Pliki cookies zgodne z prawem – jak je wdrożyć w 2023 roku?

Zazwyczaj pierwszą rzeczą, którą widzi przeciętny użytkownik po wejściu na stronę internetową nie jest jej zawartość, a informacja o stosowanych plikach cookies z prośbą o udzielenie na nie zgody. Stosowanie plików cookies to niezwykle ciekawy temat, tym bardziej że w dzisiejszych czasach niemal wszystkie strony internetowe wykorzystują je w swoim działaniu.

Dlaczego tak jest, jak taka zgoda rzeczywiście powinna wyglądać i czy przycisk “akceptuj wszystkie cookies” jest legalny? – o tym wszystkim przeczytasz w niniejszym artykule!

Podsumowanie na start

Nie chcesz czytać całego artykułu? Oto krótko w punktach to, co warto wiedzieć o plikach cookies:

1. Pliki cookies to dane informatyczne przechowywane na urządzeniu użytkownika w celu usprawnienia korzystania z witryny internetowej oraz dokonywania analizy zachowań użytkownika.
2. Istnieją różne rodzaje plików cookies: sesyjne, stałe, first-party cookies, third-party cookies, niezbędne, funkcyjne, konfiguracji, reklamowe.
3. Prawo telekomunikacyjne oraz RODO regulują stosowanie plików cookies i wymagają jasnej informacji dla użytkowników o stosowanych plikach cookies oraz uzyskania ich zgody na ich wykorzystywanie. 
4. Administrator strony internetowej musi pytać użytkowników o zgodę na pliki cookies, niezależnie od tego czy przetwarzają one dane osobowe czy nie.
5. Zgoda na pliki cookies powinna być udzielania w sposób łatwy i zrozumiały dla użytkownika, z możliwością odznaczenia poszczególnych rodzajów cookies.
6. Popularnym rozwiązaniem jest wykorzystanie wyskakującego okienka (pop-up), informującego użytkownika o plikach cookies i zawierającego checkboxy do zaznaczania zgód.
7. Przycisk „akceptuj wszystkie zgody” jest kontrowersyjny, ale nie jest zabroniony przez prawo.
8. Użytkownik ma prawo w dowolnym momencie wycofać udzieloną zgodę na pliki cookies, a procedura wycofania powinna być równie prosta jak jej udzielenie.
9. Polityka cookies powinna zawierać informacje o nazwie, dostawcy, funkcji, zakresie pobieranych danych i okresie działania plików cookies.

Nagranie z live o cookies

Zapraszamy do odsłuchania nagrania z webinaru organizowanego przez hostingodawcę LH.pl na temat tego, jak wdrożyć zgodę na pliki cookies zgodnie z prawem!

Czym są pliki cookies i do czego służą?

Pliki cookies (inaczej tzw. ciasteczka) to nic innego, jak dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu, z którego użytkownik korzysta, aby odwiedzić daną stronę internetową. 

Pliki cookies służą przede wszystkim usprawnieniu korzystania ze stron internetowych, dostarczania bardziej spersonalizowanych treści czy w ramach śledzenia użytkownika (analityka Google, Facebook Pixel i inne).

Jakie są rodzaje plików cookies?

Istnieje kilka rodzajów plików cookies.
Ze względu na to: jak długo są przechowywane możemy m.in. wyróżnić:

1. cookies sesyjne – są przechowywane tymczasowo na urządzeniu użytkownika, podczas jednej sesji przeglądania strony www. Po zakończeniu sesji, pliki te są zazwyczaj usuwane.
2. cookies stałe – pozostają na urządzeniu użytkownika nawet po zakończeniu sesji; przeglądania. Służą do przechowywania takich informacji jak loginy, hasła, aby ułatwić dostęp do stron www w przyszłości;

Ze względu na to, skąd pochodzą (bezpośrednio z odwiedzane witryny czy nie):

1. first party cookies – są instalowane na urządzeniu przez samą stronę internetową, którą odwiedza użytkownik. Przechowują informacje dotyczące aktywności na tej konkretnej stronie;
2. pliki cookies osób trzecich (third parties cookies) – są ustawiane przez zewnętrznych dostawców usług (np. reklamodawców). Służą monitorowaniu aktywności użytkownika na różnych stronach internetowych.

O nich nieco więcej w dalszej części artykułu.

Ze względu na to, jaką funkcję pełnią:

1. cookies niezbędne – umożliwiają korzystanie z usług dostępnych na stronie;
2. cookies funkcjonalne (techniczne pliki) – umożliwiają zapamiętywanie preferowanych funkcjonalności strony;
3. cookies analityczne – umożliwiają mierzenie ilości wizyt i zbieranie informacji o źródłach ruchu, dzięki czemu można poprawić działanie strony.
4. konfiguracji – umożliwiają ustawienie funkcji i usług na stronie;
5. marketingowe – umożliwiają dostarczenie treści reklamowych dostosowanych do preferencji użytkownika;

Przepisy prawa a pliki cookies 

W pierwszej kolejności warto zauważyć, że przepisy prawa nie używają wprost terminu „cookies” czy „ciasteczka”, a odwołują się w ujęciu bardziej ogólnym do plików, które przechowują informacje lub pozwalają uzyskać dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika.

Podstawą prawną jest tu art. 173 i 174 ustawy Prawo telekomunikacyjne implementujace w tym zakresie postanowienia dyrektywy europejskiej o prywatności i łączności elektronicznej:

Art.  173.  [Przechowywanie informacji w urządzeniach końcowych abonentów lub użytkowników końcowych i uzyskiwanie do nich dostępu] 
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:  a) celu przechowywania i uzyskiwania dostępu do tej informacji,  b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; 

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 

3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. 2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art.  174.  [Zgoda abonenta lub użytkownika końcowego]
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.

Pliki cookies a dane osobowe i RODO

Ciekawym problemem, który wiąże się z przepisami prawa stosowanymi do plików cookies jest kwestia przetwarzanych danych osobowych. Niektóre ciasteczka rzeczywiście przetwarzają dane osobowe, ale – nie wszystkie cookies to robią.

W przypadku ciasteczek, które wykorzystują dane osobowe oprócz przepisów Prawa telekomunikacyjnego należy też brać pod uwagę przepisy dotyczące ochrony danych osobowych, czyli tzw. RODO.

W takim wypadku należy udzielić użytkownikowi strony internetowej wyczerpujących informacji dotyczących przetwarzania danych osobowych np. w dodatkowej polityce cookies lub polityce prywatności. 

Natomiast w przypadku cookies, które nie wykorzystują tych danych wystarcza stosować się do przepisów ustawy Prawo telekomunikacyjne. 

Kto musi stosować zgodę na wykorzystywanie plików cookies?

Skoro już wiadomo, że przepisy prawa przewidują obowiązek pytania użytkowników o zgodę na stosowanie plików cookies to można zastanowić się do kogo są skierowane te przepisy i kto musi posiadać zgody użytkowników na cookies.  

Przede wszystkim należy zauważyć, że obowiązek ten skierowany jest do administratorów stron internetowych.  

Mimo wszystko niektórzy zastanawiają się czy każdy administrator, właściciel strony internetowej musi pytać użytkowników swojej strony o zgodę na cookies?

Pytanie to dotyczy głównie problematyki danych osobowych i podziału cookies na dwie kategorie – cookies przetwarzających i nieprzetwarzających danych osobowych.

Jest to bardzo szeroka problematyka, ale jedno jest pewne – każdy administrator musi pytać użytkowników o zgodę na wykorzystywanie plików cookies bez względu na to czy przetwarzają one dane osobowe czy też nie.

W przypadku plików cookies, które nie przetwarzają danych osobowych podstawą prawną jest ustawa Prawo telekomunikacyjne, a w przypadku tych, które takie dane przetwarzają – powyższa ustawa oraz przepisy RODO – tłumacząc w uproszczeniu.

Ważne! Najsensowniejszym i równocześnie najbezpieczniejszym rozwiązaniem wydaje się po prostu stosowanie się do przepisów, a więc pytanie użytkowników o zgodę cookies niezależnie od typu stosowanych na stronie ciasteczek. Takie zachowanie będzie zawsze zgodne z wymogami RODO. 

Jak powinna wyglądać zgoda na cookies?

Najpopularniejszym rozwiązaniem dotyczącym zgody użytkownika na cookies stosowanym aktualnie na rynku jest okienko wyskakujące tuż po otwarciu strony internetowej informujące użytkownika o stosowanych ciasteczkach oraz zawierające odpowiednie checkboxy do zaznaczenia swoich zgód i zaakceptowania ich (tzw. pop-up). 

Zdarza się, że tego typu wyskakujące okienka nie blokują używania strony lub wręcz przeciwnie – zasłaniają ją całą i uniemożliwiają korzystanie z niej do momentu udzielenia lub też nieudzielenia zgody na stosowanie cookies. 

W praktyce nie jest konkretnie sprecyzowane w jaki sposób powinna taka informacja i zgoda wyglądać, choć wielkość takiego okienka dotyczącego cookies może mieć znaczenie z punktu widzenia udzielania takiej zgody – powinno ono być odpowiednio widoczne i stosunkowo trudne do ominięcia. 

Z innych istotnych elementów warto pamiętać o tym, że w przypadku takiej zgody kategorie stosowanych ciasteczek powinny być wyróżnione, a zgody na ich używanie – udzielone niezależnie. 

W końcu inne role pełnią cookies niezbędne, które konieczne są do prawidłowego wyświetlania strony, a inne cookies marketingowe czy śledzące. 

Aby napisać dobrą zgodę cookies warto zastosować trzy, proste zasady:

• umieszczone w mechanizmie opisy i komunikaty powinny być sformułowane prostym i jasnym językiem;
• mechanizm nie powinien nadmiernie utrudniać korzystania ze strony (np. zasłaniać jej całkowicie);
• umieszczone w mechanizmie zgody muszą być domyślnie odznaczone (to użytkownik musi je samodzielnie zaznaczyć, wyrażając tym samym zgodę na instalację plików cookies) – chyba, że mówimy o cookies niezbędnych do działania strony jako takiej;

Chcesz zweryfikować, czy dobrze wdrożyłeś baner ze zgodą na pliki cookies lub politykę prywatności? Umów się na konsultację. Kliknij tutaj >

Newsletter, który pomoże Ci rozwinąć  Twój e-commerce pod kątem prawnym i biznesowym.

Dołącz do społeczności ok. 5500 właścicieli oraz kadry zarządzającej i managerskiej w branży e-commerce! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk e-com” przeczytasz pod linkiem: https://letstalkecom.pl/

Po zapisaniu się odbierz od nas powitalnego maila z bonusami m.in. bezpłatne nagrania webinarów i szkoleń dla branży e-commerce!

W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

E-mail

Dołącz do newslettera!

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Czy przycisk „akceptuję wszystkie zgody” jest legalny?

Na wstępie trzeba powiedzieć, że przycisk „akceptuję wszystkie zgody” jest dość kontrowersyjną tematyką – część osób zgadza się z jego stosowaniem, część neguje. Prawda jest jednak taka, że prawo nie zakazuje stosowania takiego rozwiązania, a orzecznictwo na chwilę obecną milczy na ten temat.

Warto jednak zwrócić uwagę, że wiele dużych firm, które po pierwsze przeszły wiele kontroli organów nadzorczych, a po drugie współpracują ze specjalistami w zakresie ochrony danych osobowych i RODO stosuje przyciski „akceptuj wszystko”.

Osobiście uważam, że stosowanie takiego przycisku jest jak najbardziej w porządku, tak długo jak checkboxy są początkowo domyślnie odznaczone oraz, że przycisk „akceptuj wszystkie zgody” jest tylko swego rodzaju ułatwieniem dla użytkownika i nie uniemożliwia odznaczenia pewnych zgód, których użytkownik udzielić nie chce. 

Dodatkowo warto także wspomnieć decyzję francuskiego organu CNIL nr SAN-2021-023 z dnia 31 grudnia 2021 r., w której organ ten nałożył grzywnę na Google LLC i Google Ireland Limited w wysokości 90 mln euro i 60 mln euro. W uzasadnieniu tej decyzji wskazano, że Google umożliwia w łatwy sposób zaakceptowanie cookies przez użytkownika poprzez przycisk “accept all”, natomiast nie daje mu możliwości odrzucenia. Francuki organ uznał, że tak samo jak użytkownik może skorzystać z przycisku “accept all” Google powinien także oferować przycisk “decline all” umożliwiający odrzucenie stosowania cookies. 

W związku z tym warto wprowadzić mechanizm pozwalający użytkownikowi odmówić udzielenia zgody w równie łatwy sposób, jak wyrazić zgodę.

Czy raz udzieloną zgodę na stosowanie cookies można w dowolnym momencie wycofać?

Co do zasady raz udzieloną zgodę użytkownik może cofnąć w każdym momencie bez podawania przyczyny i co ważne – musi mieć taką możliwość. Dodatkowo ważne jest również, aby wycofanie takiej zgody było równie proste i łatwe jak jej udzielenie.

W praktyce – nie ma żadnych konkretnych przepisów ani wytycznych, które dotykałyby sfery w jaki konkretnie sposób użytkownik może wycofać swoją zgodę.

Dobrym pomysłem jest kierowanie się powyższą zasadą i kwestiami „łatwości” odmówienia zgody wcześniej udzielonej. Możesz dodać pływający przycisk, który pozwoli na szybkie otwarcie ustawień cookies. 

Jak długo strona internetowa może korzystać z raz udzielonej zgody?

Przede wszystkim taka informacja powinna znaleźć się w Polityce cookies (lub polityce prywatności).

Na chwilę obecną można powiedzieć, że raz udzielona zgoda będzie działała tak długo, jak nie zostanie wycofana, ktoś wyczyści ciasteczka, czy gdy minie z góry ustalony czas np. 2 lata.

Pliki cookies – własne lub podmiotów trzecich

Jak już wcześniej opisałem, cookies mogą zostać podzielone na własne (first-party cookies) lub podmiotów trzecich (tzw. third-party cookies).

Własne cookies to są pliki umieszczone w przeglądarce użytkownika bezpośrednio przez stronę, którą odwiedził, zaś cookies podmiotów trzecich są umieszczane przez partnerów odwiedzonych stron internetowych.

Przykłady wykorzystywania plików cookies własnych to w szczególności:

• zachowanie przedmiotów w koszyku zakupowym, aby klient gdy wróci na stronę wiedział co chciał zakupić,
• proponowanie produktów podobnych lub komplementarych, do tych które użytkownik już oglądał.

Third-party cookies zaś mają na celu głównie reklamę, w tym:

• wyświetlanie użytkownikom spersonalizowanych treści,
• monitorowanie efektywności reklam,
• mierzenie liczby akcji – kliknięć i wyświetleń,a nawet
• stworzenie internetowego profilu zachowania użytkownika, uwzględniajacego jego zachowania, preferencje i historię wyszukiwania na różnych portalach internetowych.

Stąd prawdopodobnie sytuacja, że gdy klikniesz w reklamę jednego produktu, następnie widzisz jego reklamy wszędzie.

Dostawca usług jednej z najpopularniejszych przeglądarek internetowych – Google planuje zakończenie wspierania third-party cookies w 2024 r., co może utrudnić targetowanie użytkowników i prowadzenie kampanii marketingowych. Powodem jest nie tylko troska o ochronę danych osobowych użytkowników, ale również utrata znaczenia cookies w perspektywie urządzeń mobilnych, które ich nie obsługują.

Chrome nie będzie jedyną przeglądarką, która nie wspiera tego rodzaju cookies – Edge, Firefox i Safari nie korzystają z nich już od kilku lat, ale na rynku polskim jest to największy dostawca usług.

Kilka słów o Polityce cookies

Polityka cookies to nic innego jak zasady określające sposób wykorzystywania cookies na stronie internetowej, ich rodzaje, funkcje oraz informacje na temat dostawcy takich usług. 

Przeczytaj także Jak napisać politykę prywatności i cookies zgodnie z RODO?

Co do zasady, informacja o plikach cookies może znaleźć się w polityce prywatności strony i powinna zawierać następujące informacje o plikach cookies:

• nazwę pliku,
• dostawcę,
• funkcję,
• zakres pobieranych danych,
• okres działania;

Jedno z bardziej popularnych pytań dotyczy między innymi konieczności umieszczania linku do Polityki prywatności strony w zgodzie na wykorzystywanie cookies. Nie jest to rozwiązanie konieczne, ale jeżeli nie wszystkie informacje wymagane przez RODO znajdą się w zgodzie cookies, wówczas zawsze należy umieścić link do polityki prywatności.

Kup teraz: Gotowe dokumenty dla sklepów internetowych

Nasze gotowe dokumenty dla sklepów internetowych stanowią szybkie i ekonomiczne rozwiązanie dla przedsiębiorców, chcących rozwijać swój biznes dynamicznie i zgodnie z prawem.

Pozwalają one nie tylko zaoszczędzić czas, ale również pieniądze, które zazwyczaj trzeba przeznaczyć na wiele różnych spraw.

• Regulamin, polityka prywatności, RODO i inne!
• Gdy sprzedajesz produkty fizyczne, elektroniczne lub mieszane
• Rok aktualizacji z opcją przedłużenia
• Stworzone przez ekspertów e-commerce
• Otrzymasz instrukcje, checklisty i proste edytowalne dokumenty
• Bez abonamentu, jednorazowa płatność

Dowiedz się więcej o naszych dokumentach

A jeżeli potrzebujesz indywidualnej pomocy przy swoim sklepie internetowym, napisz do nas korzystając z formularza kontaktowego!

Podsumowując

Słowem podsumowania warto zaznaczyć, że cookies to temat, który dotyczy niemal każdej strony internetowej, bo w praktyce – każda z nich korzysta. Warto więc zainteresować się plikami cookies, aby ich stosowanie było zgodne z prawem. Kary za naruszenia zasad korzystania z cookies, jakie organ nadzorczy może nałożyć,  mogą być naprawdę wysokie. Zgodę na wykorzystanie plików cookies możesz napisać samodzielnie, ale jeśli chcesz być spokojny o jej poprawność i legalność, zwróć się do prawnika, który pomoże Ci kompleksowo, bowiem cookies to dopiero wierzchołek góry lodowej.

A oto na koniec checklista, która pomoże, abyś prawidłowo wdrożył pliki cookies:

1. Rodzaje plików cookies
   Są różne rodzaje cookies, które Twoja strona internetowa może zainstalować na urządzeniu użytkownika;
2. Informacje na stronie
   – umieść jasną i łatwo zrozumiałą informację na swojej stronie o stosowanych plikach cookies;
   – wyjaśnij, dlaczego Twoja strona korzysta z plików i jakie korzyści przynosi to użytkownikowi;
3. Zgoda użytkownika
   – wprowadź mechanizm, który pozwoli użytkownikowi wyrazić zgodę na pliki cookies;
   – udostępnij checkboxy lub opcje wyboru dla różnych rodzajów plików cookies;
   – upewnij się, że checkboxy są domyślnie odznaczone, a użytkownik musi je samodzielnie zaznaczyć;
4. Wycofanie zgody
   – zapewnij możliwość łatwego i szybkiego wycofania udzielonej zgody na pliki cookies;
5. Okres ważności zgody
   – poinformuj użytkowników w polityce cookies, jak długo będzie obowiązywać zgoda na poszczególne rodzaje plików cookies;
6. Polityk cookies
   – przygotuj politykę cookies (lub zapisy w polityce prywatności), w której poinformujesz o rodzajach cookies, ich nazwach, dostawcach, funkcjach, zakresie pobieranych danych, okresie działania;
   – udostępnij link do polityki cookies na swojej stronie internetowej;
7. Dane osobowe
   – jeśli stosowane przez Ciebie pliki cookies przetwarzają dane osobowe (nie wszystkie muszą), dostosuj się do przepisów RODO, udzielając użytkownikowi wyczerpujących informacji dotyczących przetwarzania danych osobowych;
8. Wspieranie użytkowników
   – zapewnij możliwość korzystania z Twojej strony internetowej nawet w przypadku odmowy zgody na pliki cookies;
   – udostępnij informacje, jak użytkownik może zarządzać plikami w ustawieniach przeglądarki;
9. Przestrzeganie przepisów
   – upewnij się (jeśli trzeba za pomocą prawnika), że cała Twoja strona internetowa jest zgodna z przepisami dotyczącymi plików cookies, w tym ustawą Prawo telekomunikacyjne i RODO.

Zdjęcie dodane przez Taryn Elliott.