fbpx

Cookies – jak wdrożyć je zgodnie z prawem w 2022 roku

pexels-taryn-elliott-6119147
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Stosowanie plików cookies to niezwykle ciekawy temat, tym bardziej że w dzisiejszych czasach niemal wszystkie strony internetowe wykorzystują je w swoim działaniu. Zazwyczaj pierwszą rzeczą, którą widzi przeciętny użytkownik po odwiedzeniu takiej strony nie jest jej zawartość, a informacja o stosowanych plikach cookies z prośbą o udzielenie na nie zgody. Dlaczego tak jest, jak taka zgoda rzeczywiście powinna wyglądać i czy przycisk “akceptuj wszystkie cookies” jest legalny, przeczytasz w niniejszym artykule!

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem na start!

  1. Pliki cookies służą przede wszystkim do celów marketingowych i właściwego korzystania ze strony internetowej, są to proste dane informatyczne przechowywane na urządzeniu końcowym użytkownika.
  2. Do problematyki plików cookies mają zastosowanie przede wszystkim przepisy ustawy Prawo telekomunikacyjne oraz przepisy RODO.
  3. Niezależnie od tego, czy ciasteczka przetwarzają dane osobowe czy też nie – administrator, który z nich korzysta musi zapytać użytkowników o zgodę.
  4. Zgoda na cookies powinna być jasna dla użytkownika, przejrzysta, nie powinna nadmiernie utrudniać korzystania ze strony, a checkboxy powinny być domyślnie odznaczone tak aby użytkownik mógł sam je zaznaczyć.

Nagranie z live

Zapraszamy do odsłuchania nagrania z live organizowane przez hostingodawca LH.pl na temat tego jak wdrożyć zgodę na cookies!

Czym są pliki cookies i do czego służą?

Pliki cookies (inaczej tzw. ciasteczka) to nic innego, jak dane informatyczne głównie w formie tekstowej, które przechowywane są w urządzeniu, z którego użytkownik korzysta, aby odwiedzić daną stronę internetową. 

Pliki cookies służą przede wszystkim usprawnieniu korzystania ze stron internetowych, czy w ramach śledzenia użytkownika. 

Przepisy prawa a pliki cookies 

W pierwszej kolejności warto zauważyć, że przepisy prawa nie używają wprost terminu „cookies” czy „ciasteczka”, a odwołują się w ujęciu bardziej ogólnym do plików, które przechowują informacje lub pozwalają uzyskać dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika.

Podstawą prawną jest tu art. 173 i 174 ustawy Prawo telekomunikacyjne:

Art.  173.  [Przechowywanie informacji w urządzeniach końcowych abonentów lub użytkowników końcowych i uzyskiwanie do nich dostępu] 
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: 
a) celu przechowywania i uzyskiwania dostępu do tej informacji, 
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; 
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art.  174.  [Zgoda abonenta lub użytkownika końcowego]
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.

Powyższe przepisy ustawy Prawo telekomunikacyjne, choć nie mówią wprost o cookies to jednak mają zastosowanie między innymi właśnie do takich plików i jasno wskazują, że aby stosować je legalnie użytkownik musi zostać w sposób bezpośredni, łatwy i zrozumiał poinformowany o stosowaniu takich plików oraz musi udzielić zgody na ich stosowanie. 

Pliki cookies a dane osobowe

Ciekawym problemem, który wiąże się z przepisami prawa stosowanymi do plików cookies jest kwestia przetwarzanych danych osobowych. Niektóre ciasteczka rzeczywiście przetwarzają dane osobowe, ale – nie wszystkie cookies to robią.

W przypadku ciasteczek, które wykorzystują dane osobowe oprócz przepisów Prawa telekomunikacyjnego należy też brać pod uwagę przepisy dotyczące ochrony danych osobowych, czyli tzw. RODO.

Natomiast w przypadku cookies, które nie wykorzystują tych danych wystarcza stosować się do przepisów ustawy Prawo telekomunikacyjne. 

Kto musi stosować zgodę na wykorzystywanie plików cookies?

Skoro już wiadomo, że przepisy prawa przewidują obowiązek pytania użytkowników o zgodę na stosowanie cookies to można zastanowić się do kogo są skierowane te przepisy i kto musi posiadać zgody użytkowników na cookies.  

Przede wszystkim należy zauważyć, że obowiązek ten skierowany jest do administratorów stron internetowych.  Mimo wszystko niektórzy zastanawiają się czy każdy administrator musi pytać użytkowników swojej strony o zgodę na cookies?

Pytanie to dotyczy głównie problematyki danych osobowych i podziału cookies na dwie kategorie – cookies przetwarzających i nieprzetwarzających danych osobowych. Jest to bardzo szeroka problematyka, ale jedno jest pewne – każdy administrator musi pytać użytkowników o zgodę na wykorzystywanie plików cookies bez względu na to czy przetwarzają one dane osobowe czy też nie. W przypadku plików, które nie przetwarzają danych osobowych podstawą prawną jest ustawa Prawo telekomunikacyjne, a w przypadku tych, które takie dane przetwarzają – powyższa ustawa oraz przepisy RODO.

Najsensowniejszym i równocześnie najbezpieczniejszym rozwiązaniem wydaje się po prostu stosowanie się do przepisów, a więc pytanie użytkowników o zgodę cookies niezależnie od typu stosowanych na stronie ciasteczek. 

Jak powinna wyglądać zgoda na cookies?

Najpopularniejszym rozwiązaniem dotyczącym zgody na cookies stosowanym aktualnie na rynku jest okienko wyskakujące tuż po otworzeniu strony internetowej informujące użytkownika o stosowanych ciasteczkach oraz zawierające odpowiednie checkboxy do zaznaczenia swoich zgód i zaakceptowania ich. 

Zdarza się, że tego typu wyskakujące okienka nie blokują używania strony lub wręcz przeciwnie – zasłaniają ją całą i uniemożliwiają korzystanie z niej do momentu udzielenia lub też nieudzielenia zgody na stosowanie cookies. 

W praktyce nie jest to konkretnie sprecyzowane w jaki sposób powinna taka zgoda wyglądać, choć wielkość takiego okienka dotyczącego cookies może mieć znaczenie z punktu widzenia udzielania takiej zgody – powinno ono być odpowiednio widoczne i stosunkowo trudne do ominięcia. 

Z innych istotnych elementów warto pamiętać o tym, że w przypadku takiej zgody kategorie stosowanych ciasteczek powinny być wyróżnione, a zgody na ich używanie – udzielone niezależnie. 

W końcu inne role pełnią cookies niezbędne, które podtrzymują prawidłowe wyświetlanie strony, a inne cookies marketingowe czy śledzące. 

Aby napisać dobrą zgodę cookies warto zastosować trzy, proste zasady:

  • umieszczone w mechanizmie opisy i komunikaty powinny być sformułowane prostym i jasnym językiem;
  • mechanizm nie powinien nadmiernie utrudniać korzystania ze strony (np. zasłaniać jej całkowicie);
  • umieszczone w mechanizmie zgody muszą być domyślnie odznaczone (to użytkownik musi je samodzielnie zaznaczyć, wyrażając tym samym zgodę na instalację plików cookies);

Czy przycisk „akceptuj wszystkie zgody” jest legalny?

Na wstępie trzeba powiedzieć, że przycisk „akceptuj wszystkie zgody” jest dość kontrowersyjną tematyką – część osób zgadza się z jego stosowaniem, część neguje. Prawda jest jednak taka, że prawo nie zakazuje stosowania takiego rozwiązania, a orzecznictwo na chwilę obecną milczy na ten temat.

Warto jednak zwrócić uwagę, że wiele dużych firm, które po pierwsze przeszły wiele kontroli organów nadzorczych, a po drugie współpracują ze specjalistami w zakresie ochrony danych osobowych i RODO stosuje przyciski „akceptuj wszystko”.

