookies – drugim elementem niezbędnym do zgodnego z prawem korzystania z plików cookies jest uzyskanie uprzedniej zgody od użytkownika urządzenia końcowego (komputera, tabletu, telefonu). W praktyce tutaj pojawią się największe problemy z polską regulacją. Podczas gdy europejskie organy regulacyjne w swoich decyzjach i wytycznych przyjmują restrykcyjne podejście do uzyskiwania zgody (m. in. wymagają precyzyjnego wyodrębnienia zgód na poszczególne rodzaje plików cookies czy też zakazują przyjmowania domyślnej zgody) tak polska regulacja dopuszczająca wyrażenie zgody przez ustawienia urządzenia lub przeglądarki ignoruje tą debatę, zgadzając się właściwie na przyjęcie domyślnej zgody na wykorzystywanie cookies i technologii podobnych (przeglądarki i urządzenia co do zasady przyjmują możliwość wykorzystywania technologii śledzących, chyba, że zostaną one ręcznie wyłączone przez użytkownika). Warto podkreślić, że wspomniane rozwiązanie przewidziane wprost w art. 173 ust. 2 pt jest w dyskusji europejskiej wskazywane jako przykład praktyki niespełniającej wymogów RODO.
W tym stanie rzeczy można wyodrębnić dwa poglądy:
- Można argumentować, że na gruncie polskim do zainstalowania plików cookies na urządzeniu użytkownika nie jest wymagane zebranie oddzielnej, wyraźnie wyrażonej zgody (np. poprzez kliknięcie przycisku “wyrażam zgodę” lub zaznaczenie odpowiedniej opcji do wyboru), a wystarczy spełnienie obowiązku informacyjnego i wskazanie możliwości zmiany ustawień urządzenia i przeglądarki. Takie rozwiązanie jest przyjmowane także szeroko w praktyce.
- Jest to w istocie uznanie prymatu zgody udzielonej za pomocą ustawień (art. 173 ust. 2 pt) nad spełnieniem wymagań z RODO (art. 174 pt).
- Z drugiej strony uprawniony jest pogląd, że zgoda powinna spełniać wszelkie wymagania RODO w zakresie jej udzielenia, a więc w szczególności powinna być udzielona przed zainstalowaniem plików, poprzez wyraźne, dające się wyodrębnić działanie podjęte po uzyskaniu jasnej i pełnej informacji na temat administratora danych, rodzaju plików cookies, celów przetwarzania i odbiorców, w sposób umożliwiający swobodny wybór.
- Pogląd opiera się na przekonaniu, że zgoda udzielona przez ustawienia przeglądarki lub aplikacji może być uznana za prawidłową tylko w sytuacji, gdy takie ustawienia przeglądarki/aplikacji spełniają wymogi zgody przewidziane przez RODO, a ponieważ chyba żadna z wiodących przeglądarek czy popularnych aplikacji nie spełnia tych wymogów, to w praktyce zebranie prawidłowej zgody z art. 173 ust. 2 pt jest niemal niemożliwe.
Jeden IOD powie tak, inny powie nie
Jak widać polski ustawodawca nie ułatwia wypracowania właściwych rozwiązań dopuszczając do sytuacji poważnych wątpliwości regulacyjnych, co z kolei przekłada się na funkcjonowanie na rynku całej gamy różnych zachowań, z których każde jest do obrony biorąc pod uwagę treść przepisów. Nie pomaga również fakt, że ustawodawca nie skorzystał z możliwości rozstrzygnięcia tych wątpliwości w nowym projekcie Prawa Komunikacji Elektronicznej kopiując przepis bez zmian do art. 361 ust. 2 projektu ustawy.
W mojej opinii warto jest podążyć drogą europejskiej dyskusji i wdrażać zalecenia wymagające spełnienia wszystkich wymogów do uznania, że użytkownik wyraził zgodę na stosowanie wobec niego plików lub technologii podobnych. Z kilku powodów:
- Wynika to przede wszystkim z faktu, że taka interpretacja jest zgodna z systemową rolą prawa ochrony danych i wpisuje się w cel istnienia tej regulacji, która ma zapewnić użytkownikom kontrolę nad ich danymi osobowymi, czego nie gwarantuje podejście dopuszczające udzielenie zgody przez przeglądarkę.
- Jest to rozwiązanie bezpieczniejsze regulacyjnie niż pozostawanie w sferze regulacyjnego chaosu, który nie daje żadnej gwarancji uniknięcia negatywnych konsekwencji na skutek kontroli.
- Wszystko wskazuje na to, że stan ciasteczkowego, nadwiślańskiego chaosu zmierza ku końcowi za sprawą rozporządzenia e-Privacy, które może w perspektywie najbliższych lat ujednolicić regulację stosowania plików cookies na poziomie całej UE, dając prymat wymogowi uzyskania zgody spełniającej wymogi RODO.
[1] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)