RODO a pliki cookie: kompletny przewodnik po zgodności
Ogólne rozporządzenie o ochronie danych (RODO) zmieniło sposób, w jaki strony internetowe obsługują pliki cookie, gdy weszło w życie 25 maja 2018 roku. Choć dyrektywa o prywatności i łączności elektronicznej (ePrivacy) jest podstawowym unijnym aktem prawnym regulującym kwestie plików cookie, RODO ma zastosowanie zawsze wtedy, gdy pliki cookie przetwarzają dane osobowe — co w praktyce oznacza niemal zawsze. Zrozumienie, w jaki sposób RODO odnosi się do plików cookie, jest kluczowe dla każdej strony działającej lub kierującej swoją ofertę do użytkowników z Europejskiego Obszaru Gospodarczego.
Jak RODO odnosi się do plików cookie
RODO nie wspomina o plikach cookie z nazwy. Reguluje natomiast przetwarzanie danych osobowych, zdefiniowanych w art. 4 ust. 1 jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Motyw 30 RODO wprost stanowi, że identyfikatory internetowe — w tym identyfikatory plików cookie — mogą być wykorzystywane do tworzenia profili osób fizycznych i ich identyfikacji. Oznacza to, że każdy plik cookie zawierający unikalny identyfikator lub z nim powiązany stanowi dane osobowe w rozumieniu RODO.
W praktyce obejmuje to niemal wszystkie pliki cookie poza tymi najbardziej podstawowymi, funkcjonalnymi. Analityczne pliki cookie przypisujące unikalny identyfikator odwiedzającego, reklamowe pliki cookie śledzące zachowania podczas przeglądania, a nawet sesyjne pliki cookie powiązane z kontem użytkownika — wszystkie one przetwarzają dane osobowe, a zatem podlegają wymogom RODO.
Artykuł 6: podstawa prawna przetwarzania
Zgodnie z art. 6 RODO każde przetwarzanie danych osobowych wymaga podstawy prawnej. W przypadku przetwarzania związanego z plikami cookie najczęściej powołuje się na dwie podstawy:
- Zgoda (art. 6 ust. 1 lit. a): Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w jednym lub większej liczbie określonych celów. Jest to podstawowa podstawa prawna dla większości przetwarzania plików cookie, w szczególności analitycznych, marketingowych i reklamowych.
- Prawnie uzasadniony interes (art. 6 ust. 1 lit. f): Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora, o ile nie mają nad nimi przewagi prawa i wolności osoby, której dane dotyczą.
Podstawa prawnie uzasadnionego interesu była przedmiotem znaczącej debaty w kontekście plików cookie. Niektórzy operatorzy stron argumentowali, że śledzenie analityczne służy prawnie uzasadnionemu interesowi. Jednak liczne organy ochrony danych odrzuciły ten argument w odniesieniu do plików cookie, które nie są ściśle niezbędne. Francuski CNIL, austriacki DSB oraz Europejska Rada Ochrony Danych (EROD) zajęły stanowisko, że w przypadku analitycznych plików cookie wymagana jest zgoda, a prawnie uzasadniony interes nie może stanowić podstawy prawnej do umieszczania nieistotnych plików cookie na urządzeniu użytkownika.
Wytyczne EROD 05/2020 dotyczące zgody stwierdzają jednoznacznie: „Przewijanie lub dalsze przeglądanie strony internetowej nie stanowi ważnej zgody”. Era dorozumianej zgody na pliki cookie dobiegła końca.
Artykuł 7: warunki ważnej zgody
Artykuł 7 określa warunki, jakie musi spełniać zgoda. Aby zgoda na pliki cookie była ważna w świetle RODO, musi być:
- Dobrowolna: Użytkownik musi mieć rzeczywisty wybór. Zgoda nie jest dobrowolna, jeśli użytkownik nie może jej odmówić ani wycofać bez negatywnych konsekwencji. Ściany plików cookie (cookie walls), które blokują dostęp do strony, dopóki nie zaakceptuje się wszystkich plików cookie, zostały uznane za niezgodne z przepisami przez kilka organów ochrony danych, choć sytuacja prawna różni się w zależności od jurysdykcji.
- Konkretna: Zgoda musi być wyrażona dla każdego odrębnego celu. Pojedyncze „Akceptuj wszystkie” bez możliwości wyrażenia zgody na konkretne kategorie nie spełnia tego wymogu.
- Świadoma: Użytkownik musi zostać jasno poinformowany, na co wyraża zgodę. Oznacza to wskazanie plików cookie, ich celów, zbieranych danych oraz wszelkich zaangażowanych podmiotów trzecich.
- Jednoznaczna: Zgoda musi być wyrażona poprzez wyraźne działanie potwierdzające. Zaznaczone z góry pola wyboru, milczenie czy bierność nie stanowią ważnej zgody.
Artykuł 7 ust. 3 dodaje kluczowy wymóg: wycofanie zgody musi być równie łatwe jak jej udzielenie. Jeśli użytkownik może zaakceptować pliki cookie jednym kliknięciem, musi mieć możliwość wycofania tej zgody z równą łatwością. Baner plików cookie, który eksponuje przycisk „Akceptuj”, ale ukrywa opcję rezygnacji w ustawieniach oddalonych o kilka kliknięć, nie jest zgodny z przepisami.
Artykuł 4 ust. 11: definicja zgody
Artykuł 4 ust. 11 definiuje zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Definicję tę wzmacnia motyw 32, który stanowi:
„Zgoda powinna być wyrażona poprzez wyraźne działanie potwierdzające, które oznacza dobrowolne, konkretne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych. Może to obejmować zaznaczenie okienka wyboru podczas przeglądania strony internetowej. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”.
Przełomowy wyrok w sprawie Planet49 wydany przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w październiku 2019 roku (sprawa C-673/17) potwierdził tę interpretację, orzekając, że domyślnie zaznaczone pola wyboru nie stanowią ważnej zgody na pliki cookie.
Obowiązki informacyjne: artykuły 12–14
Artykuły od 12 do 14 zobowiązują administratorów danych do przekazywania informacji o przetwarzaniu danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W przypadku plików cookie oznacza to, że:
- Twoja polityka plików cookie musi być napisana językiem zrozumiałym dla przeciętnego użytkownika — nie żargonem prawniczym.
- Informacje muszą być przekazywane w momencie zbierania danych (tj. przed umieszczeniem plików cookie).
- Użytkownicy muszą zostać poinformowani o tożsamości administratora, celach przetwarzania, kategoriach danych, ewentualnych odbiorcach, okresach przechowywania oraz swoich prawach.
- Jeśli pliki cookie są udostępniane podmiotom trzecim (takim jak Google Analytics, Facebook Pixel lub sieci reklamowe), podmioty te muszą zostać wskazane.
Artykuł 17: prawo do usunięcia danych
Artykuł 17 przyznaje osobom, których dane dotyczą, prawo do usunięcia ich danych osobowych. W kontekście plików cookie oznacza to, że jeśli użytkownik zażąda usunięcia swoich danych, wszelkie dane osobowe zebrane za pośrednictwem plików cookie muszą zostać usunięte. Obejmuje to profile analityczne, identyfikatory reklamowe oraz wszelkie inne dane powiązane z identyfikatorami plików cookie.
Dla operatorów stron korzystających z zewnętrznych usług analitycznych lub reklamowych może to być szczególnie trudne, ponieważ dane mogą znajdować się w posiadaniu podmiotu trzeciego. Umowy powierzenia przetwarzania danych zawierane z zewnętrznymi dostawcami plików cookie powinny zawierać postanowienia dotyczące obsługi żądań usunięcia danych.
RODO a ePrivacy: kiedy który akt ma zastosowanie?
Relacja między RODO a dyrektywą ePrivacy może być myląca. Oto, jak wzajemnie na siebie oddziałują:
- Dyrektywa ePrivacy (art. 5 ust. 3) reguluje sam akt przechowywania informacji na urządzeniu użytkownika lub uzyskiwania do nich dostępu. Wymaga zgody na wszystkie pliki cookie z wyjątkiem tych ściśle niezbędnych. Jest to lex specialis (przepis szczególny) dotyczący plików cookie.
- RODO reguluje późniejsze przetwarzanie wszelkich danych osobowych zebranych za pośrednictwem plików cookie. Stanowi ramy określające, co składa się na ważną zgodę, jakie prawa przysługują osobom, których dane dotyczą, oraz jakie obowiązki mają administratorzy danych.
Mówiąc praktycznie: dyrektywa ePrivacy mówi, że potrzebujesz zgody na umieszczenie pliku cookie. RODO mówi, jak wygląda ważna zgoda, co możesz zrobić z danymi i jakie prawa mają użytkownicy w odniesieniu do tych danych. Oba akty obowiązują jednocześnie.
Organy ochrony danych i egzekwowanie przepisów
Każde państwo członkowskie UE ma organ ochrony danych (DPA) odpowiedzialny za egzekwowanie zarówno RODO, jak i krajowych wdrożeń dyrektywy ePrivacy. Organy te mają uprawnienia do prowadzenia dochodzeń w sprawie skarg, przeprowadzania audytów oraz nakładania kar w wysokości do 4% globalnego rocznego obrotu lub 20 mln euro, w zależności od tego, która kwota jest wyższa.
Egzekwowanie przepisów dotyczących plików cookie znacząco przyspieszyło od 2020 roku. Organy ochrony danych w całej Europie przeszły od wytycznych i ostrzeżeń do znaczących kar, czyniąc zgodność w zakresie plików cookie realnym ryzykiem biznesowym, a nie jedynie teoretycznym zagadnieniem.
