iSecure logo
  • pl
  • en
    • Blog

    PLIKI COOKIES PO POLSKU

    Bartosz Migas
    Kategorie

    Ciasteczkowy zawrót głowy

     Pliki cookies wykorzystywane są dzisiaj niemal na każdej stronie internetowej. Informacje o użytkowniku danego sprzętu pozwalają dostosować usługi do konkretnej osoby, zebrać informacje statystyczne i analityczne o działaniu serwisu, ale także poznać zachowania odwiedzających/kupujących, które później wyznaczają kierunki kampanii reklamowych. 

    Pliki cookies to technologia zbierająca dane o użytkownikach, a ich użycie jest regulowane przepisami prawa. Na chwilę obecną ramy prawne wyznacza głównie unijna dyrektywa e-Privacy[1], dlatego też w poszczególnych krajach członkowskich można odnaleźć różne regulacje ustawowe. Dodatkowo europejskie organy ochrony danych, organy nadzorujące działalność podmiotów w zakresie komunikacji elektronicznej oraz sądy wydawały decyzje i wyroki zawierające liczne wytyczne w zakresie ich stosowania. 

    Polski ustawodawca uregulował zasadę korzystania z plików cookies jednym przepisem (art. 173 prawa telekomunikacyjnego), którego treść (powielana zresztą w nowym projekcie Prawa Komunikacji Elektronicznej) wprowadza pewne zamieszanie, idąc wbrew tendencjom europejskim. Co więcej, urzędy nadzorcze (PUODO i UOKIK) niespecjalnie wykazują zainteresowanie tą tematyką, przez co w regulacjach polskich istnieje pewien chaos sprawiający problemy w praktyce. 

    Mierząc się z potrzebą uporządkowania tej materii warto wyłuskać z różnych źródeł informacje niezbędne dla codziennej biznesowej praktyki.

     

    Pliki cookies – założenia wstępne

    Na początek dwa ustalenia, które zostały rozstrzygnięte w dyskusji o plikach cookies:

    1 – Pliki cookies przetwarzają dane osobowe – mimo pojawiających się wątpliwości interpretacyjnych czy dany zestaw informacji (np. adres IP, rodzaj przeglądarki, język domyślny i rodzaj urządzenia) należy traktować jako dane osobowe, na dzień dzisiejszy nie mamy w praktyce wątpliwości – zestaw zbieranych informacji oraz cel, w jakim są pozyskiwane sprawia, że należy traktować takie przetwarzanie, jako przetwarzanie danych osobowych. 

    2 – Regulacje dotyczące plików cookies stosuje się także do technologii podobnych – nie wszystkie technologie umożliwiające śledzenie zachowania osób w sieci lub zbieranie o nich określonych informacji są technicznie plikami cookies. Mimo to, organy publikujące wytyczne bardzo często wymieniają tzw. technologie podobne obok plików cookies wskazując, że zasady ich stosowania rozciągają się także na całą grupę technologii podobnych stosowanych w takich samych celach. 

     

    Pliki cookies (i technologie podobne) zgodnie z polskimi przepisami – niezbędne minimum

    Jak już wspomniano, polska regulacja nie należy do najprostszych, przede wszystkim dlatego, że przy wymogu udzielenia uprzedniej zgody na stosowanie plików cookies jednocześnie wymaga spełnienia warunków zgody określonych w RODO (a więc musi być ona uprzednia, wyraźna, precyzyjna oraz dobrowolna), a z drugiej strony dopuszcza jej wyrażenie poprzez ustawienia urządzenia lub przeglądarki internetowej, które właściwie stanowi zaprzeczenie tych cech. 

