Ta strona korzysta z ciasteczek - więcej
Masz pytania? Infolinia RODO: 22 487 86 70 | +48 724 570 436
lub napisz: biuro@rbdo.pl


Stosowanie plików cookies, a obowiązek pozyskania zgody

Wielu operatorów stron internetowych różnie interpretuje przepisy związane z informowaniem i pozyskiwaniem zgody na wykorzystanie plików cookies. Niektóre witryny przepisy o cookies interpretują bardzo rygorystycznie – np. ustalają, że użytkownik musi „ręcznie” zatwierdzić stosowanie wobec niego Google Analytics, inne zaś opierają się na konstrukcji „zgody przeglądarkowej”, czyli wyrażonej poprzez ustawienia przeglądarki użytkownika.

W polskim systemie prawnym podstawowym przepisem odnoszącym się do stosowania plików cookies jest art. 173 prawa telekomunikacyjnego, stanowiący transpozycję art. 5 ust. 3 dyrektywy 2002/58 – generalnie główne zasady wszędzie w Europie pozostają te same  – problem polega na tym, że precyzyjny opis tego, jak te przepisy należy rozumieć nie znajdziemy w tych aktach prawnych a w dokumentach zawierających wytyczne:

  • Wytyczne Grupy Roboczej art. 29 (obecnie EROD) „w sprawie pozyskiwania zgody na zapisywanie plików cookie”, z października 2013 roku  (WP 208)
  •  Wytyczne EDPS „Guidelines on the protection of personal data processed through  web services  provided by EU institutions” z listopada 2016 roku
  • Wytyczne brytyjskiego organu nadzorczego (ICO) „Guidance on the use of cookies and similar technologies” z lipca 2019 roku
  • Wytyczne francuskiego organu nadzorczego (CNIL) z 19 lipca 2019 roku

Spośród wymienionych najbardziej rygorystyczne są wytyczne brytyjskie i francuskie – brytyjskie wprost stanowią, że nie można z góry zakładać, że użytkownik skonfigurował przeglądarkę świadomie, chcąc wyrazić zgodę – warto dodać, że brytyjskie wytyczne omawiają te same przepisy europejskie (dyrektywę 2002/58 i RODO), które są obowiązujące także  w Polsce  – dodatkowo w na wyspach obowiązuje bliźniaczy do polskiego art. 173 ust. 2 prawa telekomunikacyjnego przepis dotyczący zgody przeglądarkowej (§ 6 ust. 3a brytyjskiego PECR „consent may be signified by a subscriber who amends or sets controls on the internet browser which the subscriber uses or by using another application or programme to signify consent.” ).

Francuskie wytyczne zaś wprost stanowią o nielegalności stosowania „cookie-wall” czyli uzależniania dostępu do strony od zaakceptowania użycia plików cookie.

Zarówno w innych państwa UE, jak i w polsce (Art. 173 prawa telekomunikacyjnego) dzieli się cookies na:

  • takie, na które nie trzeba zgody i nie trzeba o nich informować (konieczne do wykonania transmisji lub wykonania usługi)
  • takie, na które zgodę trzeba uzyskać po uprzednim poinformowaniu o celu ich stosowania  (wszelkie inne)

Czytając art. 173 łącznie z wytycznymi powyżej przytaczanymi jako cookies „konieczne” można wymienić między innymi: uwierzytelniające (na czas trwania konkretnej sesji), związane z personalizacją strony pod użytkownika na czas trwania sesji oraz te, które związane są z bezpieczeństwem.

Jako plików koniecznych nie można niestety traktować tych, które związane są z analityką i statystyką – a co za tym idzie, przed ich zastosowaniem trzeba pozyskać od użytkownika zgodę. Będzie to miało zastosowanie np. przy stosowaniu Google Analytics.

Furtkę do stosowania cookies statystycznych bez konieczności pozyskiwania zgody stanowi stosowanie własnych plików (first party cookies) – oczywiście wyklucza to stosowanie Google Analytics, i nawet wtedy zawsze należy zapewnić transparentny opt-out (Exceptionally, Data Protection Authorities consider that, due to the low risk for users, prior consent can be skipped in case of first party cookies used for anonymous, aggregate statistics under specific assumptions and safeguards – strona 14 wytycznych EDPS, te wytyczne nie mają bezpośredniego zastosowania do podmiotów prywatnych, ale wydaje się, że można się do nich odwołać na drodze analogii).

Jak pozyskiwać zgodę na cookies?

Choć art. 173 ust. 2 dopuszcza wyrażenie zgody ustawieniami przeglądarki „(…)użytkownik końcowy może wyrazić zgodę, (…) za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi(…)” – to nie jest jasne, w jakich sytuacjach będzie ona wystarczająca i kiedy w praktyce będzie się można na nią powołać.

Wybrane serwisy – nask.pl oraz ico.org.uk stosują interpretację rygorystyczną – tzn. „bez świadomego kliknięcia użytkownika analityki nie będzie” – jak to ukazano na załączonym obrazku:

Inaczej jednak widzą to serwisy nsa.gov.pl, uke.gov.pl oraz uokik.gov.pl– które nie przewidują przycisku „blokuj”, i co więcej –  same stosują cookies do statystyki (w tym UKE i UOKiK Google Analytics), muszą więc zakładać świadomość użytkownika co do ustawień jego przeglądarki:

Jak widać – stanowiska są podzielone. W Polsce żaden z organów nie wydał w tym zakresie jednoznacznych wytycznych – nie ma też sygnałów, by liberalna praktyka była przez organy nadzorcze podważana poprzez działania formalne (skoro UKE i UOKiK same ją stosują). Wydaje się więc, że wykonanie w zakresie cookies obowiązku informacyjnego i odesłanie do ustawień własnych przeglądarki jest rozwiązaniem wystarczającym (a przede wszystkim rozsądnym) – należy jednak pamiętać, że te same przepisy można interpretować też bardziej rygorystycznie.

W praktyce, z perspektywy stopnia ingerencji w prywatność – znacznie większym problemem są nagminnie stosowane przez największe serwisy internetowe rozwiązania typu cookie-wall, które w praktyce wymuszają od użytkowników zgody (co do zasady nie można uzależniać wejścia na stronę od wyrażenia zgody na cookies, które nie są konieczne) – teoretycznie takie rozwiązania są zabronione (tzn. są dozwolone, o ile „zgodą” płaci się za zawartość ściśle określonej podstrony, a nie za dostęp do całego serwisu), jednak są one powszechnie używane (przez największych) – jest to najlepszy przykład na zupełną bezskuteczność europejskich regulacji dotyczących cookies, których głównym celem miało być właśnie ograniczenie zakresu danych pozyskiwanych przez operatorów serwisów o znacznej skali działania. Wydaje się, że skierowanie przepisów o cookies nie do operatorów stron internetowych, a do twórców przeglądarek byłoby znaczenie efektywniejszym narzędziem.

Pozostaje mieć  nadzieję, że nadchodzące rozporządzenie ePrivacy jednoznacznie rozwieje wątpliwości wynikające z obecnego, niejasnego stanu prawnego – albo w  ten sposób, otwarcie rozwinie koncepcję „zgody przeglądarkowej”, albo bardziej rygorystyczne podejście zacznie być w praktyce egzekwowane, w pierwszej kolejności od serwisów o największej skali działania.


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 22 487 86 70 lub +48 724 570 436

Szkolenia Certyfikowane