iSecure logo
Blog

Pliki cookies i zgody marketingowe – jak wdrożyć je poprawnie w sklepie internetowym?

Prowadzisz sklep internetowy lub odpowiadasz za działania marketingowe? Chcesz zwiększać sprzedaż, korzystać z narzędzi analitycznych i reklamowych, a jednocześnie działać zgodnie z przepisami? Zastanawiasz się, czy Twoja strona prawidłowo wykorzystuje pliki cookies i moduły śledzące oraz czy sposób pozyskiwania zgód spełnia wymogi prawne?

Jeśli tak, warto przyjrzeć się temu tematowi bliżej. W praktyce wiele firm nie zdaje sobie sprawy, jak rozbudowany ekosystem plików cookies działa na ich stronach internetowych oraz jakie obowiązki prawne wiążą się z ich wykorzystaniem. Skala problemu może okazać się większa niż myślisz.

Badania „Beyond the Front Page” z 2020 roku pokazują, że:

  • 72% plików cookies jest umieszczanych przez zewnętrzne moduły śledzące, co utrudnia ich identyfikację bez specjalistycznych narzędzi skanujących.
  • 18% plików cookies stanowią tzw. „konie trojańskie” – elementy śledzące ładowane pośrednio za pomocą innych plików cookies.
  • 50% takich elementów śledzących zmienia się pomiędzy kolejnymi wizytami użytkownika, co zwiększa ryzyko przekazywania danych osobowych różnym podmiotom trzecim.

Beyond the Front Page:—Measuring Third Party Dynamics in the Field

W efekcie nawet właściciele dobrze zarządzanych sklepów internetowych mogą nie mieć pełnej wiedzy o wszystkich technologiach śledzących działających na ich stronie.

Europejskie ramy prawne dotyczące zgody

Jedną z podstawowych zasad wynikających z RODO jest zasada opt-in, czyli konieczność uzyskania zgody użytkownika przed rozpoczęciem określonych operacji przetwarzania danych osobowych. Zgodnie z tym podejściem administrator danych może przetwarzać dane osobowe wyłącznie wtedy, gdy posiada odpowiednią podstawę prawną. W wielu przypadkach związanych z marketingowymi plikami cookies oraz technologiami śledzącymi taką podstawą jest właśnie zgoda użytkownika. RODO definiuje zgodę w art. 4 pkt 11 jako: „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Oznacza to, że zgoda nie może być domniemana, wymuszona ani ukryta w regulaminie. Musi spełniać określone warunki.

Jak powinna wyglądać prawidłowa zgoda na cookies?

Dobrowolność zgody

Podstawowym warunkiem ważności zgody jest jej dobrowolność. Użytkownik musi mieć rzeczywisty wybór. Jeżeli odrzucenie cookies marketingowych powoduje ograniczenie dostępu do strony, pogorszenie jakości usługi lub inne negatywne konsekwencje, trudno mówić o dobrowolnej zgodzie. Niedopuszczalne jest również przedstawianie zgody jako obowiązkowego elementu regulaminu lub warunku korzystania z usługi, jeśli przetwarzanie danych nie jest niezbędne do jej realizacji. Użytkownik powinien móc zarówno wyrazić zgodę, jak i odmówić jej udzielenia bez negatywnych skutków.

Zakaz warunkowania zgody

Europejska Rada Ochrony Danych (EROD) w swoich wytycznych jednoznacznie wskazuje, że nie można łączyć zgody na cookies z innymi czynnościami prawnymi, takimi jak zawarcie umowy czy akceptacja regulaminu. Nie można jednak mieszać tych podstaw. Jeżeli dane zbierane przez pliki cookies nie są konieczne do realizacji usługi, użytkownik nie może być zmuszany do ich akceptacji. Z tego powodu EROD krytycznie ocenia tzw. cookie walls, czyli mechanizmy blokujące dostęp do treści do momentu wyrażenia zgody na marketingowe lub analityczne cookies. Zobacz: Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679 | European Data Protection Board

Rozdrobniona zgoda (granularność)

Współczesne strony internetowe korzystają zazwyczaj z wielu różnych kategorii plików cookies, które realizują odmienne cele. Przykładowo:

  • cookies analityczne,
  • cookies marketingowe,
  • cookies personalizacyjne,
  • technologie śledzenia mediów społecznościowych i serwisów pocztowych.

Użytkownik powinien mieć możliwość samodzielnego wyboru, na które cele wyraża zgodę. Nie można wymagać akceptacji całego pakietu funkcji jednym kliknięciem. Warto zaznaczyć, że zgody nie mogą też być domyślnie zaznaczone na „tak” w związku z zasadą opt in. Dlatego prawidłowy baner cookies powinien umożliwiać niezależne zarządzanie poszczególnymi kategoriami plików cookies co oznacza prawo decydować na które pliki użytkownik chce wyrażić zgodę, a na które nie.

Konkretność zgody

Zgoda musi odnosić się do jasno określonych celów przetwarzania danych. Użytkownik powinien wiedzieć:

  • w jakim celu dane są zbierane,
  • przez kogo będą wykorzystywane,
  • jakie działania będą realizowane na podstawie zgody.