    Mimo tej niekonsekwencji trzeba w końcu wdrożyć jakieś rozwiązania, żeby bez narażania się na odpowiedzialność móc bezpiecznie korzystać z plików cookies:

    1. Spełnienie obowiązku informacyjnego – w miejscu, gdzie są stosowane pliki cookies (i technologie podobne) powinna być łatwo dostępna informacja o ich stosowaniu zawierająca:

      1. Informację o tym, kto jest administratorem danych osobowych zebranych za pomocą cookies oraz czy są one zbierane przez podmiot prowadzący stronę (tzw. cookies własne) czy też przez partnerów (tzw. cookies stron trzecich np. portali społecznościowych), 
      2. jakie rodzaje cookies i w jakim celu są stosowane (np. cookies funkcjonalne zapamiętujące ustawienia przeglądarki użytkownika takie jak rozdzielczość, czcionka i język w celu dostosowania wyglądu serwisu lub cookies analityczne zbierające informacje na temat zainteresowania określonymi treściami czy częstotliwości korzystania w celu poprawy jakości publikowanych treści),
      3. jakie informacje i dane są zbierane przez cookies (np. IP, model i rodzaj urządzenia, przybliżona lokalizacja, domyślny język),
      4. jak długo dane są przechowywane (np. na czas trwania sesji lub przez jeden rok), 
      5. w jaki sposób zmienić ustawienia urządzenia/przeglądarki, aby włączyć lub wyłączyć możliwość wykorzystywania plików cookies oraz usunąć pliki już zainstalowane. 

    Zaleca się także, aby obowiązek informacyjny w wersji pełnej był umieszczony w odrębnym miejscu (np. polityce plików cookies) tak, aby odróżniał się od regulaminu serwisu lub polityki prywatności czy ochrony danych osobowych.

    Informacja o wykorzystywaniu plików cookies powinna pojawić się od razu przy wejściu na stronę internetową lub zalogowaniu się do aplikacji np. w postaci wyskakującego okienka (tzw. cookie banner), który powinien zawierać co najmniej skrócone informacje dotyczące:

            administratora danych

            rodzaju używanych cookies

            kategorii zbieranych danych

            celu używania plików cookies

            możliwości zmiany ustawień lub wyrażenia zgody

            odniesienia do “pełnej” informacji o stosowaniu plików cookies

     

    Przykład: Na stronie korzystamy z plików cookies, które zbierają informacje na temat twojego urządzenia oraz zachowania w naszym serwisie, w celu dostosowania jego wyglądu i publikowanych w nim treści. Możesz wyłączyć możliwość stosowania cookies klikając przycisk “nie wyrażam zgody” lub zmieniając ustawienia swojego urządzenia/przeglądarki. Więcej informacji znajdziesz w naszej Polityce Plików Cookies.

     

    2. Zgoda na wykorzystywanie plików cookies – drugim elementem niezbędnym do zgodnego z prawem korzystania z plików cookies jest uzyskanie uprzedniej zgody od użytkownika urządzenia końcowego (komputera, tabletu, telefonu). W praktyce tutaj pojawią się największe problemy z polską regulacją. Podczas gdy europejskie organy regulacyjne w swoich decyzjach i wytycznych przyjmują restrykcyjne podejście do uzyskiwania zgody (m. in. wymagają precyzyjnego wyodrębnienia zgód na poszczególne rodzaje plików cookies czy też zakazują przyjmowania domyślnej zgody) tak polska regulacja dopuszczająca wyrażenie zgody przez ustawienia urządzenia lub przeglądarki ignoruje tą debatę, zgadzając się właściwie na przyjęcie domyślnej zgody na wykorzystywanie cookies i technologii podobnych (przeglądarki i urządzenia co do zasady przyjmują możliwość wykorzystywania technologii śledzących, chyba, że zostaną one ręcznie wyłączone przez użytkownika). Warto podkreślić, że wspomniane rozwiązanie przewidziane wprost w art. 173 ust. 2 pt jest w dyskusji europejskiej wskazywane jako przykład praktyki niespełniającej wymogów RODO. 

    W tym stanie rzeczy można wyodrębnić dwa poglądy:

    1. Można argumentować, że na gruncie polskim do zainstalowania plików cookies na urządzeniu użytkownika nie jest wymagane zebranie oddzielnej, wyraźnie wyrażonej zgody (np. poprzez kliknięcie przycisku “wyrażam zgodę” lub zaznaczenie odpowiedniej opcji do wyboru), a wystarczy spełnienie obowiązku informacyjnego i wskazanie możliwości zmiany ustawień urządzenia i przeglądarki. Takie rozwiązanie jest przyjmowane także szeroko w praktyce. 
      • Jest to w istocie uznanie prymatu zgody udzielonej za pomocą ustawień (art. 173 ust. 2 pt) nad spełnieniem wymagań z RODO (art. 174 pt).
    2. Z drugiej strony uprawniony jest pogląd, że zgoda powinna spełniać wszelkie wymagania RODO w zakresie jej udzielenia, a więc w szczególności powinna być udzielona przed zainstalowaniem plików, poprzez wyraźne, dające się wyodrębnić działanie podjęte po uzyskaniu jasnej i pełnej informacji na temat administratora danych, rodzaju plików cookies, celów przetwarzania i odbiorców, w sposób umożliwiający swobodny wybór. 
      • Pogląd opiera się na przekonaniu, że zgoda udzielona przez ustawienia przeglądarki lub aplikacji może być uznana za prawidłową tylko w sytuacji, gdy takie ustawienia przeglądarki/aplikacji spełniają wymogi zgody przewidziane przez RODO, a ponieważ chyba żadna z wiodących przeglądarek czy popularnych aplikacji nie spełnia tych wymogów, to w praktyce zebranie prawidłowej zgody z art. 173 ust. 2 pt jest niemal niemożliwe. 

     

    Jeden IOD powie tak, inny powie nie

    Jak widać polski ustawodawca nie ułatwia wypracowania właściwych rozwiązań dopuszczając do sytuacji poważnych wątpliwości regulacyjnych, co z kolei przekłada się na funkcjonowanie na rynku całej gamy różnych zachowań, z których każde jest do obrony biorąc pod uwagę treść przepisów. Nie pomaga również fakt, że ustawodawca nie skorzystał z możliwości rozstrzygnięcia tych wątpliwości w nowym projekcie Prawa Komunikacji Elektronicznej kopiując przepis bez zmian do art. 361 ust. 2 projektu ustawy.

    W mojej opinii warto jest podążyć drogą europejskiej dyskusji i wdrażać zalecenia wymagające spełnienia wszystkich wymogów do uznania, że użytkownik wyraził zgodę na stosowanie wobec niego plików lub technologii podobnych. Z kilku powodów:

    • Wynika to przede wszystkim z faktu, że taka interpretacja jest zgodna z systemową rolą prawa ochrony danych i wpisuje się w cel istnienia tej regulacji, która ma zapewnić użytkownikom kontrolę nad ich danymi osobowymi, czego nie gwarantuje podejście dopuszczające udzielenie zgody przez przeglądarkę. 
    • Jest to rozwiązanie bezpieczniejsze regulacyjnie niż pozostawanie w sferze regulacyjnego chaosu, który nie daje żadnej gwarancji uniknięcia negatywnych konsekwencji na skutek kontroli. 
    • Wszystko wskazuje na to, że stan ciasteczkowego, nadwiślańskiego chaosu zmierza ku końcowi za sprawą rozporządzenia e-Privacy, które może w perspektywie najbliższych lat ujednolicić regulację stosowania plików cookies na poziomie całej UE, dając prymat wymogowi uzyskania zgody spełniającej wymogi RODO. 

     

    [1] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Uregulowanie stosunku powierzenia

    Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia. Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych […]

    Czytaj więcej
    Maria Lothamer

    Dane osobowe w sklepie stacjonarnym – jak je chronić?

    Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

    Czytaj więcej
    Maciej Łukaszewicz

    Regulamin sklepu internetowego – o czym należy pamiętać?

    Sklepy internetowe to dzisiaj standard. W zasadzie większość przedsiębiorców sprzedaje swoje produkty w formie on-line. Szczególnie mamy z tym do czynienia przy produktach takich jak: ubrania, jedzenie, sprzęt AGD, elektronika, narzędzia, części zamienne, części samochodowe i wiele innych. Prowadząc sprzedaż swoich produktów za pomocą sklepu internetowego przedsiębiorca w praktyce świadczy usługi drogą elektroniczną. Zgodnie z […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki