LexDigital

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Kwestie regulacji dotyczących plików cookie oraz zgody na ich używanie od dawna intrygują osoby zajmujące się ochroną danych osobowych. Jak obecnie wygląda ta kwestia? Jakie akty prawne dotyczą zasady używania ciasteczek w Polsce oraz jak ewoluuje ten temat w Unii Europejskiej?

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Dane na wagę złota

W trakcie ostatnich lat coraz bliższe prawdzie stają się sentencje: “dane to nowe złoto” lub “dane to nowa ropa”. Popularyzacja technologii zaawansowanego targetowania reklamy, przewidywania intencji użytkownika oraz tworzenie schematów behawioralnych w oparciu o śledzone zachowania, pozwala na coraz skuteczniejszą promocję w internecie. Jeżeli dołożymy do tego niesamowity rozwój sektora Big Data oraz technologii AI mam gotowy przepis na legalną i ultraskuteczną manipulację naszymi decyzjami zakupowymi. Algorytmy już dzisiaj wiedzą lepiej od Ciebie czego pragniesz i kiedy jesteś najbardziej podatny na spontaniczne zakupy. Coraz częściej odwiedzana przez Ciebie strona internetowa zbiera o Tobie szczegółowe informacje bez wcześniejszego uzyskania zgody.

Ciasteczkowy potwór - czym są cookiesy?

Ciasteczka (cookie) to niewielkie pliki tekstowe, które są tworzone i przechowywane na Twoim komputerze i smartphonie przez przeglądarkę internetową. Pozwalają one portalom internetowy na śledzenie aktywności użytkownika w obrębie danej stronie internetowej oraz poza nią. Zbierają one wszelkiego rodzaju informacje dotyczące preferencji użytkownika, historii przeglądania, logowania, czasu spędzonego na stronie itd. Teoretycznie mogą one monitorować całą naszą aktywność związaną z przeglądaniem danej strony. Pozwalają one również na zapamiętywanie danych logowania, ustawień oraz preferencji związanych ze stroną. W plikach cookie zapisywane są również często informacje na temat udzielenia zgody na używanie samych plików cookie ;) Jeżeli jakiś reklamodawca posiada kody reklamowe i cookies na różnych stronach internetowych (np. google, facebook) może zidentyfikować użytkownika pomiędzy wieloma stronami internetowymi i zbudować na podstawie tych informacji całkiem dokładny profil behawioralny do celów reklamowych. Jeżeli ma miejsce identyfikacja osoby przeglądającej stronę internetową, cookiesy stają się wtedy daną osobową i należy stosować założenia ochrony danych osobowych opisane w RODO.

pliki cookies, pliki ciasteczka, privacy

Jakie akty prawne dotyczą zgody na cookie? - Pliki cookies a rodo

Zasady regulujące zarządzanie ciasteczkami są opisane w dwóch zazębiających się aktach prawnych: Rozporządzeniu Ogólnym o Ochronie Danych Osobowych (RODO) oraz dyrektywie o prywatności i łączności elektronicznej, implementowanej w Polsce przez prawo telekomunikacyjne. Jednym z kluczowych elementów stosowania przepisów dotyczących ochrony prywatności jest definicja pojęcia "zgody". Artykuł 2 lit. f) dyrektywy o prywatności i łączności elektronicznej określa, że "zgoda" użytkownika lub abonenta odpowiada zgodzie osoby, której dane dotyczą, zgodnie z dyrektywą 95/46/WE. Motyw 17 dyrektywy o prywatności i łączności elektronicznej wyjaśnia, że pojęcie "zgody" w niniejszej dyrektywie ma to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46/WE. Zgodę można wyrazić na różne sposoby, które pozwala użytkownikowi na swobodne i świadome wyrażenie woli, np. poprzez zaznaczenie pola wyboru na stronie internetowej. W samej treści RODO kwestię udzielania zgody oraz formy tej zgody reguluje art 4 ust. 11 RODO który mówi o tym, że: “zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala  na przetwarzanie dotyczących jej danych osobowych”. Podsumowując zgoda na ciasteczka powinna być zawsze dobrowolna, zrozumiała, prosta do udzielenia lub odmowy oraz możliwa do wycofania. Regulacje przewidują oczywiście stosowanie niezbędnych plików cookie, które są potrzebne do prawidłowego funkcjonowania strony internetowej na których używanie nie musimy pobierać zgody. Prawo telekomunikacyjne dopuszcza wtedy możliwość wyrażenia zgody za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez użytkownika telekomunikacyjnym urządzeniu końcowym.

data security, security, ochrona danych osobowych

Czy Cookie to dane osobowe?

