LexDigital

Polityka cookies — jak prawidłowo zarządzać ciasteczkami

Jaka jest polityka Twojej firmy, dotycząca przetwarzania danych osobowych i świadczenia usług drogą elektroniczną? Jak poprawnie skonstruować i napisać politykę plików cookies? Czy warto wykorzystać generator polityki prywatności i plików cookies, pobrać gotowy wzór polityki prywatności czy jednak lepiej zaufać prawnikowi? Na te nurtujące pytania odpowiadamy poniżej.

Polityka cookies — jak prawidłowo zarządzać ciasteczkami

Z tego artykułu dowiesz się:

  • Czym są pliki cookies?
  • Jakie jest znaczenie biznesowe korzystania z danych pochodzących z plików cookies?
  • Jaki jest stan prawny dotyczący ciasteczek oraz jak wyglądają O najważniejsze wyroki i decyzje organów nadzorczych w tym temacie;
  • Jak długo można przechowywać pliki cookies oraz jak prawidłowo zarządzać nimi na stronie internetowej?
  • Co powinno znaleźć się w polityce cookies?


Czym są pliki cookies?

Pliki „cookies” (tzw. ciasteczka) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są na urządzeniu końcowym użytkownika strony internetowej. Ciasteczka używane są najczęściej w celu optymalizacji procesu korzystania z serwisów.

Stosowane są również w celu gromadzenia danych statystycznych, które pozwalają identyfikować sposób korzystania użytkowników ze stron internetowych. Daje to możliwość późniejszego ulepszania struktury i zawartości strony oraz prowadzenia działań marketingowych. Pliki cookies mogą stanowić dane osobowe.

zarządzanie plikami cookies

Znaczenie biznesowe korzystania z danych pochodzących z plików cookies

Pliki cookies wykorzystywane są przez przedsiębiorców z branży e-commerce. Przede wszystkim pełnią bardzo ważną rolę w przypadku sklepów internetowych. Potrafią zapamiętywać oglądane przez danego klienta towary oraz liczbę, czas trwania i porę wizyt na witrynie. Można je też skonfigurować, by pokazywały miejsce, z którego użytkownik wszedł do naszego serwisu internetowego — na przykład z wyszukiwarki, klikniętego banera lub linku z innego portalu.

Te informacje są cenne dla przedsiębiorcy analizującego użytkowników odwiedzających jego serwis — pozwalają na dokonanie trafnej oceny treści reklamowych oraz na lepsze poznanie przyzwyczajeń i preferencji użytkownika, który może być potencjalnym klientem.

Pliki cookies są motorem działania reklam kontekstowych Google AdWords (i innych sieci reklamowych). W ten sposób osobie, która często odwiedza na przykład witryny z odzieżą sportową, na stronie wyszukiwarki (i w innych miejscach) pojawią się reklamy nowych linii produktowych czy akcesoriów sportowych.


Obowiązek informowania użytkowników o gromadzeniu plików cookies wynika z art. 173 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2019 r. poz. 2294), zgodnie z którym przechowywanie plików cookies jest dozwolone pod warunkiem, że użytkownik:

  • zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny i zrozumiały o celach oraz możliwości określenia przez niego warunków przechowywania i uzyskiwania dostępu do plików za pomocą zmiany ustawień oprogramowania zainstalowanego przez niego (przeglądarki);
  • wyrazi zgodę;
  • zbieranie plików cookies nie powoduje zmian konfiguracyjnych urządzenia i oprogramowania, z którego korzysta użytkownik.

Co prawda ten sam art. 173 ust. 2 ustawy Prawo telekomunikacyjne mówi, że wyrażenie zgody może odbywać się poprzez dobrowolną konfigurację przez niego ustawień przeglądarki internetowej, to pojawiające się po wejściu w życie RODO orzecznictwo (m.in. wyrok TSUE z dnia 1 października 2019 r., wytyczne francuskiego (CNIL) i brytyjskiego (ICO) organu nadzorczego z października 2019, decyzja Urzędu Ochrony Danych Osobowych z grudnia 2021 roku) wskazuje, że komunikat wyświetlany na stronie i niewymagający akcji użytkownika jest niewystarczający. Zgoda bowiem na mocy z art. 7 RODO powinna być dobrowolna i świadoma.

Co ważne, trwają prace nad wdrożeniem tzw. ustawy o cookies. 15 listopada 2023 roku EROD przyjęła wytyczne w sprawie technicznego zakresu art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Wytyczne mają na celu wyjaśnienie, które operacje techniczne, w szczególności nowe i pojawiające się techniki śledzenia, są objęte dyrektywą, a także zapewnienie większej pewności prawnej administratorom i osobom fizycznym. Wytyczne zostaną przekazane do konsultacji społecznych na okres sześciu tygodni.

Rodzaje plików cookies a zgoda na ich wykorzystanie tj. przetwarzanie danych osobowych:

  • niezbędne – należy przekazać informacje o celach przechowywania i zasadach uzyskania informacji z cookies oraz możliwości określenia przez użytkownika warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym, lub konfiguracji usługi – działamy na podstawie prawnej opartej na prawnie uzasadnionym interesie Administratora (art. 6 ust 1. lit) f RODO);
  • analityczne – przetwarzane na podstawie wyrażonej zgody użytkownika (art. 6 ust 1. lit) a RODO);
  • spersonalizowane/preferencyjne – przetwarzane na podstawie wyrażonej zgody użytkownika (art. 6 ust 1. lit) a RODO);
  • marketingowe/reklamowe – przetwarzane na podstawie wyrażonej zgody użytkownika (art. 6 ust 1. lit) a RODO).

Wyroki sądu

Organy prawa wobec przetwarzania plików cookies:

1.  Pierwsza w Polsce decyzja w obszarze korzystania z technologii bazującej na plikach cookies wydana przez Prezesa Urzędu Ochrony Danych Osobowych w grudniu 2021

Prezes UODO wydając pierwszą opinię, dotyczącą plików cookies zawarł w niej następujące kwestie:

  • przetwarzanie danych osobowych z plików cookies może się odbywać tylko na podstawie zgody użytkownika strony,
  • nie można opierać zbierania informacji z plików cookies na podejściu, że użytkownik może zarządzać zgodami w ustawieniach swojej przeglądarki.

Spod rygoru zgody wyłączono tzw. niezbędne pliki cookies. Natomiast każdy inny rodzaj musi zostać opatrzony zgodą.

cookie ue

2.     Wyrok Trybunału Sprawiedliwości z dnia 1 października 2019 r., C-673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV przeciwko Planet 49 GmbH)

Wyrok zawiera następujące uzasadnienie:

  • zgoda na korzystanie przez stronę z plików cookies nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony, za pośrednictwem plików cookies, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody,
  • artykuł 5 ust. 3 dyrektywy 2002/58 (odpowiednik art.173 ust.2 Prawa telekomunikacyjnego) należy interpretować w ten sposób, że informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookies oraz określenie czy osoby trzecie mogą uzyskać dostęp do takich plików.

 

wyrok

3.     Decyzja Izby Sądowej Gegevensbeschermingsautoriteit z dnia 17 grudnia 2019 r. BELGIA

Belgijski organ nadzorczy nałożył na Jubel.be karę grzywną, ponieważ:

  • administratorzy strony nie umieścili wystarczających informacji o plikach cookies używanych na stronie internetowej (np. lista używanych plików cookies; ich cel, żywotność; lub lista osób trzecich),
  • polityka dotycząca plików cookies była dostępna tylko w języku angielskim, chociaż strona była skierowana do czytelników francusko i nieirlandzkojęzycznych,
  • witryna nie przewidywała żadnej opcji rezygnacji z niektórych rodzajów plików cookies,
  • mimo że ulepszona wersja strony internetowej zbierała zgodę, uzyskana zgoda nie była wystarczająco szczegółowa, tzn. odwiedzający serwis powinni byli mieć możliwość wyrażenia zgody na różne kategorie plików cookies (np. statystyczne, marketingowe, funkcjonalne),
  • nie było łatwego sposobu na wycofanie zgody przez użytkowników przy pierwszym jej udzieleniu.

cookie consent

4.     Zgoda na cookies – wytyczne organów regulacyjnych:

CNIL (francuski organ nadzorczy) w projekcie rekomendacji dotyczących cookies i innych technologii śledzących ze stycznia 2020 r. sformułował następujące wytyczne odnośnie do jednoznaczności zgody:

  • żądanie zgody złożone za pomocą pól wyboru, domyślnie niezaznaczonych, jest łatwo zrozumiałe dla użytkownika;
  • dopuszczalne jest również używanie domyślnie dezaktywowanych suwaków, jeśli wybór wyrażony przez użytkownika jest łatwy do zidentyfikowania;
  • informacje dotyczące wyrażenia zgody lub jej odmowy powinny być łatwo zrozumiałe i dostępne użytkownika bez wysiłku. Treść powinna być przejrzysta i szybkim lub nieostrożnym czytaniu nie powinna sugerować przeciwieństwa tego, co zamierzał wybrać użytkownik;
  • CNIL w wytycznych dotyczących plików cookies z lipca 2019 r. wskazywał, że dalszego przeglądania strony internetowej przez użytkownika nie należy traktować jako wyrażenia przez niego zgody.

Dokument dostępny pod adresem: https://www.cnil.fr/sites/default/files/atoms/files/draft_recommendation_cookies_and_other_trackers_en.pdf

uk

5.     ICO (brytyjski organ nadzorczy)

ICO wskazał, że wyrażenie zgody musi obejmować jednoznaczne pozytywne działanie — na przykład zaznaczenie pola lub klikniecie linku. Użytkownik musi w pełni zrozumieć, że wyraża zgodę. Jako zgody nie należy traktować braku rezygnacji, ponieważ nie wiąże się to z wyraźnym działaniem potwierdzającym.

Wyrażenie zgody nie może polegać na milczeniu, bezczynności, ustawieniach domyślnych, wstępnie zaznaczonych polach lub suwakach, lub ogólnych warunkach. Zgoda nie może opierać się również na wykorzystywaniu bezwładności, nieuwagi lub nastawienia użytkownika.

Dokument dostępny pod adresem: https://ico.org.uk/media/for-organisations/guide-to- pecr/guidance-on-the-use-of-cookies-and-similar-technologies-1-0.pdf

 https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/

ue

Jak długo można przechowywać pliki cookies?

Ustawodawca na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (dalej: RODO)) nałożył na administratorów nowe obowiązki, w tym ograniczył możliwość przechowywania danych po ustaniu celu, dla którego zostały one zebrane, o czym bezpośrednio mowa w art. 5 ust. 1 lit. e RODO.

Akta osobowe pracownika - jakie informacje zawierają i dlaczego są niezbędne dla firmy?

Zgodnie z powyższym przepisem dane osobowe użytkowników powinny być przechowywane w formie umożliwiającej identyfikację osoby, której one dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których są one przetwarzane. Po upływie ustanowionego czasu często regulowanego odrębnymi przepisami prawa powszechnie obowiązującego, dane powinny zostać trwale usunięte. Przy czym przedmiotowe rozporządzenie dopuszcza dwie metody usuwania danych — nieodwracalną ich utratę poprzez usunięcie ze wszystkich nośników i baz danych, jak również anonimizację, czyli proces nieodwracalnego przekształcenia danych osobowych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej.


Podsumowując, każdy administrator powinien oszacować ryzyko wynikające z przetwarzania przez niego danych osobowych w ściśle określonych warunkach, a następie opracować plan postępowania z tym ryzykiem poprzez jego akceptację lub zaplanowanie działań pozwalających na minimalizację, lub wyeliminowanie ryzyka.


Jak prawidłowo zarządzać plikami cookies na stronie internetowej?

Banery z plikami cookie powinny być zaprojektowane tak, aby umożliwić użytkownikom serwisów dokonanie wyboru, czy wyrażają zgodę na przechowywanie plików cookie na ich urządzeniu oraz na przetwarzanie ich danych przez organizację. Oznacza to, że banery powinny być używane tylko wtedy, gdy firma lub organizacja chce gromadzić i przetwarzać informacje, które zgodnie z prawem wymagają zgody.

cookie banner

Z drugiej strony, jeśli zgoda na pliki cookie podczas korzystania ze strony internetowej lub usługi internetowej nie jest prawnie wymagana, nie ma potrzeby umieszczania banera plików cookie. Konsumenci powinni jednak zostać poinformowani w inny sposób o korzystaniu z tych plików cookie, tj. w polityce prywatności. Jeśli natomiast pliki cookie, które nie wymagają zgody, są używane oprócz tych, które wymagają zgody, informacje o plikach cookie, które nie wymagają zgody, można również podać w banerze plików cookie.

Pierwsza warstwa powinna informować użytkowników w zwięzłej formie o plikach cookie i innych narzędziach przetwarzania danych, które są wykorzystywane na stronie internetowej, o celach przetwarzania, o opcjach wyboru, jakie mają użytkownicy oraz o prawie do wycofania zgód.

Forma i język banerów dotyczących plików cookie powinny mieć charakter informacyjny, transparentny i przyjazny dla użytkownika strony.


Strona internetowa powinna umożliwiać użytkownikowi sprawdzenie ustawień plików cookie i cofnięcie zgody w formie, która jest tak łatwa, jak wyrażenie zgody. W idealnym modelu zarządzania plikami cookies ikona wskazująca te opcje jest zawsze widoczna na dole strony internetowej, pozostając w jednym miejscu, gdy konsumenci przewijają stronę internetową.

Klikając "przejrzyj ustawienia plików cookie", użytkownik może uzyskać dostęp, przejrzeć i zmienić indywidualne ustawienia plików cookie. Kliknięcie "cofnij zgodę na pliki cookie" ma taki sam skutek jak kliknięcie "odrzuć wszystko" na pierwszej warstwie — oznacza to, że żadne dane wymagające zgody nie będą gromadzone w przyszłości.


Co powinno znaleźć się w polityce cookies?

Przygotowanie polityki cookies to zadanie, które zdecydowanie na należy do najłatwiejszych. Żaden akt prawny nie reguluje, czym jest Polityka plików cookies, ani zakresu informacji, jakie powinny się w niej znaleźć. Jednakże przyjmuje się, iż Polityka cookies to dokument, w którym administrator strony internetowej lub aplikacji przekazuje odwiedzającym stronę informacje o stosowanych za jej pośrednictwem narzędzi śledzących. Polityka cookies może stanowić część polityki prywatności, ale równie dobrze może być odrębnym dokumentem.

Grupa Robocza z art. 29 w wytycznych 2/2013 w sprawie pozyskiwania zgody na zapisywanie plików cookie  wskazuje, że w polityce cookies należy określić:

  • cele uzyskiwania dostępu i przechowywania plików cookie,
  • jeżeli to istotne, wskazanie plików cookie pochodzących od stron trzecich lub dostęp strony trzeciej do informacji zbieranych przez pliki cookie na stronie internetowej,
  • szczegółowe informacje na temat plików cookie strony trzeciej oraz inne techniczne informacje.

W celu kompleksowego poinformowania użytkowników zaleca się wskazywanie okresu przechowywania (tj. daty wygaśnięcia pliku cookie)  oraz kompleksowe informacje dotyczące tego, w jaki sposób odwiedzający stronę mogą wyrazić (lub cofnąć) zgodę.

chceklist

Treść dokumentu determinowana jest także przez orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Wyrok TSUE Planet49 GmbH C-673/17 wskazuje, że właściciele stron internetowych powinni w politykach cookies informować co najmniej o:

  1. tożsamości administratora danych (tj. wskazanie jego nazwy, adresu oraz danych do kontaktu (w tym adres poczty elektronicznej). Należy także podać nazwę (domenę) strony internetowej, na której instalowane są cookies),
  2. celu przetwarzania (tj wskazać rodzaje plików oraz cele, dla których są przetwarzane),
  3. okresie ważności cookies (tj. należy poinformować, jaki jest czas przechowywania),
  4. odbiorcach lub kategoriach odbiorców danych.

Ważne, aby pamiętać także o innych technologiach, wtyczkach i rozszerzeniach stosowanych przez usługodawcę, np. Google Tag Manager, JavaScript, FLASH.

Właściciel serwisu powinien informować również o zasadach dokonywania i komunikowania zmian w polityce cookie tj. określić zasady publikacji i wejścia w życie zmian.

Nie wiesz jak napisać politykę prywatności? Potrzebujesz darmowych wzorów? Mamy je stworzone specjalnie dla Ciebie! Zobacz: Polityka cookies wzór. Wzór polityki prywatności.

Chcesz, aby Twoja firma działała zgodnie z prawem i obowiązującymi aktualnie przepisami? Potrzebujesz porady lub wsparcia z zakresu ochrony danych osobowych? Nasi eksperci służą Ci swoją pomocą! Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk