Pliki cookies a ochrona danych osobowych

Czym są pliki cookies?

Pliki cookies są małymi danymi informatycznymi przechowywanymi w urządzeniu końcowym (komputerze lub urządzeniu mobilnym) użytkownika, zbieranymi przez przeglądarkę internetową. Mogą być to w szczególności pliki tekstowe.

Pliki cookies pozwalają przeglądarce internetowej m.in. na zapamiętanie preferencji użytkownika oraz podejmowanych przez niego czynności. Pozwala to na optymalizację korzystania ze strony internetowej i dostosowanie jej do indywidualnych potrzeb użytkownika. Dzięki zastosowaniu tej technologii możliwe jest np. zapamiętywanie ustawień strony, danych logowania lub produktów dodanych do koszyka. Pliki cookies mogą spełniać również funkcje marketingowe – np. dzięki ich zastosowaniu użytkownik otrzyma komunikaty reklamowe dopasowane do jego aktywności w Internecie.

Ze względu na przeznaczenie można wyróżnić m.in. pliki cookies niezbędne do działania witryny, pliki cookies statystyczne i analityczne oraz pliki cookies marketingowe.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej

Przełomem w zakresie prawnej oceny plików cookies i obowiązków, jakie wiążą się z ich zastosowaniem, był wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. jednej z niemieckich firm¹. W wyroku tym Trybunał odniósł się do relacji przepisów Dyrektywy o prywatności i łączności elektronicznej² z Dyrektywą w sprawie ochrony osób fizycznych³, zastąpionej przez Ogólne rozporządzenie o ochronie danych⁴ („RODO”).

Trybunał wskazał, że wykorzystywanie przez spółkę plików cookies stanowiło przetwarzanie danych osobowych (możliwe było ich przypisanie do konkretnego użytkownika). W takiej sytuacji przepisy dyrektywy o prywatności i łączności elektronicznej oraz przepisy z zakresu ochrony danych częściowo na siebie nachodzą, w związku z czym zastosowanie powinny znaleźć obie regulacje. Odpowiadając na zadane przez niemiecki sąd pytania prejudycjalne, Trybunał w szczególności dokonał następujących konkluzji:

• zastosowanie marketingowych plików cookies wymagało zgody, która powinna być oceniana zgodnie z wymogami RODO. Zgoda nie jest ważna, jeżeli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody;
• informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.

Jakie obowiązki wynikają z zastosowania plików cookies?

Opisany powyżej wyrok TSUE wskazuje dwa podstawowe obowiązki, które muszą być wypełnione przez administratora: pozyskanie zgody użytkownika oraz wykonanie obowiązku informacyjnego. Wymóg uzyskania zgody, po uprzednim udzieleniu jasnych i wyczerpujących informacji, wynika również z art. 5 ust. 3 Dyrektywy o prywatności i łączności elektronicznej.

Warto przy tym wskazać, że zastosowanie plików cookies niezbędnych do działania witryny nie wymaga uzyskania zgody użytkownika. Zgodnie bowiem z dyrektywą o prywatności i łączności elektronicznej, zgoda taka nie jest konieczna w sytuacji, gdy dochodzi do technicznego przechowywania danych lub dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika. Wyjątki te zostały zaimplementowane w polskim prawie telekomunikacyjnym⁵.

W przypadku innych rodzajów plików cookies należy uzyskać zgodę użytkownika na ich zastosowanie. Powinna ona czynić zadość wymogom RODO, czyli być dobrowolna, konkretna, świadoma i jednoznaczna, a jej wyrażenie powinno nastąpić przez aktywne działanie. Niedopuszczalne jest zatem domyślne zaznaczanie okienek ze zgodą i wymaganie od użytkownika podjęcia działań w celu zmiany takich automatycznych ustawień. Użytkownik powinien mieć możliwość podjęcia niezależnej decyzji co do każdego rodzaju plików cookies. Praktyka w zakresie sposobu pozyskiwania zgody dopiero się kształtuje, ale coraz większą popularność zdobywają tzw. platformy consent management, które informują użytkownika o plikach cookies, jakie są wykorzystywane przez daną witrynę i pozwalają mu dokonać odrębnych wyborów co do każdego rodzaju plików cookies. Co równie ważne, użytkownik powinien mieć możliwość odwołania wyrażanej zgody w każdym momencie, w sposób równie łatwy, w jaki nastąpiło jej wyrażenie. Oznacza to, że na stronach internetowych należy zapewnić łatwy dostęp do sekcji z ustawieniami plików cookies, gdzie możliwe będzie sprawdzenie dotychczasowych ustawień i zmiana podjętych wcześniej decyzji.

Kolejnym obowiązkiem jest udzielenie jasnych i wyczerpujących informacji, między innymi o celach przetwarzania – informacje te są niezbędne do wyrażenia świadomej zgody. W przypadku danych osobowych zakres obowiązku informacyjnego wobec podmiotu danych wyznaczają art. 13 oraz 14 RODO – jeżeli określone pliki cookies nie stanowią danych osobowych, przepisy RODO mogą być stosowane pomocniczo, jako wskazówka przy określaniu zakresu informacji, jakich należy udzielić użytkownikowi. Mamy do czynienia ze zbiegiem dwóch obowiązków informacyjnych – wydaje się, że w praktyce mogą być one realizowane łącznie. Popularnym rozwiązaniem jest tworzenie na stronach internetowych odrębnych polityk cookies bądź poświęcanie plikom cookies dedykowanej części w polityce prywatności, dotyczącej zasad ochrony danych osobowych. Dokumenty te zawierają szczegółowe informacje wymagane przez odpowiednie przepisy. W przypadku plików cookies wskazuje się m.in. kategorie plików cookies, ich dokładne rodzaje, pochodzenie, czas przechowywania. Należy jednak pamiętać, że użytkownik musi zostać odpowiednio poinformowany jeszcze przed wyrażeniem zgody, a więc na wstępnym etapie korzystania ze strony internetowej. Z uwagi na obszerność informacji, jakie należy przekazać użytkownikowi możliwe jest zastosowanie warstwowej klauzuli informacyjnej: w pierwszej warstwie użytkownik widzi najważniejsze informacje oraz odesłanie do miejsca, gdzie może doczytać szczegóły.

Na gruncie polskich przepisów pojawiają się wątpliwości związane ze stosowaniem powyższych rozwiązań, wynikające z treści prawa telekomunikacyjnego. Zgodnie bowiem z art. 173 ust. 2, zgoda może być wyrażona za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez użytkownika telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, czyli przez ustawienia przeglądarki. Pozostaje niejasne, czy takie wyrażenie zgody przez użytkownika jest w dalszym ciągu możliwe. Z kolei motyw 32 RODO stanowi, że zgoda może polegać na wyborze ustawień technicznych do korzystania z usług społeczeństwa informatycznego. Polski organ nadzoru dotychczas nie odniósł się do tej kwestii – można więc przypuszczać, że dopóki przepisy prawa telekomunikacyjnego nie ulegną zmianie, zastosowanie takich rozwiązań nie będzie rodziło negatywnych konsekwencji dla administratorów. Z uwagi jednak na to, że zgoda powinna być świadoma i wyraźna, rekomendowane jest uwzględnienie jakiejkolwiek aktywności użytkownika związanej z akceptacją plików cookies, chociażby przez akceptację lub potwierdzenie ustawień w ramach prostego cookie bannera pojawiającego się na stronie internetowej. Dodatkowo należy zauważyć, że zagraniczne organy nadzoru prezentują podejście, zgodnie z którym wyrażenie zgody przez ustawienia przeglądarki będzie niewystarczające. Wydaje się zatem, że praktyka będzie zmierzać raczej w kierunku pozyskiwania aktywnej i wyraźnej zgody. Istotne jest również, że takie rozwiązanie w sytuacji licznych niejasności jest zdecydowanie bezpieczniejsze dla administratorów.

Pierwsze kary za naruszenia

O tym, że wskazania Trybunału są poważnie brane pod uwagę przez organy nadzorcze w toku przeprowadzanych kontroli może świadczyć fakt, że już w grudniu 2020 r. francuski organ nadzoru (Commission Nationale de l'Informatique et des Libertés – CNIL) wydał dwie decyzje nakładające kary za naruszenia przepisów dotyczących ochrony danych osobowych właśnie w zakresie stosowania plików cookies.

Obie decyzje dotyczyły zbliżonych naruszeń, na które zwrócił uwagę CNIL:

• pliki cookies (w tym cookies marketingowe) były automatycznie umieszczane na komputerze użytkownika, bez żadnego wymaganego działania po jego stronie,
• pojawiające się banery nie dostarczały użytkownikowi informacji o plikach cookies, które zostały już umieszczone na jego urządzeniu,
• użytkownicy nie byli uprzednio i jasno poinformowani o przechowywaniu plików cookies, w tym o celach zastosowania tych plików (poszczególnych rodzajów) oraz środkach umożliwiających odmówienie zgody.

Podsumowanie

Wskazane decyzje pokazują, że kwestia plików cookies może coraz częściej znajdować się w kręgu zainteresowania organów nadzorczych. Można przypuszczać, że pierwsze kontrole w tym zakresie będą skierowane do dużych podmiotów, które obsługują bardzo popularne witryny internetowe, niemniej jednak dostosowanie się do zasad ochrony prywatności z zakresu plików cookies jest niezbędne dla wszystkich podmiotów. Jest to szczególnie istotne w przypadku stron internetowych wykorzystujących marketingowe pliki cookies.