Pliki cookies a ochrona danych osobowych (RODO)
Jak legalnie korzysta膰 z cookies?

Pliki cookies a ochrona danych osobowych. Jak legalnie korzysta膰 z cookies?

Niemal ka偶da firma dzia艂aj膮ca online pos艂uguje si臋 narz臋dziami s艂u偶膮cymi do profilowania i 艣ledzenia u偶ytkownik贸w. Wykorzystuj膮 one pliki cookies, kt贸re pozwalaj膮 m.in. na kontrolowanie ruchu na stronie, czy poznawanie preferencji i zachowa艅 odwiedzaj膮cych witryn臋 u偶ytkownik贸w. Dotyczy to nie tylko korzystania z tak oczywistych narz臋dzi jak np. Google Analytics, ale r贸wnie偶 pozornie niewinnego podpi臋cia piksela Facebooka. Wszystkie te rozwi膮zania opieraj膮 si臋 w艂a艣nie na wykorzystywaniu tzw. plik贸w cookies.

A przecie偶 w zwi膮zku z obowi膮zuj膮cymi przepisami (i nie chodzi tutaj wy艂膮cznie o RODO), powinni艣my kontrolowa膰, w jaki spos贸b korzystamy z takich narz臋dzi. Zastosowanie ich w niew艂a艣ciwy, nieuwa偶ny spos贸b mo偶e poskutkowa膰 m.in. konsekwencjami prawnymi (np. ze strony organ贸w administracji) oraz brakiem zaufania ze strony odbiorc贸w witryny. Jak poradzi膰 sobie z tym problemem bez zb臋dnego ryzyka?

Zgoda u偶ytkownika 鈥 niezb臋dna do korzystania z plik贸w cookies

Podstaw膮 w legalno艣ci wykorzystywania cookies, jest uzyskanie zgody u偶ytkownika. Trzeba poinformowa膰 odbior臋 o rodzajach zbieranych plik贸w oraz opisa膰, w jaki spos贸b mo偶e samodzielnie zmieni膰 ustawienia cookies na stronie. Najwa偶niejsze jest wi臋c u艣wiadomienie o tym samego zainteresowanego, czyli osoby, kt贸rej dane zamierzamy gromadzi膰. Zgody takiej wymaga wprost art. 173 ust.1 ustawy – prawo telekomunikacyjnego z dnia 16 lipca 2004 r.

W kontek艣cie tego przepisu, jak i samego rozporz膮dzenia RODO, najwa偶niejsze pozostaje u艣wiadomienie odbiorc贸w, 偶e w og贸le zbieramy jakie艣 informacje na ich temat.

鈥濸op-up鈥 lub pasek z informacj膮

W zwi膮zku z tym najlepiej umie艣ci膰 na stronie specjalne okno tzw. pop-up lub pasek z zapytaniem o zgod臋 na korzystanie z plik贸w cookies. Taki komunikat mo偶e znajdowa膰 si臋 w dolnej lub g贸rnej cz臋艣ci witryny www. Wa偶ne, aby w komunikacie tym umie艣ci膰 wymagane informacje, tj. o tym jakie pliki cookies s膮 wykorzystywane i jak u偶ytkownik mo偶e zmieni膰 ustawienia cookies. Ze wzgl臋du na ograniczon膮 przestrze艅 do wpisywania takich informacji w samym pop-up praktykuje si臋 odes艂anie w pop-up do szerszej informacji, np. polityki plik贸w cookies, o czym w kolejnych akapitach.

Trzeba si臋 jednocze艣nie postara膰, aby odbiorca mia艂 faktyczny wp艂yw na to, czy jego dane b臋d膮 przez nas gromadzone. Nie mo偶na tworzy膰 fikcyjnych zapyta艅, kt贸re dadz膮 mu jedynie pozorne, fa艂szywe poczucie kontroli. Dlatego pliki cookies powinny 艂adowa膰 si臋 dopiero po wyra偶eniu zgody przez u偶ytkownika, a nie automatycznie, w wyniku samego wej艣cia w witryn臋.

Technologicznie b臋dzie to w 100% mo偶liwe 鈥 po prostu trzeba zainwestowa膰 w dobrego programist臋. Co wi臋cej, zarz膮dzanie plikami cookies i pytanie o zgod臋 na ich gromadzenie, nie musi oznacza膰 drastycznego spadku ilo艣ci pozyskiwanych danych. Wiele os贸b obawia si臋, 偶e przez pojawienie si臋 takiej mo偶liwo艣ci, wi臋kszo艣膰 odbiorc贸w nie udzieli pozwolenia na u偶ywanie cookies. Jednak je偶eli napiszemy komunikat w przemy艣lany, zach臋caj膮cy spos贸b, wcale nie odnotujemy wi臋kszych trudno艣ci w zdobywaniu informacji o odbiorcach swojej witryny.

Dlaczego to wszystko jest tak wa偶ne?

Przede wszystkim ze wzgl臋du na wiarygodno艣膰 strony w oczach odbiorcy i tym samym mo偶liwo艣膰 zyskania przewagi nad konkurencj膮, kt贸ra by膰 mo偶e nie prowadzi tak uczciwych dzia艂a艅. Wiadomo, 偶e pliki cookies, kt贸re gromadz膮 dane na temat u偶ytkownik贸w, wykorzystuje si臋 w celach komercyjnych i s膮 w艂a艣ciwie niezb臋dne do skutecznego prowadzenia biznesu w sieci. Tworzenie sztucznych komunikat贸w, dawanie z艂udnego prawa do podejmowania decyzji 鈥 to w pewnym sensie oszukiwanie potencjalnego klienta.

Trzeba te偶 mie膰 na uwadze, 偶e 艣wiadomo艣膰 u偶ytkownik贸w sieci znacz膮co wzros艂a, zw艂aszcza po g艂o艣nym wprowadzeniu RODO. Dlatego powiadamianie swoich odbiorc贸w o stosowaniu cookies i oferowanie im faktycznej mo偶liwo艣ci decydowania o tym, kto i jak mo偶e korzysta膰 z ich danych, b臋dzie dzia艂aniem profesjonalnym i podkre艣laj膮cym rzetelno艣膰.

Google Analytics z perspektywy RODO

Jednym z najch臋tniej wykorzystywanych narz臋dzi statystycznych, kt贸rego dzia艂anie opiera si臋 w艂a艣nie na plikach cookies, jest Google Analytics. W tym przypadku mo偶emy odnie艣膰 si臋 ponownie do art. 173 ustawy – prawo telekomunikacyjne, wedle kt贸rego mamy obowi膮zek poinformowa膰 u偶ytkownika o stosowaniu cookies i uzyska膰 jego zgod臋. Ma to znaczenie r贸wnie偶 w kontek艣cie RODO, poniewa偶 Google Analytics gromadzi do艣膰 szczeg贸艂owe informacje o osobach odwiedzaj膮cych witryn臋, m.in. o: ich lokalizacji geograficznej; sposobie, w jaki trafiaj膮 na stron臋; czasie przebywania na konkretnych podstronach; rodzaju wykorzystywanego urz膮dzenia (stacjonarne/mobilne, a nawet u偶ywana wyszukiwarka i system operacyjny); oraz, czy jest to ich pierwsza czy kolejna wizyta.

Poza tym raporty GA dziel膮 u偶ytkownik贸w na kategorie np. ze wzgl臋du na p艂e膰, wiek i zainteresowania. Wszystko to umo偶liwia identyfikacj臋 konkretnej osoby, nawet je艣li tylko w pewnym stopniu. W konsekwencji, takie informacje mo偶na okre艣li膰 mianem potencjalnych danych osobowych, a to w艂a艣nie one s膮 przedmiotem rozporz膮dzenia RODO. Google Analytics nie zbiera wi臋c bezpo艣rednio danych osobowych, bo s膮 to tzw. dane eksploatacyjne, ale przy zebraniu szeregu takich danych potencjalnie mo偶emy mie膰 do czynienia z ujawnieniem danych osobowych. A to dlatego, 偶e dane osobowe to takie informacje, przez kt贸re mo偶na zidentyfikowa膰 osob臋 fizyczn膮.

Co mo偶na z tym zrobi膰?

