Skip to main content

Zasoby i słownik pojęć dotyczących zgodności z przepisami o plikach cookie

Zgodność z przepisami dotyczącymi plików cookie wiąże się ze specjalistycznym słownictwem wywodzącym się z regulacji UE, prawa ochrony danych oraz technologii internetowych. Ten słownik definiuje kluczowe pojęcia, które napotkasz, a następnie prezentuje starannie dobrany zbiór oficjalnych zasobów i miarodajnych źródeł do dalszego zgłębiania tematu.

Słownik kluczowych pojęć

A–C

CMP (Consent Management Platform, platforma zarządzania zgodami): Narzędzie lub usługa programowa zarządzająca pozyskiwaniem, przechowywaniem i egzekwowaniem zgód użytkowników na pliki cookie i inne technologie śledzące. CMP zazwyczaj udostępnia interfejs banera cookie, przechowuje zapisy zgód oraz kontroluje, które skrypty mogą się uruchamiać na podstawie wyborów użytkownika. Przykłady to Cookiebot, OneTrust, Usercentrics oraz rozwiązania open source, takie jak Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Francuski organ ochrony danych. CNIL to najaktywniejszy europejski regulator w zakresie egzekwowania przepisów o plikach cookie — to on nakładał najwyższe kary związane z plikami cookie oraz opublikował najbardziej szczegółowe wytyczne dotyczące zgodności. Jego interpretacje i działania egzekucyjne często wyznaczają standard, za którym podążają inne organy ochrony danych.

Zgoda: W kontekście GDPR — dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą, wyrażone poprzez wyraźne działanie potwierdzające. W przypadku plików cookie oznacza to, że użytkownik musi aktywnie zdecydować się na dopuszczenie plików cookie innych niż niezbędne poprzez świadome działanie, takie jak kliknięcie przycisku „Akceptuję". Milczenie, wstępnie zaznaczone pola, bezczynność oraz dalsze przeglądanie strony nie stanowią ważnej zgody.

Plik cookie: Niewielki plik tekstowy umieszczany na urządzeniu użytkownika przez witrynę internetową. Pliki cookie służą wielu celom — od utrzymywania sesji logowania (ściśle niezbędne) po śledzenie zachowań podczas przeglądania sieci (reklamowe). Technicznie plik cookie to para nazwa-wartość wraz z powiązanymi metadanymi, w tym domeną, ścieżką, terminem ważności oraz flagami bezpieczeństwa.

Baner cookie: Element interfejsu użytkownika (zwykle pasek, okno modalne lub wyskakujące okienko) pojawiający się przy pierwszej wizycie użytkownika na witrynie, informujący go o wykorzystywaniu plików cookie przez witrynę i proszący o zgodę. Zgodny z przepisami baner cookie dostarcza jasnych informacji, oferuje rzeczywisty wybór (akceptuj, odrzuć, dostosuj) i nie umieszcza plików cookie innych niż niezbędne, dopóki użytkownik nie odpowie.

Polityka cookie: Dokument (zwykle dedykowana strona internetowa lub sekcja polityki prywatności) zawierający szczegółowe informacje o wszystkich plikach cookie używanych na witrynie, w tym ich nazwach, celach, typach, czasie działania oraz zewnętrznych dostawcach, którzy je umieszczają. Polityka cookie realizuje obowiązki przejrzystości wynikające z GDPR oraz wymóg „jasnych i wyczerpujących informacji" określony w dyrektywie ePrivacy.

Cookie wall (mur cookie): Mechanizm blokujący dostęp do treści witryny, dopóki użytkownik nie wyrazi zgody na wszystkie pliki cookie. Cookie walls budzą kontrowersje, a ich legalność różni się w zależności od jurysdykcji. EDPB stwierdziła, że cookie walls podważają wymóg „dobrowolności" ważnej zgody, ponieważ użytkownik staje przed wyborem „bierzesz albo odchodzisz". Niektóre krajowe organy ochrony danych (zwłaszcza francuska Conseil d'Etat) dopuściły cookie walls pod pewnymi warunkami, gdy użytkownik ma rzeczywistą alternatywną możliwość dostępu do treści.

D–E

Dark pattern (zwodniczy wzorzec): Rozwiązanie projektowe interfejsu użytkownika, które manipuluje użytkownikami, skłaniając ich do podejmowania decyzji, których w innym przypadku by nie podjęli. W kontekście plików cookie do zwodniczych wzorców należą: wizualne wyeksponowanie przycisku „Akceptuję" przy jednoczesnym ukryciu opcji „Odrzuć", stosowanie mylącego języka, wymaganie większej liczby kliknięć do odrzucenia niż do akceptacji oraz taktyki zawstydzania. EDPB opublikowała szczegółowe wytyczne dotyczące zwodniczych wzorców w interfejsach ochrony danych w lutym 2023 roku.

Administrator danych: Podmiot, który ustala cele i sposoby przetwarzania danych osobowych. W przypadku plików cookie umieszczanych przez witrynę administratorem danych jest zazwyczaj operator witryny. W przypadku plików cookie stron trzecich może zachodzić współadministrowanie między operatorem witryny a stroną trzecią, w zależności od tego, w jakim stopniu każda ze stron wpływa na cele i sposoby zbierania danych.

Podmiot przetwarzający: Podmiot przetwarzający dane osobowe w imieniu administratora danych, zgodnie z jego instrukcjami. Dostawca hostingu lub dostawca CMP działający wyłącznie zgodnie z instrukcjami operatora witryny byłby podmiotem przetwarzającym. Rozróżnienie ma znaczenie, ponieważ administratorzy ponoszą podstawową odpowiedzialność za zgodność, natomiast podmioty przetwarzające muszą stosować się do instrukcji administratora oraz warunków umowy powierzenia przetwarzania danych.

Osoba, której dane dotyczą: Osoba fizyczna, której dane osobowe są przetwarzane. W kontekście plików cookie osobami tymi są odwiedzający witrynę, których dane są zbierane za pośrednictwem plików cookie. Osobom tym przysługują prawa na mocy GDPR, w tym prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz prawo do sprzeciwu.

DPA (Data Protection Authority, organ ochrony danych): Niezależny organ publiczny odpowiedzialny za monitorowanie i egzekwowanie prawa ochrony danych w każdym państwie członkowskim UE. Organy ochrony danych mają uprawnienia do prowadzenia postępowań w sprawie skarg, przeprowadzania audytów, wydawania wytycznych oraz nakładania kar. Każde państwo członkowskie ma co najmniej jeden taki organ (Niemcy mają wiele — po jednym na każdy kraj związkowy oraz federalny BfDI). Przykłady: CNIL (Francja), Garante (Włochy), ICO (Wielka Brytania), Datatilsynet (Dania/Norwegia).

DPO (Data Protection Officer, inspektor ochrony danych): Osoba wyznaczona przez administratora danych lub podmiot przetwarzający do nadzorowania zgodności z GDPR. GDPR nakłada obowiązek powołania inspektora ochrony danych na niektóre organizacje, w tym organy publiczne oraz organizacje, których podstawowa działalność wiąże się z zakrojonym na szeroką skalę monitorowaniem osób, których dane dotyczą. Choć nie jest to bezpośrednio związane z plikami cookie, inspektor zazwyczaj nadzoruje program zgodności organizacji w zakresie plików cookie.

EDPB (European Data Protection Board, Europejska Rada Ochrony Danych): Niezależny organ UE zapewniający spójne stosowanie GDPR i promujący współpracę między krajowymi organami ochrony danych. EDPB (która zastąpiła Grupę Roboczą Art. 29) wydaje wytyczne, zalecenia oraz wiążące decyzje. Jej wytyczne dotyczące zgody (Wytyczne 05/2020) oraz zwodniczych wzorców stanowią kluczowe punkty odniesienia w zakresie zgodności z przepisami o plikach cookie.

Dyrektywa ePrivacy (Dyrektywa 2002/58/WE): Dyrektywa UE regulująca prywatność w łączności elektronicznej, w tym wykorzystywanie plików cookie. Artykuł 5 ust. 3 stanowi podstawową podstawę prawną wymogu uzyskania zgody na pliki cookie. Jako dyrektywa musi zostać transponowana do prawa krajowego przez każde państwo członkowskie, co prowadzi do różnic we wdrożeniu. Ma zostać zastąpiona rozporządzeniem ePrivacy, które wciąż jest przedmiotem negocjacji.

F–G

Plik cookie własny (first-party): Plik cookie umieszczany przez domenę, którą użytkownik odwiedza. Na przykład jeśli użytkownik odwiedza example.com, a example.com umieszcza plik cookie, jest to plik cookie własny. Pliki cookie własne służą zazwyczaj funkcjom niezbędnym (sesje, preferencje) oraz analityce własnej. Są ogólnie uznawane za mniej ingerujące niż pliki cookie stron trzecich, ponieważ nie mogą śledzić użytkowników w różnych witrynach.

GDPR (General Data Protection Regulation, ogólne rozporządzenie o ochronie danych): Rozporządzenie (UE) 2016/679 — kompleksowe unijne prawo ochrony danych obowiązujące od 25 maja 2018 roku. GDPR określa ramy prawne tego, co stanowi ważną zgodę (stosowane do plików cookie poprzez odesłanie w dyrektywie ePrivacy), prawa osób, których dane dotyczą, obowiązki administratorów i podmiotów przetwarzających oraz system egzekwowania obejmujący kary sięgające do 4% globalnego rocznego obrotu lub 20 milionów euro.

GPC (Global Privacy Control): Sygnał na poziomie przeglądarki komunikujący preferencję użytkownika dotyczącą rezygnacji ze sprzedaży lub udostępniania jego danych osobowych. W przeciwieństwie do starszego sygnału Do Not Track (DNT), GPC ma umocowanie prawne w ramach CCPA/CPRA oraz kilku innych stanowych przepisów o prywatności w USA. Gdy użytkownik włączy GPC w przeglądarce, witryny podlegające tym przepisom muszą traktować to jako ważne żądanie rezygnacji. GPC jest coraz częściej uznawany również w Europie, choć nie jest jeszcze prawnie wymagany na mocy prawa UE.

Google Consent Mode: Funkcja infrastruktury tagów Google, która dostosowuje działanie tagów Google (Analytics, Ads itp.) na podstawie statusu zgody komunikowanego przez CMP witryny. Consent Mode v2, wymagany do personalizacji reklam w EOG od marca 2024 roku, wprowadza parametry ad_user_data i ad_personalization obok istniejących ad_storage i analytics_storage. Gdy zgoda jest odmówiona, tagi Google dostosowują swoje działanie, aby uniknąć umieszczania plików cookie, choć w zależności od konfiguracji mogą nadal wysyłać ograniczone sygnały bez plików cookie.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Opracowane przez branżę ramy zarządzania zgodami w ekosystemie reklamy cyfrowej. TCF zapewnia ustandaryzowany sposób komunikowania sygnałów zgody przez platformy CMP, reklamodawców i wydawców w całym łańcuchu dostaw technologii reklamowych. Wersja 2.2 stanowi obecny standard. TCF napotkał wyzwania prawne, w szczególności orzeczenie belgijskiego organu ochrony danych z 2022 roku, zgodnie z którym przetwarzanie ciągu TC przez IAB Europe stanowiło przetwarzanie danych osobowych. Ramy te pozostają szeroko stosowane, ale ich status prawny wciąż ewoluuje.

Prawnie uzasadniony interes: Jedna z sześciu podstaw prawnych przetwarzania danych osobowych na mocy art. 6 ust. 1 lit. f) GDPR. Prawnie uzasadniony interes wymaga przeprowadzenia testu równowagi między interesami administratora a prawami i wolnościami osoby, której dane dotyczą. W przypadku plików cookie stosowanie prawnie uzasadnionego interesu jako podstawy prawnej jest wysoce sporne. Dominujący pogląd europejskich regulatorów jest taki, że to zgoda (a nie prawnie uzasadniony interes) stanowi właściwą podstawę dla plików cookie innych niż niezbędne, ponieważ dyrektywa ePrivacy wyraźnie wymaga zgody na przechowywanie danych na urządzeniu użytkownika.

O–P

Opt-in (zgoda wyraźna): Model zgody, w którym przetwarzanie danych osobowych (lub umieszczanie plików cookie) nie następuje, dopóki użytkownik nie podejmie działania potwierdzającego, aby na to zezwolić. Unijny model plików cookie opiera się na opt-in: żadnych plików cookie innych niż niezbędne, dopóki użytkownik nie wyrazi zgody. Opt-in zapewnia silniejszą ochronę prywatności, ale wymaga mechanizmu uzyskiwania zgody przed rozpoczęciem jakiegokolwiek śledzenia.

Opt-out (rezygnacja): Model zgody, w którym przetwarzanie danych osobowych (lub umieszczanie plików cookie) następuje domyślnie, a użytkownik musi podjąć działanie, aby je zatrzymać. Amerykański model plików cookie (na mocy CCPA i podobnych przepisów stanowych) opiera się zasadniczo na opt-out: śledzenie odbywa się, dopóki użytkownik się nie sprzeciwi. Opt-out przenosi ciężar działania na użytkownika, a nie na operatora witryny.

Trwały plik cookie: Plik cookie pozostający na urządzeniu użytkownika przez określony czas po zamknięciu przeglądarki. Trwałe pliki cookie służą do zapamiętywania preferencji, utrzymywania sesji logowania między wizytami oraz śledzenia zachowań w czasie. Mają ustaloną datę wygaśnięcia i pozostają aktywne do jej upływu lub do momentu ich usunięcia przez użytkownika. Czas działania trwałych plików cookie powinien być proporcjonalny do ich celu.

Dane osobowe: Na mocy GDPR — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Obejmuje to oczywiste identyfikatory (imię, adres e-mail) oraz mniej oczywiste (adresy IP, identyfikatory plików cookie, odciski cyfrowe urządzeń). Motyw 30 GDPR wyraźnie stwierdza, że identyfikatory internetowe, takie jak identyfikatory plików cookie, mogą stanowić dane osobowe. W praktyce niemal wszystkie pliki cookie jednoznacznie identyfikujące przeglądarkę lub użytkownika kwalifikują się jako dane osobowe.

