Pliki cookies a ochrona danych osobowych (RODO)
Jak legalnie korzystać z cookies?

Pliki cookies a ochrona danych osobowych. Jak legalnie korzystać z cookies?

Niemal każda firma działająca online posługuje się narzędziami służącymi do profilowania i śledzenia użytkowników. Wykorzystują one pliki cookies, które pozwalają m.in. na kontrolowanie ruchu na stronie, czy poznawanie preferencji i zachowań odwiedzających witrynę użytkowników. Dotyczy to nie tylko korzystania z tak oczywistych narzędzi jak np. Google Analytics, ale również pozornie niewinnego podpięcia piksela Facebooka. Wszystkie te rozwiązania opierają się właśnie na wykorzystywaniu tzw. plików cookies.

A przecież w związku z obowiązującymi przepisami (i nie chodzi tutaj wyłącznie o RODO), powinniśmy kontrolować, w jaki sposób korzystamy z takich narzędzi. Zastosowanie ich w niewłaściwy, nieuważny sposób może poskutkować m.in. konsekwencjami prawnymi (np. ze strony organów administracji) oraz brakiem zaufania ze strony odbiorców witryny. Jak poradzić sobie z tym problemem bez zbędnego ryzyka?

Zgoda użytkownika – niezbędna do korzystania z plików cookies

Podstawą w legalności wykorzystywania cookies, jest uzyskanie zgody użytkownika. Trzeba poinformować odbiorę o rodzajach zbieranych plików oraz opisać, w jaki sposób może samodzielnie zmienić ustawienia cookies na stronie. Najważniejsze jest więc uświadomienie o tym samego zainteresowanego, czyli osoby, której dane zamierzamy gromadzić. Zgody takiej wymaga wprost art. 173 ust.1 ustawy – prawo telekomunikacyjnego z dnia 16 lipca 2004 r.

W kontekście tego przepisu, jak i samego rozporządzenia RODO, najważniejsze pozostaje uświadomienie odbiorców, że w ogóle zbieramy jakieś informacje na ich temat.

„Pop-up” lub pasek z informacją

W związku z tym najlepiej umieścić na stronie specjalne okno tzw. pop-up lub pasek z zapytaniem o zgodę na korzystanie z plików cookies. Taki komunikat może znajdować się w dolnej lub górnej części witryny www. Ważne, aby w komunikacie tym umieścić wymagane informacje, tj. o tym jakie pliki cookies są wykorzystywane i jak użytkownik może zmienić ustawienia cookies. Ze względu na ograniczoną przestrzeń do wpisywania takich informacji w samym pop-up praktykuje się odesłanie w pop-up do szerszej informacji, np. polityki plików cookies, o czym w kolejnych akapitach.

Trzeba się jednocześnie postarać, aby odbiorca miał faktyczny wpływ na to, czy jego dane będą przez nas gromadzone. Nie można tworzyć fikcyjnych zapytań, które dadzą mu jedynie pozorne, fałszywe poczucie kontroli. Dlatego pliki cookies powinny ładować się dopiero po wyrażeniu zgody przez użytkownika, a nie automatycznie, w wyniku samego wejścia w witrynę.

Technologicznie będzie to w 100% możliwe – po prostu trzeba zainwestować w dobrego programistę. Co więcej, zarządzanie plikami cookies i pytanie o zgodę na ich gromadzenie, nie musi oznaczać drastycznego spadku ilości pozyskiwanych danych. Wiele osób obawia się, że przez pojawienie się takiej możliwości, większość odbiorców nie udzieli pozwolenia na używanie cookies. Jednak jeżeli napiszemy komunikat w przemyślany, zachęcający sposób, wcale nie odnotujemy większych trudności w zdobywaniu informacji o odbiorcach swojej witryny.

Dlaczego to wszystko jest tak ważne?

Przede wszystkim ze względu na wiarygodność strony w oczach odbiorcy i tym samym możliwość zyskania przewagi nad konkurencją, która być może nie prowadzi tak uczciwych działań. Wiadomo, że pliki cookies, które gromadzą dane na temat użytkowników, wykorzystuje się w celach komercyjnych i są właściwie niezbędne do skutecznego prowadzenia biznesu w sieci. Tworzenie sztucznych komunikatów, dawanie złudnego prawa do podejmowania decyzji – to w pewnym sensie oszukiwanie potencjalnego klienta.

Trzeba też mieć na uwadze, że świadomość użytkowników sieci znacząco wzrosła, zwłaszcza po głośnym wprowadzeniu RODO. Dlatego powiadamianie swoich odbiorców o stosowaniu cookies i oferowanie im faktycznej możliwości decydowania o tym, kto i jak może korzystać z ich danych, będzie działaniem profesjonalnym i podkreślającym rzetelność.

Google Analytics z perspektywy RODO

Jednym z najchętniej wykorzystywanych narzędzi statystycznych, którego działanie opiera się właśnie na plikach cookies, jest Google Analytics. W tym przypadku możemy odnieść się ponownie do art. 173 ustawy – prawo telekomunikacyjne, wedle którego mamy obowiązek poinformować użytkownika o stosowaniu cookies i uzyskać jego zgodę. Ma to znaczenie również w kontekście RODO, ponieważ Google Analytics gromadzi dość szczegółowe informacje o osobach odwiedzających witrynę, m.in. o: ich lokalizacji geograficznej; sposobie, w jaki trafiają na stronę; czasie przebywania na konkretnych podstronach; rodzaju wykorzystywanego urządzenia (stacjonarne/mobilne, a nawet używana wyszukiwarka i system operacyjny); oraz, czy jest to ich pierwsza czy kolejna wizyta.

Poza tym raporty GA dzielą użytkowników na kategorie np. ze względu na płeć, wiek i zainteresowania. Wszystko to umożliwia identyfikację konkretnej osoby, nawet jeśli tylko w pewnym stopniu. W konsekwencji, takie informacje można określić mianem potencjalnych danych osobowych, a to właśnie one są przedmiotem rozporządzenia RODO. Google Analytics nie zbiera więc bezpośrednio danych osobowych, bo są to tzw. dane eksploatacyjne, ale przy zebraniu szeregu takich danych potencjalnie możemy mieć do czynienia z ujawnieniem danych osobowych. A to dlatego, że dane osobowe to takie informacje, przez które można zidentyfikować osobę fizyczną.

Co można z tym zrobić?

Każda strona internetowa musi być dostosowana do obowiązującego prawa. W tym celu należy wykonać pewne czynności faktyczne i informacyjne, o których wspomnieliśmy już w poprzednim akapicie. Pierwsza kategoria, czyli czynności faktyczne, mają związek z samymi ustawieniami Google. W Google Analytics znajdziemy gotowe mechanizmy, które ułatwią przystosowanie witryny do wymogów RODO. Najważniejsze z nich to bez wątpienia:

  • Możliwość ustawienia okresu przechowywania (np. na kilka miesięcy). Po tym czasie dojdzie do ich automatycznego usunięcia, ale raporty GA wciąż będą dla nas dostępne. Będzie to dawało wyraz zgodności z art. 5 pkt 1 lit. e RODO (administrator może przechowywać dane przez okres nie dłuższy niż jest to konieczne do realizacji działań, dla których je przetwarza).
  • Samodzielna selekcja informacji – czyli wybranie spośród zgromadzonych informacji te, które faktycznie są nam potrzebne i usunięcie reszty.
  • Google Analytics User Deletion API – możliwość usuwania danych poszczególnych użytkowników po ich wykorzystaniu przez administratora witryny, albo zgodnie z prawem użytkownika do „bycia zapomnianym”.
  • Anonimizacja, czyli ograniczenie zapisu pełnego kodu adresów IP (liczba przetwarzanych danych automatycznie ulegnie ograniczeniu), albo sprawdzenie, czy IP które zbiera Google Analytics nie są bezpośrednio powiązane z konkretnym loginem albo e-mailem.

Tworzenie Polityki cookies i Polityki prywatności. Zrób to dobrze !

Drugi krok, który pozwoli nam na legalne korzystanie z plików cookies i narzędzi typu Google Analytics, to stworzenie Polityki cookies i Polityki prywatności. Oczywiście po samym wejściu na stronę – jak już wspomniano – powinno pojawiać się np. wyskakujące okienko „pop-up” ze wstępną informacją na ten temat, przekierowujące do szczegółowego rozwinięcia właśnie w Polityce cookies. W okienku „pop-up” odbiorca może zaznaczyć, że akceptuje lub nie akceptuje plików cookies (zgoda lub jej brak powinny być archiwizowane przez administratora).

Okienko może zawierać tylko skróconą informację, np., z jakich narzędzi śledzących korzystamy, powiadamiać, że użytkownik nie ma obowiązku wyrażenia na to zgody, a jego dane mogą zostać usunięte z bazy. Przy tym dobrze jest zawrzeć ostrzeżenie, że w wyniku niezaakceptowania cookies, niektóre funkcje strony przestaną działać (np. wtyczki społecznościowe).

Tekst dostosowany do potrzeb Twojej strony internetowej

Trzeba zaznaczyć, że zarówno w przypadku wyskakującego okienka „pop-up”, jak i Polityki cookies, nie istnieje w 100% uniwersalny tekst, który można wykorzystać wszędzie. Każda strona i każdy biznes mają swoją własną specyfikę, dlatego utworzenie tych zapisów warto powierzyć osobom, które wezmą pod uwagę charakter naszej witryny i aktualnie obowiązujące przepisy (np. wyspecjalizowanej kancelarii prawnej).

Jak wygląda dobrze skonstruowana Polityka cookies i Polityka prywatności? Możemy wzorować się m.in. na oficjalnych komunikatach Google dotyczących zasad funkcjonowania GA i porównać je z wymogami RODO.  Dobrze, aby tekst był napisany specjalnie pod konkretną stronę internetową. Warto, aby znalazły się w nim informacje o tym, że witryna:

  • korzysta z plików cookies i np. narzędzia śledzącego, jakim jest Google Analytics,
  • gromadzi konkretne dane (wymienić jakie),
  • pozyskiwane informacje wykorzystuje w konkretnych celach (w jakich),
  • dane mogą /nie mogą być udostępniane podmiotom zewnętrznym (w tym podmiotom spoza UE),
  • wskazać przez jaki czas dane są przechowywane,
  • użytkownik ma możliwość zablokowania plików cookies (jak), ale przez to niektóre funkcje witryny przestaną działać (które),
  • w jaki sposób użytkownik może zmienić ustawienia cookies (w tym GA).

Jeżeli nie wiemy, jakie pliki cookies są gromadzone przez naszą stronę, najlepiej zlecić ich identyfikację. Można zrobić to za pomocą specjalnej wtyczki przeglądarki, która samodzielnie sprawdza cookies, programu antywirusowego, albo – najlepiej – zlecić audyt specjaliście, który sprawdzi naszą witrynę pod tym kątem. Wiedząc, jakie dane gromadzimy, będziemy mogli stworzyć zgodną z rzeczywistością, dobrze skonstruowaną Politykę cookies i Politykę prywatności.

A może zgoda poprzez ustawienia przeglądarki?

Artykuł 173 ust 2. Ustawy prawo telekomunikacyjne uwzględnia taką możliwość, jednak nie ocenia się tego jako dobre i bezpieczne rozwiązanie. Prawnicy spierają się w tym temacie, ponieważ według przepisów jest to możliwe. Mimo wszystko taka zgoda, która zostaje z góry wyrażona dla każdej witryny, czyli z poziomu przeglądarki, nie daje odbiorcy żadnej kontroli nad własnymi danymi podczas korzystania z poszczególnych stron. A jak wiadomo, nie to jest celem informowania o cookies. Ważniejsza jest faktyczna możliwość podjęcia decyzji o tym, czy zezwalamy pojedynczej witrynie na gromadzenie naszych danych, czy jednak wolimy ich nie udostępniać.

Udzielenie jednej, ogólnej zgody za pośrednictwem przeglądarki to nie to samo, co skorzystanie z dedykowanego narzędzia do zarządzania plikami cookies. Informowanie o rodzajach danych, jakie pozyskujemy, zwiększa zaufanie do strony i sprawia, że działania jej administratora są w pełni zgodne z obowiązującymi przepisami.

Podsumowując, każda witryna powinna mieć „pop-up” lub pasek, które pozwalają na udzielenie lub nieudzielenie zbiorczej zgody na cookies (np. Wyrażam zgodę/Nie wyrażam zgody). Pasek musi zawierać czytelny i zrozumiały tekst informujący, jakie pliki będą wykorzystywane i w jakim celu. Kolejna ważna kwestia to stworzenie wyczerpującej temat Polityki prywatności (+ewentualnie osobno Polityki cookies lub informacje o cookies zamieścić w dokumencie Polityki prywatności). Dodatkowo warto wprowadzić opcję wyłączania wybranych plików cookies przez użytkownika (po przejściu do ustawień), a także nie gromadzić jego danych do momentu, w którym faktycznie wyrazi na to zgodę. Poza tym zgoda użytkownika na cookies powinna być przez administratora archiwizowana celem ewentualnego udowodnienia, że doszło do wyrażenia zgody.

Więcej informacji znajdziecie w zakładce E-Commerce

Zespół RPMS

Pozostałe artykuły

Zostaw komentarz