Ka偶da strona internetowa musi by膰 dostosowana do obowi膮zuj膮cego prawa. W tym celu nale偶y wykona膰 pewne czynno艣ci faktyczne i informacyjne, o kt贸rych wspomnieli艣my ju偶 w poprzednim akapicie. Pierwsza kategoria, czyli czynno艣ci faktyczne, maj膮 zwi膮zek z samymi ustawieniami Google. W Google Analytics znajdziemy gotowe mechanizmy, kt贸re u艂atwi膮 przystosowanie witryny do wymog贸w RODO. Najwa偶niejsze z nich to bez w膮tpienia:

  • Mo偶liwo艣膰 ustawienia okresu przechowywania (np. na kilka miesi臋cy). Po tym czasie dojdzie do ich automatycznego usuni臋cia, ale raporty GA wci膮偶 b臋d膮 dla nas dost臋pne. B臋dzie to dawa艂o wyraz zgodno艣ci z art. 5 pkt 1 lit. e RODO (administrator mo偶e przechowywa膰 dane przez okres nie d艂u偶szy ni偶 jest to konieczne do realizacji dzia艂a艅, dla kt贸rych je przetwarza).
  • Samodzielna selekcja informacji 鈥 czyli wybranie spo艣r贸d zgromadzonych informacji te, kt贸re faktycznie s膮 nam potrzebne i usuni臋cie reszty.
  • Google Analytics User Deletion API 鈥 mo偶liwo艣膰 usuwania danych poszczeg贸lnych u偶ytkownik贸w po ich wykorzystaniu przez administratora witryny, albo zgodnie z prawem u偶ytkownika do 鈥瀊ycia zapomnianym鈥.
  • Anonimizacja, czyli ograniczenie zapisu pe艂nego kodu adres贸w IP (liczba przetwarzanych danych automatycznie ulegnie ograniczeniu), albo sprawdzenie, czy IP kt贸re zbiera Google Analytics nie s膮 bezpo艣rednio powi膮zane z konkretnym loginem albo e-mailem.

Tworzenie Polityki cookies i Polityki prywatno艣ci. Zr贸b to dobrze !

Drugi krok, kt贸ry pozwoli nam na legalne korzystanie z plik贸w cookies i narz臋dzi typu Google Analytics, to stworzenie Polityki cookies i Polityki prywatno艣ci. Oczywi艣cie po samym wej艣ciu na stron臋 鈥 jak ju偶 wspomniano – powinno pojawia膰 si臋 np. wyskakuj膮ce okienko 鈥瀙op-up鈥 ze wst臋pn膮 informacj膮 na ten temat, przekierowuj膮ce do szczeg贸艂owego rozwini臋cia w艂a艣nie w Polityce cookies. W okienku 鈥瀙op-up鈥 odbiorca mo偶e zaznaczy膰, 偶e akceptuje lub nie akceptuje plik贸w cookies (zgoda lub jej brak powinny by膰 archiwizowane przez administratora).

Okienko mo偶e zawiera膰 tylko skr贸con膮 informacj臋, np., z jakich narz臋dzi 艣ledz膮cych korzystamy, powiadamia膰, 偶e u偶ytkownik nie ma obowi膮zku wyra偶enia na to zgody, a jego dane mog膮 zosta膰 usuni臋te z bazy. Przy tym dobrze jest zawrze膰 ostrze偶enie, 偶e w wyniku niezaakceptowania cookies, niekt贸re funkcje strony przestan膮 dzia艂a膰 (np. wtyczki spo艂eczno艣ciowe).

Tekst dostosowany do potrzeb Twojej strony internetowej

Trzeba zaznaczy膰, 偶e zar贸wno w przypadku wyskakuj膮cego okienka 鈥瀙op-up鈥, jak i Polityki cookies, nie istnieje w 100% uniwersalny tekst, kt贸ry mo偶na wykorzysta膰 wsz臋dzie. Ka偶da strona i ka偶dy biznes maj膮 swoj膮 w艂asn膮 specyfik臋, dlatego utworzenie tych zapis贸w warto powierzy膰 osobom, kt贸re wezm膮 pod uwag臋 charakter naszej witryny i aktualnie obowi膮zuj膮ce przepisy (np. wyspecjalizowanej kancelarii prawnej).

Jak wygl膮da dobrze skonstruowana Polityka cookies i Polityka prywatno艣ci? Mo偶emy wzorowa膰 si臋 m.in. na oficjalnych komunikatach Google dotycz膮cych zasad funkcjonowania GA i por贸wna膰 je z wymogami RODO. 聽Dobrze, aby tekst by艂 napisany specjalnie pod konkretn膮 stron臋 internetow膮. Warto, aby znalaz艂y si臋 w nim informacje o tym, 偶e witryna:

  • korzysta z plik贸w cookies i np. narz臋dzia 艣ledz膮cego, jakim jest Google Analytics,
  • gromadzi konkretne dane (wymieni膰 jakie),
  • pozyskiwane informacje wykorzystuje w konkretnych celach (w jakich),
  • dane mog膮 /nie mog膮 by膰 udost臋pniane podmiotom zewn臋trznym (w tym podmiotom spoza UE),
  • wskaza膰 przez jaki czas dane s膮 przechowywane,
  • u偶ytkownik ma mo偶liwo艣膰 zablokowania plik贸w cookies (jak), ale przez to niekt贸re funkcje witryny przestan膮 dzia艂a膰 (kt贸re),
  • w jaki spos贸b u偶ytkownik mo偶e zmieni膰 ustawienia cookies (w tym GA).

Je偶eli nie wiemy, jakie pliki cookies s膮 gromadzone przez nasz膮 stron臋, najlepiej zleci膰 ich identyfikacj臋. Mo偶na zrobi膰 to za pomoc膮 specjalnej wtyczki przegl膮darki, kt贸ra samodzielnie sprawdza cookies, programu antywirusowego, albo 鈥 najlepiej 鈥 zleci膰 audyt specjali艣cie, kt贸ry sprawdzi nasz膮 witryn臋 pod tym k膮tem. Wiedz膮c, jakie dane gromadzimy, b臋dziemy mogli stworzy膰 zgodn膮 z rzeczywisto艣ci膮, dobrze skonstruowan膮 Polityk臋 cookies i Polityk臋 prywatno艣ci.

A mo偶e zgoda poprzez ustawienia przegl膮darki?

Artyku艂 173 ust 2. Ustawy prawo telekomunikacyjne uwzgl臋dnia tak膮 mo偶liwo艣膰, jednak nie ocenia si臋 tego jako dobre i bezpieczne rozwi膮zanie. Prawnicy spieraj膮 si臋 w tym temacie, poniewa偶 wed艂ug przepis贸w jest to mo偶liwe. Mimo wszystko taka zgoda, kt贸ra zostaje z g贸ry wyra偶ona dla ka偶dej witryny, czyli z poziomu przegl膮darki, nie daje odbiorcy 偶adnej kontroli nad w艂asnymi danymi podczas korzystania z poszczeg贸lnych stron. A jak wiadomo, nie to jest celem informowania o cookies. Wa偶niejsza jest faktyczna mo偶liwo艣膰 podj臋cia decyzji o tym, czy zezwalamy pojedynczej witrynie na gromadzenie naszych danych, czy jednak wolimy ich nie udost臋pnia膰.

Udzielenie jednej, og贸lnej zgody za po艣rednictwem przegl膮darki to nie to samo, co skorzystanie z dedykowanego narz臋dzia do zarz膮dzania plikami cookies. Informowanie o rodzajach danych, jakie pozyskujemy, zwi臋ksza zaufanie do strony i sprawia, 偶e dzia艂ania jej administratora s膮 w pe艂ni zgodne z obowi膮zuj膮cymi przepisami.

Podsumowuj膮c, ka偶da witryna powinna mie膰 鈥瀙op-up鈥 lub pasek, kt贸re pozwalaj膮 na udzielenie lub nieudzielenie zbiorczej zgody na cookies (np. Wyra偶am zgod臋/Nie wyra偶am zgody). Pasek musi zawiera膰 czytelny i zrozumia艂y tekst informuj膮cy, jakie pliki b臋d膮 wykorzystywane i w jakim celu. Kolejna wa偶na kwestia to stworzenie wyczerpuj膮cej temat Polityki prywatno艣ci (+ewentualnie osobno Polityki cookies lub informacje o cookies zamie艣ci膰 w dokumencie Polityki prywatno艣ci). Dodatkowo warto wprowadzi膰 opcj臋 wy艂膮czania wybranych plik贸w cookies przez u偶ytkownika (po przej艣ciu do ustawie艅), a tak偶e nie gromadzi膰 jego danych do momentu, w kt贸rym faktycznie wyrazi na to zgod臋. Poza tym zgoda u偶ytkownika na cookies powinna by膰 przez administratora archiwizowana celem ewentualnego udowodnienia, 偶e dosz艂o do wyra偶enia zgody.

Wi臋cej informacji znajdziecie w zak艂adce E-Commerce

Zesp贸艂 RPMS

Pozosta艂e artyku艂y

Zostaw komentarz

Translate 禄