Pliki cookies powstały w 1994 r. i zostały opracowane przez amerykańskiego programistę Lou Montulli. Pierwotnie cookies miały na celu umożliwienie przywracania stron internetowych. Obecnie pliki cookies są przede wszystkim pamięcią internetową, która zapamiętuje aktywność użytkowników wykonywanych działań w Internecie, i są jednym z podstawowych narzędzi wykorzystywanych w marketingu, w reklamie behawioralnej czy profilowaniu.
Pliki można zakwalifikować jako własne lub zewnętrzne. Pliki własne ustawiane są bezpośrednio przez witrynę odwiedzaną przez użytkownika, czyli adres URL wyświetlany w pasku adresu przeglądarki. Pliki zewnętrzne ustawiane są przez domenę inną niż ta, którą użytkownik odwiedza. Te drugie pochodzą, np. z serwisów reklamowych współpracujących z właścicielem danej strony internetowej. Ten rodzaj ciasteczek pozwala na dostosowanie reklamy do preferencji użytkownika.
Zobacz również
Póki cookies są wykorzystywane w niezbędnych celach (poprawnego działania strony internetowej), tj. do logowania, ustawień preferencji prywatności lub zapewnienia bezpieczeństwa, zgoda użytkownika nie będzie wymagana.
Natomiast, aby ciasteczka mogły zbierać informacje o tym, jak często strona internetowa jest odwiedzana i jak się z niej korzysta, zgoda użytkownika musi być pozyskana. Ciasteczka takie to ciasteczka analityczne (statystyczne).
Pliki cookies umożliwiają również zapamiętanie danych do logowania, preferencji językowych, regionu geograficznego. Ich celem jest zapewnienie bardziej spersonalizowanego środowiska i ułatwienie użytkownikowi korzystanie ze strony www. Brak zgody na tę kategorię cookies może spowodować, że zmiana preferencji przez użytkownika na stronie nie zostanie zapamiętana.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
Ciasteczka marketingowe (reklamowe) pozwalają na wyświetlanie reklam dopasowanych do „profilu” użytkownika. Na podstawie historii przeglądania budowane są profile, które zwykle udostępniane są partnerom reklamowym, ażeby spersonalizowane reklamy wyświetlały się na innych stronach czy innych portalach internetowych.
Słuchaj podcastu NowyMarketing
Informacje o plikach cookies powinny być dostępne do indywidualnego dopasowania według preferencji użytkownika. Pliki, które wymagają zgody nie mogą być zaznaczane automatycznie do „ewentualnego” odznaczenia przez użytkownika. Ponadto stosowanie tzw. ściany ciasteczek, która nie pozwoli na dostęp do strony www, dopóki użytkownik nie wyrazi zgody, kwalifikuje się jako wymuszona zgoda (a zgoda powinna być dobrowolna).
Niedawno firma Harris Poll przeprowadziła ankietę wśród użytkowników. Wynik ankiety był taki, że 63% internautów oczekuje tego, by decyzję w zakresie preferencji wychodziła od nich samych, tj., aby sami mogli decydować o tym czy chcą być śledzenie czy wybrane preferencje mają być zapamiętane w danej przeglądarce czy nie. Dlatego mechanizmy zarządzania cookies powinny być zaprojektowane i działać tak, aby zgody były zbierane w zależności od celów, wedle preferencji użytkownika, a następnie mogły być zarządzane w przystępny sposób przez użytkowników w razie zmiany wcześniejszych preferencji.
Dlatego też przy projektowaniu strony www należy ustalić: jakimi plikami chce się zarządzać, w jakim celu będą pozyskiwane, okres ich przechowywania. Pomocne w tym zakresie mogą okazać się narzędzia do zarządzania ciasteczkami, np.: CookieHub, Cookiebot, OneTrust, Secure Privacy, Quantcast Choice czy Privacy Tools.
Narzędzia analityczne a RODO
Narzędzia opierające się o pliki cookie lub inne technologie śledzące, tj. Google Analytics czy Facebook Connect, które są powszechnie wykorzystywane na stronach internetowych, np. w celach analitycznych czy statystycznych, oferowane są przez firmy z siedzibą w Stanach Zjednoczonych, tj. w państwie trzecim w rozumieniu RODO. Zatem korzystanie z takich narzędzi musi spełniać wymogi określone w RODO.
Liczny transfer danych osobowych Europejczyków do USA stał się przedmiotem 101 skarg austriackiej organizacji non-profit NOYB. Wszystkie skargi zostały złożone do unijnych organów nadzorczych ds. ochrony danych osobowych. Z treścią wszystkich skarg można zapoznać się pod linkiem: noyb.eu/en/eu-us-transfers-complaint-overview
W wyniku tych skarg pojawiły się pierwsze działania lub decyzje unijnych organów nadzorczych:
- Francuski organ nadzorczy wydał ostrzeżenie co do korzystania z narzędzia Google Analytics. Organ ten w decyzji z dnia 10 lutego 2022 r. stwierdził, że transfery danych dokonywane w ramach narzędzia Google Analytics są niezgodne z prawem, i nakazał francuskiemu operatorowi strony internetowej dostosować ją do wymogów RODO i, jeśli to konieczne, zaprzestać korzystania z usługi Google Analytics na obecnych warunkach i skorzystać z narzędzia, które nie będzie wiązało się z transferem danych poza Unię Europejską.
- Europejski Inspektor Ochrony Danych w decyzji z dnia 5 stycznia 2022 r. skierowanej przeciwko Parlamentowi Europejskiemu rozstrzygnął o wykorzystywaniu plików cookies na jednej ze stron Parlamentu Europejskiego i związanego z tym przekazywania danych osobowych posłów do Parlamentu Europejskiego i ich personelu do firmy z siedzibą w USA w ramach narzędzia Google Analytics. W tej sprawie Europejski Inspektor Ochrony Danych udzielił Parlamentowi Europejskiemu upomnienia, gdyż doszedł do wniosku, że Parlament Europejski nie dostarczył żadnej dokumentacji, dowodów ani innych informacji dotyczących środków umownych, technicznych lub organizacyjnych mających zapewnić zasadniczo równoważny poziom ochrony danych osobowych przekazywanych do USA w kontekście wykorzystywania plików cookies na przedmiotowej stronie internetowej.
- Austriacki organ w decyzji z dnia 22 grudnia 2021 r. uznał, że korzystanie z plików cookies Google Analytics przez austriacką stronę internetową wiąże się z gromadzeniem, a następnie przesyłaniem danych osobowych, w tym unikalnych numerów identyfikacyjnych użytkownika, adresów IP i parametrów przeglądarki, do Google w Stanach Zjednoczonych. W ocenie austriackiego organu standardowe klauzule umowne zawarte między operatorem strony internetowej a Google nie zapewniają odpowiedniego stopnia ochrony w rozumieniu RODO, m.in. dlatego, że Google jest dostawcą usług łączności elektronicznej i podlega amerykańskim regulacjom dotyczącym inwigilacji przez amerykańskie agencje wywiadowcze. W ocenie tego organu adresy IP, w szczególności w połączeniu z identyfikatorami internetowymi, pozwalają na identyfikację konkretnych osób fizycznych i kwalifikują się jako dane osobowe.
Wyżej wymienione, a także inne przypadki pokazują, że do najczęstszych nieprawidłowości dochodzi w wyniku praktyk, tj.:
- pliki cookies wymagające zgody użytkownika są automatycznie umieszczane na jego urządzeniu końcowym przed ich akceptacją po wejściu przez użytkownika na stronę www;
- banery cookies nie pozwalają użytkownikowi na odrzucenie plików cookies równie łatwo, jak odbywa się ich akceptacja;
- banery cookies umożliwiają użytkownikowi równie łatwe odrzucenie plików cookies, lecz stosowany mechanizm nie jest skuteczny, ponieważ pliki cookies wymagające zgody są nadal przechowywane po ich odrzuceniu;
- strony internetowe oferują łatwy sposób wyrażenia zgody na wszystkie pliki cookies natychmiast po wejściu na stronę, ale nie umożliwiają równie łatwego odrzucenia plików cookies;
- podczas gdy akceptacja plików cookies odbywa się przez jedno kliknięcie, to do odrzucenia wszystkich plików cookies trzeba kilku kliknięć;
- pliki cookies inne niż niezbędne nie są instalowane na urządzeniu końcowym, zanim użytkownik wyrazi na to zgodę.
Podsumowując, każdy operator strony internetowej czy aplikacji mobilnej powinien:
- zadbać o to, aby informacje na temat plików cookies zawarte w banerze cookies i polityce cookies były przejrzyste i zrozumiałe. Dla użytkownika musi być zrozumiałe, w jaki sposób może wycofać wyrażoną zgodę lub odrzucić wszystkie pliki śledzące;
- podczas korzystania z Google Analytics – sprawdzić czy parametry Google Analytics można zmodyfikować w taki sposób, by zapewnić zgodność z przepisami o ochronie danych. Jeśli taka zmiana parametrów nie jest możliwa, zaleca się skorzystanie z alternatywnych narzędzi, które nie wiążą się z transferem danych poza EOG;
- w przypadku używania na swojej stronie internetowej innych narzędzi, które mogą wiązać się z transferami danych do USA: zaprzestać korzystania z nich albo przystąpić do anonimizacji przetwarzanych danych, chyba że dostawcy takich narzędzi są w stanie wykazać, że zostały podjęte dodatkowe środki uzupełniające zapewniające odpowiedni stopień ochrony;
- przeanalizować okres retencji danych pozyskanych przez cookies. W przyszłości możemy spodziewać się uregulowania w tym zakresie, i może okazać się, że zebrane dane nie będą mogły być pozyskane „na zawsze”. Już dziś można zaobserwować wskazywanie przez operatorów stron www, co prawda bardzo długiego okresu przechowywania danych, ale określonego w czasie. Niemniej jednak nawet jeśli gromadzenie cookies będzie możliwe do czasu wycofania zgody przez użytkownika, to milczenie lub bezczynność po stronie osoby, której dane dotyczą lub podczas kontynuowania usługi, nie mogą zostać uznane za aktywne wskazanie wyboru (zob. Wytyczne Europejskiej Rady Ochrony Danych 05/2020, par. 79).
Autorka:
Patrycja Roztajewska
radca prawny, BWHS Wojciechowski Springer i Wspólnicy