Największe kary RODO związane z plikami cookie
Poniższe działania egzekucyjne pokazują rzeczywiste konsekwencje finansowe braku zgodności w zakresie plików cookie:
| Firma | Kara | Organ | Rok | Główny problem |
|---|---|---|---|---|
| Amazon Europe | 746 mln euro | CNPD (Luksemburg) | 2021 | Niezgodne z przepisami mechanizmy śledzenia reklamowego i zgody |
| Google LLC | 150 mln euro | CNIL (Francja) | 2022 | Odrzucenie plików cookie nie było tak łatwe jak ich akceptacja |
| Facebook (Meta) | 60 mln euro | CNIL (Francja) | 2022 | Brak prostego mechanizmu odmowy plików cookie |
| Microsoft (Bing) | 60 mln euro | CNIL (Francja) | 2022 | Pliki cookie umieszczane bez zgody, brak łatwego mechanizmu odmowy |
| TikTok | 5 mln euro | CNIL (Francja) | 2023 | Odmowa plików cookie wymagała większej liczby kliknięć niż akceptacja |
| Criteo | 40 mln euro | CNIL (Francja) | 2023 | Brak uzyskania ważnej zgody na śledzące pliki cookie |
| Vueling Airlines | 30 000 euro | AEPD (Hiszpania) | 2020 | Brak opcji odrzucenia plików cookie, wyłącznie „akceptuj” |
Kary te nie ograniczają się do dużych korporacji. Małe i średnie przedsiębiorstwa również spotkały się z działaniami egzekucyjnymi, w szczególności we Francji, we Włoszech i w Niemczech. Sam CNIL wydał w 2021 roku ponad 100 formalnych wezwań do stron internetowych różnej wielkości w zakresie zgodności dotyczącej plików cookie.
Praktyczna lista kontrolna zgodności z RODO w zakresie plików cookie
Skorzystaj z tej listy kontrolnej, aby zweryfikować, czy Twoja strona spełnia wymogi RODO dotyczące plików cookie:
- Zidentyfikuj wszystkie pliki cookie, jakie umieszcza Twoja strona, w tym te umieszczane przez skrypty podmiotów trzecich, takie jak narzędzia analityczne, reklamowe i widżety mediów społecznościowych.
- Sklasyfikuj każdy plik cookie jako ściśle niezbędny, funkcjonalny, analityczny lub marketingowy/reklamowy.
- Wdróż uprzednią zgodę na wszystkie nieistotne pliki cookie. Żadne analityczne ani marketingowe pliki cookie nie powinny zostać uruchomione, zanim użytkownik wyrazi zgodę.
- Przedstawiaj wybory dotyczące zgody w sposób uczciwy. Opcja odmowy plików cookie musi być równie widoczna i dostępna jak opcja ich akceptacji.
- Oferuj szczegółową zgodę. Użytkownicy muszą mieć możliwość wyrażenia zgody na konkretne kategorie plików cookie, zamiast być zmuszani do wyboru typu „wszystko albo nic”.
- Nie stosuj domyślnie zaznaczonych pól. Wszystkie opcjonalne kategorie plików cookie muszą być domyślnie odznaczone.
- Zapewnij jasne informacje o celu każdego pliku cookie, gromadzonych przez niego danych, o tym, kto ma do nich dostęp, oraz jak długo dany plik cookie jest przechowywany.
- Wskaż podmioty trzecie. Wymień zewnętrzne usługi umieszczające pliki cookie na Twojej stronie (Google Analytics, Facebook Pixel, HubSpot itp.).
- Ułatw wycofanie zgody. Zapewnij trwały, łatwo dostępny sposób umożliwiający użytkownikom zmianę preferencji dotyczących plików cookie po udzieleniu pierwotnej zgody. Powszechnymi rozwiązaniami są link w stopce lub pływająca ikona.
- Przechowuj rejestry zgód. Prowadź rejestr zawierający informacje o tym, kiedy każdy użytkownik wyraził zgodę, na co się zgodził oraz jaka wersja polityki plików cookie obowiązywała w tym momencie.
- Respektuj wybory dotyczące zgody na poziomie technicznym. Zadbaj o to, aby odmowa zgody rzeczywiście uniemożliwiała umieszczenie odpowiednich plików cookie. Wymaga to blokowania skryptów przed uzyskaniem zgody, a nie jedynie usuwania plików cookie po fakcie.
- Utrzymuj politykę plików cookie, która jest aktualna, dokładna i napisana prostym językiem. Aktualizuj ją za każdym razem, gdy dodajesz nowe pliki cookie lub usługi podmiotów trzecich.
- Obsługuj żądania osób, których dane dotyczą. Ustanów proces reagowania na żądania usunięcia danych, który obejmuje dane zebrane za pośrednictwem plików cookie.
- Skanuj regularnie. Przeprowadzaj automatyczne skanowanie plików cookie co najmniej raz w miesiącu oraz po każdym wdrożeniu, aby wychwycić nowe pliki cookie wprowadzone przez zaktualizowane skrypty lub wtyczki.
Zgodność w zakresie plików cookie w świetle RODO nie jest jednorazowym działaniem. Wymaga stałej uwagi w miarę rozwoju Twojej strony, dodawania nowych skryptów i aktualizowania wytycznych regulacyjnych. Organizacje, które traktują to jako ciągły proces, a nie odhaczanie kolejnego zadania z listy, to te, które unikają działań egzekucyjnych — i przy okazji budują zaufanie swoich użytkowników.
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo