Bezpłatna konsultacja
RODO wymaga od firm informowania o celu i sposobie przetwarzania danych osobowych, a osoba, której dane dotyczą, musi wyrazić na to zgodę. Co do zasady, zgoda na stosowanie plików cookies również podlega regulacjom RODO. W przypadku niektórych cookies, zwłaszcza tych niezbędnych do funkcjonowania strony internetowej, samo poinformowanie użytkownika może być wystarczające. Jednak w przypadku cookies służących do celów reklamowych, analitycznych czy personalizacji, RODO wymaga uzyskania wyraźnej zgody od użytkownika. Oznacza to, że nie wystarczy samo poinformowanie o użyciu cookies, ale konieczne jest aktywne wyrażenie zgody przez użytkownika na ich stosowanie.
Zobacz również Pliki cookies - zmiany w 2024 roku!
spis treści:
Ciasteczka cookies to małe pliki tekstowe, składające się z ciągów liter i cyfr, zapisywane na urządzeniu użytkownika podczas przeglądania stron internetowych. Służą one do przechowywania informacji, które strona internetowa może wykorzystać przy kolejnych wizytach. Istnieją dwa główne typy ciasteczek: sesyjne, które są tymczasowe i pozostają na urządzeniu do momentu zakończenia sesji przeglądania, oraz stałe, które pozostają na urządzeniu przez okres określony w ustawieniach pliku cookie lub do ich ręcznego usunięcia.
Ciasteczka mają różnorodne zastosowania, między innymi:
Większość przeglądarek internetowych domyślnie akceptuje ciasteczka, ale użytkownicy mogą w każdej chwili zmienić ustawienia, aby ograniczyć lub zablokować ciasteczka. Blokada ciasteczek może jednak wpłynąć na funkcjonalność niektórych stron, powodując na przykład konieczność ręcznego wprowadzania loginów, haseł czy innych preferencji przy każdej wizycie na stronie.
RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych) wymaga, aby firmy informowały użytkowników o celu i sposobie przetwarzania ich danych osobowych, wymagając przy tym ich zgody. Ciasteczka cookies, będące małymi plikami tekstowymi zapisywanymi na urządzeniu użytkownika, często zawierają kluczowe informacje, takie jak nazwa strony internetowej, okres przechowywania i unikalny numer. Istnieją dwa główne typy ciasteczek: sesyjne, które są zapisywane tylko na czas trwania sesji przeglądarki, oraz stałe, pozostające na urządzeniu aż do ich wygaśnięcia lub usunięcia przez użytkownika.
Ciasteczka mogą służyć różnym celom, w tym zapamiętywaniu haseł i ustawień, ułatwianiu wypełniania formularzy, analizowaniu aktywności użytkownika na stronie, czy zbieraniu danych statystycznych. Chociaż przeglądarki zazwyczaj domyślnie akceptują ciasteczka, użytkownicy mają możliwość ich blokowania lub zmiany ustawień. Blokada ciasteczek może jednak wpływać na funkcjonalność strony, np. konieczność ponownego wprowadzania danych.
W kontekście RODO, ciasteczka mogą być traktowane jako dane osobowe w przypadkach, gdy pozwalają na identyfikację konkretnej osoby, np. przez adres IP. Jeśli adres IP lub inne informacje zawarte w ciasteczkach mogą być powiązane z innymi danymi identyfikującymi osobę, wówczas traktuje się je jako dane osobowe, wymagające ochrony według RODO. Adresy IP mogą być uznane za dane osobowe, szczególnie w przypadku adresów stałych, które pozwalają na identyfikację użytkownika. RODO nakłada obowiązek poinformowania użytkowników o przetwarzaniu takich danych oraz uzyskania ich zgody, chyba że istnieją wyjątki pozwalające na przetwarzanie bez uzyskania zgody. W przypadku ciasteczek, które nie identyfikują konkretnej osoby, zgoda może nie być wymagana, ale wciąż ważne jest poinformowanie użytkowników o ich wykorzystaniu.
Zobacz również DSA - akt o usługach cyfrowych - zmiany dla małych przedsiębiorców w 2024
Zgoda na pliki cookies jest regulowana głównie przez ustawę Prawo telekomunikacyjne oraz unijną dyrektywę dotyczącą łączności (e-privacy). Te przepisy obowiązują w Polsce od kilku lat. Zgodnie z tymi aktami prawnymi, administratorzy stron internetowych muszą uzyskać zgodę na stosowanie i przechowywanie plików cookies w urządzeniach użytkowników.
Pod pojęciem zgody rozumie się wyraźne i świadome wyrażenie woli. W praktyce oznacza to, że zgoda jest rezultatem świadomego działania. Nie jest konieczne zbieranie oświadczeń czy zaznaczanie checkboxów (małych kwadratowych pól). Wystarczy, jeśli użytkownik podejmuje świadomy gest potwierdzający, np. wpisując swój adres e-mail w odpowiednie pole lub kontynuując przeglądanie strony po przeczytaniu informacji dotyczących plików cookies.
W skrócie, zgoda na pliki cookies może być wyrażona poprzez ustawienia przeglądarki lub zmianę jej konfiguracji. Założenie jest takie, że jeśli użytkownik po przeczytaniu informacji o plikach cookies nadal korzysta z witryny, to wyraził świadomy gest i udzielił zgody na pliki cookies (tzw. zgoda poprzez świadomy gest). W przeciwnym przypadku opuściłby stronę lub zmienił ustawienia przeglądarki (wyłączając lub blokując pliki cookies).
