Na stronie internetowej Brytyjskiego Rzecznika Informacji (ICO) pojawiły się nowe wytyczne dotyczące stosowania plików cookie w świetle RODO. Z tej okazji Pan Ali Shah, Kierownik ds. Polityki dotyczącej Technologii, opublikował ich podsumowanie na blogu urzędu. Poniżej znajduje się tłumaczenie ww. informacji, której treść w języku angielskim jest dostępna tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/blog-cookies-what-does-good-look-like/.
Odkąd w maju zeszłego roku weszło w życie Ogólne Rozporządzenie o Ochronie Danych (RODO), istniało wielkie zainteresowanie odnośnie tego w jaki sposób znajduje ono zastosowanie do plików cookie oraz podobnych technologii.
Pliki cookie mogą wydawać się skomplikowaną kwestią. Zasady ich wykorzystywania są zawarte w Regulacjach dotyczących prywatności oraz komunikacji elektronicznej (PECR – brytyjska ustawa – tł.), a nie w RODO. Jednakże niektóre kluczowe elementy PECR pochodzą obecnie z RODO – np. standardy dotyczące zgody.
W dniu dzisiejszym opublikowaliśmy nowe wytyczne w sprawie wykorzystania plików cookie. Zmieniliśmy również mechanizm kontroli plików cookie na naszej stronie internetowej w celu odzwierciedlenia zmian zawartych w naszych nowych wytycznych.
Nasze uaktualnione wytyczne zapewniają więcej jasności oraz pewności odnośnie tego w jaki sposób mogą Państwo korzystać z plików cookie w ramach ich usług internetowych. Dla wielu z Państwa może się zmienić bardzo niewiele. Jednakże w przypadku innych osób, będzie trzeba wykonać więcej pracy – i powinni Państwo zacząć podejmować kroki służące zapewnieniu zgodności teraz.
ICO wspiera innowacje w gospodarce cyfrowej, jednakże powinno iść to w parze z prywatnością. Bycie bardziej rzetelnym, przejrzystym oraz rozliczalnym wobec użytkowników zwiększy ich zaufanie oraz pewność w odniesieniu do Państwa – co jest korzystne dla wszystkich.
W tym obalającym mity wpisie na blogu, wyjaśnię niektóre wątpliwości, które powstały wokół plików cookie od poprzedniego roku.
Mit 1: Można opierać się na dorozumianej zgodzie w przypadku korzystania z plików cookie
Fakt: Nie, nie mogą Państwo, ponieważ standard zgody w RODO jest znacznie wyższy niż
w ramach poprzednich przepisów. Oznacza to, że dorozumiana zgoda nie jest dłużej dopuszczalna (tzn. według autora, w Polsce nigdy nie była, a i w odniesieniu do Wielkiej Brytanii takie sformułowanie jest problematyczne – tł.) – niezależnie czy dotyczy to plików cookie czy przetwarzania danych osobowych. W praktyce oznacza to:
- Państwa użytkownicy muszą podjąć jasne oraz faktyczne działanie w celu wyrażenia zgody na pliki cookie, które nie są kluczowe;
- Państwa strony internetowe oraz aplikacje muszą jasno przekazać użytkownikom jakie pliki cookie będą zainstalowane oraz co będą one robiły, co obejmuje wszystkie pliki cookie stron trzecich;
- uprzednio zaznaczone pola wyboru lub wszelkie środki równoważne, jak np. suwaki ustawione na „włączone” nie mogą być wykorzystywane w odniesieniu do nie-kluczowych plików cookie;
- Państwa użytkownicy muszą posiadać kontrolę nad wszelkimi plikami cookie, które nie są kluczowe;
- Pliki cookie, które nie są kluczowe nie mogą być umieszczane na stronie startowej przed uzyskaniem zgody użytkownika.
Zgoda nie jest wymagana w odniesieniu do plików cookie, które zostały zdefiniowane jako „ściśle niezbędne” – czyli te, które są kluczowe do zapewnienia usługi, o którą zwrócił się użytkownik. Takie pliki cookie muszą być kluczowe do wypełnienia ich żądania. Te, które są po prostu pomocne lub wygodne, ale nie są kluczowe – lub są kluczowe jedynie dla Państwa własnych celów – będą wymagały zgody.
Wszelkie pliki cookie, które nie są kluczowe, co obejmuje pliki cookie strony trzeciej, wykorzystywane dla celów reklam internetowych lub plików analitycznych wymagają uprzedniej zgody, spełniającej wymogi RODO. Nasze wytyczne wyjaśniają bardziej szczegółowo w jaki sposób znajdują one zastosowanie do plików cookie.
Mit 2: Analityczne pliki cookie są ściśle konieczne, więc nie potrzebujemy zgody
Fakt: Chociaż rozumiemy, że pliki analityczne mogą dostarczyć Państwu użytecznych informacji, to nie są one częścią funkcjonalności, której żąda użytkownik korzystając z Państwa usług internetowych – np. jeżeli nie włączyliby Państwo plików analitycznych, użytkownik ciągle byłby w stanie uzyskać dostęp do Państwa usług. To dlatego analityczne pliki cookie nie są ściśle niezbędne i wymagają zgody.
Mit 3: Możemy wykorzystywać ścianę plików cookie (cookie wall) w celu ograniczenia dostępu do naszej strony do momentu uzyskania zgody użytkowników
Fakt: Jest mało prawdopodobne, że korzystanie z takiego ogólnego podejścia będzie stanowiło ważną zgodę. Zwroty takie jak: „poprzez dalsze korzystanie z tej strony wyrażasz zgodę na zastosowanie plików cookie” nie stanowią ważnej zgody, w rozumieniu wyższych standardów RODO. Jednakże jesteśmy świadomi różnych opinii, jak również praktycznych względów, związanych z wykorzystaniem częściowych ścian plików cookie i będziemy zwracać się o wkład oraz opinię na ten temat od zainteresowanych stron.
Mit 4: Możemy oprzeć się na prawnie uzasadnionym interesie w celu zainstalowania plików cookie, tak więc nie potrzebujemy zgody
Fakt: PECR zawsze wymagała zgody w odniesieniu do niekluczowych plików cookie, takich jak te, które są wykorzystywane w celach marketingowych oraz reklamowych. Stosowania takich plików cookie nie można oprzeć na prawnie uzasadnionym interesie.
Mit 5: ICO chce aby usługi internetowe przestały korzystać z plików cookie oraz podobnych technologii
Fakt: ICO wspiera innowacje, ale nie może się to zawsze odbywać kosztem praw ludzi. Pliki cookie oraz podobne technologie są ważne w zapewnianiu sprawnego działania dużej części cyfrowego świata oraz wygody w jego wykorzystywaniu. Chodzi jedynie o to, aby korzystać z nich zgodnie z prawem.
Nasze uaktualnione wytyczne opierają się na podstawowych zasadach prawa informacji, czyli rzetelności, przejrzystości oraz rozliczalności. Bycie bardziej rzetelnym, przejrzystym oraz rozliczalnym wobec użytkowników zwiększy ich zaufanie oraz pewność w odniesieniu do Państwa – co jest korzystne dla wszystkich.
Zgodność z prawem odnośnie plików cookie będzie w przyszłości coraz ważniejszym priorytetem dla ICO jako organu regulacyjnego. Jednakże tak jak w przypadku wszystkich naszych uprawnień, wszelkie przyszłe działania będą proporcjonalne oraz oparte na ryzyku. Proszę rozpocząć prace nad zapewnieniem zgodności teraz – przeprowadźcie Państwo audyt plików cookie, udokumentujcie swoje decyzje i nie będą Państwo mieli czego się obawiać.