Zgoda na pliki cookie: czego naprawdę wymaga prawo
Zgoda na pliki cookie to jeden z najczęściej niezrozumianych wymogów w obszarze prywatności cyfrowej. Wiele firm sądzi, że działa zgodnie z prawem, ponieważ wyświetla baner cookie. Ale baner to nie zgoda. Zgoda to konkretne pojęcie prawne o ściśle określonych wymaganiach — a ich niespełnienie może oznaczać, że całe zbieranie danych przez Twoją firmę jest niezgodne z prawem.
Podstawa prawna
Zgoda na pliki cookie opiera się na dwóch filarach prawnych:
Artykuł 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej (ePrivacy) ustanawia wymóg: przechowywanie informacji na urządzeniu użytkownika lub uzyskiwanie do nich dostępu wymaga zgody użytkownika, chyba że jest to bezwzględnie konieczne do świadczenia usługi wyraźnie zażądanej przez użytkownika. To właśnie ten przepis reguluje konkretnie kwestię plików cookie.
Artykuł 4 pkt 11 GDPR definiuje, czym jest zgoda: „»zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Te dwa przepisy działają wspólnie. Dyrektywa ePrivacy określa, kiedy zgoda jest wymagana (w przypadku plików cookie innych niż niezbędne). GDPR określa, jak wygląda ważna zgoda. Oba warunki muszą być spełnione.
Pięć wymogów ważnej zgody
Na podstawie art. 4 pkt 11 i art. 7 GDPR oraz Wytycznych EROD 05/2020 dotyczących zgody, ważna zgoda na pliki cookie musi spełniać pięć kryteriów:
1. Dobrowolność
Użytkownik musi mieć rzeczywisty wybór. Zgoda nie jest dobrowolna, jeśli:
- Dostęp jest uzależniony od wyrażenia zgody. Jeśli użytkownik nie może korzystać z witryny bez zaakceptowania wszystkich plików cookie („ściana cookie”), zgoda nie jest dobrowolna. EROD potwierdziła to stanowisko, choć niektóre krajowe organy ochrony danych dopuszczają ograniczone ściany cookie w określonych okolicznościach — zwłaszcza gdy istnieje rzeczywista alternatywa (na przykład płatna wersja bez plików cookie).
- Występuje znacząca nierównowaga sił. W relacjach pracodawca–pracownik czy państwo–obywatel zgoda może nie być w pełni dobrowolna. W przypadku większości witryn ma to mniejsze znaczenie, ale jest istotne dla usług administracji publicznej i platform intranetowych.
- Odmowa jest znacznie trudniejsza niż akceptacja. Jeśli „Zaakceptuj wszystkie” to widoczny przycisk, a „Odrzuć wszystkie” wymaga przejścia przez ustawienia, zgoda nie jest dobrowolna. Zarówno włoski Garante, jak i francuski CNIL wydały szczegółowe wytyczne wymagające, aby odrzucenie plików cookie było równie łatwe jak ich akceptacja.
2. Konkretność
Zgoda musi być wyrażana odrębnie dla każdego wyraźnie określonego celu. Właśnie dlatego istnieją kategorie plików cookie. Ważny mechanizm zgody musi umożliwiać użytkownikom akceptację plików analitycznych przy jednoczesnym odrzuceniu plików marketingowych, i odwrotnie. Łączenie wszystkich plików cookie w jedną decyzję „akceptuj” lub „odrzuć” nie spełnia wymogu konkretności — choć oferowanie „Zaakceptuj wszystkie” i „Odrzuć wszystkie” jako skrótów obok możliwości sterowania poszczególnymi kategoriami jest dopuszczalne.
3. Świadomość
Przed wyrażeniem zgody użytkownik musi zostać poinformowany:
- Kto ustawia pliki cookie (operator witryny oraz ewentualne podmioty trzecie)
- Do czego służy każda kategoria plików cookie
- Jak długo pliki cookie są przechowywane
- Jak wycofać zgodę
Informacje te muszą być przedstawione jasno i prostym językiem. Polityka cookie licząca 5000 słów, ukryta za trzema kliknięciami, w żadnym sensownym rozumieniu nie sprawia, że zgoda jest „świadoma”. Pierwsza warstwa mechanizmu zgody powinna zawierać wystarczające informacje, aby użytkownik mógł podjąć świadomą decyzję.
4. Jednoznaczność
Zgoda wymaga wyraźnego działania potwierdzającego. Użytkownik musi aktywnie coś zrobić, aby wyrazić zgodę — kliknąć przycisk, zaznaczyć pole, przełączyć suwak.
Co NIE stanowi jednoznacznej zgody:
- Wstępnie zaznaczone pola wyboru. TSUE orzekł jednoznacznie w sprawie Planet49 (sprawa C-673/17, październik 2019), że wstępnie zaznaczone pola nie stanowią ważnej zgody. Dotyczy to również ustawień zgody na pliki cookie, w których kategorie są domyślnie zaznaczone.
- Dalsze przeglądanie. „Kontynuując korzystanie z tej witryny, wyrażasz zgodę na pliki cookie” nie jest ważną zgodą. Samo przewijanie strony czy kliknięcie linku nie stanowi „jednoznacznego okazania woli”. Wiele organów ochrony danych potwierdziło to stanowisko, a wytyczne EROD są w tej kwestii jednoznaczne.
- Ustawienia przeglądarki. Opieranie się na ustawieniach przeglądarki użytkownika jako formie zgody zostało odrzucone przez organy nadzorcze. Operator witryny musi uzyskać zgodę bezpośrednio.
- Milczenie lub bezczynność. Jeśli użytkownik ignoruje baner i kontynuuje przeglądanie, nie jest to zgoda. Żadne pliki cookie nie powinny być umieszczane, dopóki użytkownik nie dokona aktywnego wyboru.
5. Uprzedniość
Chociaż uprzedniość nie jest wymieniona jako odrębny element w art. 4 pkt 11 GDPR, dyrektywa ePrivacy jasno stanowi, że zgoda musi zostać uzyskana przed umieszczeniem plików cookie. To wymóg, którego wiele witryn wciąż nie spełnia. Skrypty uruchamiane przy ładowaniu strony — ustawiające pliki analityczne i marketingowe, zanim użytkownik w ogóle zobaczy baner zgody — naruszają ten fundamentalny wymóg.
Technicznie oznacza to, że skrypty inne niż niezbędne muszą być blokowane do momentu wyrażenia zgody. Samo wyświetlanie banera, podczas gdy pliki cookie są już ustawiane, nie spełnia wymogu uprzedniej zgody.
Jak wygląda ważna zgoda w praktyce
Zgodna z prawem implementacja zgody na pliki cookie:
- Blokuje wszystkie pliki cookie inne niż niezbędne, zanim użytkownik wejdzie w interakcję z mechanizmem zgody.
- Prezentuje przejrzystą pierwszą warstwę, która wyjaśnia kategorie używanych plików cookie, z możliwością akceptacji lub odrzucenia każdej kategorii.
- Oferuje „Zaakceptuj wszystkie” i „Odrzuć wszystkie” na tym samym poziomie widoczności — o tym samym rozmiarze, tej samej wadze wizualnej, tej samej liczbie wymaganych kliknięć.
- Nie stosuje mrocznych wzorców (dark patterns) — bez mylących kolorów przycisków, ukrytych opcji odrzucenia, niejasnego języka czy nakłaniania do akceptacji.
- Zawiera link do szczegółowej polityki cookie, która wymienia każdy plik cookie z nazwą, celem, czasem przechowywania i dostawcą.
- Rejestruje zgodę wraz ze znacznikiem czasu oraz konkretnymi kategoriami, które użytkownik zaakceptował lub odrzucił.
- Uruchamia odpowiednie skrypty dopiero po wyrażeniu zgody na daną, konkretną kategorię.
Cykl życia zgody
Zgoda to nie jednorazowe zdarzenie. Ma ona cykl życia, który Twoja implementacja musi obsługiwać:
Pozyskiwanie
Pierwsza wizyta: wyświetl mechanizm zgody, zablokuj pliki cookie inne niż niezbędne, poczekaj na działanie użytkownika.
Przechowywanie
Gdy zgoda zostanie wyrażona, zapisz wybór użytkownika w bezwzględnie niezbędnym pliku cookie (dla tego pliku zgoda nie jest wymagana, ponieważ służy on właśnie respektowaniu preferencji prywatności użytkownika). Zapisz również zapis po stronie serwera jako dowód zgody.
Stosowanie
Przy kolejnych ładowaniach strony odczytaj plik cookie zgody i uruchom wyłącznie te skrypty, które odpowiadają zaakceptowanym przez użytkownika kategoriom. Nie wyświetlaj banera ponownie — uszanuj zapisany wybór.
Wycofanie
Artykuł 7 ust. 3 GDPR jest jednoznaczny: „Wycofanie zgody musi być równie łatwe jak jej wyrażenie”. Twoja witryna musi zapewniać trwały, łatwo dostępny sposób zmiany preferencji dotyczących plików cookie w dowolnym momencie. Powszechnym rozwiązaniem jest niewielka ikona lub link w stopce, który ponownie otwiera interfejs zarządzania zgodą.
Odnawianie
Zgoda nie trwa wiecznie. CNIL zaleca odnawianie zgody co 13 miesięcy. EROD nie określiła konkretnego okresu, ale wymaga, aby zgoda pozostawała ważna, a wybór użytkownika wciąż odzwierciedlał jego rzeczywistą wolę. Najlepszą praktyką jest ponowne pytanie o zgodę przynajmniej raz w roku lub za każdym razem, gdy sposób wykorzystania plików cookie ulega istotnej zmianie.
Zmiany
Jeśli dodasz nowe pliki cookie, nowe usługi podmiotów trzecich lub nowe cele, istniejąca zgoda może już ich nie obejmować. Należy ponownie zapytać użytkowników o wyrażenie (lub odmowę) zgody na nowe przetwarzanie.
Zapisy zgody i dowody
Artykuł 7 ust. 1 GDPR stanowi: „Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę”. W przypadku zgody na pliki cookie oznacza to, że musisz prowadzić zapisy dotyczące:
- Kiedy zgoda została wyrażona (znacznik czasu)
- Na co użytkownik wyraził zgodę (które kategorie zostały zaakceptowane, a które odrzucone)
- W jaki sposób zgoda została pozyskana (jak wyglądał mechanizm zgody w danym momencie — identyfikator wersji lub zrzut ekranu)
- Kto wyraził zgodę (zwykle zanonimizowany identyfikator, a nie imię i nazwisko użytkownika)
Jeśli organ nadzorczy poprosi Cię o wykazanie, że dany plik cookie został umieszczony za ważną zgodą, to właśnie te zapisy stanowią Twoją linię obrony. Bez nich nie masz dowodu, że Twój mechanizm zgody działa — a ciężar dowodu spoczywa na Tobie, nie na organie.
Najczęstsze uchybienia dotyczące zgody
Na podstawie działań egzekucyjnych w całej Europie oto najczęściej karane uchybienia dotyczące zgody:
- Pliki cookie umieszczane przed wyrażeniem zgody. Skrypty analityczne i marketingowe uruchamiane przy ładowaniu strony, zanim użytkownik wejdzie w interakcję z banerem.
- Brak opcji odrzucenia w pierwszej warstwie. Wymaganie od użytkowników kliknięcia „Ustawienia” lub „Zarządzaj preferencjami”, aby odrzucić pliki cookie, podczas gdy „Zaakceptuj wszystkie” jest natychmiast dostępne.
- Wstępnie zaznaczone kategorie. Suwaki zgody domyślnie ustawione na „włączone” dla plików analitycznych i marketingowych.
- Brak możliwości wycofania zgody. Po zamknięciu banera użytkownik nie ma sposobu na zmianę swojego wyboru.
- Ściana zgody / ściana cookie. Blokowanie dostępu do treści, dopóki wszystkie pliki cookie nie zostaną zaakceptowane.
- Mylący projekt. Stosowanie zielonego koloru dla „Akceptuj” i szarego dla „Odrzuć”, powiększanie przycisku akceptacji lub używanie mylącego języka, jak „Kontynuuj bez akceptacji” kontra „Zaakceptuj i kontynuuj”.
Passiro skanuje implementację zgody na pliki cookie w Twojej witrynie i sprawdza ją pod kątem tych typowych uchybień, pomagając zidentyfikować i naprawić luki w zgodności, zanim zrobi to organ nadzorczy.
Dalej: kiedy dokładnie zgoda jest wymagana? Odpowiedź wiąże się z kilkoma istotnymi niuansami, w tym z wyłączeniem dla plików bezwzględnie niezbędnych oraz z toczącą się debatą wokół analityki własnej (first-party).
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo