iSecure logo
  • pl
  • en
    • Blog

    Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

    Mateusz Jakubik
    Kategorie

    Wstęp

    Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne.

    Cookiewalls

    Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, był zobligowany do wyrażenia zgody na wszelkie cookie, które znajdują się na stronie. Niewyrażenie takiej globalnej zgody blokuje dostęp do takiej strony. Dostęp do strony można uzyskać wyłącznie wtedy, gdy dokona się akceptacji takiego banneru.

    Kryteria oceny zaproponowane przez CNIL

    Pierwsze pytanie, nad którym pochyla się CNIL, dotyczy kwestii uzyskania alternatywy dostępu do treści dla użytkownika końcowego, który nie wyraził zgody na korzystanie z trackerów, by uzyskać dostęp do treści za cookiewall. CNIL zaznacza, iż użytkownik końcowy, który odmawia użycia znaczników na stronie internetowej (na przykład poprzez kliknięcie przycisku „odrzuć wszystko”), zaleca, by właściciele stron dawali możliwość innego alternatywnego dostępu do strony, co nie oznacza obowiązku wyrażenia zgody przez użytkowników końcowych na wykorzystywanie ich danych.

    Drugą poruszaną kwestią jest cena, a konkretnie jej wysokości w przypadku, gdy właściciel strony wybrał alternatywny dostęp do strony jako obowiązek uiszczenia płatności. Według CNIL uzależnianie dostępu do treści znajdujących się na stronie od wyrażenia zgody na trackery wnoszące wynagrodzenie za usługę lub wpłaty pewnej sumy pieniężnej nie jest co do zasady zabronione. Należy to rozumieć jako alternatywę dla zgody na trackery. Ta pieniężna rekompensata nie może jednak pozbawiać internautów realnego wyboru. Należy pamiętać, żeby cena była rozsądna.

    Pojawia się pytanie, co należy rozumieć pod pojęciem rozsądna cena? Tutaj także można liczyć na pomoc CNIL. Komisja sama nie może ustalić progu, który można uznać za rozsądny, lecz stwierdza, że obowiązek wykazania faktu o rozsądności ceny leży po stronie właściciela strony. CNIL idąc dalej w swoich rozważaniach zaznacza, iż jest możliwość wdrożenia na stronie paywalla, lecz należy pamiętać, by umieć uzasadnić ustalenie rozsądnej stawki. CNIL zachęca, by takie analizy co do rozsądności stawki były ogólnodostępne, co pozwoli zachować transparentność w tym zakresie.

    CNIL zwraca również uwagę, żeby właściciele stron www podczas dokonywania oceny mającej na celu ustalenie rozsądnej kwoty uwzględniali również rodzaj usługi, jaką mają zamiar udostępnić. Nie należy zakładać, że jedynym właściwym rozwiązaniem będzie forma płatnej subskrypcji strony, aby uzyskać do niej dostęp bez trackerów. Można tutaj rozważyć korzystanie z wirtualnych portmonetek umożliwiających dokonywanie mikropłatności za okazjonalny dostęp do określonej treści lub usługi w sposób płynny i bez konieczności rejestrowania przez internautę danych swojej karty bankowej u właściciela strony www.

    W sytuacji, gdy właściciel strony jednak zdecyduje się na wymóg zakładania kont użytkowników, to powinien liczyć się z tym, by umieć wykazać, że taki obowiązek jest uzasadniony w stosunku do zamierzonego celu. CNIL dodatkowo podkreśla, że właściciel strony musi przestrzegać pewnych zasad, w szczególności o:

    • informowaniu użytkowników końcowych o wykorzystywaniu ich danych;
    • ograniczeniu zbierania wyłącznie danych niezbędnych do realizacji zamierzonych celów;
    • poinformowaniu użytkownika końcowego, że jeśli chce ponownie wykorzystać dane zebrane podczas tworzenia konta do innych celów, to musi w szczególności zapewnić, że uprzednio i wyraźnie poinformował internautę oraz uzyskać, w razie potrzeby, zgodę internautów na te nowe cele.

    Stosowanie cookiewall i paywall, a globalna zgoda

    Według CNIL ogólnie brak możliwości zaakceptowania lub odrzucenia trackerów zgodnie z ich celem może mieć wpływ na wolność wyboru użytkownika, a tym samym na ważność jego zgody.

    Jeśli nie jest zabronione uzależnianie dostępu do strony od zgody na jeden lub więcej celów śledzenia, właściciel strony musi wykazać, że jego cookiewall ogranicza się wyłącznie do celów, które pozwalają na godziwe wynagrodzenie za oferowaną usługę. Na przykład, jeśli wydawca uzna, że wynagrodzenie za jego usługę zależy od dochodów, jakie mógłby uzyskać z reklamy behawioralnej, tylko zgoda w tym celu powinna być konieczna, aby uzyskać dostęp do usługi: odmowa zgody na inne cele (personalizacja treści redakcyjnych, itp.) nie powinny wówczas uniemożliwiać dostępu do zawartości serwisu. Wydawca musi wyraźnie poinformować internautów o celach, dla których konieczne jest – lub nie – wyrażenie zgody na dostęp do usługi.

    CNIL zwraca uwagę, że nie można zapomnieć, że reklama behawioralna i personalizacja treści redakcyjnych to dwa różne cele, które należy rozróżnić, i które należy określić podczas warunkowania dostępu do usług, czy też treści.

    Płatny dostęp do treści, a trackery

    CNIL omawia również sytuację, gdy użytkownik końcowy wybiera płatny dostęp do usługi/ treści bez zgody na pliki cookie. Właściciel strony może w ograniczonych przypadkach nadal wykorzystywać trackery. Co do zasady żaden znacznik wymagający zgody użytkownika końcowego nie powinien być załadowany, gdy ten odmawia załadowania znaczników i wybiera alternatywę proponowaną przez właściciela strony, a konkretnie płatność za dostęp. Właściciel strony powinien w takiej sytuacji stosować jedynie trackery, które są niezbędne do działania usługi/ serwisu. Należy jednak pamiętać, że w indywidualnych przypadkach właściciel strony ma prawo zażądać zgody użytkownika końcowego na umieszczenie trackerów, gdy te ostatnie są wymagane do uzyskania dostępu do treści hostowanych w witrynie innej firmy (na przykład w celu obejrzenia wideo hostowanego przez witrynę strony trzeciej), która wymaga użycia pliku cookie, który nie jest bezwzględnie konieczny, lub usługi żądanej przez użytkownika (na przykład w celu zapewnienia dostępu do przycisków udostępniania w sieciach społecznościowych).

    Zgoda użytkownika końcowego może być zbierana np. w ramach dedykowanego okna wyświetlanego, gdy internauta chce aktywować treści, i w którym musi mieć czytelną informację:

    • że aktywacja treści zewnętrznych lub użycie przycisków udostępniania wymaga zgody na deponowanie znaczników poprzez określenie celu(-ów) użytych znaczników oraz link do polityki prywatności, od strony zewnętrznej dostawcy treści;
    • o możliwości łatwego wycofania zgody w dowolnym momencie;
    • o konsekwencjach odmowy lub cofnięcia zgody na deponowanie znaczników, w tym brak możliwości dostępu do treści zewnętrznych.

    W każdym przypadku internauta musi mieć zawsze możliwość samodzielnego przejścia do ustawień serwisu, aby wyrazić zgodę na określone zastosowania (np. personalizację treści redakcyjnych).

    Podsumowanie

    Należy pamiętać, iż to tylko propozycja CNIL i nie można jej porównywać do aktów prawnych czy też wyroków Trybunału Sprawiedliwości Unii Europejskiej. Jak jednak można zauważyć, stanowisko CNIL staje się bardziej elastyczne oraz nie zabrania kategorycznie stosowania cookiewall, czy też paywall. Nie można jednak wdrażać tego typu rozwiązań bez żadnych uwarunkowań, które zostały omówione w niniejszym wpisie.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Przetwarzanie danych służbowych
    Karolina Żebrowska

    SZKOLENIA PRACOWNIKÓW – UDOSTĘPNIAMY CZY POWIERZAMY DANE?

    Temat szkoleń pracowników dotyka każdego pracodawcę – z jednej strony zobowiązani są oni do zapewniania szkoleń, o których wprost mówią przepisy prawa (szkolenia BHP), z drugiej zaś duże grono pracodawców, w ramach chęci zapewnienia pracownikom ciekawych form benefitów pracowniczych, organizuje różnego rodzaju dodatkowe kursy i szkolenia dla zainteresowanych osób (np. kursy językowe, branżowe, szkolenia podnoszące […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Dostosowanie przedsiębiorców do RODO okiem specjalisty

    Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na “Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

    Czytaj więcej
    Karolina Żebrowska

    Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

    Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki