Zwracamy Państwa uwagę na zmianę zasad korzystania z plików cookie. Najpóźniej do 1 stycznia 2022 r. konieczna jest modyfikacja strony internetowej.

PoprzedniNastępujący

30.12.2021 10:19

Zwracamy Państwa uwagę na zmianę zasad korzystania z plików cookie. Najpóźniej do 1 stycznia 2022 r. konieczna jest modyfikacja strony internetowej.

Nowelizacja ustawy nr 127/2005 Dz. U. o komunikacji elektronicznej wejdzie w życie 1 stycznia 2022 r. Do tego czasu należy dokonać na swojej stronie internetowej opisanych poniżej zmian.

  1. Co to są pliki cookie?

Mówiąc najprościej, są to małe pliki danych, które między innymi zapewniają funkcjonalność strony internetowej. Przy odwiedzaniu strony internetowej, pliki cookie są umieszczane na urządzeniu, na którym Państwo loguje się na stronie internetowej. Pliki cookie służą do identyfikacji osoby odwiedzającej stronę internetową i (niektóre z nich) są wykorzystywane do zbierania informacji o ruchu osoby odwiedzającej stronę internetową.

Zasadniczo można wyróżnić trzy rodzaje plików cookie:

  • Techniczne – techniczne pliki cookie są niezbędne do funkcjonowania strony internetowej. Bez nich strona nie będzie dobrze funkcjonować. Na przykład techniczne pliki cookie zapewniają, że strona internetowa zapamiętuje użytkownika, gdy dokonuje on zakupu w sklepie internetowym. Pozwala na dodawanie poszczególnych towarów do koszyka. Gdyby strona nie korzystała z plików cookie, każda zmiana (np. wybór innego przedmiotu i nowe wstawienie do koszyka) byłaby traktowana jako nowa wizyta na stronie, a poprzednie towary dodane do koszyka zostałyby zapomniane. Techniczne pliki cookie mają krótki czas przechowywania i podczas ich stosowania nie są przetwarzane żadne dane osobowe;
  • Analityczne – analityczne pliki cookie służą do rozpoznawania osób odwiedzających stronę internetową podczas analizy ruchu na stronie. Celem jest, mówiąc najprościej, rozpoznanie odwiedzających, którzy wracają na stronę internetową i nie liczenie ich ponownie. Analityczne pliki cookie nie są niezbędne do funkcjonowania strony internetowej, ich okres przechowywania jest średnio- lub długoterminowy. Ich stosowanie nie wyklucza możliwości przetwarzania danych osobowych;
  • Marketingowe – marketingowe pliki cookie służą do identyfikacji użytkownika strony internetowej oraz jego zachowań na stronie. Marketingowe pliki cookie są wykorzystywane do reklamy ukierunkowanej i nie są niezbędne do funkcjonowania strony internetowej. Aby lepiej zrozumieć – marketingowe pliki cookie są powodem, dla którego po obejrzeniu wycieczki na stronie internetowej danego biura podróży, użytkownik jest nawiedzany przez reklamy wycieczek tego organizatora podczas późniejszego przeglądania Internetu, niezależnie od tego, czy zakupił wycieczkę u tego biura, czy nie. Marketingowe pliki cookie są zazwyczaj przechowywane przez długi okres czasu i podczas ich wykorzystywania mogą być przetwarzane dane osobowe.

Więcej informacji na temat plików cookie można znaleźć na przykład na stronie https://www.aboutcookies.org/.

  1. Na czym polega zmiana przepisów?

Przepisy zawarte w ustawie o komunikacji elektronicznej, w tym warunki stosowania plików cookie, stanowią transpozycję dyrektyw unijnych (patrz przede wszystkim dyrektywa unijna 2009/136/ES).

W prawodawstwie europejskim od dawna obowiązuje tzw. zasada OPT-IN dotycząca stosowania plików cookie. Krótko mówiąc, z wyjątkiem technicznych plików cookie, o których wystarczy poinformować, zgoda osoby odwiedzającej stronę internetową jest konieczna do stosowania analitycznych i marketingowych plików cookie.

