Wiele pojawia się ostatnio artykułów na temat ciasteczek. Falę tego zainteresowania wywołały niewątpliwie działania NOYB (jeżeli jesteś zainteresowany przedsięwzięciami NOYB kliknij tutaj). Na jej celowniku pojawiły się tzw. banery cookies, zawierające informacje o przetwarzaniu danych w formie polityki prywatności i cookies na stronach internetowych. Mając na uwadze chociażby skuteczność związanego z organizacją Maksymiliana Schremsa (aktywisty przeciwstawiającemu się praktykom Facebooka, czego wyraz znajdujemy w orzeczeniach TSUE), warto poświęcić chwilę uwagi na sprawdzenie, jakie rozwiązania są stosowane na naszej stronie internetowej. Choć oczywiście celem samym w sobie powinno być zadbanie o prywatność użytkowników co najmniej w stopniu, którego sami oczekiwalibyśmy w podobnej sytuacji.
Kilka słów o ciasteczkach i zgodzie
Pliki cookies (ciasteczka) to niewielkie pliki zapisywane na urządzeniu użytkownika (laptopie, telefonie itp.), zawierające informacje wykorzystywane na odwiedzanych przez niego stronach. Rodzajów ciasteczek jest co najmniej kilka. Z jednej strony, ciasteczka mogą służyć prawidłowemu korzystaniu ze strony czy zapewnieniu bezpieczeństwa, z drugiej pozwalać na prowadzenie analiz dotyczących strony czy marketingu. Ciasteczka mogą być wykorzystywane przez administratora strony (first party cookkies) albo przez jego partnerów (third party cookies).
Zagadnienia dotyczące zasad wykorzystywania plików cookies reguluje ustawa z dnia 16 lipca 2004 r. – Prawo Telekomunikacyjne. Zgodnie z jej przepisami, użytkownik powinien zostać poinformowany o wykorzystywaniu tych plików jeszcze przed ich zapisaniem. W praktyce sprowadza się to do tego, aby ciasteczka nie działały przed ich zaakceptowaniem przez użytkownika. Mimo tej zasady, niejednokrotnie można jednak spotkać się z odmienną sytuacją.
Art. 173 Prawo telekomunikacyjne1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:
1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.
Co do zasady na korzystanie z plików cookies należy wyrazić zgodę (potrzeby takiej nie ma np. w przypadku ciasteczek technicznych, niezbędnych do działania strony). I wprawdzie zgoda, o której mowa w Prawie Telekomunikacyjnym jest czymś innym niż „rodowska” zgoda na przetwarzanie danych, to zgodnie z przepisem art. 174 przytoczonej ustawy, stosuje się do niej przepisy o ochronie danych osobowych.
Art. 174 Prawo telekomunikacyjneDo uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
Oznacza to, że zgoda powinna być:
- dobrowolna – nie może więc być wyrażona pod przymusem, np. domyślnie odznaczona w okienku bez możliwości rezygnacji z jej wyrażenia,
- konkretna – powinna dotyczyć jasno określonych celów,
- świadoma – osoba wyrażająca zgodę powinna zdawać sobie sprawę z konsekwencji wyrażenia zgody, jak również powinna uzyskać informacje związane ze zgodą,
- jednoznaczna – zgoda nie może pozostawiać wątpliwości co do zamiarów osoby, która ją wyraża.
Korzystanie z cookies wiąże się z koniecznością utworzenia informacji o nich i umożliwienia użytkownikom podjęcia decyzji co do ich wykorzystywania.
Czym się kierować?
Niekwestionowaną wartością jest przejrzystość. Informacja powinna więc przede wszystkim odnosić się do rzeczywiście wykorzystywanych plików cookies. Wiele spotykanych w sieci polityk prywatności nie jest dostosowanych do faktycznych potrzeb administratorów, ograniczając się do szablonowych informacji. Inną kwestią jest zrozumiałość komunikatów. Informacja powinna być przekazana w sposób przystępny dla użytkownika, dlatego warto wyjaśnić w niej czym są pliki cookies, jakie są ich rodzaje i w jaki sposób można nimi zarządzać. Jeżeli część wykorzystywanych ciasteczek nie jest niezbędne do prawidłowego funkcjonowania strony, powinno być umożliwione łatwe ich wyłączenie.
Czego się wystrzegać?
NOYB zdiagnozował wiele problemów z banerami cookies. Do najczęściej spotykanych należy zaliczyć trudności związane z wycofaniem zgody i brak możliwości odrzucenia stosowania cookies w pierwszej warstwie baneru. Częstą praktyką jest tworzenie sieci skomplikowanych odesłań, których konsekwencją jest ukrycie możliwości odrzucenia cookies lub zniechęcenie do tego użytkownika. To oczywiście nie jedyne metody.
Częstą praktyką, z którą chyba każdy spotkał się choć raz, jest dostosowywanie wyglądu przycisków, przez ich design, skontrastowanie lub rozróżnienie kolorami. Takie projektowanie graficzne ma na celu wprowadzenie użytkownika w błąd, zachęcając do kliknięcia wyrażenia pełnej zgody. Niestety szczególnie przy większej ilości wykorzystywanych ciasteczek jest to często wybierana opcja. Ostatecznie nawet najlepiej skonstruowany system nie zadziała, jeżeli jego użytkownik sam nie zadba o swoją prywatność. A nie będzie chyba fałszywym stwierdzenie, że nie każdy ma ochotę na przeglądanie listy cookies i odhaczanie kolejnych pól zgody…
Nie można też zapominać o samych warunkach uzyskania zgody, jak również możliwości jej wycofania w sposób równie łatwy, co jej złożenie. Niedopuszczalne jest automatyczne odznaczenie okienka zgody – narusza to zasadę dobrowolności.
Systemy do zarządzania cookies
Niezbędną pomocą we właściwym uporządkowaniu stosowania ciasteczek są różnego rodzaju systemy umożliwiające zarządzanie cookies. Systemy te umożliwiają między innymi umieszczenie baneru na stronie, gdzie użytkownik ma możliwość zaznaczenia zgody lub wyrażenia sprzeciwu w odniesieniu do konkretnych celów przetwarzania. Ta druga opcja znajdzie zastosowanie w przypadku oparcia wykorzystania plików cookies na prawnie uzasadnionym interesie administratora. Przy wyborze tego rozwiązania należy jednak pamiętać o przeprowadzeniu testu równowagi w odniesieniu do interesów administratora oraz osób, których danych dotyczy przetwarzanie.
W telegraficznym skrócie:
Sprawdź jak jest skonstruowany Twój baner cookies. Jeżeli:
- nie przewiduje możliwości łatwego wycofania zgody na pliki cookies,
- nie przewiduje opcji odrzucenia cookies już w pierwszej warstwie baneru,
- zawiera automatycznie odznaczone zgody,
- są duże różnice między wyglądem przycisków akceptujących i odrzucających cookies,
- tworzy skomplikowany system odesłań zamiast prostej możliwości zaakceptowania lub odrzucenia cookies,
to prawdopodobnie wymaga on wprowadzenia zmian.
Pingback: Nie myli się ten, co nic nie robi – o naruszeniach ochrony danych osobowych – Zdrowe Dane