Odpowiedź jak to przeważnie w takich kwestiach bywa brzmi: To zależy! 

Jeżeli informacje zebrane w pliku cookie dotyczą zidentyfikowanej osoby lub pozwalają jednoznacznie zidentyfikować użytkownika, możemy mówić o danych osobowych i powinniśmy stosować zasady RODO. Strony internetowe posiadają wiele sposobów na identyfikację, np. poprzez adresy IP w połączeniu z danymi o Twoim urządzeniu. Jeżeli identyfikacja użytkownika nie jest jednak możliwa to kwestie tych regulacji zaczynają się delikatnie rozmywać. W Polsce obowiązuje wciąż art 173 ust. 2 Prawa Telekomunikacyjnego, który bierze pod uwagę możliwość wyrażania zgody na instalowanie plików cookies poprzez ustawienia przeglądarki - oznacza to, że zgoda jest wyrażana jednorazowo podczas konfigurowania oprogramowania, a nie przez każdorazowe kliknięcie przycisku "akceptuj" przy każdej wizycie na stronie dostawcy korzystającego z technologii cookies.

Zasady dotyczące cookiesów wciąż nie są do końca ustalone i jednoznaczne. W świecie postępującej technologii akty prawne czasami nie nadążają za nowymi rozwiązaniami. Tak jest w tym przypadku. Bardzo możliwe, że wiele ostatecznych regulacji znajdziemy w zapowiadanym od 5 lat ePrivacy, nazywanym również “rozporządzeniem ciasteczkowym”. O tym akcie prawnym pisaliśmy już wcześniej: Artykuł: ePrivacy - czyli co wiemy o rozporządzeniu zwanym RODO-2 

Pytanie tylko kiedy rozporządzenie to wejdzie w życie i w jakiej formie.

pliki cookies, ciasteczka, ochrona prywatności

Nowy projekt raportu grupy roboczej Europejskiej Rady Ochrony Danych.

W 2021 organizacja NYOB (None of Your Business) złożyła ponad 700 skarg do EDPB na nieprawidłowo skonstruowane bannery cookies na różnych stronach internetowych. W odpowiedzi na tak dużą ilość zgłoszeń organ powołał specjalną grupę roboczą. 18 stycznia grupa ta opublikowała projekt raportu ze swoich działań dostępny w całości tutaj:

Projekt raportu EDPB dotyczący kwestii cookies.

Jak wynika z treści duża większość praktyk stosowanych przez firmy jest niezgodna z prawem Unii Europejskiej:

  • Brak przycisku “odrzuć wszystkie” na pierwszej warstwie bannera cookie
  • Domyślne zaznaczanie pól zamiast aktywnej zgody użytkownika
  • Stosowanie pomniejszonej czcionki w linkach umożliwiających odmowę
  • Kategoryzowanie analitycznych, marketingowych i innych plików cookie jako “niezbędnych do funkcjonowania strony” 
  • Brak stałego miejsca umożliwiającego wycofanie zgody na serwisie

Grupa robocza nie odniosła się jeszcze do wszystkich kwestii poruszanych przez NYOB jak np. kwestia kolorystyki i kontrastu elementów wykorzystywanych przy budowaniu bannerów cookie, które mogą specjalnie utrudniać wycofanie zgody poprzez zmniejszanie widoczności odpowiednich przycisków. Raport EDPB nie określił również jednoznacznie czym jest “widoczne i ustandaryzowane miejsce” wycofania zgody. Ostateczna wersja sprawozdania nie została jeszcze przyjęta i bardzo możliwe, że kwestie te pojawią się w finalnej wersji dokumentu.

Niezależnie od tego widać doskonale jak wiele z tych założeń jest łamanych przez Polskich twórców stron internetowych. Jednak szanse na to, że to się zmieni są coraz większe.

Masz problem z plikami cookie? 

Nie wiesz jak wdrożyć je zgodnie z zasadami RODO?

Umów się z nami na darmową konsultacje.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk