Już od dłuższego czasu toczy się dyskusja, czy na używanie plików cookies na stronie internetowej niezbędna jest zgoda (a także, w jaki sposób ją uzyskać?), czy też wystarczy tylko poinformowanie użytkownika o ich używaniu i wskazanie na możliwość zmiany preferencji w ustawieniach przeglądarki.

Funkcjonowanie strony internetowej w oparciu o pliki cookies jest dla właściciela strony, serwisu czy sklepu internetowego niezbędne do skutecznego prowadzenia działalności on-line.

Jeśli nigdy nie zastanawiałeś się, czemu służą pliki cookies, pokrótce postaram się poniżej wyjaśnić kilka najważniejszych kwestii technicznych, ważnych z mojego punktu widzenia jako prawnika.

Czy aby na pewno chodzi tylko o pliki cookies?

Prawo telekomunikacyjne mówi nam bowiem o informacji przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego. Pliki cookies nie są jedynymi przechowywanymi informacjami, mogą to być bowiem takie narzędzia jak na przykład web storage (pliki DOM storage), których używa się już chyba częściej niż standardowych plików cookies (tak przynajmniej twierdzą zaprzyjaźnieni informatycy😉).

Nie zagłębiając się w szczegóły techniczne, będziemy używać nazwy pliki cookies, gdyż jest ona powszechnie używana. Bardziej jednak zgodne z rzeczywistością byłoby używanie nazwy „informacja przechowywana w telekomunikacyjnym urządzeniu końcowym”, co jednak może wywoływać pewne utrudnienia.

Jednym zdaniem można powiedzieć, że w plikach cookies zamieszczane są pewne informacje, które są wymieniane pomiędzy konkretną stroną internetową, a przeglądarką na podstawie adresu IP. Dzięki tym mechanizmom strona potrafi zapamiętać co ostatnio oglądaliśmy, jak długo to trwało i jak często pojawiamy się na danej stronie. Pliki cookies pozwalają też na dodawanie produktów do koszyka, gdy robimy zakupy w sklepie internetowym. Dzięki nim dopasowywane są do nas reklamy i inne treści. Odpowiadają też za zapamiętywanie ustawionych przez nas haseł.

Wyróżniamy kilka rodzajów cookies, z tym że najważniejszy z mojego punktu widzenia to podział na własne, czyli te które pochodzą z odwiedzanej przez Ciebie strony internetowej oraz zewnętrzne, pochodzące z witryny zewnętrznej. Najczęściej używanymi plikami cookies zewnętrznymi są cookies Google Analytics, które wykorzystują pliki do analiz stron internetowych, gdyż gromadzą informacje o sposobie korzystania przez internautów z analizowanej strony, czy też związane z wykorzystaniem rodzaju wtyczek do portali społecznościowych takich jak Facebook, Instagram, Twitter.

Ważne są także tzw. cookies niezbędne, które umożliwiają korzystanie z usług dostępnych na danej stronie internetowej, nie zawierają danych osobowych i usuwane są z chwilą zamknięcia przeglądarki.

 

Pliki cookies a dane osobowe

Dzięki niezbędnym plikom cookies przeszliśmy płynnie do zagadnień związanych z ochroną danych osobowych.

Na początek należy podkreślić z całą stanowczością, że cookies ≠ dane osobowe.

Kilkukrotnie spotykałam się z takim twierdzeniem rozmawiając z Klientami, którzy twierdzili: „a no tak, musimy zrobić tą Politykę, bo cookies to dane osobowe”.

Nie możemy tutaj stawiać znaku równości. Jest to duży skrót myślowy. Kiedyś ktoś posłużył się przykładem, że cookies to takie same dane osobowe jak szafa czy dysk twardy. Mam nadzieję, że powyższy przykład bardzo dobrze zobrazuje Ci fakt, że pliki cookies mogą zawierać dane osobowe (służyć do ich przechowywania), ale też danych osobowych zawierać nie muszą. Nie dochodziłoby tym samym na tej podstawie do przetwarzania danych osobowych.

 

Jak jest z tą zgodą na używanie plików cookies?

Po raz pierwszy kwestia uzyskania zgody na pliki cookies pojawiła się w dyrektywie 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej), gdzie zmieniono sposób wyrażania zgody na przechowywanie plików cookies i zastąpiono dotychczasową możliwość wyrażenia sprzeciwu obowiązkiem uzyskania uprzedniej zgody.

Zmianę tę odzwierciedlono w art. 173 Prawa Telekomunikacyjnego i wprowadzono zmianę regulującą możliwość wyrażenia zgody na przechowywanie lub uzyskiwanie dostępu do plików cookies przez abonenta lub użytkownika końcowego za pomocą ustawień oprogramowania zainstalowanego w urządzeniu końcowym lub konfiguracji usługi.

Jeśli więc nie wyrażasz drogi użytkowniku zgody na używanie cookies, samodzielnie zmień sobie ustawienia strony.

Wygodne?

Tak – przecież nikt nawet nie czyta wyskakujących okienek przy wejściu na stronę. Zamykam okienko i nic więcej mnie nie obchodzi.

Czy jest to prawidłowa zgoda w rozumieniu przepisów o ochronie danych osobowych?

Można mieć wątpliwości i od początku wejścia w życie tych przepisów, wątpliwości się pojawiały. Przeciętny użytkownik Internetu nie ma bowiem wiedzy w tym zakresie i często, wystarczających umiejętności.

Zgoda zaś powinna być według RODO dobrowolna, konkretna, świadoma i jednoznaczna.

Jednakże wyrażenie zgody przez ustawienia przeglądarki przewiduje Prawo Telekomunikacyjne i nawet po wejściu RODO niewiele się w tym zakresie zmieniło. Czasem dochodziło do pewnych rozróżnień, inaczej traktowano cookies zawierające dane osobowe, inaczej zaś te, za pomocą których dane osobowe przetwarzane nie były.

Powszechne było więc wyłącznie poinformowanie, że cookies są używane, w jakim celu, a także udostępniano link do strony z polityką cookies, gdzie zainteresowane osoby znajdą odpowiednie informacje. Czasem pojawiały się zgody w postaci przycisków „akceptuj”.

 

1 października 2019 roku Trybunał Sprawiedliwości Unii Europejskiej ogłosił wyrok w sprawie sposobu uzyskiwania zgody na instalowanie plików cookies (sprawa dotycząca niemieckiej spółki Planet49 GmbH, sygnatura sprawy: C-673/17).

Sprawa dotyczyła loterii organizowanej przez powyższą spółkę. Żeby wziąć udział w loterii, użytkownik musiał zgodzić się albo na kontakt z różnymi firmami w celach reklamowych, albo na instalację plików cookies. Pierwsza zgoda była do zaznaczenia samodzielnie. Druga, gdzie mieliśmy pliki cookies, była zaznaczona domyślnie, czyli biorąc udział w loterii użytkownik automatycznie zgadzał się na instalację plików cookies. Pliki wykorzystywane przez Planet 49 zawierały numer przypisany do danych rejestracyjnych użytkownika, który w formularzu uczestnictwa podawał swoje imię i nazwisko oraz adres. A więc dochodziło do przetwarzania danych osobowych.

Z powyższego wyroku TSUE wynika kilka następujących wniosków:

♦ zgoda na przechowywanie i dostęp do informacji zbieranych przez cookies nie jest ważna, jeśli została udzielona przez domyślnie zaznaczone okienko wyboru (od razu w checkboxie mamy kliknięty „ptaszek” w miejscu, gdzie występuje zgodna na cookies); tutaj może nie ma zbyt wielkiej rewolucji, bo dzięki RODO zaczęliśmy zwracać uwagę, aby domyślnie zaznaczone zgody się nie pojawiały, choć – nawet dzisiaj – odwiedziłam stronę z zaznaczonym „ptaszkiem” przy cookies,

♦ wymóg wyrażenia przez użytkownika odpowiedniej zgody nie zależy od tego, czy za pomocą cookies przetwarzamy dane osobowe, czy też przechowywane bądź udostępniane informacje nie stanowią danych osobowych,

♦ użytkownik strony internetowej powinien otrzymać informację na temat dostępu osób trzecich do tych plików i okresu ich funkcjonowania.

Po publikacji tego orzeczenia pojawiły się głosy, że w Polsce nie ma potrzeby wyrażania odrębnych zgód na instalowanie plików cookies, gdyż cały czas obowiązuje u nas przepis, że  za zgodę uważa się domyślne ustawienia przeglądarki. Tyle, że po wyroku TSUE właściciele serwisów internetowych muszą przeanalizować, czy informują swoich użytkowników, np. o tym, komu przekazują dane i jak długo działają ciasteczka. Ewentualnie zaś, kiedy cookies zbierają dane osobowe, można zastanowić się nad zgodą w rozumieniu RODO w formie zaznaczenia odpowiedniego okienka.

Czy aby na pewno należy zgodzić się z takimi wnioskami? W mojej ocenie pojawia się tutaj pewna sprzeczność, bo albo zakładamy, że zgoda w postaci ustawień przeglądarki jest zgodna z przepisami dotyczącymi ochrony danych osobowych, albo zaś tych wymogów nie spełnia.

Orzecznictwo europejskie coraz bardziej idzie w tym kierunku, iż cookie, który zawiera identyfikator, do którego przypisywana jest historia przeglądanych stron i innych interakcji traktuje się jakby miał cechy danych osobowych, czemu dano wyraz w wyroku w sprawie C-673/17.

Można nawet iść dalej i powiedzieć, że nie ma innej możliwości niż wyrażenie zgody na cookies przez wyrażenie zgody w postaci jednoznacznego i konkretnego działania. Nie może być to zgoda bierna.

Nie ma więc znaczenia, czy cookies zawierają dane osobowe, czy też nie (poza cookies niezbędnymi do korzystania ze strony).

Sama więc informacja o możliwości dokonania zmian w ustawieniach przeglądarki w przeważającej ilości przypadków nie będzie wystarczająca.

Jak powinna zatem wyglądać prawidłowa zgoda na używanie plików cookies?

Zgoda powinna być wyrażona przez zaznaczenie odpowiedniego okna, bądź naciśnięcie przycisku. Nie musi figurować tam stwierdzenie „wyrażam zgodę”, może to być np. „akceptuję” albo też często pojawiające się: „rozumiem i akceptuję”.

Dotyczy to plików innych niż te niezbędne do korzystania ze strony. Niezbędne pliki cookie nie są przechowywane w trwały sposób na komputerze lub innym urządzeniu użytkownika i są usuwane z chwilą zamknięcia przeglądarki jak np. wspomniane już użycie koszyka przy zakupach.

Możesz się tutaj zdecydować na coraz częściej pojawiające się rozwiązanie, iż zaproponujesz użytkownikowi strony na jakie pliki cookies wyraża zgodę, na jakie zaś nie (będzie mógł wybrać odpowiednią możliwość w pojawiającym się okienku dotyczącym cookies). Jest to rozwiązanie, które zasługuje na aprobatę. Może też być krótka informacja  z odniesieniem do Polityki Prywatności, ale też z przyciskiem np. akceptuję.

Przykład:

Strona wykorzystuje pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (Google Analytics)  oraz wtyczek społecznościowych (Facebook). Informacje na ten temat znajdują się w Polityce Prywatności.  Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij „Rozumiem i akceptuję”.

Nieprawidłowe więc jest informowanie o plikach cookies na podstawie wyłącznie pokazującego się paska z informacją, w sytuacji kiedy korzystamy z innych cookies niż niezbędne. Jako przykład mogę podać odwiedzany dzisiaj przeze mnie portal gov.pl. Z Polityki Prywatności znajdującej się na tej stronie wynika, że portal ten wykorzystuje pliki cookies na potrzeby Google Analytics, które wykorzystuje się do śledzenia ruchu na stronie. Brakuje więc prawidłowo udzielonej zgody.

Na koniec jeszcze jedna istotna wskazówka – zgoda powinna zostać udzielona wtedy, kiedy nie dojdzie jeszcze do użycia plików cookies. Nie może być tak, że pliki cookies zostaną zainstalowane, a następnie pojawia się zapytanie odnośnie plików cookies.