Pliki cookies a dane osobowe
Dane osobowe zdefiniowano w RODO bardzo szeroko. Daną osobową może być np. identyfikator internetowy użytkownika, dane o urządzeniu czy też dane o wykorzystywanej przeglądarce internetowej. Także informacje zapisane w ramach plików cookies na urządzeniach końcowych użytkowników mogą być uznane za dane osobowe.
Warto zauważyć, że pliki cookies często nie są zapisywane bezpośrednio przez właściciela danej strony internetowej, ale przez sporo podmiotów trzecich, z których usług taki właściciel korzysta. Skutkuje to przetwarzaniem dużej ilości danych osobowych.
Pliki cookies mogą zawierać informacje np. o:
- użytkownika w ramach mediów społecznościowych,
- sposobie korzystania przez użytkownika ze strony WWW w kontekście prowadzenia późniejszych działań marketingowych.
4 wymogi zgody według RODO
Zgoda użytkownika na zapisanie na jego urządzeniu plików cookies powinna spełniać wymogi zgody na przetwarzanie danych osobowych według RODO. Wskazują na to zarówno Trybunał Sprawiedliwości Unii Europejskiej, jak i organy nadzorcze zajmujące się kwestiami związanymi z ochroną danych osobowych w krajach UE.
Zgoda powinna być:
- dobrowolna – tzn. wyrażenie zgody musi być skutkiem swobodnego wyboru osoby, która takiej zgody udziela. Innymi słowy, osoba taka powinna mieć możliwość samodzielnego podjęcia decyzji w przedmiocie wyrażenia zgody. Tym samym może ona również nie wyrazić zgody albo cofnąć udzieloną wcześniej zgodę,
- świadoma – osoba, która wyraża zgodę, wie, że jej działanie zostanie za taką zgodę uznane. Dodatkowo, powinna być świadoma tego, komu takiej zgody udziela i w jakim celu to robi (na co się zgadza),
- konkretna – wyrażenie zgody powinno obejmować konkretny cel, który wiąże się z takim oświadczeniem o zgodzie. Dlatego też nie jest możliwe udzielanie ogólnych zgód czy też jednej zgody obejmującej kilka różnych, niepowiązanych ze sobą działań,
- jednoznaczna – osoba, która wyraża zgodę, nie powinna mieć wątpliwości, na co się zgadza. Dodatkowo, z samej treści zgody wynika, na co taka osoba się zgodziła, a na co nie – stąd też klauzula zgody powinna być możliwie precyzyjna i zrozumiała,
- wyraźna - zgoda może być wyrażona w drodze oświadczenia lub jednoznacznego działania potwierdzającego.
Zgoda może być wyrażona w drodze oświadczenia lub jednoznacznego działania potwierdzającego.
Wymogi te należy odnieść do specyfiki wiążącej się z korzystaniem z plików cookies. Z drugiej strony należy mieć na względzie, że zgoda na ich stosowanie obejmuje nie samo przetwarzanie danych, ale zapisanie informacji na urządzeniu końcowym użytkownika.
Korzystając z plików cookies, z reguły właściciel strony będzie musiał spełniać wymogi zarówno dotyczące samych plików cookies, wynikające z dyrektywy ePrivacy i ustawy Prawo telekomunikacyjne, jak i wymogi wynikające z przepisów RODO, dotyczące przetwarzania danych osobowych.
Zgoda musi być udzielona samodzielnie
Zgody na zapis plików cookies na urządzeniach końcowych użytkowników muszą być udzielane w wyniku samodzielnej decyzji. Użytkownik powinien autonomicznie decydować, jakie pliki cookies mogą być zapisane na jego urządzeniu.
Przykład
Właściciel strony WWW nie może ograniczyć się do informacji, że strona wykorzystuje pliki cookies z opcją naciśnięcia przez użytkownika przycisku o treści „akceptuję” lub „rozumiem”, skutkującego zamknięciem banera z informacją o plikach cookies i zapisaniem ich na urządzeniu użytkownika.
Przykład
Rozwiązaniem zapewniającym samdzielność decyzji użytkownika będzie wskazanie mu w komunikacie, jakie rodzaje plików cookies mogą zostać zapisane na jego urządzeniu. Jeżeli dany użytkownik chce wyrazić zgodę na określony rodzaj plików cookies, wówczas może zaznaczyć odpowiedni checkbox, odnoszący się do takiego rodzaju plików cookies.
W dalszej części artykułu:
- jakie dodatkowe warunki musi spełniać zgoda na stosowanie plików cookies,
- czy zgoda może być udzielona poprzez ustawienia przeglądarki,
- kiedy zgoda nie będzie wymagana,
- jak informować o stosowaniu plików cookies,
- co umieścić w polityce cookies.
