Wielu użytkowników internetu uważa, że pod słodką nazwą plików cookies (z ang. ciasteczka), kryje się równie łatwe, przyjemne oraz niewymagające zbyt dużego nakładu pracy po stronie właściciela serwisu internetowego, informowanie użytkowników serwisu o stosowaniu tych plików.
Nic bardziej mylnego. Te niepozorne ciasteczka powinny, być traktowane równie poważnie podczas projektowania portalu internetowego oraz nanoszenia w nim zmian, jak postanowienia polityki prywatności czy zamieszczanie odpowiednich klauzul informacyjnych na stronie.
Poważniejsze podejście do tematyki plików cookies powinno przede wszystkim wynikać, z samego charakteru tych plików i rodzaju danych, które są przez te pliki zbierane. Każdego użytkownika da się w istocie zidentyfikować na podstawie zebranych identyfikatorów przez pliki cookie. Zatem mając do czynienia z danymi osobowymi użytkowników, których można dzięki nim zidentyfikować, musimy dopełnić obowiązku jakim jest informowanie o przetwarzaniu danych osobowych i zasadach tego przetwarzania, aby każdy użytkownik wiedział na co wyraża zgodę korzystając z serwisu oraz w jakim zakresie może odmówić udzielenia zgody.
W praktyce można z łatwością dostrzec, że wśród właścicieli portali internetowych utarło się stwierdzenie – damy baner informujący o plikach cookies, napiszemy kilka zdań w polityce cookies i po problemie. Taka postawa niejednokrotnie objawiała się także w kopiowaniu treści banerów czy polityk cookies z innych stron, byle by coś się znalazło na stronie. Niestety, taki rodzaj „informowania” użytkownika o stosowanych plikach cookies i rodzaju zbieranych przez nie danych jest bardziej zbliżony do braku informacji na ten temat, niż do skutecznego, a co istotniejsze zgodnego z przepisami informowani użytkowników o zasadach przetwarzania ich danych osobowych.
Do najczęściej występujących błędów, zauważalnych na portalach internetowych, należą:
– brak listy plików cookies, które są stosowane na stronie;
– brak informacji o celu stosowanych plików cookies, ich żywotności;
– brak polityki cookies w języku w jakim jest prowadzony serwis internetowy;
– niezapewnienie możliwości użytkownikowi na odrzucenie fakultatywnych plików cookies;
– instalowanie plików wszystkich (nie tylko niezbędnych) cookies w momencie wejścia użytkownika na stronę, bez możliwości wyrażenia przez niego sprzeciwu;
– niezapewnienie możliwości użytkownikowi równie łatwego wycofania wyrażonej zgody, w porównaniu z jej udzieleniem;
– niezapewnienie użytkownikom zapoznania się z polityką plików cookies zanim wyrażą zgodę na te pliki.
Jest to rzecz jasna przykładowa lista, a kwestia ewentualnego naruszenia praw użytkowników, musi być każdorazowo badana podczas audytu serwisu internetowego. Warto o tym szczególnie pamiętać na etapie tworzenia strony internetowej, gdyż im porządniej zostanie przeprowadzona analiza stosowanych plików cookies na stronie i ich celu już na samym początku, tym w przyszłości będzie łatwiej wprowadzać zmiany do sporządzonej polityki cookie, dbając przy tym o ochronę praw użytkowników strony.
Przedstawioną powyżej listę typowych przewinień, łatwo jest wychwycić nawet nie będąc pasjonatem branży IT. Każdy użytkownik, bowiem z łatwością może wcisnąć klawisz „F12” na swojej klawiaturze i szybko przejść do listy wszystkich plików cookie stosowanych na stronie. Jest to kolejny powód, dlaczego trzeba przyłożyć szczególną uwagę do transparentności i zapewnienia użytkownikom dostępu do informacji o stosowanych plikach cookies, które znajdą pokrycie w rzeczywistości.
Europejska Rada Ochrony Danych (EROD) w obliczu wielu wątpliwości użytkowników Internetu postanowiła udzielić odpowiedzi na pytanie jak powinien wyglądać modelowy baner informujący na stronie o używaniu plików cookies. Oczywiście nie oznacza to, że EROD udzieliła konkretnej odpowiedzi na to pytanie, ale można spróbować wcielić w życie jej wskazówki, które na pewno zapewnią pozytywną ocenę stosowania i informowania o stosowanych plikach cookie na stronie przez organy, a tym samym uchronią przed ewentualnymi karami pieniężnymi.
O czym zatem należy pamiętać? Przede wszystkim ważne, aby baner cookie zbierał zgodę użytkowników, w sposób zgodny z RODO, tj. w taki sposób, aby wyrażona zgoda była dobrowolna, konkretna, świadoma oraz jednoznaczna. EROD przy tym wyjaśnia w swoich wytycznych, że “jednoznaczne wskazanie zgody użytkownika” musi być efektem jasnej i potwierdzającej akcji tego użytkownika. Czynności takie jak przewijanie strony lub podobne aktywności (znane także jako domyślna zgoda) nie spełniają kryteriów ważnej zgody według RODO. Nie można mówić także o wymuszonej czy dorozumianej zgodzie. Z taką mielibyśmy do czynienia, gdyby baner cookie odróżniał się wyłącznie za pomocą kontrastu czy wyraźniejszego koloru przycisk wyrażenia zgody na ciasteczka na stronie, podczas gdy przycisk odmawiający wyrażenia zgody pozostawałby np. szary, niewyróżniający się. Zatem, należy pamiętać, że opcja odrzucenia musi być równie wyeksponowana, co opcja wyrażenia zgody.
