iSecure logo
Blog

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp

Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne.

Cookiewalls

Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, był zobligowany do wyrażenia zgody na wszelkie cookie, które znajdują się na stronie. Niewyrażenie takiej globalnej zgody blokuje dostęp do takiej strony. Dostęp do strony można uzyskać wyłącznie wtedy, gdy dokona się akceptacji takiego banneru.

Kryteria oceny zaproponowane przez CNIL

Pierwsze pytanie, nad którym pochyla się CNIL, dotyczy kwestii uzyskania alternatywy dostępu do treści dla użytkownika końcowego, który nie wyraził zgody na korzystanie z trackerów, by uzyskać dostęp do treści za cookiewall. CNIL zaznacza, iż użytkownik końcowy, który odmawia użycia znaczników na stronie internetowej (na przykład poprzez kliknięcie przycisku „odrzuć wszystko”), zaleca, by właściciele stron dawali możliwość innego alternatywnego dostępu do strony, co nie oznacza obowiązku wyrażenia zgody przez użytkowników końcowych na wykorzystywanie ich danych.

Drugą poruszaną kwestią jest cena, a konkretnie jej wysokości w przypadku, gdy właściciel strony wybrał alternatywny dostęp do strony jako obowiązek uiszczenia płatności. Według CNIL uzależnianie dostępu do treści znajdujących się na stronie od wyrażenia zgody na trackery wnoszące wynagrodzenie za usługę lub wpłaty pewnej sumy pieniężnej nie jest co do zasady zabronione. Należy to rozumieć jako alternatywę dla zgody na trackery. Ta pieniężna rekompensata nie może jednak pozbawiać internautów realnego wyboru. Należy pamiętać, żeby cena była rozsądna.

Pojawia się pytanie, co należy rozumieć pod pojęciem rozsądna cena? Tutaj także można liczyć na pomoc CNIL. Komisja sama nie może ustalić progu, który można uznać za rozsądny, lecz stwierdza, że obowiązek wykazania faktu o rozsądności ceny leży po stronie właściciela strony. CNIL idąc dalej w swoich rozważaniach zaznacza, iż jest możliwość wdrożenia na stronie paywalla, lecz należy pamiętać, by umieć uzasadnić ustalenie rozsądnej stawki. CNIL zachęca, by takie analizy co do rozsądności stawki były ogólnodostępne, co pozwoli zachować transparentność w tym zakresie.

CNIL zwraca również uwagę, żeby właściciele stron www podczas dokonywania oceny mającej na celu ustalenie rozsądnej kwoty uwzględniali również rodzaj usługi, jaką mają zamiar udostępnić. Nie należy zakładać, że jedynym właściwym rozwiązaniem będzie forma płatnej subskrypcji strony, aby uzyskać do niej dostęp bez trackerów. Można tutaj rozważyć korzystanie z wirtualnych portmonetek umożliwiających dokonywanie mikropłatności za okazjonalny dostęp do określonej treści lub usługi w sposób płynny i bez konieczności rejestrowania przez internautę danych swojej karty bankowej u właściciela strony www.

W sytuacji, gdy właściciel strony jednak zdecyduje się na wymóg zakładania kont użytkowników, to powinien liczyć się z tym, by umieć wykazać, że taki obowiązek jest uzasadniony w stosunku do zamierzonego celu. CNIL dodatkowo podkreśla, że właściciel strony musi przestrzegać pewnych zasad, w szczególności o:

  • informowaniu użytkowników końcowych o wykorzystywaniu ich danych;
  • ograniczeniu zbierania wyłącznie danych niezbędnych do realizacji zamierzonych celów;
  • poinformowaniu użytkownika końcowego, że jeśli chce ponownie wykorzystać dane zebrane podczas tworzenia konta do innych celów, to musi w szczególności zapewnić, że uprzednio i wyraźnie poinformował internautę oraz uzyskać, w razie potrzeby, zgodę internautów na te nowe cele.

Stosowanie cookiewall i paywall, a globalna zgoda

Według CNIL ogólnie brak możliwości zaakceptowania lub odrzucenia trackerów zgodnie z ich celem może mieć wpływ na wolność wyboru użytkownika, a tym samym na ważność jego zgody.

Jeśli nie jest zabronione uzależnianie dostępu do strony od zgody na jeden lub więcej celów śledzenia, właściciel strony musi wykazać, że jego cookiewall ogranicza się wyłącznie do celów, które pozwalają na godziwe wynagrodzenie za oferowaną usługę. Na przykład, jeśli wydawca uzna, że wynagrodzenie za jego usługę zależy od dochodów, jakie mógłby uzyskać z reklamy behawioralnej, tylko zgoda w tym celu powinna być konieczna, aby uzyskać dostęp do usługi: odmowa zgody na inne cele (personalizacja treści redakcyjnych, itp.) nie powinny wówczas uniemożliwiać dostępu do zawartości serwisu. Wydawca musi wyraźnie poinformować internautów o celach, dla których konieczne jest – lub nie – wyrażenie zgody na dostęp do usługi.

CNIL zwraca uwagę, że nie można zapomnieć, że reklama behawioralna i personalizacja treści redakcyjnych to dwa różne cele, które należy rozróżnić, i które należy określić podczas warunkowania dostępu do usług, czy też treści.

Płatny dostęp do treści, a trackery

CNIL omawia również sytuację, gdy użytkownik końcowy wybiera płatny dostęp do usługi/ treści bez zgody na pliki cookie. Właściciel strony może w ograniczonych przypadkach nadal wykorzystywać trackery. Co do zasady żaden znacznik wymagający zgody użytkownika końcowego nie powinien być załadowany, gdy ten odmawia załadowania znaczników i wybiera alternatywę proponowaną przez właściciela strony, a konkretnie płatność za dostęp. Właściciel strony powinien w takiej sytuacji stosować jedynie trackery, które są niezbędne do działania usługi/ serwisu. Należy jednak pamiętać, że w indywidualnych przypadkach właściciel strony ma prawo zażądać zgody użytkownika końcowego na umieszczenie trackerów, gdy te ostatnie są wymagane do uzyskania dostępu do treści hostowanych w witrynie innej firmy (na przykład w celu obejrzenia wideo hostowanego przez witrynę strony trzeciej), która wymaga użycia pliku cookie, który nie jest bezwzględnie konieczny, lub usługi żądanej przez użytkownika (na przykład w celu zapewnienia dostępu do przycisków udostępniania w sieciach społecznościowych).

Zgoda użytkownika końcowego może być zbierana np. w ramach dedykowanego okna wyświetlanego, gdy internauta chce aktywować treści, i w którym musi mieć czytelną informację:

  • że aktywacja treści zewnętrznych lub użycie przycisków udostępniania wymaga zgody na deponowanie znaczników poprzez określenie celu(-ów) użytych znaczników oraz link do polityki prywatności, od strony zewnętrznej dostawcy treści;
  • o możliwości łatwego wycofania zgody w dowolnym momencie;
  • o konsekwencjach odmowy lub cofnięcia zgody na deponowanie znaczników, w tym brak możliwości dostępu do treści zewnętrznych.

W każdym przypadku internauta musi mieć zawsze możliwość samodzielnego przejścia do ustawień serwisu, aby wyrazić zgodę na określone zastosowania (np. personalizację treści redakcyjnych).

Podsumowanie

Należy pamiętać, iż to tylko propozycja CNIL i nie można jej porównywać do aktów prawnych czy też wyroków Trybunału Sprawiedliwości Unii Europejskiej. Jak jednak można zauważyć, stanowisko CNIL staje się bardziej elastyczne oraz nie zabrania kategorycznie stosowania cookiewall, czy też paywall. Nie można jednak wdrażać tego typu rozwiązań bez żadnych uwarunkowań, które zostały omówione w niniejszym wpisie.

Pobierz wpis w wersji pdf

Podobne wpisy:

Jak przetwarzać dane – poradnik (cz. I)

Prewencyjny pomiar temperatury

Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

Zgoda na przetwarzanie danych osobowych

Zarządzanie danymi przetwarzanymi w oparciu o zgodę

W Działach Marketingu bardzo często podstawą prawną przetwarzania danych osobowych jest właśnie zgoda. Oczywistym jest, że zbierana zgoda musi być udowodniona (w szczególności – kto, kiedy, jaką zgodę wyrażał). Czasami też potrzebujesz kilku zgód marketingowych (np. na własny marketing elektroniczny lub na udostępnienie danych partnerowi, aby mógł samodzielnie realizować kampanie e-mailowe). Trzeba liczyć się z […]

Czy zawsze należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem?

Odpowiedź na pytanie, czy należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem nie jest jednoznaczna. W praktyce okazuje się, że wielu administratorów zastanawia się nad prawidłową podstawą uregulowania kwestii ochrony danych osobowych z osobami współpracującymi na podstawie umów cywilnoprawnych, w szczególności współpracowników prowadzących jednoosobowe działalności gospodarcze. Dla administratora istotne jest określnie kilku czynników, które […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki