Korzystasz z Google Analytics? Masz na stronie podpięty piksel Facebooka? A może udostępniasz na swojej stronie przestrzeń reklamową w ramach przynależności do jakiejś sieci typu Google AdSense? To tylko kilka przykładów, gdy twoja strona internetowa wykorzystuje pliki cookies by śledzić użytkowników.
Podpięcie kodu śledzącego to kwestia kilku chwil. Ba, administrator strony często może nawet nie zdawać sobie sprawy, że stosowane przez niego narzędzia, choćby niewinny czat, mogą wykorzystywać pliki cookies w dalej idących celach niż tylko zapewnienie prawidłowego funkcjonowania skryptu.
Od samego podpięcia kodu śledzącego dużo trudniejsze jest ogarnięcie kwestii prawnych. Szczególnie, że od rozpoczęcia stosowania RODO dyskusje na temat prawidłowego wdrożenia mechanizmów zarządzania plikami cookies zdają się nie mieć końca, a propozycji rozwiązań jest wiele.
W dzisiejszym materiale przedstawię ci kilka różnych podejść do problemów prawnych dotyczących plików cookies i zasugeruję rozwiązanie, które w mojej ocenie jest najlepszym kompromisem pozwalającym zachować zgodność z prawem bez zaśmiecania strony internetowej i ubijania biznesu.
Spis treści
Wersja audio – podcast
Oprócz artykułu, mam dzisiaj dla ciebie również 24 odcinek podcastu. Znajdziesz tam coś innego niż tylko samą zawartość tego artykułu, ponieważ oddzielnie piszę i oddzielnie nagrywam.
Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.
Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.
Można powiedzieć, że ten artykuł dotyczy monitorowania wirtualnego. Jeżeli chciałbyś dowiedzieć się więcej o monitorowaniu i śledzeniu bardziej tradycyjnym, bo z wykorzystaniem kamer, zachęcam do lektury tego materiału: Monitoring wizyjny zgodny z RODO – jak to zrobić?. Nieodpłatnym dodatkiem do artykułu jest wzór dokumentu z obowiązkiem informacyjnym.
Zgoda na cookies – podstawa
Obecnie obowiązujące prawo (artykuł dotyczy stanu prawnego na dzień 22.01.2019 r.) przewiduje konieczność uzyskania zgody na wykorzystywanie plików cookies. Wynika to z art. 173 ust. 1 prawa telekomunikacyjnego.
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Jak widzisz, jeszcze zanim zaczęliśmy dyskusję o RODO, już doszliśmy do wniosku, że na korzystanie z plików cookies potrzebujesz zgody użytkownika. Tak naprawdę, RODO w kontekście ciasteczek jest często na drugim planie, mimo wielu głośnych krzyków, że to właśnie RODO każe nam gimnastykować się z cookiesami.
Obowiązek posiadania zgody na cookies istniał jeszcze przed RODO i to nie tylko w prawie polskim, ale również w prawie europejskim. Regulacja w prawie telekomunikacyjnym jest bowiem wynikiem implementacji dyrektywy o prywatności i łączności elektronicznej.
Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. […]
Nie ma ucieczki od zgody na cookies
Zatem wiesz już, że na wykorzystywanie plików cookies potrzebujesz zgody użytkownika. Konieczność uzyskania zgody wynika z art. 173 prawa telekomunikacyjnego, który stanowi implementację dyrektywy europejskiej.
W dyskusjach na temat ciasteczek coraz częściej pojawiają się wzmianki o rozporządzeniu e-Privacy. To rozporządzenie unijne, które miało wejść w życie razem z RODO, ale sztuka ta się nie udała.
Prace nad tym rozporządzeniem cały czas trwają, a przy okazji tych prac pojawiają się różne stanowiska dotyczące zgody na cookies. Jedni uważają, że zgoda taka powinna być możliwa do wyrażenia z wykorzystaniem ustawień przeglądarki, inni, że użytkownik powinien mieć możliwość wyrażenia zgody z poziomu każdej strony osobno.
W projekcie rozporządzenia, plikom cookies poświęcony jest art. 8 oraz art. 9.
1. Korzystanie z możliwości urządzenia końcowego do przetwarzania i przechowywania oraz gromadzenie informacji z urządzenia końcowego użytkowników końcowych, w tym informacji o oprogramowaniu i sprzęcie, inne niż dokonywane przez użytkownika końcowego, którego dotyczą, jest zakazane, z wyjątkiem wystąpienia następujących podstaw:
a) jest to konieczne jedynie w celu dokonania transmisji komunikatu elektronicznego za pośrednictwem sieci łączności elektronicznej; lub
b) użytkownik końcowy wyraził na to zgodę; lub
c) jest to konieczne do świadczenia usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego; lub;
d) jeżeli jest to konieczne w celu pomiaru odbiorców w sieci web, pod warunkiem, że pomiar taki jest wykonywany przez dostawcę usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego.
Art. 9 projektu rozporządzenia e-Privacy
1. Zastosowanie mają definicja i warunki zgody przewidziane w art. 4 ust. 11 i art. 7 rozporządzenia (UE) 2016/679/UE.
Podkreślam, że rozporządzenie cały czas jest procesowane, więc nie stanowi ono jeszcze obowiązującego prawa. Na ten moment (artykuł pisany na dzień 22.01.2019 r.) obowiązującymi aktami prawnymi, które interesują nas w kontekście plików cookies są:
- Prawo telekomunikacyjne,
- RODO.
Omówiłem dotąd prawo telekomunikacyjne, ale dla jasności powtórzę raz jeszcze – art. 173 uzależnia możliwość korzystania z plików cookies od zgody użytkownika.
Zgoda nie byłaby wprawdzie potrzebna na cookies niezbędne do samego świadczenia usługi drogą elektroniczną, ale ten wątek celowo pomijam, ponieważ problem z ciasteczkami dotyczy głównie plików cookies podmiotów trzecich, a w takiej sytuacji bez zgody się nie obejdzie.
Jak odebrać zgodę na cookies?
Ustaliliśmy już, że konieczna jest zgoda na wykorzystywanie plików cookies śledzących. Teraz pojawia się pytanie, w jaki sposób taką zgodę odebrać?
Zacznę od tego, że wszelkiego rodzaju paski i okienka z pytaniem o zgodę na cookies najczęściej są fikcją. Nie ważne co klikniesz, i tak pliki cookies są ładowane. Ba, one ładowane są najczęściej jeszcze zanim cokolwiek klikniesz, z automatu.
Gdy doradzam swoim klientom w tym temacie, to podstawowym zaleceniem jest wprowadzenie mechanizmu rzeczywistej, a nie fikcyjnej zgody. Czyli zróbmy tak, by pliki cookies nie były ładowane domyślnie, ale dopiero, gdy ktoś wyrazi zgodę.
Słyszę wtedy najczęściej, że to niemożliwe. Że nie ma technicznej możliwości, by to zrobić. Tymczasem programista, z którym współpracuję w zakresie cookies, przygotował rozwiązanie, które pozwala na zablokowanie cookies do czasu wyrażenia zgody przez użytkownika. Można? Można. Trzeba tylko chcieć.
No właśnie, tak naprawdę nie chodzi o techniczne możliwości, ale chęci. A brak chęci najczęściej wynika z tego, że na plikach cookies się zarabia. Na pewno zarabiają na nich duże serwisy. Gdy wejdziesz tam w ustawienia cookies, zobaczysz kilkanaście, jeżeli nie kilkadziesiąt czy wręcz kilkaset podmiotów, które wykorzystują pliki cookies do celów reklamowych. Tak, tak, pliki cookies to często po prostu biznes.
Drugi argument, który jest mi przedstawiany przeciwko zapewnieniu użytkownikowi realnej kontroli nad cookies jest taki, że jeżeli damy komuś możliwość wyrażenia zgody, to on takiej zgody nie wyrazi, a w konsekwencji nie będziemy mieli np. możliwości korzystania z targetowanej reklamy.
Mechanizm do zarządzania plikami cookies
Jasne, jest to pewien problem, ale tutaj właśnie ujawnia się rola dobrze skrojonego mechanizmu do zarządzania plikami cookies.
Uważam, że jesteśmy w stanie zaprojektować takie rozwiązanie, które pozwoli nam wypełnić obowiązki prawne związane z cookies, a jednocześnie nie ubić naszego biznesu.
Ja rozwiązania widzę dwa:
- wyskakujący pop-up,
- pasek na dole lub górze strony.
Pop-up ma tę zaletę, że trudno go zignorować, bo nie pozwala w ogóle korzystać ze strony. Na pewno jest jednak bardziej uciążliwy dla użytkownika.
Pasek natomiast jest mniej inwazyjny, ale istnieje większe ryzyko, że ktoś go zignoruje, nie wyrazi zgody i żadne cookies nie zostaną załadowane.
Ja osobiście zdecydowałem się na pasek. Jeżeli już wcześniej akceptowałeś cookies u mnie i teraz nie widzisz paska, to możesz wyczyścić ciasteczka albo odpalić stronę w trybie incognito, by podejrzeć jak to wygląda.
Rozwiązanie, które przyjąłem można opisać w taki sposób:
- pliki cookies są domyślnie zablokowane,
- użytkownikowi wyświetla się pasek z informacją o cookies i pytaniem o zgodę,
- użytkownik może wyrazić zgodę na wszystkie cookies albo przejść do ustawień,
- zbiorcza zgoda wymaga kliknięcia w przycisk „Rozumiem i akceptuję”,
- w ramach ustawień, użytkownik może wyłączyć określone pliki cookies,
- pliki cookies ładowane są dopiero po wyrażeniu zgody,
- brak zgody powoduje, że np. nie są ładowane wtyczki społecznościowe, system komentarzy, odtwarzacz podcastów i inne funkcje, które wykorzystują ciasteczka.
Uważam, że takie rozwiązanie jest prawidłowe i akceptowalne. Oczywiście znajdą się prawnicy, którzy powiedzą, że na każdy rodzaj cookies użytkownik powinien udzielać zgodę oddzielnie, ale w mojej ocenie jest to absurd.
Wdrożenie takiego rozwiązania sprawiłoby, że użytkownik na wstępie byłby bombardowany pop-upem z tysiącem opcji. Uważam, że zgoda może być zbiorcza na wszystko z zapewnieniem użytkownikowi możliwości edytowania szczegółowych ustawień.
Zgoda na cookies przez ustawienia przeglądarki
Wiesz już, że istnieje techniczna możliwość wdrożenia rozwiązania do zarządzania plikami cookies. Nadal możesz mieć jednak wątpliwości czy taki skrypt rzeczywiście jest ci potrzebny. Wątpliwości te potęgują obecne na wielu stronach informacje o cookies utrzymane w tym tonie:
Korzystając ze strony z włączoną w przeglądarce obsługą plików cookies, wyrażasz tym samym zgodę na wykorzystywanie plików cookies zgodnie z naszą polityką prywatności.
Tego rodzaju informacje sugerują, że zgoda wyrażana jest poprzez odpowiednie ustawienia plików cookies z poziomu przeglądarki internetowej.
Faktycznie, w art. 173 ust. 2 prawa telekomunikacyjnego znajdziesz informację o tym, że zgoda może być wyrażona za pomocą ustawień przeglądarki.
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
Taki sposób wyrażenia zgody znalazł się również w projekcie rozporządzenia e-Privacy. Niemniej jednak, prawnicy są podzieleni odnośnie możliwości posługiwania się taką zgodą. Dyskusje na ten temat trwają już sporo, ale nasiliły się od czasu RODO, choć, tak jak wspomniałem, RODO często nie będzie miało związku z plikami cookies
W mojej ocenie dopuszczenie zgody przez ustawienia przeglądarki nie jest rozwiązaniem optymalnym. Dlaczego? Dlatego, że takie ustawienia robimy globalnie w stosunku do wszystkich witryn, a potem o nich zapominamy.
Ograniczanie się do ustawień przeglądarki sprawia, że zgoda staje się tak naprawdę iluzoryczna. Coś tam kliknę raz i koniec. No a przecież nie o to chodzi. Cel jest taki, by użytkownik otrzymywał wyczerpującą informację odnośnie stosowanych w ramach danej witryny plików cookies i mógł podjąć decyzję, na co w obrębie tej konkretnej witryny się godzi, a na co nie.
Jeżeli decydujemy się w UE na ochronę prywatności użytkownika i zapewniamy mu prawo do swobodnej decyzji, to warto podążać za tą myślą i dawać mu realne możliwości ustawiania cookies, a nie wyłącznie iluzoryczne.
W związku z tym, osobiście rekomenduję swoim klientom nie poprzestawanie na komunikacie o cookies, ale również wdrażanie narzędzia do zarządzania plikami cookies.
Przejrzyste i wyczerpujące informacje
Sama zgoda na wykorzystywanie plików cookies to jeszcze nie wszystko. Żeby użytkownik mógł się zgodzić, najpierw musi wiedzieć, na co się godzi. Ponadto, powinien mieć dostęp do wyczerpujących i zrozumiałych dla niego informacji odnośnie szczegółów wykorzystywania plików cookies.
Generalnie, komunikację z użytkownikiem można podzielić na dwie warstwy:
- informacje wstępne,
- informacje szczegółowe.
Informacje wstępne to te, które użytkownik widzi jako pierwsze, jeszcze zanim wyrazi zgodę. Nie muszą być one bardzo szczegółowe, ale muszą dawać użytkownikowi wiedzę pozwalającą podjąć świadomą decyzję. Poniżej przykład prawidłowych informacji wstępnych, które można zamieścić np. w ramach paska.
Strona wykorzystuje pliki cookies w celu prawidłowego jej działania, korzystania z narzędzi analitycznych (Google Analytics), marketingowych (Facebook Custom Audiences), wtyczek społecznościowych (Facebook, LinkedIN, Twitter), systemu komentarzy (Disqus), odtwarzacza wideo (YouTube) oraz odtwarzacza podcastów (SoundCloud). Szczegóły znajdziesz w polityce prywatności. Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij w przycisk „Rozumiem i akceptuję”. Jeżeli chcesz edytować ustawienia plików cookies, kliknij w przycisk „Ustawienia”.
Jak widzisz, ta informacja jest na tyle szczegółowa, że użytkownik może już na typ etapie dowiedzieć się, do czego będą wykorzystywane pliki cookies. Inna sprawa, czy w ogóle taką informację przeczyta, ale ty jesteś chroniony, że stworzyłeś mu taką możliwość.
Druga warstwa to informacje szczegółowe. Te informacje powinny znaleźć się w polityce prywatności, czyli dokumencie opisującym zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w ramach strony internetowej.
Nie ma jednego złotego sposobu na stworzenie polityki prywatności ani żadnego jedynego, słusznego wzoru. Politykę prywatności możesz napisać całkowicie po swojemu, byle dostarczała ona użytkownikowi wyczerpujących i zrozumiałych informacji.
Poniżej przykład jednego z postanowień z szablonu polityki prywatności mojego autorstwa.
Korzystam z narzędzia Google Analytics zapewnianego przez Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Działania w tym zakresie realizuję, opierając się na moim uzasadnionym interesie, polegającym na tworzeniu statystyk i ich analizie w celu optymalizacji mojej strony internetowej.
Google Analytics w sposób automatyczny gromadzi informacje o Twoim korzystaniu z mojej strony. Zgromadzone w ten sposób informacje są najczęściej przekazywane do serwera Google w Stanach Zjednoczonych i tam przechowywane.
Podkreślam, że w ramach Google Analytics nie gromadzę jakichkolwiek danych, które pozwalałaby na Twoją identyfikację. W związku z tym, dane gromadzone w ramach Google Analytics nie mają charakteru danych osobowych. Informacje, do jakich mam dostęp w ramach Google Analytics to, w szczególności:
- informacje o systemie operacyjnym i przeglądarce internetowej, z której korzystasz,
- podstrony, jakie przeglądasz w ramach mojego sklepu,
- czas spędzony w moim sklepie oraz na jego podstronach,
- przejścia pomiędzy poszczególnymi podstronami w ramach mojego sklepu,
- źródło, z którego przechodzisz do mojego sklepu.
Ponadto, korzystam w ramach Google Analytics z następujących Funkcji Reklamowych:
- raporty demograficzne i zainteresowań,
- remarketing,
- funkcje raportowania o reklamach, user-ID.
W ramach Funkcji Reklamowych również nie gromadzę danych osobowych. Informacje, do jakich mam dostęp, to, w szczególności:
- przedział wieku, w którym się znajdujesz,
- Twoja płeć,
- Twoja przybliżona lokalizacja ograniczona do miejscowości,
- Twoje zainteresowania określone na podstawie aktywności w sieci.
W celu korzystania z Google Analytics, zaimplementowałem w kodzie mojej strony specjalny kod śledzący Google Analytics. Kod śledzący wykorzystuje pliki cookies firmy Google LLC dotyczące usługi Google Analytics. W każdej chwili możesz również zablokować kod śledzący Google Analytics, instalując dodatek do przeglądarki udostępniany przez Google: https://tools.google.com/dlpage/gaoptout.
Usługi Google Analytics i Google Analytics 360 uzyskały certyfikat niezależnego standardu bezpieczeństwa ISO 27001. ISO 27001 jest jednym z najczęściej uznawanych standardów na świecie i poświadcza spełnianie odpowiednich wymogów przez systemy obsługujące Google Analytics i Google Analytics 360.
Jeżeli jesteś zainteresowany szczegółami związanymi z przetwarzaniem danych w ramach Google Analytics, zachęcam do zapoznania się z wyjaśnieniami przygotowanymi przez Google: https://support.google.com/analytics/answer/6004245.
Szablon polityki prywatności możesz kupić w moim sklepie.
Identyfikacja plików cookies
Wiesz już, że na wykorzystywanie plików cookies potrzebujesz zgody, a ponadto musisz dostarczyć użytkownikowi wyczerpujących informacji związanych z wykorzystywaniem ciasteczek, co sprowadza się do stworzenia odpowiedniej treści informacji o cookies oraz polityki prywatności.
Kluczowe pytanie brzmi, w jaki sposób zidentyfikować pliki cookies, które funkcjonują w ramach twojej strony? To tak naprawdę pytanie nie do mnie, lecz do opiekuna technicznego strony, ale podzielę się z tobą swoimi doświadczeniami w tym zakresie.
Jeżeli chodzi o identyfikację plików cookies, sposobów jest co najmniej kilka:
- audyt cookies wykonany przez specjalistę,
- skorzystanie z wtyczek do przeglądarek pozwalających sprawdzić cookies,
- analiza polityk prywatności wykorzystywanych narzędzi,
- weryfikacja załadowanych ciasteczek w module programu antywirusowego.
Ja osobiście mam największe zaufanie do specjalistów, ponieważ w przypadku pozostałych metod trzeba polegać na swojej wiedzy. Dobrze sprawdza się u mnie również moduł programu antywirusowego. Korzystam z Kaspersky Security, który jako dodatek do przeglądarki pozwala również przeglądać logi załadowanych cookies.
Swoim klientom rekomenduję zawsze audyt cookies i odsyłam do Racy Mind. Jeżeli klient z jakiś względów nie chce korzystać z audytu, proszę go o wypełnienie specjalnego kwestionariusza diagnostycznego przygotowanego w oparciu o moje dotychczasowe doświadczenia, który ułatwia mu diagnozę ciasteczek na własną rękę.
Pamiętaj, że nawet jeżeli korzystasz z usług prawnika przy przygotowywaniu polityki prywatności, to i tak musisz mu dostarczyć informacji na temat wykorzystywanych plików cookies, by mógł to odpowiednio opisać.
Generalnie, właściwa identyfikacja plików cookies jest kluczowa. Uwierz, że niekiedy nawet możesz nie mieć świadomości, co hula w ramach twojej strony.
Czy rzeczywiście trzeba się przejmować?
Często spotykam się ze stwierdzeniem, że tymi plikami cookies to wcale nie trzeba się przejmować, bo przecież i tak to wszystko jest niemożliwe do skontrolowania, a nawet najwięksi gracze na rynku internetowym podchodzą do tematu z lekceważeniem.
Cóż, gdy chodzi o lekceważenie, to rzeczywiście – rzadko kiedy spotykam się z prawidłowym wdrożeniem prawnym plików cookies. Jeżeli już ktoś się tym zajmuje, to najczęściej są to działania pozorowane, typu fikcyjne pytanie o zgodę, podczas gdy pliki cookies zostały załadowane od razu. Więksi gracze natomiast próbują w ramach swoich komunikatów skrzętnie ukryć prawdziwe, komercyjne cele ciasteczek.
Efekt jest taki, że użytkownicy nawet nie czytają tych wszystkich informacji, zakładając, że i tak nie mają na to wpływu. W ten sposób osiągamy efekt błędnego koła.
Osobiście uważam, że transparentność w działaniach internetowych będzie rosnącą wartością. Szum medialny wokół RODO sprawił, że kwestie prywatności wyszły z podziemia do mainstreamu, a świadomość użytkowników znacznie wzrosła. W związku z tym, w mojej ocenie rzetelne informowanie o cookies jest przejawem profesjonalizmu i może być postrzegane w kategoriach przewagi konkurencyjnej.
Nie zapominajmy również o tym, że do tej pory prawo w tym zakresie po prostu nie było egzekwowane. To się może jednak zmienić. Przy okazji spraw związanych z RODO żywo dyskutowane są również kwestie dotyczące plików cookies, więc możemy spodziewać się, że również te zagadnienia będą brane na warsztat.
Przypomnę tylko, że już na gruncie polskiego prawa telekomunikacyjnego Prezes Urzędu Komunikacji Elektronicznej (UKE) może nałożyć karę pieniężną na przedsiębiorcę, który nie wywiązuje się z obowiązków dotyczących cookies. No i dodam, że np. we Francji Google zostało ukarane za naruszenia związane z profilowaniem reklam.
Pliki cookies a RODO
Napisałem wcześniej, że temat plików cookies często wcale nie będzie związany z RODO, mimo, że to właśnie od czasu RODO ciasteczka stały się przedmiotem ożywionej dyskusji.
Dlaczego temat plików cookies nie musi być związany z RODO? Chodzi o definicję danych osobowych.
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Żeby uznać określone informacje za dane osobowe muszą one pozwalać na bezpośrednią lub pośrednią identyfikację danej osoby.
Czy informacje zbierane w plikach cookies na taką identyfikację pozwalają? Sprawdźmy np. do jakich danych o użytkowniku mamy dostęp w ramach Google Analytics:
- informacje o systemie operacyjnym i przeglądarce internetowej,
- podstrony przeglądane w ramach serwisu,
- czas spędzony w serwisie oraz na jego podstronach,
- przejścia pomiędzy poszczególnymi podstronami w ramach serwisu,
- źródło, z którego użytkownik przechodzi do serwisu,
- przedział wieku,
- płeć,
- przybliżona lokalizacja ograniczona do miejscowości.
Czy na podstawie takich informacji jesteśmy w stanie zidentyfikować tożsamość użytkownika? Nie, nie jesteśmy. Chyba, że zestawimy je z innymi danymi, jakie posiadamy i w ten sposób identyfikacja będzie już możliwa. No ale nie o tym mowa.
To samo dotyczy innych narzędzi, jak np. Facebook Custom Audiences. Gdy podpinasz na swojej stronie Pixel Facebooka, nie daje ci to dostępu do danych osobowych użytkownika, a jedynie pewne informacje możliwe do skierowania reklamy.
Owszem, możesz w ramach działań marketingowych na Facebooku stargetować reklamę dość wąsko, np. do określonych grup zainteresowań, ale nadal nie znasz tożsamości osób, do których reklamę kierujesz. Wiesz jedynie w jakim przedziale wieku się znajdują, w jakiej lokalizacji mniej więcej mieszkają, czym się interesują itp.
Właśnie dlatego w mojej ocenie pliki cookies nie wiążą się z danymi osobowymi
Podkreślam jednak w tym miejscu, że jest to wyłącznie moja opinia. Są też i takie argumentacje, że z uwagi na szczególny charakter gromadzonych informacji w ramach plików cookies należy je objąć ochroną taką jak dla danych osobowych.
Ma to pewien sens, biorąc pod uwagę, że w ramach profilu użytkownika mogą pojawić się choćby takie informacje jak stan zdrowia, nawyki żywieniowe, przekonania polityczne, religijne czy nawet życie seksualne.
Koniecznie zapoznaj się z raportem Fundacji Panoptykon, który uświadomi ci, jak wiele informacji na twój temat gromadzonych jest za pomocą Internetu. Raport dostępny jest pod tym linkiem.
Wprawdzie nadal takie informacje nie będą pozwalać na identyfikację konkretnej osoby, bo nie będą zestawiane z „twardymi” danymi osobowymi takimi jak imię i nazwisko, adres e-mail, adres zamieszkania itp., ale ich znaczenie z punktu widzenia prywatności rzeczywiście przemawia, by dawać użytkownikom realną kontrolę nad ich gromadzeniem przez podmioty trzecie.
No właśnie, w tym miejscu pojawia się kluczowy temat, czyli podmioty trzecie. W większości przypadków, realnym zagrożeniem dla użytkowników nie są działania samego administratora strony, korzystającego z jakiś narzędzi bazujących na cookies, ale to, co dostawcy tych narzędzi robią „na zapleczu”.
Weźmy choćby wtyczki społecznościowe. Dodajesz na stronie przyciski do udostępniania treści w social media, a tu nagle okazuje się, że dzięki tej wtyczce administratorzy serwisów społecznościowych dostają informacje, że użytkownik był na twojej stronie i informacja ta wykorzystywana jest do budowania profilu użytkownika, który potem zostanie zaproponowany potencjalnemu reklamodawcy jako profil, do którego można skierować reklamę.
Na mojej stronie internetowej używane są wtyczki i inne narzędzia społecznościowe udostępniane przez serwisy społecznościowe, takie jak Facebook.
Wyświetlając moją stronę internetową, zawierającą taką wtyczkę, Twoja przeglądarka nawiąże bezpośrednie połączenie z serwerami administratorów serwisów społecznościowych (usługodawców). Zawartość wtyczki jest przekazywana przez danego usługodawcę bezpośrednio do Twojej przeglądarki i integrowana ze stroną. Dzięki tej integracji usługodawcy otrzymują informację, że Twoja przeglądarka wyświetliła moją stronę, nawet jeśli nie posiadasz profilu u danego usługodawcy czy nie jesteś u niego akurat zalogowany. Taka informacja (wraz z Twoim adresem IP) jest przez Twoją przeglądarkę przesyłana bezpośrednio do serwera danego usługodawcy (niektóre serwery znajdują się w USA) i tam przechowywana.
Jeśli zalogowałeś się do jednego z serwisów społecznościowych, to usługodawca ten będzie mógł bezpośrednio przyporządkować wizytę na mojej stronie do Twojego profilu w danym serwisie społecznościowym.
Jeśli użyjesz danej wtyczki, np. kilkając w przycisk „Lubię to” lub „Udostępnij”, to odpowiednia informacja zostanie również przesłana bezpośrednio na serwer danego usługodawcy i tam zachowana.
Ponadto, informacje te zostaną opublikowane w danym serwisie społecznościowym i ukażą się osobom dodanym jako Twoje kontakty. Cel i zakres gromadzenia danych oraz ich dalszego przetwarzania i wykorzystania przez usługodawców, jak również możliwość kontaktu oraz Twoje prawa w tym zakresie i możliwość dokonania ustawień zapewniających ochronę Twojej prywatności zostały opisane w polityce prywatności poszczególnych usługodawców.
Jeśli nie chcesz, aby serwisy społecznościowe przyporządkowywały dane zebrane w trakcie odwiedzin na mojej stronie internetowej bezpośrednio Twojemu profilowi w danym serwisie, to przed wizytą na mojej stronie musisz się wylogować z tego serwisu. Możesz również całkowicie uniemożliwić załadowanie na stronie wtyczek stosując odpowiednie rozszerzenia dla Twojej przeglądarki, np. blokowanie skryptów.
Krótko mówiąc, ty możesz mieć najszczersze intencje, ale nie jesteś w stanie zapanować nad działaniami dużych graczy.
Jakie masz wyjście z tej sytuacji? Albo zaprzestać korzystania z narzędzi śledzących użytkownika, albo zrobić wszystko, by móc w razie potrzeby wykazać, że dostarczyłeś użytkownikowi wyczerpujących informacji i dałeś możliwość zarządzania jego prywatnością również w ramach twojej strony.
Czyli wracamy do mechanizmu zarządzania plikami cookies. Mechanizm ten nie tylko pozwoli ci spełnić wymóg uzyskania zgody na wykorzystywanie plików cookies, ale również zaoferuje pewne możliwości na gruncie przepisów o danych osobowych.
Mianowicie, nawet jeżeli dla bezpieczeństwa przyjmiemy, że korzystanie z cookies to czynność przetwarzania danych osobowych, nie oznacza to od razu, że jesteśmy na straconej pozycji. Jeżeli nie profilujemy swoich użytkowników, to przetwarzanie danych osobowych możemy w tym przypadku oprzeć na korzystnej dla nas podstawie, czyli powoływać się na swój prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jeżeli przetwarzanie danych osobowych w ramach plików cookies oprzesz na prawnie uzasadnionym interesie, to jednocześnie musisz dać użytkownikowi możliwość sprzeciwu.
No i tutaj właśnie ujawnia się znaczenie mechanizmu zarządzania plikami cookies. W polityce prywatności będziesz mógł napisać, że wyrażenie sprzeciwu możliwe jest poprzez wyłączenie poszczególnych rodzajów plików cookies.
Działania w tym zakresie realizujemy, opierając się na naszym prawnie uzasadnionym interesie polegającym na analizie Twojego zachowania w celu optymalizacji naszej strony internetowej. W każdej chwili możesz sprzeciwić się takim działaniom, wyłączając pliki cookies Google Analytics z wykorzystaniem narzędzia dostępnego po kliknięciu w link „Ustawienia cookies” dostępny w stopce naszej strony.
Powyżej widzisz przykład postanowienia dotyczącego uzasadnionego interesu i sprzeciwu. Mam nadzieję, że teraz już rozumiesz, dlaczego jestem zwolennikiem wdrożenia profesjonalnego mechanizmu zarządzania plikami cookies. Ogrywa on temat zarówno zgody na cookies na gruncie prawa telekomunikacyjnego, jak i sprzeciwu na gruncie przepisów o ochronie danych osobowych.
Profilowanie użytkowników
Wiesz już, że na wykorzystywanie plików cookies potrzebujesz zgody, a temat danych osobowych możesz ograć z powołaniem się na uzasadniony interes, zapewniając użytkownikowi możliwość wyrażenia sprzeciwu.
Nie zawsze jednak ten uzasadniony interes rzeczywiście będzie dobrym rozwiązaniem. W sytuacji, w której będziesz korzystał z profilowania, jedyną dopuszczalną przesłanką takiego działania będzie zgoda.
W tym miejscu dochodzimy do pojęcia, które wywołuje prawdziwą burzę. Profilowanie. O co chodzi? Zajrzyjmy najpierw do definicji.
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Zwróć od razu uwagę, że w definicji profilowania znajduje się odniesienie do danych osobowych. Żeby mówić o profilowaniu na gruncie RODO, musi dojść do zautomatyzowanego przetwarzania danych osobowych. Nie jakichkolwiek informacji, ale danych osobowych właśnie.
Jeżeli czytałeś uważnie to, co pisałem wcześniej, to wiesz już, że ja osobiście mam poważne wątpliwości czy informacje przetwarzane w ramach plików cookies mają w ogóle charakter danych osobowych. Uważam, że w sporej części przypadków, pliki cookies w ogóle nie będą wiązać się z danymi osobowymi.
Ponieważ jednak są również interpretacje przeciwne do moich, to z ostrożności możemy założyć, że jednak korzystanie z plików cookies trzeba rozważać pod kątem RODO. Stąd uzasadniony interes, stąd sprzeciw, stąd mechanizm zarządzania plikami cookies.
Skoro zatem zakładamy, że cookies mogą podchodzić pod dane osobowe, to musimy rozważyć czy cookies nie podpadną czasem również pod profilowanie.
O co zatem chodzi z tym profilowaniem? Np. o to, że jako administrator sklepu internetowego zbierasz o swoich klientach dane o ich preferencjach zakupowych, zainteresowaniach itp., a następnie różnicujesz im dostęp do różnych twoich produktów albo wręcz stosujesz różne ceny dla różnych grup klientów.
Powyższy przykład jest oczywiście dość skrajny, ale specjalnie go podałem, ponieważ z profilowaniem problem jest wtedy, gdy wywołuje ono skutki prawne dla osoby profilowanej lub w inny znaczący sposób na nią wpływa.
Kluczowe jest zatem pytanie, kiedy profilowanie w znaczący sposób wpływa na osobę profilowaną. Żeby zobrazować problem, posłużmy się poniższym przykładem.
Czy w powyższym przykładzie mamy do czynienia z profilowaniem na gruncie RODO? Opinie są sprzeczne. Jedni prawni mówią, że takie działanie nie ma jakiegoś istotnego wpływu na użytkownika, więc w profilowanie nie wpada. Drudzy stoją na stanowisku, że nawet tylko takie działanie należy już uznać za profilowanie w rozumieniu RODO.
Odpowiedź na pytanie, czy mamy tutaj do czynienia z profilowaniem regulowanym przez RODO ma istotne znaczenie. Jeżeli bowiem uznamy, że samo już tylko pokazywanie podpowiadanych produktów na podstawie historii wcześniejszych zakupów podpada pod profilowanie, to w praktyce niemal każdy właściciel sklepu internetowego wpada w rygorystyczną regulację dotyczącą profilowania. Przecież tego typu funkcje to już chleb powszedni we wszystkich systemach sklepowych.
Moja opinia jest taka, że samo tylko podpowiadanie produktów czy też pokazywanie spersonalizowanych reklam nie ma znaczącego wpływu na użytkownika i nie podpada pod profilowanie RODO, co oznacza, że zgoda na cookies jest w tym zakresie wystarczająca, nie trzeba jeszcze dodatkowo odbierać zgody na profilowanie.
Niemniej jednak, niektóre, bardziej zachowawcze opinie, nakazują odbieranie zgody na profilowanie również w takich nieinwazyjnych sytuacjach. Gdybyś chciał taką zgodę odbierać, to pytanie, jak ona powinna wyglądać.
Tutaj oczywiście brak racjonalnej odpowiedzi, ale jeżeli już formułujemy postulat, że mamy do czynienia z profilowaniem, to sama zgoda na cookies nie może zostać uznana za wystarczającą. Powinna być to wtedy zgoda odrębna. Czyli np. oprócz zgody na cookies, wyskakuje pop-up z pytaniem o zgodę na profilowanie.
Jeżeli miałbym ci doradzać jakieś postępowanie, to sugerowałbym korzystanie z takich metod marketingowych, które nie mają istotnego wpływu na użytkownika. Czyli nie różnicują cen, warunków umów itp.
Uważam, że jesteśmy w stanie bronić argumentacji, zgodnie z którą standardowe działania typu „polecane produkty” nie stanowią profilowania, o którym mowa w RODO. Tym bardziej, gdy mamy wdrożoną czytelną informację o cookies, zgodę na cookies i możliwość zarządzania ciasteczkami przez użytkownika.
Pliki cookies – podsumowanie
Ten poradnik to bardzo obszerny materiał. Jasne, mógłbym wiele zagadnień omówić dużo bardziej skrótowo, ale zależało mi, by stworzyć kompendium, które będzie kompletnym przewodnikiem po prawnych aspektach stosowania plików cookies i pokaże problem ciasteczek z różnych perspektyw.
Przedstawiłem ci w tym materiale kilka możliwych podejść do wykorzystywania plików cookies. W charakterze podsumowania, powtórzę, jakie rozwiązanie uważam za najlepszy kompromis:
- cookies wyłączone do czasu wyrażenia zgody przez użytkownika,
- zgoda w ramach pop-upu lub paska,
- precyzyjna informacja o stosowanych cookies jeszcze przed wyrażeniem zgody,
- szczegółowa polityka prywatności,
- możliwość wyłączania poszczególnych plików cookies.
Jasne, znajdą się prawnicy, którzy powiedzą, że takie rozwiązanie i tak nie daje 100% poprawności. Tyle, że ja jestem zwolennikiem minimalizowania ryzyka przy jednoczesnym nieodstraszaniu użytkownika. Wypracowane przeze mnie rozwiązanie uważam za kompromis, który broni się od strony prawnej, a jednocześnie nie zabija biznesu.
Newsletter
Chcesz otrzymywać wartością wiedzę bezpośrednio na swoją skrzynkę e-mail? Zapisz się do newslettera.