Dyrektywa UE została jednak nieprawidłowo transponowana do systemu prawnego Republiki Czeskiej, a regulacja prawna wykorzystania plików cookie zawarta w ustawie o komunikacji elektronicznej została zbudowana na przeciwnej zasadzie, czyli na zasadzie OPT-OUT. Doprowadziło to do sytuacji, w której wykorzystywanie analitycznych i marketingowych plików cookie jest/było możliwe bez uprzedniej zgody tylko po uprzednim poinformowaniu użytkownika/odwiedzającego stronę internetową, że z wykorzystywania plików cookie można później zrezygnować (wyłączenie plików cookie).

W związku z powyższym, tutejsze strona internetowa rzadko są zbudowana na zasadzie OPT-IN. W zdecydowanej większości przypadków przeważa zasada OPT-OUT; z reguły na stronie internetowej pojawia się tylko pasek informujący o tym, że pliki cookie są używane, a odwiedzający przyjmuje to do wiadomości, potwierdzając poprzez zaznaczenie odpowiedniego pola.

Nieprawidłowa transpozycja prawa europejskiego nie może być niekorzystna dla operatora strony internetowej, tzn. operator strony internetowej nie może zostać ukarany na podstawie ustawy o komunikacji elektronicznej za stosowanie zasady OPT-OUT.

Nie zmienia to jednak faktu, że jeśli stosowanie (w szczególności) marketingowych plików cookie prowadzi do przetwarzania danych osobowych odwiedzających w celach marketingowych, w szczególności jeśli profilowanie i zautomatyzowane podejmowanie decyzji są częścią przetwarzania danych osobowych, uzasadniony interes administratora nie może być podstawą takiego przetwarzania danych osobowych (art. 6 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych). Takie przetwarzanie danych osobowych może opierać się wyłącznie na zgodzie osoby, której dane dotyczą. Zgoda musi spełniać wszystkie parametry określone w przepisach o ochronie danych. Musi to być między innymi jednoznaczne, swobodne, świadome i aktywne wyrażenie woli, wyrażające zgodę na przetwarzanie określonych danych osobowych przez konkretnego administratora przez określony czas w określonym celu. Kliknięcie na ikonę „Potwierdzam” nie może mieć takich parametrów.

Innymi słowy i w skrócie, bez wyraźnej zgody na przetwarzanie danych osobowych w celach marketingowych za pomocą plików cookie, takie przetwarzanie danych osobowych jest sprzeczne z prawem. Nie zmienia tego fakt, że sama instalacja plików cookie nie musi być nielegalna.

Powyższe wskazuje, na czym polega zmiana regulacji prawnej ustawy o łączności elektronicznej obowiązującej od 1 stycznia 2022 r.

Nowelizacja wyżej wymienionej ustawy dostosuje porządek prawny Republiki Czeskiej do prawodawstwa europejskiego poprzez zmianę zasad stosowania (instalacji) plików cookie w tym sensie, że poza technicznymi plikami cookie, o których nadal wystarczy podać informacje (oznaczenie pliku cookie, opis, okres przechowywania), stosowanie wszystkich innych plików cookie będzie uzależnione od zgody użytkownika; zasada zmieni się z OPT-OUT na OPT-IN. Zgoda będzie musiała mieć parametry zgodne z przepisami dotyczącymi ochrony danych osobowych.

  1. Dobre i złe praktyki oraz inne wybrane problematyczne zagadnienia

W świetle dotychczasowych doświadczeń praktycznych związanych z projektowaniem pasków informacyjnych i innych części stron internetowych dotyczących plików cookie oraz w kontekście przedstawionego powyżej prawodawstwa, można wskazać następujące przykłady dobrych i złych praktyk oraz sformułować następujące zalecenia:

  1. zgoda na korzystanie z plików cookie – zgoda musi spełniać parametry określone w przepisach o ochronie danych osobowych, co oznacza:
    • sformułowanie zgody, która zostanie następnie potwierdzona przez użytkownika, musi być wyrażone prostym językiem
    • zaleca się stosowanie wielu warstw, gdzie warstwa początkowa opisuje tylko podstawowe parametry w sposób podstawowy, a kolejne warstwy działające na zasadzie kliknięcia określają parametry zgody;
    • jeżeli strona korzysta z więcej niż jednego rodzaju plików cookie, można domyślnie zaoferować ogólną zgodę na wszystkie rodzaje plików cookie na pasku informacyjnym z narzędziem (przyciskiem) do wyrażania zgody, która zostanie podsumowana w tekście wprowadzającym (wraz z ewentualną zgodą na przetwarzanie danych osobowych), z możliwością ustawień indywidualnych (jeżeli użytkownik jest zainteresowany, powinien mieć możliwość zezwolenia tylko na niektóre pliki cookie lub tylko na niektóre cele przetwarzania danych osobowych);
    • wyrażenie woli musi być aktywne, tzn. pole oznaczające zgodę nie może być wcześniej zaznaczone, opuszczenie paska zgody nie może być uznane za zgodę, nie można stosować tekstu „korzystając ze strony wyrażasz zgodę na instalację plików cookie” itp;
    • zgoda udzielana jest na określony czas. Należy dokładnie określić okres czasu, mając na uwadze, że niektóre pliki cookie są zawsze odnawiane w momencie odwiedzania strony;
    • należy zaoferować możliwość wycofania zgody w prosty sposób;
    • dostęp do zawartości strony nie może być uzależniony od zgody na wykorzystanie plików cookie i przetwarzanie danych osobowych;
    • zgoda nie może być łączona/warunkowana z niepowiązanymi usługami;
    • pliki cookie mogą być instalowane wyłącznie po uzyskaniu zgody;
  2. informacje o plikach cookie, przetwarzaniu danych osobowych i prawach osób, których dane dotyczą – zaleca się utworzenie specjalnej zakładki na stronie internetowej, w której będą znajdowały się informacje o plikach cookie, w tym o rodzajach stosowanych plików cookie, ich celu i okresie przechowywania, a także informacje o przetwarzaniu danych osobowych i prawach osób, których dane dotyczą, oraz oferowanie kanałów komunikacji w ramach strony internetowej w celu realizacji praw osób, których dane dotyczą, wycofania zgody na pliki cookie itp;
  3. w przypadku wykorzystywania plików cookie do celów marketingowych należy wziąć pod uwagę, że jeżeli z urządzenia dostępowego korzysta więcej niż jedna osoba i nie ma możliwości ich rozróżnienia, uzyskane informacje mogą być zniekształcone, a jeżeli mają być wykorzystane jako dane osobowe, powinny być oceniane w sposób odpowiedzialny;
  4. zgoda na instalację plików cookie nie może być egzekwowana za pomocą cookie wall, czyli paska, którego wielkość zasłania większą część ekranu, uniemożliwiając korzystanie z serwisu;
  5. ustawienia przeglądarki internetowej użytkownika nie mogą być wskazywane jako oznaka zgody.

Podsumowując, jeśli na stronie internetowej wykorzystywane są pliki cookie osób trzecich (zazwyczaj poprzez przestrzeń przeznaczoną do celów reklamowych), operator strony internetowej i osoba przetwarzająca dane osobowe za pośrednictwem takich plików cookie są uznawani za współadministratorów danych osobowych z punktu widzenia przepisów o ochronie danych osobowych. Oba podmioty są zatem odpowiedzialne za przetwarzanie danych. Podobnie można uznać, że operator strony internetowej może również zostać pociągnięty do odpowiedzialności wobec użytkownika za poinformowanie go o takich plikach cookie i za uzyskanie zgody.

Zalecenie, jakie można wydać w tym kontekście, brzmi: „zwrócić należytą uwagę na ustalenia umowne z osobą, która ma korzystać z powierzchni reklamowej na Państwa stronie internetowej”. 

Zdajemy sobie sprawę, że jest to dość abstrakcyjne zagadnienie.  W razie potrzeby jesteśmy gotowi udzielić Państwu wsparcia w zakresie konfiguracji plików cookie i związanej z tym dokumentacji. 

Wiadomość przygotował: doc. JUDr. Jakub Morávek, Ph. D.

Felix a spol. kancelaria adwokacka s.r.o