Pliki cookies zgodne z prawem – jak je wdrożyć w 2023 roku?

pexels-taryn-elliott-6119147
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Zazwyczaj pierwszą rzeczą, którą widzi przeciętny użytkownik po odwiedzeniu strony internetowej nie jest jej zawartość, a informacja o stosowanych plikach cookies z prośbą o udzielenie na nie zgody. Stosowanie plików cookies to niezwykle ciekawy temat, tym bardziej że w dzisiejszych czasach niemal wszystkie strony internetowe wykorzystują je w swoim działaniu. Dlaczego tak jest, jak taka zgoda rzeczywiście powinna wyglądać i czy przycisk “akceptuj wszystkie cookies” jest legalny przeczytasz w niniejszym artykule!

Nagranie z live o cookies

Zapraszamy do odsłuchania nagrania z webinaru organizowanego przez hostingodawcę LH.pl na temat tego, jak wdrożyć zgodę na pliki cookies zgodnie z prawem!

Czym są pliki cookies i do czego służą?

Pliki cookies (inaczej tzw. ciasteczka) to nic innego, jak dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu, z którego użytkownik korzysta, aby odwiedzić daną stronę internetową. 

Pliki cookies służą przede wszystkim usprawnieniu korzystania ze stron internetowych, czy w ramach śledzenia użytkownika (analityka Google, Facebook Pixel i inne).

Przepisy prawa a pliki cookies 

W pierwszej kolejności warto zauważyć, że przepisy prawa nie używają wprost terminu „cookies” czy „ciasteczka”, a odwołują się w ujęciu bardziej ogólnym do plików, które przechowują informacje lub pozwalają uzyskać dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika.

Podstawą prawną jest tu art. 173 i 174 ustawy Prawo telekomunikacyjne implementujace w tym zakresie postanowienia dyrektywy europejskiej o prywatności i łączności elektronicznej:

Art.  173.  [Przechowywanie informacji w urządzeniach końcowych abonentów lub użytkowników końcowych i uzyskiwanie do nich dostępu] 
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:  a) celu przechowywania i uzyskiwania dostępu do tej informacji,  b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; 

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 

3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. 2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art.  174.  [Zgoda abonenta lub użytkownika końcowego]
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.

Powyższe przepisy ustawy Prawo telekomunikacyjne, choć nie mówią wprost o cookies to jednak mają zastosowanie między innymi właśnie do takich plików i jasno wskazują, że aby stosować je legalnie użytkownik musi zostać w sposób bezpośredni, łatwy i zrozumiały poinformowany o stosowaniu takich plików oraz musi udzielić zgody na ich stosowanie. 

Pliki cookies a dane osobowe i RODO

Ciekawym problemem, który wiąże się z przepisami prawa stosowanymi do plików cookies jest kwestia przetwarzanych danych osobowych. Niektóre ciasteczka rzeczywiście przetwarzają dane osobowe, ale – nie wszystkie cookies to robią.

W przypadku ciasteczek, które wykorzystują dane osobowe oprócz przepisów Prawa telekomunikacyjnego należy też brać pod uwagę przepisy dotyczące ochrony danych osobowych, czyli tzw. RODO.

W takim wypadku należy udzielić użytkownikowi strony internetowej wyczerpujących informacji dotyczących przetwarzania danych osobowych np. w dodatkowej polityce cookies lub polityce prywatności.

Natomiast w przypadku cookies, które nie wykorzystują tych danych wystarcza stosować się do przepisów ustawy Prawo telekomunikacyjne. 

Kto musi stosować zgodę na wykorzystywanie plików cookies?

Skoro już wiadomo, że przepisy prawa przewidują obowiązek pytania użytkowników o zgodę na stosowanie plików cookies to można zastanowić się do kogo są skierowane te przepisy i kto musi posiadać zgody użytkowników na cookies.  

Przede wszystkim należy zauważyć, że obowiązek ten skierowany jest do administratorów stron internetowych.  

Mimo wszystko niektórzy zastanawiają się czy każdy administrator, właściciel strony internetowej musi pytać użytkowników swojej strony o zgodę na cookies?

Pytanie to dotyczy głównie problematyki danych osobowych i podziału cookies na dwie kategorie – cookies przetwarzających i nieprzetwarzających danych osobowych.

Jest to bardzo szeroka problematyka, ale jedno jest pewne – każdy administrator musi pytać użytkowników o zgodę na wykorzystywanie plików cookies bez względu na to czy przetwarzają one dane osobowe czy też nie.

W przypadku plików cookies, które nie przetwarzają danych osobowych podstawą prawną jest ustawa Prawo telekomunikacyjne, a w przypadku tych, które takie dane przetwarzają – powyższa ustawa oraz przepisy RODO – tłumacząc w uproszczeniu.

Ważne! Najsensowniejszym i równocześnie najbezpieczniejszym rozwiązaniem wydaje się po prostu stosowanie się do przepisów, a więc pytanie użytkowników o zgodę cookies niezależnie od typu stosowanych na stronie ciasteczek. 

Jak powinna wyglądać zgoda na cookies?

Najpopularniejszym rozwiązaniem dotyczącym zgody użytkownika na cookies stosowanym aktualnie na rynku jest okienko wyskakujące tuż po otwarciu strony internetowej informujące użytkownika o stosowanych ciasteczkach oraz zawierające odpowiednie checkboxy do zaznaczenia swoich zgód i zaakceptowania ich. 

Zdarza się, że tego typu wyskakujące okienka nie blokują używania strony lub wręcz przeciwnie – zasłaniają ją całą i uniemożliwiają korzystanie z niej do momentu udzielenia lub też nieudzielenia zgody na stosowanie cookies. 

W praktyce nie jest konkretnie sprecyzowane w jaki sposób powinna taka informacja i zgoda wyglądać, choć wielkość takiego okienka dotyczącego cookies może mieć znaczenie z punktu widzenia udzielania takiej zgody – powinno ono być odpowiednio widoczne i stosunkowo trudne do ominięcia. 

Z innych istotnych elementów warto pamiętać o tym, że w przypadku takiej zgody kategorie stosowanych ciasteczek powinny być wyróżnione, a zgody na ich używanie – udzielone niezależnie. 

W końcu inne role pełnią cookies niezbędne, które konieczne są do prawidłowego wyświetlania strony, a inne cookies marketingowe czy śledzące. 

Aby napisać dobrą zgodę cookies warto zastosować trzy, proste zasady:

  • umieszczone w mechanizmie opisy i komunikaty powinny być sformułowane prostym i jasnym językiem;
  • mechanizm nie powinien nadmiernie utrudniać korzystania ze strony (np. zasłaniać jej całkowicie);
  • umieszczone w mechanizmie zgody muszą być domyślnie odznaczone (to użytkownik musi je samodzielnie zaznaczyć, wyrażając tym samym zgodę na instalację plików cookies) – chyba, że mówimy o cookies niezbędnych do działania strony jako takiej;

Chcesz zweryfikować, czy dobrze wdrożyłeś baner ze zgodą na pliki cookies lub politykę prywatności? Umów się na konsultację. Kliknij tutaj >

Newsletter, który pomoże Ci rozwinąć 🚀 Twój e-commerce pod kątem prawnym i biznesowym.

Dołącz do społeczności ok. 5500 właścicieli oraz kadry zarządzającej i managerskiej w branży e-commerce! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk e-com” przeczytasz pod linkiem: https://letstalkecom.pl/

Po zapisaniu się odbierz od nas powitalnego maila z bonusami. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Czy przycisk „akceptuję wszystkie zgody” jest legalny?

Na wstępie trzeba powiedzieć, że przycisk „akceptuję wszystkie zgody” jest dość kontrowersyjną tematyką – część osób zgadza się z jego stosowaniem, część neguje. Prawda jest jednak taka, że prawo nie zakazuje stosowania takiego rozwiązania, a orzecznictwo na chwilę obecną milczy na ten temat.

Warto jednak zwrócić uwagę, że wiele dużych firm, które po pierwsze przeszły wiele kontroli organów nadzorczych, a po drugie współpracują ze specjalistami w zakresie ochrony danych osobowych i RODO stosuje przyciski „akceptuj wszystko”.

Osobiście uważam, że stosowanie takiego przycisku jest jak najbardziej w porządku, tak długo jak checkboxy są początkowo domyślnie odznaczone oraz, że przycisk „akceptuj wszystkie zgody” jest tylko swego rodzaju ułatwieniem dla użytkownika i nie uniemożliwia odznaczenia pewnych zgód, których użytkownik udzielić nie chce. 

Dodatkowo warto także wspomnieć decyzję francuskiego organu CNIL nr SAN-2021-023 z dnia 31 grudnia 2021 r., w której organ ten nałożył grzywnę na Google LLC i Google Ireland Limited w wysokości 90 mln euro i 60 mln euro. W uzasadnieniu tej decyzji wskazano, że Google umożliwia w łatwy sposób zaakceptowanie cookies przez użytkownika poprzez przycisk “accept all”, natomiast nie daje mu możliwości odrzucenia. Francuki organ uznał, że tak samo jak użytkownik może skorzystać z przycisku “accept all” Google powinien także oferować przycisk “decline all” umożliwiający odrzucenie stosowania cookies. 

W związku z tym warto wprowadzić mechanizm pozwalajacy użytkownikowi odmówić udzielenia zgody w równie łatwy sposób, jak wyrazić zgodę.

Czy raz udzieloną zgodę na stosowanie cookies można w dowolnym momencie wycofać?