Osobiście uważam, że stosowanie takiego przycisku jest jak najbardziej w porządku, tak długo jak checkboxy są początkowo domyślnie odznaczone oraz, że przycisk „akceptuj wszystkie zgody” jest tylko swego rodzaju ułatwieniem dla użytkownika i nie uniemożliwia odznaczenia pewnych zgód, których użytkownik udzielić nie chce. 

Dodatkowo warto także wspomnieć decyzję francuskiego organu CNIL nr SAN-2021-023 z dnia 31 grudnia 2021 r., w której organ ten nałożył grzywnę na Google LLC i Google Ireland Limited w wysokości 90 mln euro i 60 mln euro. W uzasadnieniu tej decyzji wskazano, że Google umożliwia w łatwy sposób zaakceptowanie cookies przez użytkownika poprzez przycisk “accept all”, natomiast nie daje mu możliwości odrzucenia. Francuki organ uznał, że tak samo jak użytkownik może skorzystać z przycisku “accept all” Google powinien także oferować przycisk “decline all” umożliwiający odrzucenie stosowania cookies. 

Czy raz udzieloną zgodę na stosowanie cookies można w dowolnym momencie wycofać?

Co do zasady raz udzieloną zgodę użytkownik może cofnąć w każdym momencie bez podawania przyczyny i co ważne – musi mieć taką możliwość. Dodatkowo ważne jest również, aby wycofanie takiej zgody było równie proste i łatwe jak jej udzielenie.

W praktyce – nie ma żadnych konkretnych przepisów ani wytycznych, które dotykałyby sfery w jaki konkretnie sposób użytkownik może wycofać swoją zgodę. Dobrym pomysłem jest kierowanie się powyższą zasadą i kwestiami „łatwości” odmówienia zgody wcześniej udzielonej. Możesz dodać pływający przycisk, który pozwoli na szybkie otwarcie ustawie cookies. 

Jak długo strona internetowa może korzystać z raz udzielonej zgody?

Przede wszystkim taka informacja powinna znaleźć się w Polityce cookies. Na chwilę obecną można powiedzieć, że raz udzielona zgoda będzie działała tak długo, jak nie zostanie wycofana, ktoś wyczyści ciasteczka, czy zostanie z góry ustalony czas np..2 lata.

Kilka słów o Polityce cookies

Polityka cookies to nic innego jak zasady określające sposób wykorzystywania cookies na stronie internetowej, ich rodzaje, funkcje oraz informacje na temat dostawcy takich usług. 

Przeczytaj także: Polityka prywatności jako obowiązek informacyjny z RODO

Co do zasady, informacja o plikach cookies może znaleźć się w polityce prywatności strony i powinna zawierać następujące informacje o plikach cookies:

  • nazwę pliku,
  • dostawcę,
  • funkcję,
  • zakres pobieranych danych,
  • okres działania;

Jedno z bardziej popularnych pytan dotyczy między innymi konieczności umieszczania linku do Polityki prywatności strony w zgodzie na wykorzystywanie cookies. Nie jest to rozwiązanie konieczne, ale jeżeli nie wszystkie informacje wymagane przez RODO znajdą się w zgodzie cookies, wówczas zawsze należy umieścić link do polityki prywatności.

Podsumowując… 

Słowem podsumowania warto zaznaczyć, że cookies to temat, który dotyczy niemal każdej strony internetowej, bo w praktyce – praktycznie każda z nich korzysta. Warto więc zainteresować się plikami cookies, aby ich stosowanie było zgodne z prawem, bowiem kary nakładane przez organ nadzorczy za naruszenia tego typu mogą być naprawdę wysokie. Zgodę na wykorzystanie plików cookies możesz napisać samodzielnie, ale jeśli chcesz być spokojny o jej poprawność i legalność, zwróć się do prawnika, który pomoże Ci kompleksowo, bowiem cookies to dopiero wierzchołek góry lodowej.

Zdjęcie dodane przez Taryn Elliott: https://www.pexels.com/pl-pl/zdjecie/jedzenie-reka-deser-ciastka-6119147/

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, czy szkoleniach od fundacji Creativa Education.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Skip to content