W kwestii samego baneru cookie, musi być on interaktywny i nie może używać domyślnie zaznaczonych pól wyboru, ponieważ ta forma nie spełnia warunku “jasnej i potwierdzającej akcji użytkownika”. Dodatkowo, baner cookie powinien być zaprojektowany w taki sposób, aby zgoda na każdy rodzaj plików cookie mogła być wyrażona osobno. Nie można łączyć w banerze stosowanych plików cookies na stronie, oferując użytkownikowi wyłącznie jeden przycisk zgody, który nie uwzględnia podziału na targetujące, marketingowe czy statystyczne pliki cookies. Dopiero po otrzymaniu, prawidłowej w świetle RODO, zgody użytkownika fakultatywne pliki cookie mogą być instalowane na urządzeniu tego użytkownika. Nie można domyślnie instalować w urządzeniu użytkownika końcowego plików cookies innych niż niezbędne tj. np. statystycznych czy marketingowych.
Warto pamiętać także o opisaniu słownie suwaków użytych w banerze (np. ON/OFF), aby wyrażenie zgody na cookies lub ich odrzucenie było jasne i czytelne dla wszystkich użytkowników. Baner cookie powinien być umieszczony w takim miejscu na stronie, aby nie zasłaniał użytkownikowi treści polityki cookie, zapewniając tym samum mu możliwość zapoznania się z nią zanim wyrazi zgodę na wskazane pliki. Link do polityki cookie można także zamieścić w samym banerze.
Kolejnym istotnym elementem jest stworzenie takiego przycisku na stronie, który szybko przeniesie użytkownika do baneru cookies, aby mógł w dowolnym momencie dokonać zmiany ustawień oraz wycofać uprzednio wyrażoną zgodę.
Natomiast, tworząc politykę cookies trzeba pamiętać o podaniu realnego okresu żywotności plików cookies stosowanych na stronie. Użytkownik musi być informowany o tym jak długo będą przetwarzane jego dane w sposób rzetelny, który znajdzie potwierdzenie w rzeczywistości.
Do tej pory w Polsce nie nakładano jeszcze kar za niewłaściwe informowanie o stosowaniu plików cookies. Słowo „jeszcze” wydaje się być na miejscu, gdyż analizując praktykę zagranicznych organów stojących na straży ochrony danych osobowych, można dojść do wniosku, że to tylko kwestia czasu, gdy polskie organy zaczną nakładać równie surowe kary.
W 2020 r. w Hiszpanii ukarano Twitter Inc. za to, że baner cookie zamieszczony na portalu tego podmiotu nie umożliwiał odrzucenia cookies, a w dodatku pliki te instalowały się zaraz po wejściu na stronę przez użytkownika. We Francji w 2022 r. zapadły decyzje o nałożeniu kar w przedziale od 60 mln euro aż do 90 mln euro na Facebook Irleand Ltd, Google Irleand Ltd oraz Google LLC. Podmioty te zostały ukarane za niezapewnienie możliwości odmowy udzielenia zgody na stosowanie plików cookies, w równie łatwy sposób jak udzielenia zgody na nie. Hiszpański organ także w 2022 r. ukarał firmę Vueling Airlines za proceder instalowania plików cookies bez wyraźnej zgody użytkowników ich strony. To tylko przykłady kar nakładanych na duże i znane podmioty, przez kraje Unii Europejskiej w sprawach dotyczących naruszenia zasad stosowania oraz informowania o stosowaniu plików cookies, jednak decyzji wydano znacznie więcej i z pewnością możemy być pewni, że pojawią się kolejne.
Co w takim razie może grozić w Polsce za naruszenie zasad związanych z przetwarzaniem danych użytkowników zbieranych za pomocą plików cookie? W naszym kraju dwa organy, niezależnie od siebie są kompetentne do nakładania kar w tym zakresie, mowa o Prezesie Urzędu Komunikacji Elektronicznej (UKE) oraz o Prezesie Urzędu Ochrony Danych Osobowych (UODO). Pierwszy z nich może nałożyć karę za niezgodne z przepisami Prawa telekomunikacyjnego przechowywanie informacji w urządzeniach końcowych abonenta lub użytkownika końcowego lub za korzystanie z informacji zgromadzonych w tych urządzeniach, a także za niedopełnienie obowiązków uzyskania zgody abonenta lub użytkownika końcowego (art. 173 i 174 Prawa telekomunikacyjnego). Drugi natomiast może m.in. nałożyć karę na podstawie stwierdzenia, że doszło do naruszenia zasady legalności i przejrzystości przetwarzania.
Z całą pewnością wizja kar pieniężnych dla nikogo nie brzmi zachęcająco, dlatego warto przyłożyć się do jak najlepszego opisania stosowanych plików cookies oraz takiego zaprojektowania funkcjonalności strony internetowej, aby żaden organ, a tym bardziej użytkownik naszego serwisu nie miał nam nic do zarzucenia w tym zakresie.