Cookies – czym są ciasteczka i jakie mam do wyboru?
Ciasteczka to niewielkie informacje tekstowe, przechowywane na urządzeniu końcowym użytkownika sieci, takim jak komputer, laptop, smartfon lub inne urządzenie mobilne umożliwiające dostęp do internetu. Informacje te mogą być następnie odczytywane i wykorzystywane przez dany podmiot. W zależności od rodzaju zapisanej informacji i swojej funkcji wyróżniamy kilka typów ciasteczek, m.in.:
- niezbędne – konieczne do prawidłowego funkcjonowania danej strony internetowej;
- analityczne – pozwalają mierzyć ilość odwiedzin strony i uzyskiwać informacje o źródłach ruchu na stronie;
- funkcjonalne – umożliwiają poprawę efektywności marketingowego przekazu strony oraz dostosowują je do potrzeb i preferencji użytkownika. Dzięki nim możliwe jest np. zapamiętanie wyborów dokonywanych na podstronach;
- reklamowe – używane celu promowania niektórych usług, artykułów lub wydarzeń;
- sesyjne – stanowią informacje tymczasowe, przechowywane w pamięci przeglądarki do momentu zamknięcia strony. Niekiedy mogą być obowiązkowe, aby niektóre funkcjonalności działały poprawnie.
Dotychczasowa praktyka
Szczególnie po wejściu w życie przepisów RODO, zwracano uwagę na to, aby użytkownik przy wejściu na stronę internetową był informowany o używaniu plików cookies oraz aby miał możliwość udzielenia wyraźnej zgody na ich stosowanie. Do wyboru miał opcję typu „Akceptuję” / „Rozumiem” / „OK, zgadzam się”. Możliwa była również akceptacja poprzez zamknięcie okna z tą informacją. Niekiedy była dostepna również opcja „Dowiedz się więcej”, która przekierowywała użytkownika na podstronę z Polityką Cookies. Taki sposób informowania był powszechnie przyjęty i uważany za wystarczający. Już nie jest.
Odrzucenie plików cookies powinno być łatwe. A nie jest.
Ostatnimi czasy głośnym echem odbijała się informacja o tym, jak francuski urząd ochrony danych osobowych (CNIL) zdecydował się na nałożenie wielomilionowych kar na gigantów takich jak Google (150 mln €), Amazon (100 mln €), czy Facebook (60 mln €). Jednym z głównych zidentyfikowanych naruszeń było utrudnianie użytkownikowi wyboru opcji odrzucenia cookies.
Co również istotne, od maja 2021 r. w tym zakresie działa również NOYB (European Center for Digital Rights), będąca organizacja non-profit założoną przez Maxa Schremsa (austriacki aktywista, o którym głośno stało się m.in. dzięki sporowi z Facebookiem, zakończonym głośnym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (sygn. C‑311/18, tzw. wyrok Schrems II). Organizacja wysyła stosowne pisma do podmiotów, które stosują na swoich stronach internetowych nieprawidłowe komunikaty o wykorzystywaniu plików cookies. Głównymi nieprawidłościami, na które zwraca uwagę NYOB jest brak możliwości odrzucenia plików cookie przy wejściu na stronę internetową – w tzw. pierwszej warstwie komunikatu, zwodnicze zaprojektowanie przycisków oraz trudności z wycofaniem udzielonej zgody.
Rozbudowane komunikaty cookies
Konsekwencją powyższego jest fakt, że obecnie podczas przeglądania zasobów sieci internet coraz częściej można spotkać informację o plikach cookies, która daje możliwość dostosowania preferencji użytkownika bez konieczności zmiany ustawień przeglądarki. Czy zmieniły się przepisy? Nie. Ale zmieniła się praktyka.
Przykładowo Google wprowadził prostą możliwość odrzucenia wszystkich ciasteczek – w nowym komunikacie dla niezalogowanych użytkowników oraz korzystających z przeglądarki w trybie „incognito, możliwe jest odrzucenie cookies jednym kliknięciem. W przypadku użytkowników zalogowanych preferencje można zmienić w ustawieniach przeglądarki.
Jak powinien wyglądać bezpieczny baner cookies?
Przede wszystkim należy odebrać wyraźną zgodę na stosowanie konkretnych rodzajów plików. Według Prezesa UODO, jeżeli odwiedzający stronę nie zmieni ustawień swojej przeglądarki internetowej, wówczas zgoda ma charakter bierny i milczący – nie spełnia więc wymogu dobrowolności świadomości, jednoznaczności oraz konkretności. Należy zapewnić, aby zgoda była odbierana poprzez aktywne i wyraźne działanie ze strony użytkownika, którego dane będą podlegać przetwarzaniu.
Z drugiej strony, należy użytkownikowi dostarczyć odpowiednie informacje, wymagane prze ustawę Prawo Telekomunikacyjne. Zgodnie z art. 173 tejże ustawy, przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu końcowym użytkownika jest dozwolone, pod warunkiem, że użytkownik zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:
- celu przechowywania i uzyskiwania dostępu do tej informacji;
- możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji usługi;
- użytkownik po otrzymaniu powyższej informacji wyraził zgodę na zapisanie cookies na jego urządzeniu.
Aby zrealizować powyższe, baner cookies powinien zarówno informować użytkownika o stosowanych plikach ciasteczek i celu ich stosowania, ale również dać użytkownikowi możliwość: 1) wyrażenia zgody, 2) odrzucenia cookies, oraz 3) dostosowania preferencji.
Wysokość kar za nieprawidłową informację o cookies
W zależności od tego, czego dotyczy naruszenie – zakresu podanych informacji czy warunków udzielonej zgody, karę może nałożyć odpowiednio Prezes UKE lub Prezes UODO. W pierwszym przypadku maksymalna wysokość kary wynosi 3% przychodu osiągniętego w poprzednim roku kalendarzowym. Kara nakładana przez PUODO może natomiast wynieść do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.