Co do zasady raz udzieloną zgodę użytkownik może cofnąć w każdym momencie bez podawania przyczyny i co ważne – musi mieć taką możliwość. Dodatkowo ważne jest również, aby wycofanie takiej zgody było równie proste i łatwe jak jej udzielenie.

W praktyce – nie ma żadnych konkretnych przepisów ani wytycznych, które dotykałyby sfery w jaki konkretnie sposób użytkownik może wycofać swoją zgodę.

Dobrym pomysłem jest kierowanie się powyższą zasadą i kwestiami „łatwości” odmówienia zgody wcześniej udzielonej. Możesz dodać pływający przycisk, który pozwoli na szybkie otwarcie ustawień cookies. 

Jak długo strona internetowa może korzystać z raz udzielonej zgody?

Przede wszystkim taka informacja powinna znaleźć się w Polityce cookies (lub polityce prywatności).

Na chwilę obecną można powiedzieć, że raz udzielona zgoda będzie działała tak długo, jak nie zostanie wycofana, ktoś wyczyści ciasteczka, czy gdy minie z góry ustalony czas np. 2 lata.

Pliki cookies – własne lub podmiotów trzecich

Cookies mogą zostać podzielone na własne (first-party cookies) lub podmiotów trzecich (tzw. third-party cookies).

Własne cookies to są pliki umieszczone w przeglądarce użytkownika bezpośrednio przez stronę, którą odwiedził, zaś cookies podmiotów trzecich są umieszczane przez partnerów odwiedzonych stron internetowych.

Przykłady wykorzystywania plików cookies własnych to w szczególności:

  • zachowanie przedmiotów w koszyku zakupowym, aby klient gdy wróci na stronę wiedział co chciał zakupić,
  • proponowanie produktów podobnych lub komplementarych, do tych które użytkownik już oglądał.

Third-party cookies zaś mają na celu głównie reklamę, w tym

  • wyświetlanie użytkownikom spersonalizowanych treści,
  • monitorowanie efektywności reklam,
  • mierzenie liczby akcji – kliknięć i wyświetleń,a nawet
  • stworzenie internetowego profilu zachowania użytkownika, uwzględniajacego jego zachowania, preferencje i historię wyszukiwania na różnych portalach internetowych.

Stąd prawdopodobnie sytuacja, że gdy klikniesz w reklamę jednego produktu, następnie widzisz jego reklamy wszędzie.

Dostawca usług jednej z najpopularniejszych przeglądarek internetowych – Google planuje zakończenie wspierania third-party cookies w 2024 r., co może utrudnić targetowanie użytkowników i prowadzenie kampanii marketingowych. Powodem jest nie tylko troska o ochronę danych osobowych użytkowników, ale również utrata znaczenia cookies w perspektywie urządzeń mobilnych, które ich nie obsługują.

Chrome nie będzie jedyną przeglądarką, która nie wspiera tego rodzaju cookies – Edge, Firefox i Safari nie korzystają z nich już od kilku lat, ale na rynku polskim jest to największy dostawca usług.

Kilka słów o Polityce cookies

Polityka cookies to nic innego jak zasady określające sposób wykorzystywania cookies na stronie internetowej, ich rodzaje, funkcje oraz informacje na temat dostawcy takich usług. 

Przeczytaj także: Polityka prywatności jako obowiązek informacyjny z RODO

Co do zasady, informacja o plikach cookies może znaleźć się w polityce prywatności strony i powinna zawierać następujące informacje o plikach cookies:

  • nazwę pliku,
  • dostawcę,
  • funkcję,
  • zakres pobieranych danych,
  • okres działania;

Jedno z bardziej popularnych pytan dotyczy między innymi konieczności umieszczania linku do Polityki prywatności strony w zgodzie na wykorzystywanie cookies. Nie jest to rozwiązanie konieczne, ale jeżeli nie wszystkie informacje wymagane przez RODO znajdą się w zgodzie cookies, wówczas zawsze należy umieścić link do polityki prywatności.

Kup teraz: Regulamin i polityka prywatności - produkty fizyczne, elektroniczne i mieszane

Jeżeli szukasz gotowych wzorów dokumentów dla sklepu internetowego sporządzonych przez prawnika z wieloletnim doświadczeniem, znalazłeś się w dobrym miejscu.

Podsumowując

Słowem podsumowania warto zaznaczyć, że cookies to temat, który dotyczy niemal każdej strony internetowej, bo w praktyce – praktycznie każda z nich korzysta. Warto więc zainteresować się plikami cookies, aby ich stosowanie było zgodne z prawem, bowiem kary nakładane przez organ nadzorczy za naruszenia tego typu mogą być naprawdę wysokie. Zgodę na wykorzystanie plików cookies możesz napisać samodzielnie, ale jeśli chcesz być spokojny o jej poprawność i legalność, zwróć się do prawnika, który pomoże Ci kompleksowo, bowiem cookies to dopiero wierzchołek góry lodowej.

Zdjęcie dodane przez Taryn Elliott.

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter
i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.