Uprzednia zgoda: Zgoda uzyskana przed wykonaniem działania, na które zezwala. W przypadku plików cookie uprzednia zgoda oznacza uzyskanie zgody użytkownika przed umieszczeniem jakichkolwiek plików cookie innych niż niezbędne na jego urządzeniu. Jest to fundamentalny wymóg art. 5 ust. 3 dyrektywy ePrivacy. Umieszczanie plików cookie w pierwszej kolejności i pytanie o zgodę później, ani też usuwanie plików cookie z mocą wsteczną w razie odmowy zgody, nie spełnia wymogu uprzedniej zgody.

S–T

Sesyjny plik cookie: Plik cookie istniejący jedynie przez czas trwania sesji przeglądarki użytkownika i usuwany po zamknięciu przeglądarki. Sesyjne pliki cookie są powszechnie wykorzystywane do utrzymywania stanu logowania, zawartości koszyka zakupowego oraz innych danych o charakterze przejściowym. Wiele sesyjnych plików cookie kwalifikuje się jako ściśle niezbędne i jest w związku z tym zwolnionych z wymogu uzyskania zgody, choć zależy to od ich konkretnego celu.

Ściśle niezbędny plik cookie: Plik cookie niezbędny do funkcjonowania witryny oraz świadczenia usługi wyraźnie zamówionej przez użytkownika. Ściśle niezbędne pliki cookie są zwolnione z wymogu uzyskania zgody na mocy art. 5 ust. 3 dyrektywy ePrivacy. Przykłady to pliki cookie uwierzytelniające, pliki cookie zabezpieczające (tokeny CSRF), pliki cookie równoważące obciążenie oraz pliki cookie preferencji interfejsu użytkownika niezbędne do świadczenia usługi. Analityczne pliki cookie, reklamowe pliki cookie oraz pliki cookie mediów społecznościowych nie są ściśle niezbędne, niezależnie od tego, jak przydatne uważa je operator witryny.

Plik cookie strony trzeciej: Plik cookie umieszczany przez domenę inną niż ta, którą użytkownik odwiedza. Na przykład jeśli użytkownik odwiedza example.com, a plik cookie jest umieszczany przez facebook.com (za pośrednictwem Piksela Facebooka osadzonego na example.com), plik cookie Facebooka jest plikiem cookie strony trzeciej. Pliki cookie stron trzecich są wykorzystywane głównie do śledzenia międzywitrynowego oraz reklamy ukierunkowanej. Główne przeglądarki ograniczają lub eliminują pliki cookie stron trzecich: Safari i Firefox już domyślnie je blokują, a Chrome zapowiedział plany ich wycofania (choć harmonogram wielokrotnie się zmieniał).

Piksel śledzący: Niewielki, niewidoczny obraz (zwykle o wymiarach 1x1 piksel) osadzony na stronie internetowej lub w wiadomości e-mail, który po załadowaniu przekazuje informacje z powrotem do serwera. Choć technicznie nie jest plikiem cookie, piksel śledzący to pokrewna technologia śledząca, która często działa w połączeniu z plikami cookie w celu śledzenia zachowań użytkownika. Podlega tym samym wymogom uzyskania zgody co pliki cookie na mocy dyrektywy ePrivacy, ponieważ wiąże się z dostępem do informacji na urządzeniu użytkownika (żądanie HTTP przekazuje adres IP użytkownika, informacje o przeglądarce oraz wszelkie powiązane pliki cookie).

Oficjalne zasoby

Prawodawstwo i wytyczne UE

Krajowe wytyczne organów ochrony danych dotyczące plików cookie

Google Consent Mode

IAB Transparency and Consent Framework

Amerykańskie przepisy o prywatności

Orzecznictwo TSUE

Dalsza lektura

Narzędzia do zgodności z przepisami o plikach cookie

Utrzymanie zgodności z przepisami o plikach cookie wymaga odpowiednich narzędzi. Passiro zapewnia zautomatyzowane skanowanie plików cookie, które przeszukuje całą witrynę przy użyciu prawdziwego silnika przeglądarki, identyfikuje wszystkie pliki cookie i technologie śledzące, kategoryzuje je w oparciu o stale aktualizowaną bazę danych oraz monitoruje zmiany za pomocą zaplanowanych skanów i powiadomień. W połączeniu z platformą zarządzania zgodami Passiro daje to pełny, zawsze aktualny obraz stanu zgodności witryny z przepisami o plikach cookie.

Dowiedz się więcej o możliwościach skanowania Passiro lub przeprowadź bezpłatny skan swojej witryny, aby zobaczyć, jakie pliki cookie umieszcza dziś Twoja strona.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo