Kontynuując rozważania rozpoczęte w poprzednim artykule pragniemy odpowiedzieć na pytanie, dlaczego cookies należy traktować jako dane osobowe. Pandemia COVID-19, a także daleko idąca cyfryzacja doprowadziły do tego, że coraz więcej czasu spędzamy online. Strony internetowe obecnie powszechnie wykorzystują technologię cookies. W związku z tym pojęcie plików cookies nie powinno być obce żadnemu użytkownikowi Internetu.
Gdy odwiedzamy strony internetowe często (niczym natrętna mucha) pojawiają się komunikaty informujące o wykorzystywaniu przez konkretną stronę WWW plików cookies. Przeważnie użytkownicy chcąc pozbyć się komunikatu zasłaniającego treść witryny, bez zastanowienia akceptują sugerowane ustawienia plików cookies. Nie jest to dobre rozwiązanie, ponieważ pliki cookies mogą pozwalają gromadzić wiele istotnych informacji o użytkownikach. „Ciasteczka” z jednej strony mogą być pomocne użytkownikom, ponieważ umożliwiają m.in. personalizowanie strony. Z drugiej strony często ingerują w sferę prywatności użytkowników.
Temat ciasteczek jest kontrowersyjny, ponieważ brak jest wyraźnych przepisów prawnych regulujących tę tematykę. Te które zawarto w Prawie telekomunikacyjnym mogą wydawać się wewnętrznie sprzeczne i niespójne z przepisami unijnymi dotyczącymi tej kwestii. Niestety nie istnieją żadne wyraźne zalecenia UODO dotyczące cookies. Polski organ nadzorczy wypowiedział się na temat ciasteczek dopiero w decyzji wydanej w grudniu 2021. Na szczęście nie tylko Prezes UODO zajął stanowisko w tej sprawie, ale również jego odpowiednicy z innych krajów UE. Duże znaczenie dla regulacji „ciasteczek” ma wyrok TSUE w sprawie Planet49, który jest pierwszym wydanym po wejściu w życie RODO werdyktem odnoszącym się do cookies. O tym wszystkim można właśnie przeczytać w niniejszym artykule.
Wraz z wejściem w życie przepisów RODO miało zacząć obowiązywać również tzw. rozporządzenie ePrivacy, którego jednak wciąż jeszcze nie wprowadzono. Niewątpliwe będzie miało ono duże znaczenie dla stosowania technologii cookies. Jego wprowadzenie będzie skutkowało koniecznością uchylenia bądź też zmiany przepisów polskiej ustawy Prawo telekomunikacyjne, implementującej do polskiego porządku prawnego Dyrektywę Parlamentu Europejskiego i Rady UE 2018/1972 z dnia 11 grudnia 2018 roku ustanawiającą Europejski Kodeks Łączności Elektronicznej. Więcej informacji o rozporządzeniu ePrivacy, które ma zastąpić w/w Dyrektywę, przeczytają państwo w naszym kolejnym artykule. Niezależnie od prac nad przepisami unijnymi zaprojektowano nową ustawę Prawo komunikacji elektronicznej (PKE), która miałaby zastąpić obowiązujące Prawo telekomunikacyjne oraz ustawę o świadczeniu usług drogą elektroniczną. Więcej informacji o PKE znajdziecie Państwo w naszym wcześniejszym artykule. Niestety od tamtej pory niewiele się wydarzyło w tym temacie. Dlatego obecnie w Polsce brakuje konkretnych wytycznych w sprawie cookies i liczymy na to, że Prezes UODO dostrzeże problem i wyda stosowane zalecenia podobnie jak organy nadzorcze w Wielkiej Brytanii oraz Francji.
Cookies (czyli po polsku ciasteczka) są to dane informatyczne, a konkretniej pliki tekstowe, które przechowywane są w pamięci urządzenia łączącego się z Internetem. Cookies najczęściej są używane w celu optymalizacji korzystania ze stron WWW i prawidłowego funkcjonowania witryn internetowych. Służą również gromadzeniu danych statystycznych, dzięki którym możliwe staje się np. określenie ilości unikalnych użytkowników odwiedzających serwis, ich pochodzenie, czy wskazanie najbardziej popularnych podstron serwisu WWW. Ciasteczka stosowane są też w celu śledzenia ruchu użytkownika na stronie (co umożliwia identyfikację sposobu korzystania przez niego z serwisu WWW). Dzięki cookies możliwe jest dostosowanie strony do wymagań poszczególnych użytkowników, ponieważ cookies zapamiętują ich preferencje oraz sposób zachowania w serwisie. Za pomocą cookies mogą być również przechowywane dane z formularzy, w tym hasła do logowania. Nie jest to jednak dobre rozwiązanie, ponieważ przechowywanie haseł w plikach cookies nie zapewnia ich poufności (mogą np. zostać wykradzione atakiem XXS).
Cookies dzielą się na sesyjne (czyli tymczasowe) oraz stałe (permanentne).
Cookies sesyjne przechowywane są na urządzeniu użytkownika do momentu, w którym wyloguje się on z danej witryny lub do czasu wyłączenia przeglądarki internetowej. Po tym czasie informacje zapisane w plikach cookies są automatycznie usuwane.
Cookies stałe są plikami, które pozostają zapisane na urządzeniu użytkownika przez czas zdefiniowany, określony w ich parametrach. Użytkownicy mają możliwość ręcznego usunięcia wszystkich lub wybranych plików cookies.
Każdy użytkownik może ręcznie usunąć zapisane cookies w ustawieniach przeglądarki. W trosce o swoją prywatność warto co pewien czas wykonać tzw. „czyszczenie ciasteczek”, co pozwoli usunąć m.in. cookies śledzące. Ponadto usunięcie plików cookies może pomóc w rozwiązaniu problemów z nieprawidłowym działaniem serwisów internetowych.
Usuwanie plików cookies wygląda inaczej w zależności od przeglądarki internetowej, z jakiej korzysta użytkownik. Poniżej zamieszczamy linki do instrukcji czyszczenia ciasteczek w najbardziej popularnych przeglądarkach:
Oprócz podziału cookies ze względu na czas ich istnienia, można dokonać również podziału ze względu na ich funkcjonalność i pochodzenie:
Niezbędne – dzięki nim możliwe jest korzystanie z usług dostępnych w serwisie;
Konfiguracyjne – umożliwiają ustawienie funkcji i usług w serwisie;
Funkcjonalne – umożliwiają zapamiętanie funkcjonalności serwisu, która jest preferowana przez użytkownika;
Reklamowe – umożliwiają dostosowanie reklam do konkretnego użytkownika;
Własne – te, które pochodzą bezpośrednio z witryny odwiedzanej;
Zewnętrzne – te, które pochodzą z zewnętrznej witryny, innej niż odwiedzana;
Cookies mogą być wykorzystywane m.in. do celów:
Analitycznych (cookies analityczne) – funkcjonują w ramach narzędzi takich jak np. Google Analytics;
Marketingowych (cookies marketingowe) – umożliwiające wyświetlanie reklam;
Społecznościowych (cookies społecznościowe) – dzięki którym możliwe jest natychmiastowe udostępnianie treści w mediach społecznościowych;
Związanych z działaniem wtyczek na stronie internetowej.
Czym są cookies?
Polskie Prawo telekomunikacyjne o cookies
W poprzednim artykule wspomnieliśmy o polskiej prawnej regulacji plików cookies, czyli art. 173 ustawy Prawo telekomunikacyjne. W niniejszym artykule postanowiliśmy bardziej pochylić się nad tą regulacją, ponieważ z uwagi na brak innych przepisów dotyczących „ciasteczek” ma ona istotne znaczenie. Już od 2013 roku każdy właściciel strony internetowej, która używa plików cookie, ma obowiązek informować o tym swoich użytkowników.
Zgodnie z przeprowadzoną w 2013 roku nowelizacją ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 Nr 171 poz. 1800 ze zm.) każdy użytkownik musi zostać poinformowany o tym, że dojdzie do zapisania plików cookies. Po zapoznaniu się z tą informacją odwiedzający stronę powinien mieć możliwość wyrażenia zgody na stosowanie plików cookies. Co ważne, taka informacja musi pojawić się zanim „ciasteczka” zaczną działać. Oprócz informacji o stosowaniu plików cookies administrator strony internetowej musi poinformować użytkownika o celach, dla których są one stosowane. Co ważne, nie chodzi o cel wszystkich plików cookies ogólnie, ale po co są zapisywane poszczególne pliki (podzielone na kategorie, o których wspominaliśmy wyżej). Ponadto użytkownik powinien móc wyrazić zgodę dla każdego z wymienionych celów z osobna.
Zgodnie z art. 173 ust. 2 ustawy Prawo telekomunikacyjne zgoda może zostać wyrażona „za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”. Zapis odnoszący się do możliwości zmiany konfiguracji plików cookies w ustawieniach przeglądarki internetowej budzi kontrowersje, ponieważ jest to zgoda bierna, natomiast RODO wymaga udzielenia zgody aktywnej, a więc przez konkretne działanie po zapoznaniu się z informacją. Ponadto konfiguracja cookies w przeglądarce uniemożliwia wyrażenie zgody na poszczególne cele. Zgoda jest udzielana wówczas albo na wszystko, albo nie jest udzielana wcale, co może uniemożliwić korzystanie z pełnej funkcjonalności niektórych serwisów.
„Dostosowanie” Prawa telekomunikacyjnego do RODO nastąpiło (z rocznym opóźnieniem) w roku 2019 w związku z uchwaleniem tzw. Ustawy wdrażającej RODO – nowelizującej 162 różne ustawy. Art. 174 Prawo telekomunikacyjne w nowym brzmieniu nakazuje stosowanie przepisów o ochronie danych osobowych do uzyskania zgody abonenta lub użytkownika końcowego. W związku z tym zgoda wyrażona na pliki cookies musi być:
Dobrowolna
Konkretna
Świadoma
Jednoznaczna
Nie uznano jednak za stosowne, aby zmienić odpowiednio również art. 173 ust. 2.
Mimo, że przepisy polskie nie są do końca spójne z unijnymi, to zaczyna przeważać pogląd, że należy w przypadku tego typu rozbieżności zastosować przepisy europejskie.
Decyzja Prezesa UODO dotycząca cookies
Prezes UODO w grudniu 2021 roku wydał pierwszą decyzję dotyczącą obszaru korzystania z technologii bazującej na plikach cookies. Wydana decyzja dotyczyła firmy, której działalność koncentruje się na zagadnieniach związanych z ochroną danych osobowych i bezpieczeństwem informacji. Na firmę została złożona skarga do Prezesa UODO. Podmiot skarżący wskazał m.in. na udostępnianie bez podstawy prawnej właścicielom domen danych w zakresie adresów IP oraz części historii przeglądania opatrzonej sztucznie nadanym ID z cookies. Skarżący oświadczył, że (tu cytat) „Dane te zostały przesłane bez mojej zgody i nastąpiło to zanim miałem w ogóle szansę przeczytać Państwa politykę prywatności”. Zarzucił również Spółce, że nie zamieściła ona w polityce prywatności informacji o korzystaniu z cookies w celu przesłania dalej danych w postaci adresu IP oraz ID z cookies. Skarżący zarzucał też, że komunikat cookies nie pozwalał wyłączyć skryptów śledzących i był mało czytelny.
Prezes UODO w wydanej decyzji przyznał rację skarżącemu. W pierwszej kolejności, powołując się na przepisy RODO i Motywu 30 wyjaśnił, że adres IP stanowi dane osobowe. Jeżeli operator strony www posiada adres IP, identyfikatory plików cookies oraz inne informacje to wówczas „może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”. W dalszej części decyzji Prezes UODO powołał się na wyrok Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r. (sygn. akt I OSK 1079/10), zgodnie z którym: „Adres IP (Internet Protocol Address) jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotyczącą komputera, a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużyczenie jednego adresu IP przez wielu użytkowników w ramach sieci lokalnej. Tam, gdzie adres IP jest na dłuższy okres lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej”. W związku z powyższych Prezes UODO przyjął stanowisko, że adres IP oraz ID plików cookies stanowią dane osobowe. W niniejszej decyzji organ nadzorczy powołał się również na wyrok TSUE w sprawie C-673/17 (który opisujemy niżej), Wytyczne EROD 05/2020 oraz art. 174 ustawy Prawo telekomunikacyjne.
W wydanej decyzji Prezes UODO nakazał spółce usunięcie danych osobowych w zakresie adresu IP oraz ID z cookies oraz poinformowanie podmiotów, którym dane zostały przekazane o konieczności ich usunięcia. Decyzją Prezes UODO udzielił spółce upomnienia wskazując naruszenie art. 5 ust. 1 lit. c, art. 6 ust. 1 oraz art. 15 ust. 3 RODO. Ukarany podmiot nie zgodził się z decyzją Prezesa UODO i złożył skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, który 11 lipca 2022 r. uchylił decyzję Prezesa UODO. Zdaniem sądu organ nadzorczy powinien wnikliwie przenalizować charakter gromadzonych danych przez ukarany podmiot oraz wyjaśnić, jak w jego ocenie za pomocą tych informacji możliwa jest identyfikacja konkretnej osoby fizycznej. Wydane orzeczenie nie jest prawomocne. Jeżeli jednak okaże się, że w tych konkretnych plikach cookies nie ma danych osobowych, to postępowanie trzeba będzie umorzyć.
Wytyczne EROD 05/2020
Europejska Rada Ochrony Danych (EROD) 4 maja 2020 r. przyjęła wytyczne 05/2020. W dokumencie przyjęto zaktualizowaną wersję wytycznych dotyczących zgody na przetwarzanie danych osobowych – rozszerzono pojęcie warunkowości zgody i doprecyzowano wytyczne związane z jednoznacznością zgody dotyczącej plików cookies.
W wytycznych poruszono kwestię „cookie walls” i uznano, że są niezgodną z RODO formą uzyskania zgody dla stron internetowych. „Cookie walls” udostępniają zawartość strony dopiero po udzieleniu przez użytkownika zgody na przetwarzanie danych osobowych. Działają poprzez wymuszenie zgody odwiedzającego stronę na przetwarzanie jego danych osobowych w zamian za dostęp do witryny internetowej. Zgodnie z wytycznymi „Aby spełniony został warunek dobrowolnej zgody, dostęp do usług i funkcji nie może być uzależniony od zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika (tzw. cookie wall)”. EROD w wytycznych zaznacza, że przewijanie strony internetowej, a także inne podobne działania użytkownika nie mogą być uznane za wyrażenie zgody na pliki cookies.
Zgodnie z RODO, aby zgoda była ważna, musi spełniać następujące warunki:
Dobrowolna – nie może zostać wymuszona, a dana osoba ma możliwość odmowy wyrażenia zgody;
Konkretna – udzielona w konkretnym, sprecyzowanym celu;
Świadoma – ze świadomością zgody związany jest obowiązek informacyjny administratora, dana osoba musi znać tożsamość administratora oraz zamierzone przez niego cele przetwarzania danych osobowych;
Jednoznaczna – nie mogą istnieć wątpliwości co do woli jej wyrażenia.
Wyrok TSUE C-673/17
W wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) ogłoszonym dnia 1 października 2019 r. w sprawie C- 673/17 orzeczono, że wymagana od użytkownika witryny internetowej zgoda na instalowanie i udostępnianie plików cookie na jego urządzeniu nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru. Oznacza to, że jedyną ważną zgodą na przetwarzanie danych jest świadoma zgoda taka, która jest aktywnie i konkretnie udzielona przez użytkownika strony. Co ciekawe orzeczony wyrok jest pierwszym werdyktem TSUE po wejściu w życie RODO odnoszącym się wprost do plików cookies. Jest więc przełomowy w zakresie oceny prawnej legalnego stosowania tej technologii.
Wydany wyrok dotyczył spółki Planet49 (niemieckiej firmy oferującej gry online), która we wrześniu 2013 r. zorganizowała loterię na swojej stronie internetowej. Aby móc przystąpić do losowania, użytkownicy musieli podać za pośrednictwem wskazanej strony internetowej swoje dane osobowe. Pod polem, w którym miały zostać udzielone informacje znajdowały się dwie klauzule zgody. Pierwsza dotyczyła zgody na otrzymywanie reklam od sponsorów i partnerów loterii. Aby móc wziąć udział w loterii konieczne było wyrażenie takiej zgody. Druga odnosiła się do analizy zachowań użytkowników na podstawie odwiedzania stron internetowych. Umożliwiała dostosowanie reklam pod konkretnych użytkowników. W tym przypadku okienko ze zgodą było domyślnie zaznaczone.
Niemiecka Federacja Organizacji Konsumenckich zwróciła uwagę na praktykę stosowaną przez Planet49 i skierowała tę sprawę na drogę sądową. Sąd pierwszej instancji uznał pozew związku konsumenckiego za częściowo zasadny, ale Planet49 wniosła odwołanie. Sąd drugiej instancji nie zgodził się z argumentacją związku konsumenckiego, ponieważ w jego ocenie „użytkownik jest świadomy możliwości usunięcia zaznaczenia tego okienka, a po drugie, oświadczenie to zostało sporządzone czytelnym drukiem, w sposób dostatecznie wyraźny, i podawało informacje na temat sposobów używania plików cookie”. W związku z tym Niemiecka Federacja Organizacji Konsumenckich zaskarżyła wydany wyrok do Federalnego Trybunału Sprawiedliwości w Niemczech, który w związku z tym skierował pytania prejudycjalne do TSUE. W ocenie TSUE działania Planet49 były nieprawidłowe. Trybunał powołał się na Dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. i orzekł, że:
„[..]sformułowanie wyrazić zgodę powinno jednak podlegać wykładni językowej, zgodnie z którą do wyrażenia zgody niezbędne jest działanie użytkownika. W tym względzie z motywu 17 Dyrektywy 2002/58 wynika, że zgoda użytkownika może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez zaznaczenie okna wyboru podczas przeglądania witryny internetowej.”
Zgoda dotycząca plików cookie musi odpowiadać wymogom wskazanym w art. 4 pkt 11 RODO. Motyw 32 RODO wyklucza możliwość pozyskania zgody poprzez domyślnie zaznaczone okienko, milczenie lub nie podjęcie żadnego działania. TSUE podkreśla również, że użytkownicy muszą zostać poinformowani o tym, jak długo pliki cookies będą funkcjonowały na stronie internetowej oraz o tym, czy do danych użytkownika mają dostęp osoby trzecie.
Europejskie organy nadzorcze zajmują stanowisko w sprawie cookies
Coraz więcej europejskich organów nadzorczych wydaje decyzje dotyczące plików cookies. Impulsem do tego typu działań były m.in. liczne skargi składane przez pokrzywdzonych użytkowników, a także brak konkretnych regulacji prawnych w tym zakresie, a w związku z tym problem z właściwym stosowaniem technologii cookies przez administratorów stron internetowych.
Oprócz wspomnianej w poprzednim artykule decyzji wydanej przez austriacki organ nadzorczy, stanowisko w sprawie cookies zajął również m.in. francuski odpowiednik polskiego Prezesa UODO – CNIL.
CNIL (Commission Nationale de l’Informatique et des Libertés) decyzjami z grudnia 2020 roku nałożył administracyjne kary pieniężne na Google (Google LLC i Google Ireland Limited) i Amazon. Powodem ukarania było niewłaściwe funkcjonowanie plików cookies na stronach internetowych. Na podmioty zostały nałożone ogromne kary pieniężne – na Google LLC w wysokości 60 000 000 euro oraz na Google Ireland Limited 40 000 000 euro, natomiast na Amazon 35 000 000 euro.
Francuski organ właściwy do spraw ochrony danych osobowych przeprowadził postępowanie, w wyniku którego ustalono, że na urządzeniu każdego użytkownikowi odwiedzającego francuską stroną internetową Google oraz Amazon automatycznie umieszczane były pliki cookies do celów reklamowych. Natomiast strony internetowe, do których prowadziły banery reklamowe widniejące na stronach nie zawierały wyczerpującej informacji o celu zapisania plików cookies.
Nie wskazywały również na sposoby zgłoszenia sprzeciwu wobec wykorzystywania plików cookies. Ustalono, że nawet jeżeli użytkownik wyłączył opcję personalizacji reklam, to wciąż jeden z reklamowych plików cookies był przechowywany na jego urządzeniu. Zatem mechanizmy służące do wyrażenia sprzeciwu wobec „ciasteczek” były wadliwe. Od maja 2021 r. francuski organ ochrony danych wydał ponad 90 decyzji nakazowych przeciwko podmiotom, które dopuszczają się różnych nieprawidłowości w zakresie stosowania plików cookie.
Zanim pojawi się rozporządzenie ePrivacy
Mimo, że pliki cookies nie są technologią znaną od dziś, to ich właściwe wykorzystywanie zgodnie z obowiązującymi regulacjami wciąż rodzi ogromne problemy. Głównym powodem kontrowersji jest wspomniany brak kompleksowej i wyczerpującej regulacji prawnej dotyczącej ciasteczek.
Europejskie organy nadzorcze od pewnego czasu zaczęły kształtować swoje podejście do stosowania plików cookies z perspektywy zgodności z przepisami RODO. W celu uniknięcia rozbieżności wobec stosowania plików cookies w różnych państwach członkowskich, EROD we wrześniu 2021 r. postanowiła powołać grupę zadaniową ds. banerów cookies. Działania podejmowane przez grupę oraz decyzje europejskich organów nadzorczych powinny mieć kluczowe znaczenie dla administratorów stron stosujących pliki cookies do czasu wejścia w życie długo oczekiwanego rozporządzenia ePrivacy.
Obecna sytuacja w Polsce pozostawia wiele do życzenia w zakresie przejrzystego unormowania kwestii plików cookies. Zdaniem dr. Marleny Sakowskiej-Baryły „wciąż mamy tu do czynienia z dwoma reżimami prawnymi, gdzie niezwykle trudno sensownie połączyć praktykę wynikającą z zastosowania przepisów Prawa telekomunikacyjnego oraz prawa unijnego, gdzie jeszcze czekamy na rozporządzenie ePrivacy, a już musimy stosować się do reżimów RODO”.
Wydaje się, że rozwiązaniem problemu realizacji wymagań RODO jest prawidłowy mechanizm do zarządzania preferencjami cookies. Narzędzie umożliwiające stworzenie cookie banera (okna pop-up) do zarządzania ciasteczkami, które pomoże administratorom zapewnić zgodność z przepisami prawa. Większość mechanizmów dostępnych na rynku funkcjonuje w ramach usługi płatnej. Dostępne są również rozwiązania bezpłatne, ale mają bardzo ograniczoną funkcjonalność. Niestety nie każdy mechanizm do zarządzania preferencjami cookies jest przyjazny użytkownikom, albo nie działa zgodnie z oczekiwaniami.