Pliki cookies – obowiązki prawne. O czym warto wiedzieć?

Choć zmiany w ustawie Prawo telekomunikacyjne dotyczące zgody użytkownika na wykorzystywanie na jego urządzeniu plików cookies zostały wprowadzone w 2019 r., do tej pory bardzo wielu administratorów stron internetowych stosuje niezgodne z prawem komunikaty. Dodatkowo, coraz częściej organizacje społeczne (np. NOYB) i użytkownicy stron składają skargi do organów nadzorczych. Poniżej przedstawimy Państwu wybrane, najważniejsze aspekty dotyczące tzw. ciasteczek.

Paweł Kaczmarek

#Felietony
#Prawo

Opublikowano 23 września 2022, 12:42

Czym są pliki cookies?

Pliki cookies stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego. Ciasteczka używane są najczęściej w celu optymalizacji procesu korzystania ze stron (cookies techniczne).

Stosowane są również m. in. w celu gromadzenia danych statystycznych, które pozwalają identyfikować sposób korzystania użytkowników ze stron internetowych, co daje możliwość późniejszego ulepszania struktury i zawartości strony WWW (cookies analityczne) lub też pozwalają na wyświetlanie reklam dopasowanych do profilu użytkownika odwiedzającego stronę (cookies marketingowe).

Prawo telekomunikacyjne – obowiązki

Obowiązki związane z plikami cookies regulowane są przede wszystkim przez ustawę Prawo telekomunikacyjne (dalej: p.t.) . Zgodnie z art. 173 ust. 1 p.t., w celu ich wykorzystywania należy spełnić następujące obowiązki:

użytkownik końcowy musi zostać uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
1. celu przechowywania i uzyskiwania dostępu do plików cookies,
2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do pliku za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika i oprogramowaniu zainstalowanym w tym urządzeniu.

Warunki te nie muszą być spełnione, jeżeli dana witryna wykorzystuje jedyne techniczne pliki cookies. Nazywane są one również niezbędnymi, gdyż służą do prawidłowego dostarczania usługi świadczonej drogą elektroniczną użytkownikowi. W praktyce służą one m. in. do zapewnienia prawidłowego działania i wyświetlania witryny, bezpieczeństwa (np. wykrywania nieudanych powtórzeń logowania), nawiązania komunikacji z urządzeniem użytkownika czy zarządzania siecią, tj. zrównoważenia obciążenia serwerów.

Zgoda na ciasteczka

Zgodnie z art. 174 p.t. do warunków uzyskania zgody stosuje się przepisy o ochronie danych osobowych, czyli przede wszystkim RODO. Oznacza to, że musi być ona wyrażona dobrowolnie, świadomie, jednoznacznie i konkretnie,. Wyróżnia się kilka istotnych elementów dla ważności zgody, są to m. in.:

Konieczność oddzielenia każdego z celów, na który wyrażana jest zgoda. W przypadku plików cookies oznacza to możliwość wyboru przez użytkownika akceptowanych rodzajów plików cookies (reklamowe, analityczne itd.).
Domyślne odznaczenie wszelkich checkboxów, które w celu wyrażenia zgody muszą zostać samodzielnie zaznaczone przez użytkownika.
Możliwość wyrażenia zgody nie może być utrudniona przez konieczność przejścia kilku etapów (wciśnięcia kilku przycisków) lub ukryta na stronie internetowej.
Możliwość wycofania zgody w równie łatwy sposób, co jej wyrażenie. Zalecanym rozwiązaniem jest wyświetlanie niewielkiego pływającego przycisku/ikony umożliwiającej powrót do ustawień prywatności.

W celu wyjaśnienia wątpliwości, Europejska Rada Ochrony Danych w Wytycznych 05/2020 wskazała, że milczenie lub bezczynność po stronie użytkownika, jak również po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru.

Co prawda art. 173 ust. 2 p.t. wskazuje, że użytkownik może wyrazić zgodę za pomocą ustawień przeglądarki, jednak w świetle przepisów dyrektywy 2002/58/WE (która została implementowana przepisami prawa telekomunikacyjnego), orzeczeń Trybunału Sprawiedliwości UE (m. in. wyrok C-673/17 – Planet49), a także decyzji europejskich organów nadzorczych (m. in. decyzja CNIL z 31.12.2021, sygn. SAN-2021-024), należy ww. przepis interpretować w ten sposób, że nie może to być jedyny sposób na wyrażenie zgody. Użytkownik powinien mieć wybór i możliwość wyrażenia zgody lub jej braku również bezpośrednio na stronie internetowej.

Moment instalacji plików cookies

Wspomniany wyżej art. 173 ust. 1 pkt 1-2 wskazują, że obowiązki informacyjne związane z plikami cookies oraz możliwość wyrażenia zgody muszą zostać zrealizowane przed ich instalacją. Oznacza to, że nie jest prawidłowym rozwiązaniem automatyczne instalowanie plików cookies na urządzeniu końcowym użytkownika, po jego wejściu na daną stronę internetową.

Podsumowanie

Należy zadbać, aby budowa komunikatu przy pierwszym wejściu na stronę internetową zapewniała spełnienie wskazanych wymagań, aby uniknąć grożącej odpowiedzialności w przypadku kontroli organów nadzorczych. Ponadto zastosowane rozwiązanie techniczne, np. CMP (Consent Management Platform) lub CMT (Cookie Management Tool) powinno umożliwić wykazanie, w razie potrzeby, pozyskania zgody użytkownika.

Ostatnie podcasty

▶

#Podcasty Sfintechowani

O nowych technologiach i młodym pokoleniu, które wchodzi na rynek finansowy [Podcast]

▶

#Podcasty Sfintechowani

AI & Machine Learning transformują branżę finansową. Czy polskie firmy są gotowe?

▶

#Podcasty Sfintechowani

Hakerzy rosną w siłę. Poznaj strategię cyberbezpieczeństwa Prebytes [Podcast]

▶

#Podcasty Sfintechowani

Fenige kończy 10 lat i przechodzi rebranding [Podcast]

▶

#Podcasty Sfintechowani

System workflow w bankowości. O zaletach i możliwościach [Podcast]

Podcasty