Cookie, czyli inaczej ciasteczko, to niewielki plik tekstowy zapisywany w pamięci komputera przez przeglądarkę, otwierany przy kolejnych wejściach na stronę. Pliki cookies mogą mieć najróżniejsze funkcje, choć najczęściej są wymagane do poprawnego działania serwisu oraz do celów analitycznych.

Tymczasem rośnie grono prawników, którzy uważają, że  stosuje się do nich RODO. Nie wszyscy jednak z tym zgadzają. Trwają prace nad przepisami, które mają rozstrzygnąć ten spór raz na zawsze. 

Czytaj też: RODO: Nie każde dane firm są na sprzedaż>>
 

Cookies to dane, które dużo mówią o człowieku

- Ciasteczka mają zidentyfikować co najmniej urządzenie, z którego się korzysta, a więc laptop czy telefon, a tak naprawdę jego  użytkownika o ile jest to możliwe. Dzięki nim można dowiedzieć się o danej osobie praktycznie wszystko. Nie trzeba znać ani nazwiska ani dokładnego adresu a więc:  w jakim mieście mieszka, ile ma lat, jakie są jej zainteresowania, poglądy polityczne etc. Z tego powodu moim zdaniem stosuje się RODO do cookes. Ale tylko na papierze. W praktyce nie przestrzega się zasad z tego rozporządzenia - uważa Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, wykładowca Uniwersytetu SWPS.

Podobnego zdania jest Karol Wątrobiński, radca prawny, partner w kancelarii prawnej WN Legal Wątrobiński Nartowski. - Cookies nie zawsze są nośnikami technicznych informacji. Często korzystanie z nich może wiązać się z przetwarzaniem danych osobowych. W takim przypadku powinno się więc stosować do nich przepisy o ochronie danych osobowych – twierdzi. 

Oznacza to jedno. Prowadzący witryny internetowe powinni uwzględniać regulacje RODO (jeśli w ramach cookies, z których korzystają mogą być przetwarzane dane osobowe), a z drugiej przepisy prawa telekomunikacyjnego. Na rynku widoczne są dwie praktyki. Część przedsiębiorców blokuje przeglądanie strony internetowej do momentu zamknięcia komunikatu informującego o przetwarzaniu danych osobowych o cookies (tzw. cookie wall). Inni zaś zamieszczają komunikat o korzystaniu z cookies, którego zaakceptowanie lub odrzucenie nie wpływa na możliwość zapoznawania się z treścią strony internetowej. To, które podejście jest w konkretnym przypadku prawidłowe, będzie zależało od tego jakie cookies są stosowane na danej stronie internetowej i w jakim celu dane osobowe są przetwarzane.

Zobacz w LEX: Chomiczewski Witold, Kloc Katarzyna, Transformacja biznesu w e-commerce. Na co zwrócić uwagę, by nie naruszyć prawa? >

 

Zgoda dobrowolna czy obowiązkowa?

- W przypadku stosowania cookie wall trzeba pamiętać, że zgoda użytkownika musi być dobrowolna, to znaczy nie można uzależnić możliwości przeglądania strony internetowej od wyrażania zgody. Użytkownik musi mieć możliwość przeglądania strony także w przypadku gdy zgody nie chce wyrazić - uważa mec. Karol Wątrobiński.

Czytaj też: Trzeba poprawić projekt o sygnalistach, bo nie będą anonimowi>>

Prawo telekomunikacyjne dopuszcza możliwość wyrażenia zgody za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez użytkownika telekomunikacyjnym urządzeniu końcowym. Jest to przepis chętnie wykorzystywany w praktyce. Trzeba jednak pamiętać, że Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 1 października 2019 r. w sprawie C-673/17, stwierdził, że zgoda na instalowanie plików cookies nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody. Tej zasady należy przestrzegać, niezależnie od tego czy w ramach cookies są przetwarzane dane osobowe czy nie.

Sprawdź w LEX:  Czy na stronie internetowej przy formularzu kontaktowym powinna być zamieszczona zgoda na przetwarzanie danych osobowych? >

Ciasteczka to dane osobowe? To nie zawsze prawda 

Nie wszyscy jednak tam samo myślą.  -  Oczywiście czasem podstawową funkcją cookies może być także śledzenie użytkowników na różnych portalach. Sam plik nie jest daną osobową, tylko może być nośnikiem pewnych informacji. Istotniejszym pytaniem będzie wówczas, kto ma dostęp do pliku i co te informacje dla niego znaczą - wyjaśnia Michał Sztąberek, prawnik, prezes iSecure. 

Przypomina, że w nauce ochrony danych osobowych przyjęło się traktować ciasteczka jako dane osobowe. Dla niego jednak nie jest to takie oczywiste. - Czy jednak słusznie? Czy każdy plik cookie to dana osobowa? Patrząc na ten problem od strony praktycznej można mieć sporo wątpliwości. Wyobraźmy sobie prostą stronę www, która jest podpięta do jednego z najbardziej popularnych narzędzi służących do analityki ruchu na tejże stronie, czyli Google Analytics. Oprócz tego oczywiście stosowane są ciasteczka odpowiedzialne za jej prawidłowe działanie. Co właściciel tej strony będzie wiedział o internaucie, który odwiedził jego serwis? Najprawdopodobniej jedyną pozyskaną informacją będzie wówczas numer IP urządzenia oraz cookies ID użytkownika, który jednak nie daje właścicielowi możliwości zweryfikować (czy generalnie: zidentyfikować) odwiedzającego stronę, a w związku z tym… ciężko tu mówić o przetwarzaniu danych - tłumaczy Michał Sztąberek. 

Czytaj też: Dr Gumularz: Wywołanie pacjenta po nazwisku to jeszcze nie przetwarzanie danych>>
 

Szykują się zmiany w prawie krajowym i unijnym 

Wszystko wkrótce może się zmienić. Trwają prace nad dwoma regulacjami, które swoim zakresem obejmą problematykę cookies.

W 2020 r. rozpoczęły się prace nad  polskim projektem ustawy – Prawo komunikacji elektronicznej. Ma ono zastąpić obowiązujące prawo telekomunikacyjne oraz wdrożyć do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11 grudnia 2018 r., ustanawiającej Europejski kodeks łączności elektronicznej. Z informacji opublikowanych na strony internetowej Rządowego Centrum Legislacji wynika, że projekt jest jeszcze przed Komitetem Stałym Rady Ministrów. Na ten moment wydaje się, że nowe przepisy krajowe nie zmienią zasad obowiązujących obecnie w prawie telekomunikacyjnym - mówi mec. Wątrobiński.

Projekt krytykuje Prezes UODO. W  sprawozdaniu ze swojej działalności za rok 2020 tłumaczy, że rozwój nowych technologii prowadzi do uznania takich identyfikatorów, jak te zawarte w plikach „cookie”, za dane osobowe. Dlatego też prawo komunikacji elektronicznej powinno wprost wskazywać, że uprawnienia Prezesa UKE do nakładania kar pieniężnych za przetwarzanie danych abonentów lub danych użytkowników końcowych jest bez podstawy prawnej, tymczasem tego projekt nie robi.  

Czytaj w LEX: Czub-Kiełczewska Sylwia, Okiem IOD-a: nowoczesne formy marketingu w świetle przepisów RODO >

Większą rewolucję może jednak przynieść regulacja unijna, czyli projektowane Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (tzw. rozporządzenie ePrivacy). Miało ono wejść w życie już przed kilku laty, ale nie udało się i prace ciągle trwają.

W projektowanej preambule aktu sporo miejsca poświęcono plikom cookies (w przeciwieństwo do RODO, w którym odwołanie wprost do plików cookies występuje tylko raz, w motywie 30 preambuły). Wyjaśnia się, że „wyjątki od obowiązku uzyskania zgody na korzystanie z możliwości przetwarzania i przechowywania, jakie daje urządzenie końcowe, lub dostępu do informacji przechowywanych w urządzeniu końcowym powinny ograniczać się do sytuacji, które nie wiążą się z żadną ingerencją w prywatność lub ingerencja ta jest bardzo ograniczona.”

- Takie podejście, co wprost potwierdza preambuła, że zgoda nie byłaby potrzeba w przypadku technicznego przechowywania lub dostępu, gdy jest to absolutnie niezbędne i proporcjonalne w prawnie uzasadnionym celu umożliwienia korzystania z konkretnej usługi wprost żądanej przez użytkownika końcowego. W przypadkach, w których  strona internetowa korzysta wyłącznie z tzw. cookies technicznych umożliwiłoby to ograniczenie wyświetlanych użytkownikom komunikatów – wyjaśnia mec. Wątrobiński.

- Z pewnością obecny stan prawny nie sprzyja przejrzystości – zarówno jeśli chodzi o podmioty prowadzące strony internetowe jak i o użytkowników. Wątpliwości dotyczące cookies powodują, że przedsiębiorcy starają się niekiedy wdrożyć środki, które okazują się przeciwskuteczne (np. cookie wall wymuszające wyrażenie zgody). Wprowadzenie nowych regulacji może więc przysłużyć się ujednoliceniu praktyki i spowodować, że zasady dotyczące korzystania z cookies będą bardziej przejrzyste dla użytkowników – dodaje mec. Wątrobiński.

Sprawdź w LEX: Czy przy wejściu na stronę internetową każdej firmy powinna pojawiać się informacja o plikach cookies? >

Ochrona prywatności to trudna sztuka

W opinii Pawła Ellerika, eksperta ds. Cyfryzacji LexDigital, największym wyzwaniem jest uregulowanie działalności wiodących graczy na rynku. Monopoliści zarządzający globalnymi sieciami społecznościowymi i reklamowymi bezsprzecznie są głównym beneficjentem w tym procesie. Wydawcy internetowi, w większości, nie wykorzystują tych cookies do realizacji swoich celów marketingowych. 

- Dane z cookies pozostają dla nich anonimowe i zazwyczaj nie stają się oni, w mojej opinii, administratorem tych danych w tradycyjnym znaczeniu. Użytkownicy z kolei, otrzymują natarczywe lecz niejasne komunikaty o przetwarzaniu ich danych, które nie pozwalają im w praktyce w pełni skorzystać ze swoich praw. W naturalny sposób, próbują oni praw tych dochodzić u pojedynczego wydawcy, co jednak okazuje się niewłaściwym adresem. Regulacje dotyczące cookies powinniśmy więc skupić wokół technologicznych gigantów. To oni żywią się danymi i, wykorzystując monopolistyczną pozycję rynkową, stają się jedynym żywicielem wydawców. Musimy umożliwić internaucie prosty sposób dotarcia do tych, prawdziwych, administratorów. Uważam, że regulacyjnie należy więc szukać rozwiązań systemowych, np. na poziomie przeglądarek internetowych i spójnych standardów branżowych - twierdzi Paweł Ellerik.

 

Małgorzata Ciechomska

Sprawdź  
POLECAMY