Osoby odwiedzające strony internetowe przywykły do widoku pojawiających się tzw. pop-upów, czyli okienek z informacją o tym, że dana strona www stosuje „ciasteczka” (cookies). Okienka zazwyczaj zawierają opcje wyrażenia zgody na zapisanie plików cookies pochodzących od samego administratora serwisu, jak również od tzw. partnerów.
Rodzaje plików cookies
Z technicznego punktu widzenia pliki cookies są danymi informatycznymi. Są zapisywane i przechowywane w urządzeniu końcowym użytkownika, czyli np. komputerze, smartfonie, tablecie, z którego korzysta osoba przeglądająca strony internetowe. Pliki cookies mogą być wykorzystywane w wielu różnych celach. Zazwyczaj są używane do utrzymywania sesji (tzw. cookies sesji). Inne cookies umożliwiają zapisywanie preferencji użytkownika, w tym zapamiętywanie produktów wybranych przez kupującego w trakcie korzystania z usług sklepu internetowego. Dzięki plikom cookies użytkownik nie musi również wpisywać za każdym razem tych samych informacji do formularza, gdy powróci na stronę www lub przejdzie z jednej strony www na inną.
Przede wszystkim jednak „ciasteczka” umożliwiają śledzenie użytkownika, co z kolei dostarcza cennych informacji samemu administratorowi serwisu, jak również podmiotom działającym w branży AdTech (advertising technology). Zazwyczaj śledzenie użytkownika jest możliwe dzięki przypisaniu do urządzenia identyfikatora (tzw. cookie ID w przypadku http cookie). Należy jednak zaznaczyć, że coraz częściej stosowane są podobne technologie śledzące, ingerujące w niższe warstwy techniczne Internetu. Ze względu na różnorodność wykorzystywanych rozwiązań technicznych i liczbę związanych z nimi problemów prawnych, niniejszy artykuł dotyczy wyłącznie zagadnień dotyczących tradycyjnych plików cookies.
Ciasteczka pierwszej i trzeciej strony
W zależności od źródła pochodzenia, „ciasteczka” co do zasady dzielone są na: „first-party cookies” i „third party cookies”. Ciasteczka instalowane przez administratora odwiedzanego serwisu wyłącznie do celów tego administratora są określane jako „first-party”, z kolei „third-party” cookies są dostarczane i instalowane przez inne podmioty niż administrator serwisu.
Zasadniczą różnicę stanowi fakt, że ciasteczka „trzecich stron” (często określanych także partnerami, bądź zaufanymi partnerami) nie służą do dostarczania żadnych funkcjonalności, ani danych związanych z funkcjonowaniem strony www odwiedzanej przez użytkownika. Cel stosowania third-party cookies stanowi śledzenie użytkownika i stworzenie internetowego profilu użytkownika, co ma następnie pozwolić na dostarczenie użytkownikowi spersonalizowanej treści. Zindywidualizowana treść jest budowana i dopasowywana do użytkownika w oparciu o dane na temat jego preferencji, zainteresowań i aktywności w serwisach (np. odwiedzane strony, klikane treści, dokonywane zakupy).
Obowiązki związane z korzystaniem z plików cookies
Pliki cookies, w zależności od pełnionej przez nie funkcji, dzielone są na tzw. niezbędne (essential cookies) oraz pozostałe (non-essential cookies). Do kategorii niezbędnych „ciasteczek” należą pliki cookies, których używanie jest konieczne dla zapewnienia prawidłowego funkcjonowania odwiedzanej strony, czyli wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej, dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Zgodnie z treścią art. 173 ust. 1 ustawy Prawo telekomunikacyjne (w skrócie: „PrTel”) przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod określonymi warunkami. Przede wszystkim abonent lub użytkownik końcowy musi zostać uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do tej informacji. Ponadto o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Co do zasady, po otrzymaniu powyżej wymienionych informacji abonent lub użytkownik końcowy powinien wyrazić zgodę na takie działania (art. 173 ust. 1 pkt 2 PrTel), które nie mogą powodować zmian konfiguracyjnych w urządzeniu końcowym i oprogramowaniu zainstalowanym w tym urządzeniu (art. 173 ust. 1 pkt 3 PrTel). Należy zaznaczyć, że do korzystania z niezbędnych cookies nie jest wymagana zgoda abonenta, czy użytkownika, jak również udzielenie informacji, gdyż stosownie do treści art. 173 ust. 3 PrTel, korzystanie z essential cookies odbywa się na podstawie przepisów prawa.
Uzyskanie zgody abonenta/użytkownika będzie natomiast wymagane w przypadku third-party cookies, wykorzystywanych w celu śledzenia użytkownika i budowania profilu preferencji. Ze względu na konstrukcję przepisów, sposób uzyskania zgody może powodować wątpliwości. Treść art. 174 PrTel nakazuje do uzyskania zgody abonenta lub użytkownika końcowego, stosować przepisy o ochronie danych osobowych (czyli RODO). W motywie 32 RODO wskazano: „zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia”. Według motywu 32 RODO wyrażenie zgody może polegać na: „zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”. Z kolei na podstawie art. 173 PrTel, abonent/użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w urządzeniu końcowym, z którego korzysta lub poprzez konfigurację usługi. Przy ocenie sposobu wyrażania zgody warto pamiętać, że aktualne brzmienie art. 173 PrTel wynika ze zmiany wprowadzonej na podstawie dyrektywy 2009/136/WE do art. 5 ust. 3 dyrektywy 2002/58/WE w zakresie przechowywania informacji w urządzeniach końcowych i uzyskiwania do nich dostępu (czyli przechowywania plików cookies i uzyskiwania do nich dostępu). Zgodnie z art. 5 ust. 3 dyrektywy 2002/58/WE: „Państwa Członkowskie zapewniają, że korzystanie z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskania dostępu do informacji przechowanej na terminalu abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem że abonent lub użytkownik otrzyma jasną i wyczerpującą informację zgodnie z dyrektywą 95/46/WE, między innymi o celach przetwarzania, oraz zostanie zaoferowane mu prawo do odmówienia zgody na takie przetwarzanie przez kontrolera danych”. TSUE (Trybunał Sprawiedliwości Unii Europejskiej) w wyroku z dnia 1.10.2019 r. wydanym w sprawie o sygn. akt C-673/17 wskazał, że komentowany art. 5 ust. 3 dyrektywy 2002/58/WE nie zawiera wskazówek, co do sposobu wyrażenia zgody. Sama zgoda może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez „zaznaczenie okna wyboru podczas przeglądania witryny internetowej”.
W przypadku samych cookies zgoda może zatem zostać wyrażona poprzez dokonanie modyfikacji ustawień urządzenia (np. przeglądarki), stosownie do treści art. 173 ust. 3 PrTel, natomiast ze względu na specyfikę plików cookies, tzn. ich ocenę pod kątem przetwarzania danych osobowych, konieczne będzie zazwyczaj pozyskanie także zgody, o której mowa w RODO.
Ciasteczka a dane osobowe
Jak wspomniałam, korzystanie z plików cookies w celu „śledzenia” wiąże się z korzystaniem z identyfikatora (cookies ID), o którym mowa jest w motywie 30 RODO, co w rezultacie, po zestawieniu zebranych informacji, może prowadzić do tworzenia profili i do identyfikowania użytkowników.
W takiej sytuacji należy przyjąć, że dojdzie do przetwarzania danych osobowych.
Należy bowiem wskazać na treść motywu 26 RODO, który nakazuje stosowanie zasad ochrony danych do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Przy czym spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Korzystanie z plików cookies, połączone z jednoczesnym przetwarzaniem danych osobowych wymaga uzyskania zgody spełniającej warunki określone w RODO. W tym celu coraz częściej stosowane są ustandaryzowane CMP (Consent Management Platform), narzędzia przeznaczone dla użytkowników do zarządzania ustawieniami ich prywatności, w tym do wyrażania zgód (m.in. narzędzia dostarczane przez IAB oraz OneTrust).