Wielu użytkowników internetu uważa, że pod słodką nazwą plików cookies, kryje się równie łatwe, przyjemne oraz niewymagające zbyt dużego nakładu pracy po stronie właściciela serwisu internetowego, informowanie użytkowników serwisu o stosowaniu tych plików. Nic bardziej mylnego. Te niepozorne ciasteczka powinny, być traktowane równie poważnie podczas projektowania portalu internetowego oraz nanoszenia w nim zmian, jak postanowienia polityki prywatności czy zamieszczanie odpowiednich klauzul informacyjnych na stronie.
Poważniejsze podejście do tematyki plików cookies powinno przede wszystkim wynikać, z samego charakteru tych plików i rodzaju danych, które są przez te pliki zbierane. Każdego użytkownika da się w istocie zidentyfikować na podstawie zebranych identyfikatorów przez pliki cookie. Zatem mając do czynienia z danymi osobowymi użytkowników, których można dzięki nim zidentyfikować, musimy dopełnić obowiązku, jakim jest informowanie o przetwarzaniu danych osobowych i zasadach tego przetwarzania, aby każdy użytkownik wiedział, na co wyraża zgodę korzystając z serwisu oraz w jakim zakresie może odmówić udzielenia zgody.
W praktyce można z łatwością dostrzec, że wśród właścicieli portali internetowych utarło się stwierdzenie – damy baner informujący o plikach cookies, napiszemy kilka zdań w polityce cookies i po problemie. Taka postawa niejednokrotnie objawiała się także w kopiowaniu treści banerów czy polityk cookies z innych stron, byle by coś się znalazło na stronie. Niestety, taki rodzaj „informowania” użytkownika o stosowanych plikach cookies i rodzaju zbieranych przez nie danych jest bardziej zbliżony do braku informacji na ten temat, niż do skutecznego, a co istotniejsze zgodnego z przepisami informowani użytkowników o zasadach przetwarzania ich danych osobowych.
Do najczęściej występujących błędów, zauważalnych na portalach internetowych, należą:
– brak listy plików cookies, które są stosowane na stronie;
– brak informacji o celu stosowanych plików cookies, ich żywotności;
– brak polityki cookies w języku, w jakim jest prowadzony serwis internetowy;
– niezapewnienie możliwości użytkownikowi na odrzucenie fakultatywnych plików cookies;
– instalowanie plików wszystkich (nie tylko niezbędnych) cookies w momencie wejścia użytkownika na stronę, bez możliwości wyrażenia przez niego sprzeciwu;
– niezapewnienie możliwości użytkownikowi równie łatwego wycofania wyrażonej zgody, w porównaniu z jej udzieleniem;
– niezapewnienie użytkownikom zapoznania się z polityką plików cookies zanim wyrażą zgodę na te pliki.
Jest to rzecz jasna przykładowa lista, a kwestia ewentualnego naruszenia praw użytkowników, musi być każdorazowo badana podczas audytu serwisu internetowego. Warto o tym szczególnie pamiętać na etapie tworzenia strony internetowej, gdyż im porządniej zostanie przeprowadzona analiza stosowanych plików cookies na stronie i ich celu już na samym początku, tym w przyszłości będzie łatwiej wprowadzać zmiany do sporządzonej polityki cookie, dbając przy tym o ochronę praw użytkowników strony.
Przedstawioną powyżej listę typowych przewinień, łatwo jest wychwycić nawet nie będąc pasjonatem branży IT. Każdy użytkownik, bowiem z łatwością może wcisnąć klawisz „F12” na swojej klawiaturze i szybko przejść do listy wszystkich plików cookie stosowanych na stronie. Jest to kolejny powód, dlaczego trzeba przyłożyć szczególną uwagę do transparentności i zapewnienia użytkownikom dostępu do informacji o stosowanych plikach cookies, które znajdą pokrycie w rzeczywistości.
Europejska Rada Ochrony Danych (EROD) w obliczu wielu wątpliwości użytkowników Internetu postanowiła udzielić odpowiedzi na pytanie jak powinien wyglądać modelowy baner informujący na stronie o używaniu plików cookies. Oczywiście nie oznacza to, że EROD udzieliła konkretnej odpowiedzi na to pytanie, ale można spróbować wcielić w życie jej wskazówki, które na pewno zapewnią pozytywną ocenę stosowania i informowania o stosowanych plikach cookie na stronie przez organy, a tym samym uchronią przed ewentualnymi karami pieniężnymi.
O czym zatem należy pamiętać? Przede wszystkim ważne, aby baner cookie zbierał zgodę użytkowników, w sposób zgodny z RODO, tj. w taki sposób, aby wyrażona zgoda była dobrowolna, konkretna, świadoma oraz jednoznaczna. EROD przy tym wyjaśnia w swoich wytycznych, że “jednoznaczne wskazanie zgody użytkownika” musi być efektem jasnej i potwierdzającej akcji tego użytkownika. Czynności takie jak przewijanie strony lub podobne aktywności (znane także jako domyślna zgoda) nie spełniają kryteriów ważnej zgody według RODO. Nie można mówić także o wymuszonej czy dorozumianej zgodzie. Z taką mielibyśmy do czynienia, gdyby baner cookie, odróżniał wyłącznie za pomocom kontrastu czy wyraźniejszego koloru przycisk wyrażenia zgody na ciasteczka na stronie, podczas gdy przycisk odmawiający wyrażenia zgody pozostawałby np. szary, niewyróżniający się. Zatem, należy pamiętać, że opcja odrzucenia musi być równie wyeksponowana, co opcja wyrażenia zgody.
W kwestii samego baneru cookie, musi być on interaktywny i nie może używać domyślnie zaznaczonych pól wyboru, ponieważ nie spełnia ta forma warunku “jasnej i potwierdzającej akcji użytkownika”. Dodatkowo, baner cookie powinien być zaprojektowany w taki sposób, aby zgoda na każdy rodzaj plików cookie mogła być wyrażona osobno. Nie można łączyć w banerze stosowanych plików cookies na stronie, oferując użytkownikowi wyłącznie jeden przycisk zgody, który nie uwzględnia podziału na targetujące, marketingowe czy statystyczne pliki cookies. Dopiero po otrzymaniu, prawidłowej w świetle RODO, zgody użytkownika fakultatywne pliki cookie mogą być instalowane na urządzeniu tego użytkownika. Nie można domyślnie instalować w urządzeniu użytkownika końcowego plików cookies innych niż niezbędne, np. statystycznych czy marketingowych cookies.
Warto pamiętać także o opisaniu słownie suwaków użytych w banerze (np. ON/OFF), aby wyrażenie zgody na cookies lub ich odrzucenie było jasne i czytelne dla wszystkich użytkowników. Baner cookie powinien być umieszczony w takim miejscu na stronie, aby nie zasłaniał użytkownikowi treści polityki cookie, zapewniając mu tym samym możliwość zapoznania się z nią, zanim wyrazi zgodę na wskazane pliki. Link do polityki cookie można także zamieścić w samym banerze.
Kolejnym istotnym elementem jest stworzenie takiego przycisku na stronie, który szybko przeniesie użytkownika do baneru cookies, aby mógł w dowolnym momencie dokonać zmiany ustawień oraz wycofać uprzednio wyrażoną zgodę.
Natomiast, tworząc politykę cookies trzeba pamiętać o podaniu realnego okresu żywotności plików cookies stosowanych na stronie. Użytkownik musi być informowany o tym jak długo będą przetwarzane jego dane w sposób rzetelny, który znajdzie potwierdzenie w rzeczywistości.
Do tej pory w Polsce nie nakładano jeszcze wysokich kar pieniężnych za niewłaściwe informowanie o stosowaniu plików cookies. Słowo „jeszcze” wydaje się być na miejscu, gdyż analizując praktykę zagranicznych organów stojących na straży ochrony danych osobowych, można dojść do wniosku, że to tylko kwestia czasu, gdy polskie organy zaczną nakładać równie surowe kary.
W 2020 r. w Hiszpanii ukarano Twitter Inc. za to, że baner cookie zamieszczony na portalu tego podmiotu nie umożliwiał odrzucenia cookies, a w dodatku pliki te instalowały się zaraz po wejściu na stronę przez użytkownika. We Francji w 2022 r. zapadły decyzje o nałożeniu kar w przedziale od 60 mln euro aż do 90 mln euro na Facebook Irleand Ltd, Google Irleand Ltd oraz Google LLC. Podmioty te zostały ukarane za niezapewnienie możliwości odmowy udzielenia zgody na stosowanie plików cookies, w równie łatwy sposób jak udzielenia zgody na nie. Hiszpański organ także w 2022 r. ukarał firmę Vueling Airlines za proceder instalowania plików cookies bez wyraźnej zgody użytkowników ich strony.
Wysoką karę, w dniu 19 grudnia 2022 r. nałożył francuski organ ochrony danych – Commission nationale de l’informatique et des libertés (dalej jako: „CNIL”), na firmę Microsoft Ireland Operations Limited, w szczególności za to, że nie pozwalała użytkownikom na odrzucanie plików cookie tak łatwo, jak na ich akceptowanie. Mowa o niebagatelnej karze pieniężnej w wysokości 60 mln euro.
Postępowanie w sprawie Microsoftu zostało wszczęte w następstwie skargi dotyczącej warunków umieszczania plików cookie na „bing.com”. W toku kontroli, okazało się, że gdy użytkownicy odwiedzali tę stronę, pliki cookie były umieszczane na ich urządzeniach końcowych bez ich zgody, a pliki te były wykorzystywane między innymi do celów reklamowych. CNIL zauważył również, że w witrynie brakowało przycisku, który pozwalałby równie łatwo odmówić zapisywania plików cookies, tak jak to wyglądało w przypadku ich akceptacji. Potrzebne były aż dwa kliknięcia, aby odrzucić wszystkie pliki cookie, a tylko jedno, aby je zaakceptować. Rozwiązanie to oceniono jako zniechęcanie użytkowników do odrzucania plików cookie, przy jednoczesnym zachęcaniu ich do preferowania prostego przycisku zgody w pierwszym oknie.
W rezultacie organ CNIL odpowiedzialny za wydawanie sankcji, nałożył na Microsoft grzywnę w wysokości 60 mln euro. Za podstawę nałożenia ww. kary przyjęto naruszenie przez Microsoft art. 82 francuskiej ustawy o ochronie danych. Wysokość kwoty została uzasadniona zakresem przetwarzania, liczbą osób, których dane dotyczyły oraz zysków reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie, które osiągnął Microsoft.
Oprócz kary administracyjnej, CNIL wydało także zarządzenie nałożeniu okresowej kary pieniężnej i tym samym zobowiązano spółkę do zebrania na stronie internetowej „bing.com” zgód osób zamieszkałych we Francji, w ciągu trzech miesięcy przed umieszczeniem reklamowych plików cookie na urządzeniu końcowym użytkownika korzystającego z „bing.com”. W przeciwnym wypadku, Microsoft został zobligowany do zapłaty kary w wysokości 60 000 euro za każdy dzień opóźnienia w wykonaniu ww. zobowiązania.
Francuski organ CNIL nie pozostaje bierny i nadal skupia się na pilnowaniu przestrzegania wytycznych dotyczących stosowania plików cookies przez administratorów danych. W dniu 17 maja 2023 r. ukarał spółkę Doctissimo grzywną w wysokości 380 000 euro niewywiązywanie się z obowiązków wynikających z RODO, w szczególności w zakresie uzyskiwania zgody osób fizycznych na gromadzenie i wykorzystywanie ich danych zdrowotnych, ale także kara obejmowała naruszenia związane z nieprzestrzeganiem przez spółkę zasad dotyczących ciasteczek. Po przeprowadzeniu aż czterech dochodzeń, które były spowodowane skargą stowarzyszenia Privacy International, CNIL stwierdził, że francuski startup, który w ramach swojej działalności oferował artykuły, testy, quizy oraz fora dyskusyjne związane ze zdrowiem oraz samopoczuciem użytkowników. CNIL w toku prowadzonych dochodzeń zidentyfikowało sporo niedociągnięć leżących po stronie Doctissimo, które dotyczyły okresów przechowywania danych, gromadzenia danych dotyczących zdrowia za pomocą oferowanych przez spółkę testów online, bezpieczeństwa danych, a także procedur umieszczania plików cookies na urządzeniu końcowym użytkownika. W rezultacie organ CNIL, odpowiedzialny za orzekanie o sankcjach, nałożył na Doctissimo dwie kary pieniężne:
Grzywna wiążąca się z wykorzystywaniem plików cookies, znajduje swoją podstawę w naruszeniu art. 82 francuskiej ustawy o ochronie danych, a dokładnie wiąże się z naruszeniem obowiązków związanych z wykorzystywaniem plików cookies. CNIL zwrócił uwagę, że Doctissimo umieszczał reklamowe pliki cookies na urządzeniu końcowym użytkownika nie dość, że bez zgody użytkownika, to w dodatku działo się to zaraz po wejściu na stronę. Dodatkowo, w przypadku wybrania przez użytkownika opcji „odrzuć wszystko”, serwis i tak umieszczał dwa reklamowe pliki cookies na urządzeniu użytkownika. Nakładając karę w tym zakresie, CNIL zwrócił uwagę, że brak zbierania zgód na pliki cookies dotyczył każdego kto odwiedzał serwis Doctissimo, a zatem setek milionów internautów. Obecnie spółka Doctissimo podjęła działania zmierzające do usunięcia naruszeń oraz dostosowania do wytycznych CNIL, przez to francuski organ przystąpił do zamknięcia postępowania.
To tylko przykłady kar nakładanych na duże i znane podmioty, przez kraje Unii Europejskiej w sprawach dotyczących naruszenia zasad stosowania oraz informowania o stosowaniu plików cookies, jednak decyzji wydano znacznie więcej i z pewnością możemy oczekiwać kolejnych. Wiąże się to również z faktem, że wzrasta ilość organizacji i stowarzyszeń stojących na straży przetwarzania danych osób fizycznych w sposób zarówno zgodny z wytycznymi RODO, jak i prawem krajowym, które nie boją się składać skarg i zgłoszeń do odpowiednich organów, inicjując tym samym procedury kontrolne. Kolejny aspekt, który administratorzy danych muszą mieć na uwadze, a który jest często przez nich bagatelizowany, to wzrastająca świadomość użytkowników w zakresie zasad funkcjonowania plików cookies i ich praw wiążących się z tym zakresem i sposobem przetwarzania ich danych. Administratorzy danych powinni wyzbyć się przeświadczenia, że tylko osoby posiadające rozwinięte umiejętności techniczne poradzą sobie ze sprawdzeniem, jakie pliki cookies dana witryna zapisuje na ich urządzeniu oraz jaki jest ich okres retencji. Weryfikacja tych informacji jest prostsza niż może się wydawać, a w dodatku w Internecie istnieje szeroki zbiór tutoriali doszkalających przeciętnych użytkowników w tym zakresie.
Co w takim razie może grozić w Polsce za naruszenie zasad związanych z przetwarzaniem danych użytkowników zbieranych za pomocą plików cookie? W naszym kraju dwa organy, niezależnie od siebie są kompetentne do nakładania kar w tym zakresie, mowa o Prezesie Urzędu Komunikacji Elektronicznej (UKE) oraz o Prezesie Urzędu Ochrony Danych Osobowych (UODO). Pierwszy z nich może nałożyć karę za niezgodne z przepisami Prawa telekomunikacyjnego przechowywanie informacji w urządzeniach końcowych abonenta lub użytkownika końcowego lub za korzystanie z informacji zgromadzonych w tych urządzeniach, a także za niedopełnienie obowiązków uzyskania zgody abonenta lub użytkownika końcowego (art. 173 i 174 Prawa telekomunikacyjnego). Drugi natomiast może m.in. nałożyć karę na podstawie stwierdzenia, że doszło do naruszenia zasady legalności i przejrzystości przetwarzania.
Między majem 2021 r. a sierpniem 2022 r. 18 organów ochrony danych w Unii Europejskiej i Europejskim Obszarze Gospodarczym (EOG), otrzymało kilkaset skarg od stowarzyszenia NOYB (Europejskie Centrum Praw Cyfrowych) dotyczących zaprojektowania i właściwości banerów cookie.
W odpowiedzi na otrzymane skargi, utworzono grupę zadaniową zrzeszającą dobrowolnie wszystkie europejskie organy ochrony danych, w celu wspólnego przeanalizowania różnych kwestii, które zostały poruszone w otrzymanych skargach.
Mimo, że przechowywanie plików cookie i innych narzędzi śledzących jest wyraźnie objęte dyrektywą o prywatności i łączności elektronicznej, to Europejska Rada Ochrony Danych uznała, że liczba skarg i krajów, których dotyczą skargi, a także znaczenie tego tematu dla ochrony prywatności internautów, uzasadnia podjęcie skoordynowanych działań na szczeblu europejskim.
W trakcie prac, w szczególności zwrócono uwagę na sposoby akceptacji i odmowy przechowywania plików cookie oraz projekty banerów cookies. Zdecydowana większość organów uważa, że brak jakiejkolwiek możliwości odmowy/odrzucenia/niewyrażenia zgody na pliki cookie na takim samym poziomie, jak ten, który przewiduje akceptację ich przechowywania, stanowi naruszenie prawa. Natomiast, w odniesieniu do projektu banerów cookies europejskie władze stwierdziły, że przekazywane w banerze informacje muszą umożliwiać internautom zrozumienie, na co dokładnie wyrażają zgodę i jak mogą wyrazić swój wybór. Przy czym europejskie organy ochrony danych zgadzają się, że nie mogą narzucić jednorodnego standardu w zakresie koloru lub kontrastu stosowanego w banerze cookies na wszystkich stronach internetowych. Za każdym razem, należy przeprowadzić indywidualną analizę banera cookies w celu ustalenia, czy analizowany projekt (np. użyty kolor suwaków zgód) nie wprowadza, w oczywisty sposób, użytkowników w błąd.
Dorobek europejskich organów ochrony danych, w postaci zharmonizowane stanowiska, umożliwi krajowym władzom sfinalizowanie rozpatrywania otrzymanych skarg, w tym skarg dotyczących plików cookies. Jak widać, z pozoru błaha rzecz – poprawne opracowanie polityki i baneru cookies, które dodatkowo często są traktowane przez administratorów danych pobłażliwie, może wiązać się nie dość, że ze złym odbiorem serwisu przez użytkowników, którzy np. poczują się zmuszeni do wyrażenia zgody na niechciane cookies reklamowe, to w dodatku z wysokimi karami pieniężnymi nakładanymi przez organy ochrony danych. Z całą pewnością wizja kar pieniężnych dla nikogo nie brzmi zachęcająco, dlatego warto przyłożyć się do jak najlepszego opisania stosowanych plików cookies oraz takiego zaprojektowania funkcjonalności strony internetowej, aby żaden organ, a tym bardziej użytkownik naszego serwisu nie miał nam nic do zarzucenia w tym zakresie.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj oraz o profilowaniu zgodnym z RODO tutaj.