Zgodnie z dyrektywą o łączności oraz polską ustawą Prawo telekomunikacyjne istnieją wyjątki, w których zgoda na pliki cookies nie jest obligatoryjna. Zgodnie z przepisami, zgoda nie jest konieczna, jeśli plik cookie jest:
W związku z tym zgoda na pliki cookies nie jest wymagana, jeśli pliki te służą jednemu z powyższych celów. Przykłady takich zastosowań obejmują realizację zamówień w e-sklepie lub zapamiętanie preferowanego języka przez użytkownika.
W skrócie, Grupa Robocza 29, zajmująca się ochroną danych osobowych, twierdzi, że komunikat i zgoda na pliki cookies nie są konieczne, jeśli spełniony jest co najmniej jeden z poniższych warunków:
Dodatkowo, niektórzy eksperci uważają, że jeśli pliki cookies służą jedynie analizie i reklamie, przetwarzanie danych osobowych może być uzasadnione prawnie usprawiedliwionym celem administratora, co nie wymaga uzyskania zgody.
Zgoda na pliki cookies po wprowadzeniu RODO wywołuje różnice zdań. Część ekspertów utrzymuje, że taka zgoda jest niezbędna i powinna przybrać formę jasnych i świadomych wyrażeń woli, na przykład poprzez zaznaczenie odpowiedniego pola lub kliknięcie przycisku potwierdzającego, czyli wykonanie konkretnej akcji.
Z drugiej strony, inni eksperci podkreślają, że RODO nie wprowadza nowych wymagań dotyczących zgody na pliki cookies. Argumentują to artykułem 95 rozporządzenia, który stwierdza, że RODO nie nakłada dodatkowych obowiązków w obszarach już uregulowanych przez dyrektywę o łączności, a więc także w kwestii cookies. Z tego wynika, że jeśli dyrektywa o łączności nie wymaga zbierania oświadczeń z wyrażeniem zgody na cookies, to RODO również tego nie wymaga. Wystarczające jest jedynie transparentne informowanie o stosowanych plikach cookie.
Kolejnym argumentem jest artykuł 11 RODO, który zaznacza, że jeśli cele przetwarzania danych osobowych przez administratora nie wymagają identyfikacji konkretnej osoby, to nie jest konieczne uzyskiwanie zgody na takie przetwarzanie.
Dodatkowo, eksperci wskazują na brak bezpośredniej zależności między tematem RODO a zastosowaniem plików cookies. RODO koncentruje się na ochronie danych osobowych, czyli informacji pozwalających zidentyfikować konkretną osobę, podczas gdy pliki cookies służą głównie do analizy danych statystycznych, nie identyfikując jednostkowych osób. Stąd wniosek, że RODO nie obejmuje cookies.
IAB Polska, organizacja zrzeszająca pracodawców branży internetowej, opracowała wytyczne dotyczące informowania użytkowników o używaniu cookies na stronach internetowych. Zaleca się umieszczenie komunikatu na wszystkich stronach witryny, nie tylko na głównej. Komunikat powinien być przedstawiony w formie stałego okna, belki czy paska, który w skróconej formie – w kilku zdaniach – informuje o stosowaniu cookies.
Przykładowy tekst takiego komunikatu brzmi: „Na naszej witrynie stosujemy pliki cookies, aby zapewnić najwyższą jakość usług dostosowanych do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień cookies oznacza ich zapisywanie na Twoim urządzeniu końcowym. Możesz w każdej chwili zmienić ustawienia cookies. Więcej informacji znajdziesz w naszej „Polityce Cookies”/„Polityce Prywatności”.
Dodatkowo zaleca się umieszczenie linku do „Polityki Prywatności” lub specjalnej „Polityki Cookies”, gdzie użytkownik otrzyma bardziej szczegółowe informacje oraz możliwość dokonania wyboru w zakresie zgody na różne kategorie cookies. W „Polityce Cookies” powinny znaleźć się informacje o:
Zobacz również:
Obserwując trendy europejskie, zauważa się rosnące znaczenie uzyskiwania zgody od użytkowników na korzystanie z plików cookies, które nie powinny być automatycznie wczytywane.
W wielu krajach europejskich naruszenie przepisów dotyczących zarządzania plikami cookies spotyka się z sankcjami. W przeciwieństwie do tego, na większości polskich stron internetowych pliki cookies automatycznie się ładowane.
W Polsce taka sytuacja wynika z obowiązującego przepisu zawartego w ustawie Prawo telekomunikacyjne. Zgodnie z tą regulacją, zgoda na pliki cookies może być uzyskana poprzez ustawienia przeglądarki użytkownika. W praktyce oznacza to, że gdy użytkownik odwiedza stronę internetową, a jego przeglądarka nie blokuje plików cookies, zakłada się, że wyraził na nie zgodę, co jest akceptowane przez polskie prawo.
Warto jednak zauważyć, że Prezes Urzędu Ochrony Danych Osobowych nie wydał oficjalnego stanowiska dotyczącego plików cookies, a także nie nałożono żadnych kar związanych z ich stosowaniem. Niemniej jednak, europejskie przepisy w tym zakresie różnią się, i patrząc na ogólny kierunek zmian, można przypuszczać, że ewentualne dostosowanie do tych regulacji stanie się tylko kwestią czasu w Polsce.
Agencja digital Hauerpower sp z o.o.
31-408 Kraków, Al. 29 Listopada 85
NIP 945-225-31-35
Copyrights 2010-2023
