Pliki cookies, popularnie określane jako ciasteczka to nieodłączny element każdej strony internetowej. Czym właściwie są? Mówiąc najprościej, to pliki tekstowe, które podczas odwiedzania Twojej strony, są zapisywane na Twoim urządzeniu. Pliki te mogą być następnie odczytane przez witrynę, np. przy kolejnym wejściu. W tych plikach przechowywane są różne informacje dotyczące zalogowania w serwisie, stanu koszyka w sklepie internetowym, personalizacji serwisu internetowego itd. Zakres przechowywanych informacji jest bardzo szeroki i często niezbędny, aby usprawnić działanie swojej witryny, a nawet całej firmy.
Dane statystyczne z plików cookies wykorzystywane są też do działań marketingowych, reklamowych, do analizy grupy docelowej i usprawniania poszczególnych procesów. Te duże możliwości i duża moc, z którą jednak wiąże się też z duża odpowiedzialność. Wraz szerszym wykorzystaniem plików cookies, pojawiają się też zagrożenia dla prywatności, zwłaszcza gdy weźmiemy pod uwagę, że ciasteczka mogą przechowywać dane osobowe. Jak odpowiednio zorganizować cookies na stronie, aby były zgodne z wytycznymi RODO? W jakich przypadkach będzie niezbędna zgoda na cookies? Na te i inne pytania odpowiemy w dzisiejszym wpisie, zapraszamy!
Ciasteczka, a RODO
Przepisy RODO są dość konkretne, ale w pewnych aspektach nie precyzują szczegółów, na przykład technologii jaką możemy i powinniśmy wykorzystywać chroniąc dane. Dobrze sprawdza się tu ogólna zasada, w myśl której, zawsze gdy dana technologia dotyczy przetwarzania danych osobowych, konieczne jest uwzględnienie RODO. A czy w takim razie cookies zawierają dane osobowe? Jak uwzględnić i w jakim zakresie przepisy o ochronie danych osobowych?
Tak jak wspomnieliśmy we wstępie, ciasteczka to technologia, która zawiera informacje o użytkownikach. To pliki, które same w sobie nie są danymi osobowymi, niemniej jednak mogą je zawierać. Zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na komputerze użytkownika oraz unikalny numer. Co do zasady rozróżnia się dwa rodzaje ciasteczek:
- sesyjne” (session cookies) – to pliki tymczasowe, które przechowywane są w komputerze użytkownika do czasu wylogowania, opuszczenia strony internetowej lub zamknięcia przeglądarki,
- stałe” (persistent cookies) – to pliki przechowywane są w komputerze użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.
Pliki cookies mogą być wykorzystywane w różny sposób i w różnym zakresie. Na przykład do zapamiętywania haseł i loginów, zapamiętywania danych z formularzy, analizy aktywności użytkownika na stronie (czas, sposób korzystania, ustawienia itd.), jak również do opracowywania danych statystycznych. Z reguły nie zawierają danych osobowych użytkowników. Danych osobowych, czyli informacji, które pozwoliłyby na identyfikacje konkretnej osoby. Czasem do takiej identyfikacji wystarczy jedna informacja, ale najczęściej potrzebna jest większa ilość szczegółów. Daną osobową może być również adres IP, ale tylko wtedy, gdy z jego pomocą można wskazać konkretną osobę. Adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Jeśli zatem korzystacie z ciasteczek, ale nie jesteście w stanie łączyć określonego adresu IP z innymi danymi identyfikującymi osobę, nie będzie potrzeby stosowania przepisów RODO.
Grupa Robocza 29 (czyli eksperci w zakresie ochrony danych osobowych powołani jako ciało doradcze) w swej analizie mówi, że komunikat i zgoda na cookies nie jest wymagana, jeśli spełniony jest co najmniej jeden warunek:
- pliki cookies nie są wykorzystywane do dodatkowych celów, a jedynie do realizacji usługi,
- pliki cookies obejmują np. tzw. „user-input cookies” (wykorzystywane do śledzenia treści danych wprowadzanych przez użytkownika przy wypełnianiu formularzy online lub w przypadku kompletowania zamówienia w sklepie internetowym znane także jako „session-id cookies”; „multimedia player session cookies” oraz „user interface customization cookies” (np. „language preference cookies” w celu zapamiętania języka wybranego przez użytkownika),
- plik cookie jest konieczny do zaoferowania użytkownikowi (lub abonentowi) konkretnej funkcji: funkcja nie będzie dostępna przy wyłączonej obsłudze plików cookie, zaś użytkownik (lub abonent) wyraźnie zażądał tej funkcji, jako części usługi (społeczeństwa informacyjnego).
Jeśli ciasteczka mają służyć jedynie analityce i reklamie (co jest najczęstszą praktyką), to przetwarzanie danych osobowych można oprzeć na podstawie jaką jest prawnie usprawiedliwiony cel administratora co nie wymaga zgody na przetwarzanie.
Zgoda na ciasteczka
Tak jak wspomnieliśmy wyżej w większości przypadków zgoda na cookies nie będzie konieczna. Idzie to w zgodzie z artykułem 95 rozporządzenia, który mówi, że RODO nie nakłada dodatkowych obowiązków na zagadnienia uregulowane w dyrektywie o łączności (czyli tej odnoszącej się do cookies). Można zatem dojść do słusznego wniosku, że w jeśli dyrektywa o łączności nie wymaga zbierania oświadczeń ze zgodami w zakresie cookies, to RODO też tego nie wymaga. Wystarczające jest dopilnowanie obowiązku informacyjnego o stosowanych ciasteczkach.
Co warto wziąć jeszcze pod uwagę? Artykuł 11 RODO. Wskazuje on, że jeśli cele, w których administrator przetwarza dane osobowe, nie wymagają zidentyfikowania osoby, to wtedy na takie przetwarzanie nie trzeba uzyskiwać zgód. A co jeśli administrator, lub IOD w firmie stwierdzi, że zgoda jest jednak potrzebna. Nawet jeśli nie konieczna, to warto w ten sposób się zabezpieczyć. Jak taka zgoda na cookies powinna wyglądać? Na to pytanie odpowiada rzecznik prasowy UODO:
“W związku ze sposobem implementacji w prawie telekomunikacyjnym art. 5 ust. 3 dyrektywy 2002/58/WE zmienionej dyrektywą 2009/136/WE (art. 2 pkt 5) istnieją wątpliwości prawne, czy zgoda, o której mowa w art. 173 ustawy – Prawo telekomunikacyjne jest zgodą właściwą w rozumieniu RODO. Zagadnienie to jest obecnie przedmiotem bardziej szczegółowej analizy GIODO.
Jak widzicie, z jednej strony kwestia ciasteczek i RODO nie wydaje się skomplikowana na pierwszy rzut oka. Jednak wchodząc w szczegóły można dostrzec kilka wątpliwych aspektów. Wiele zależy od indywidualnej sytuacji i sposobu korzystania z plików cookies. Dlatego polecamy kontakt z naszymi specjalistami, przeprowadzenie audytu RODO i skorzystania z dedykowanego wsparcia w kwestii ochrony danych osobowych w firmie. Kary za niestosowanie lub błędne stosowanie RODO są duże i najzwyczajniej w świcie – nie warto ryzykować.
Porozmawiajmy o szczegółach!