Ogólne i nieprecyzyjne komunikaty typu „zgadzam się na przetwarzanie danych” nie spełniają wymogów RODO. Każdy cel przetwarzania powinien zostać opisany oddzielnie oraz w sposób zrozumiały dla przeciętnego użytkownika.

Świadoma zgoda

Aby zgoda była świadoma, osoba odwiedzająca stronę musi otrzymać komplet najważniejszych informacji jeszcze przed jej wyrażeniem. W szczególności należy poinformować o:

  • tożsamości administratora danych,
  • celach przetwarzania danych,
  • rodzajach zbieranych danych,
  • prawie do wycofania zgody,
  • ewentualnym wykorzystywaniu danych do zautomatyzowanego podejmowania decyzji,
  • przekazywaniu danych poza Europejski Obszar Gospodarczy oraz związanych z tym ryzykach.

Wszystkie komunikaty powinny być napisane prostym, zrozumiałym językiem. Użytkownik nie powinien potrzebować wiedzy prawniczej, aby zrozumieć, na co się zgadza.

Możliwość wycofania zgody

RODO wymaga, aby wycofanie zgody było równie łatwe jak jej udzielenie. Oznacza to, że użytkownik powinien mieć stały i prosty dostęp do ustawień cookies, umożliwiających zmianę wcześniej podjętej decyzji. Wycofanie zgody:

  • nie może powodować negatywnych konsekwencji dla użytkownika,
  • powinno być możliwe w każdym momencie,
  • nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Dobrą praktyką jest umieszczenie widocznego przycisku „Zarządzaj zgodami” lub „Ustawienia cookies” w stopce strony.

Dokumentowanie zgód

To administrator musi być w stanie wykazać, że użytkownik skutecznie wyraził zgodę.

W praktyce oznacza to konieczność:

  • rejestrowania momentu wyrażenia zgody,
  • zapisania zakresu udzielonych zgód,
  • przechowywania informacji o wersji komunikatu i polityki cookies obowiązujących w chwili udzielenia zgody.

EROD wskazuje również, że warto okresowo odnawiać zgody użytkowników, szczególnie gdy zmieniają się technologie śledzące lub cele przetwarzania danych.

Obowiązki wynikające z polskich przepisów

Obok wymagań wynikających z RODO polscy przedsiębiorcy prowadzący sklepy internetowe muszą uwzględniać również przepisy krajowe.

Obowiązek informowania użytkowników o wykorzystywaniu plików cookies oraz uzyskania zgody na przechowywanie lub uzyskiwanie dostępu do informacji zapisanych na urządzeniu końcowym użytkownika wynika obecnie z art. 399 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (PKE).

Oznacza to, że przedsiębiorcy muszą jednocześnie spełniać wymagania:

  • RODO w połączeniu z wytycznymi EROD,
  • Prawa komunikacji elektronicznej.

Dopiero łączne uwzględnienie tych regulacji pozwala uznać wdrożenie cookies za zgodne z obowiązującymi przepisami.

Spodobał Ci się ten artykuł?

Przeczytaj także nasze pozostałe publikacje dotyczące ochrony danych osobowych, e-commerce i zgodności działań marketingowych z RODO:

Dlaczego widzę reklamy rzeczy wyszukiwanych w Google na Facebooku? – iSecure

RODO w e-commerce: jakie ryzyka wiążą się z automatycznie generowaną dokumentacją dla sklepów internetowych? – iSecure

Newsletter w branży e-commerce – jak zrobić to zgodnie z RODO? – iSecure

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls – iSecure

PLIKI COOKIES PO POLSKU – iSecure

Pobierz wpis w wersji pdf

Podobne wpisy:

Procedura korzystania z narzędzi AI – dlaczego jest niezbędna w nowoczesnej organizacji?

Sztuczna inteligencja (AI) szybko staje się codziennym narzędziem w pracy wielu organizacji. Wykorzystywana jest w różnych branżach i zmienia sposób, w jaki firmy realizują swoje zadania. Narzędzia AI mogą automatyzować procesy, pomagać w analizie danych, wspierać twórczość czy nawet ułatwiać podejmowanie decyzji. Dzięki AI praca staje się szybsza i efektywniejsza – co również dostrzegają sami […]

Umowa udostępnienia danych osobowych w celach marketingowych

Specjaliści w dziedzinie marketingu na pewno słyszeli o umowie powierzenia danych osobowych, zwłaszcza kiedy korzystają ze wsparcia zewnętrznych dostawców usług – realizacji kampanii mailingowych czy SMS, realizacji promocji, konkursów, utrzymania systemu do przetwarzania baz marketingowych. Rzadziej w obrocie pomiędzy firmami pojawia się umowa udostępnienia danych osobowych do zawarcia pomiędzy firmą X udostępniającą dane a firmą […]

Procedura ochrony danych osobowych w pracy zdalnej – kiedy jest potrzebna i jak ją wprowadzić?

Od 07 kwietnia 2023 r. obowiązują znowelizowane przepisy Kodeksu Pracy o świadczeniu pracy zdalnej. Jeżeli firma dopuszcza taką formę świadczenia pracy, zasady ją regulujące powinny w dacie publikacji niniejszego tekstu być już uchwalone i znane pracownikom. Pierwsze miesiące obowiązywania nowych zasad są też doskonałym czasem na weryfikację, czy posiadana dokumentacja jest zgodna z przepisami oraz […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki