Zgoda na cookies po 2019, czyli jak prawidłowo zbierać zgody.
Mimo iż przepisy RODO obowiązują od 25 maja 2018 roku, nadal ich poprawna interpretacja budzi szereg problemów. Administratorzy stron zostali obarczeni obowiązkami, z którymi nie zawsze sobie radzą poprawnie. Dlatego warto szczególnie się nad nimi zastanowić, bowiem za naruszenie przepisów prawa w tym zakresie grożą wysokie kary. Stąd niezwykle istotne jest prawidłowe wdrożenie nowych systemów dotyczących ochrony użytkowników w sieci. Tym bardziej że przepisy dotyczące zgody na cookies w ostatnim czasie sporo się zmieniły. Jak powinna obecnie wyglądać prawidłowa zgoda na pliki cookies? Czy zawsze powinniśmy o nią pytać Google Analytics? I wreszcie, czy zmiany te oznaczają konieczność zmiany polityki prywatności i polityki cookies? Dziś kilka słów na temat jak wyglądać powinna zgoda na pliki cookies według nowych przepisów.
Zgoda na pliki cookies — zmiany po 2019 roku
Wydawać by się mogło, że ochrona danych osobowych użytkowników sieci jest mocno rozbudowana. Wprowadzone w 2018 roku nowe rozporządzenie RODO zapewnia zbieranym i przetwarzanym danym osobowym bezpieczeństwo. Jednak okazało się, że przepisy te należało doprecyzować. Tak, aby nie budziły żadnych wątpliwości interpretacyjnych. W dniu 1 października 2019 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał orzeczenie sygn. akt C-673/17, które wprowadziło rewolucję w zakresie zbierania zgód na cookies. Co ważne, w 2020 roku wydano za nim wytyczne Europejskiej Rady Ochrony Danych z odpowiednimi regulacjami. Zgodnie z nimi nakazują one zmianę dotychczas funkcjonujących regulacji odnośnie „ciasteczek” i dopasowanie ich do nowych wytycznych. Jakie zalecenia zawiera orzeczenie TSUE? Otóż w myśl najnowszego stanowiska unijnego Trybunału, zgoda na pliki cookie musi być wyrażona przez każdego użytkownika strony internetowej. I co najważniejsze, musi być to zgoda świadoma, a nie domniemana.
Doskonale obrazuje to fragment powołanego wyżej wyroku. Według niego: „(…) zgoda użytkownika, do celów tej dyrektywy, może zostać udzielona w jakikolwiek sposób umożliwiający swobodne, konkretne i świadome wyrażenie woli użytkownika, w szczególności poprzez »zaznaczenie okna wyboru podczas przeglądania witryny internetowej(…)”. Jednocześnie Trybunał w orzeczeniu zaznaczył, że forma i sposób wyrażenia zgody nie ma znaczenia. Może być to nawet zaznaczenie odpowiedniego okienka wyboru. Najważniejsze jest jednak, aby ta zgoda była wyrażona:
- Swobodnie,
- konkretnie
- i świadomie.
W praktyce oznacza to, że wystarczy użytkownikowi ustawić odpowiedni przycisk, aby mógł w pełni świadomie wyrazić swoją wolę na akceptację (lub nie) cookies. Analizując powyższe orzeczenie, kilka rzeczy warto zapamiętać. Przede wszystkim to, że nie wystarczy jedynie poinformować użytkownika o stosowaniu cookies. Zanim bowiem na jego urządzeniu zostaną pliki zainstalowane, w pierwszej kolejności musi on wyrazić na nie zgodę. Jeśli tej zgody nie będzie, administrator strony naraża się na konsekwencje prawne. Dopóki więc na przeglądarce nie zostanie ta zgoda udzielona, pliki cookies instalowane być nie powinny. I co ważne, każda strona www powinna mieć politykę cookies dopasowaną do nowych przepisów. Jak wygląda to w praktyce? Różnie.
Wprowadzona innowacja, a więc konieczność uzyskania uprzedniej wyraźnej zgody użytkownika, czyli opt-in nadal nie funkcjonuje na wszystkich witrynach internetowych. Pierwszym przykładem są strony rządowe (gov.pl). Czyżby nowe przepisy rządzących nie obowiązywały? Jednak to nie jedyny przykład. W Polsce nadal obowiązuje art. 173 prawa telekomunikacyjnego. To on nadal „zezwala na pliki cookies, które można skasować lub zablokować w ustawieniach przeglądarki”. Tylko. Zatem nowe przepisy sobie, a praktyka wciąż sobie. Tymczasem podmiot, który nie zastosuje się do nowych wytycznych, naraża się na poważną odpowiedzialność karną, w tym wysokie kary finansowe.
Przepisy prawa a praktyka w Polsce
Często jest tak, że przepisy prawa albo nie są dostosowane do nowej rzeczywistości, albo są wzajemnie ze sobą sprzeczne. I nie inaczej jest niestety z danymi osobowymi. Mimo iż większość firm wie, że zmieniła się polityka zbierania danych osobowych, jednak wciąż niejasne przepisy w tym zakresie wprowadzają zamieszanie. Z jednej strony mamy polską ustawę o ochronie danych osobowych dostosowaną do unijnego rozporządzenia o ochronie danych osobowych, która powinna być jasną wskazówką w tym zakresie. Niestety tak nie jest. Wciąż na wielu stronach, w tym także sklepach internetowych próżno szukać informacji prawnych w tej sprawie. Kolejną rzeczą jest brak dostosowania polityki cookies do wytycznych orzeczenia z 2019 roku. Zatem przedsiębiorcy mają nie lada problem, jak zbierać zgody cookies zgodnie z prawem. Okazuje się jednak, że mimo niejasności, w prawie można znaleźć odpowiednie rozwiązanie dla administratorów danych osobowych, wystarczy dobrze poszukać.
Zdaniem prawników, nie ma tu żadnych wątpliwości, że powinniśmy stosować europejskie przepisy i zbierać zgody na pliki cookie. Potwierdzeniem tego jest stanowisko polskiego Urzędu Ochrony Danych Osobowych, który w grudniu 2021 roku ukarał pierwszą firmę, które nie zbierała zgód na cookies. Co prawda, jest to, póki co jedynie upomnienie. Jednak to wyraźny sygnał dla wszystkich firm, że zgoda na przetwarzanie danych oraz polityka cookies powinna być dostosowana do unijnych przepisów. To także oznacza, że w przypadku kolejnych naruszeń na samym upomnieniu się może nie skończyć. Dlatego dotychczasowe praktyki warto zmienić. Czy jednak jest to skuteczny straszak dla firm?
Fakt postępowania niezgodnie z przepisami niestety nie oznacza, że wszyscy przedsiębiorcy zaczną zmieniać swoje polityki cookies. Zastanówmy się jednak, czy warto narażać się na konsekwencje prawne? Przewidziane kary są naprawdę dotkliwe, a te już wymierzone robią wrażenie. Wystarczy tylko jako przykład podać spółkę Alphabet, która została ukarana przez francuski urząd ochrony danych osobowych za śledzenie użytkowników w sieci. Wymierzona kara to aż 100 mln euro. Z kolei Amazon otrzymał za podobną praktykę karę w wysokości 35 mln euro. Jak widać więc warto dopasować zgody na „ciasteczka” do aktualnych przepisów.
Rozwiązania techniczne w zgodach na cookies
Wprowadzenie nowego szablonu zgody na „ciasteczka” jest nieco bardziej skomplikowane, niż było. Aby lepiej to zobrazować, kilka słów wstępu. Otóż marketerzy w pracy używają dwóch narzędzi. To Google Analytics albo Pixele remarketingowe. Pierwsze służy do mierzenia ruchu marketingowego na stronie, pozyskiwana statystyk itp. Drugie zaś stosuje się, aby później wyświetlać użytkownikom, którzy odwiedzili stronę reklamy na innych stronach www. Obie technologie są bardzo popularne i opierają się na plikach cookies. Zatem, jeśli nadal chcemy korzystać z nich zgodnie z prawem, narzędzia te muszą zostać dostosowane do zbierania nowych zgód. Nie wystarczy obecnie wyświetlić komunikat, że stosowane są pliki cookies, aby polepszyć jakość strony internetowej. Dlaczego? Bo to nieprawda. Najczęściej cele gromadzenia i przechowywania plików cookies są zupełnie inne. To cel reklamowy, marketingowy albo mierzenie statystyk i ruchu na stronie. Dlatego dziś należy wyraźnie o tym poinformować użytkownika. Uczciwie, jasnym i zrozumiałym językiem. Chodzi o to, aby odwiedzający miał wybór, a nie był zaskakiwany.
Kolejnym elementem jest przycisk. To za jego pomocą użytkownik może podjąć decyzję, czy wyraża zgodę na piliki cookies, czy nie. I tu rzecz ciekawa, b to z prawnego punktu widzenia żadna nowość, gdyż przepisy w tym zakresie się nie zmieniły. Jedynie zmieniła się ich interpretacja. Dlatego nowe zasady warto wdrożyć, aby uniknąć przykrych konsekwencji. A to z kolei nic innego jak dopasowanie istniejących już szablonów do nowych realiów prawnych. Zatem użytkownik musi być zobligowany do tego, aby wyrażać zgodę (lub nie) na wykorzystanie plików cookies, którą marketerzy muszą odebrać od niego. I to niezależnie czy pliki cookies są przetwarzaniem danych osobowych, czy nie.
Zgoda na cookies po nowemu
Okazuje się, że wcześniej zbieranie zgód na pliki cookies było chyba prostsze. Oczywiście z punktu widzenia administratora strony. Jednak nie z pozycji konsumenta. Dlatego obecne rekomendacje mają przede wszystkim na celu daleko idąca ochronę ich interesów. Jak różnią się pod względem technicznym aktualne wytyczne od wcześniejszych? Na pewno technicznie system jest bardziej rozbudowany niż dotychczasowy pasek cookies. Przypomnijmy, że zawierał od dwie linijki kodu i jedyne, co mógł zrobić odwiedzający stronę, to go zamknąć. I tak naprawdę nie miało znaczenia czy wykonany został jakikolwiek manewr potwierdzający, czy nie, na urządzeniu i tak umieszczane były ciasteczka. De facto bez udzielenia zgody przez użytkownika. Obecnie system ten musi zawierać o wiele więcej możliwości dla odwiedzającego stronę. W tej chwili konieczny jest taki system, który w pierwszej kolejności zapyta klienta o zgodę, zanim zainstaluje cookies. Dopiero konkretne zachowane użytkownika determinuje dalszą procedurę systemu. Zatem albo uruchomi umieszczenie ciasteczek, albo zablokuje odpowiednie skrypty. To jednak jeszcze nie wszystko.
Należy także umożliwić użytkownikowi proste wycofanie wcześniej udzielonej zgody. Sam system powinien także prowadzić ewidencję zgód, aby szybko odnaleźć, kiedy zgoda została udzielona. Jak widać, wdrożenie nowego systemu wcale nie jest tak proste, jak mogłoby się to wydawać. Co prawda na rynku są dostępne platformy zarządzania zgodami, zgodne z nowymi wytycznymi. Niektóre z nich są bezpłatne, za inne trzeba zapłacić. Jednak samo wykupienie platformy nie oznacza jeszcze wprowadzenia nowego schematu cookies.
Jak wprowadzić zarządzanie zgodami?
Niestety tylko na pozór jest to proste. Nie wystarczy jednak wykupić dostęp do platformy consent management, wkleić kod i gotowe. Aby wdrożyć nowe rozwiązania w zbieraniu zgód na „ciasteczka”, należy zintegrować system consent management z kodami śledzącymi na stronie. Nawet jeśli korzystamy z kontenerów takich jak Google Tag Manager, to nie wystarczy. Konieczna jest jeszcze odpowiednia konfiguracja w tym zakresie. Dlaczego jest to tak ważne? Z pewnością zależy nam, aby polityka cookies działała prawidłowo. Tymczasem, jeśli nie dokonamy właściwego dopasowania, uzyskamy jedynie atrapę nowego systemu. A nie o to przecież chodzi. Jeśli więc, mimo zaimplementowania nowej technologii, nadal bez uprzedniej zgody ładują się ciasteczka, koniecznie należy to zmienić. Nie powinno się także pomijać przy wdrażaniu nowych rozwiązań cookies polityki prywatności. Ten dokument powinien być także dostosowany do nowych wytycznych prawnych. Nie wystarczy ściągnąć z sieci aktualną politykę prywatności. Musi być ona jeszcze na bieżąco aktualizowana, a każde „ciasteczko” opisane w niej wyczerpująco. Mało tego, jeśli wprowadzimy nowe ciasteczka, one także muszą znaleźć się w tym dokumencie.
Nie tylko zgoda na cookies, czyli co jeszcze może się zmienić
Obok problemu z nowymi wytycznymi odnośnie zbierania zgód na cookies, pojawia się jeszcze jeden termin, którym jest eprivacy. Przepisy jeszcze co prawda nie zostały uchwalone, zatem i wprowadzone do porządku prawnego. Czym jest eprivacy? To rozporządzenie podobne do RODO. Zgodnie z projektem ma uzupełniać przepisy RODO w zakresie e-prywatności. Pierwotnie miało wejść w życie tak jak rozporządzenie o ochronie danych osobowych, jednak wciąż w Parlamencie Europejskim trwają dyskusje. Mimo tego wydaje się, że przepisy te zostaną wprowadzone wcześniej czy później. Dlatego warto zapoznać się w jego rozwiązaniami. Z założenia ma być to rozwiązanie chroniące konsumentów i ich prywatność w sieci. Chodzi o pliki cookies oraz reklamę behawioralną, czyli jak faktycznie nasze ruchy w sieci są śledzone. Pomysłów na ochronę prywatności konsumentów było sporo. Zasadniczo celem ewentualnego wprowadzenia eprivacy jest, aby ochrona danych wrażliwych była inna niż do tej pory. To m.in. pomysł, aby użytkownik sieci mógł wyrażać zgody marketingowe tylko raz, na przykład przy instalacji przeglądarki. Dzięki temu nie trzeba by było za każdym razem, na różnych stronach kolejny raz wyrażać zgody na przetwarzanie danych. Bez wątpienia zdecydowanie ułatwiłoby to korzystanie z Internetu i przeglądanie różnych witryn internetowych. Byłaby to dodatkowa oszczędność czasu, a prosty formularz informacyjny zgodnie z projektem miałby być wypełniany tylko raz. Jednak wciąż prace nad rozporządzeniem trwają i na ten moment nie ma dokładnych danych czy i kiedy to rozwiązanie prawne zostanie wprowadzone.
Wiele osób zastanawia się, czy nowe schematy w zakresie zbierania zgód na cookies są konieczne. Od przedsiębiorców wymaga to dostosowania już istniejących systemów do nowych wytycznych, które wcale nie są tak proste do wdrożenia, jak mogłoby się wydawać. Dlatego wciąż wiele dużych firm bagatelizuje tę kwestię, z różnych przyczyn, najczęściej zasłaniając się koniecznością szukania oszczędności, co nie do końca jest prawdą. Tylko czy to faktyczna, czy jedynie wymyślona na potrzeby chwili polityka? Dostosowanie systemów do nowych wytycznych TSUE jest naprawdę konieczne. Z jednej strony zapewnia odpowiednią ochronę użytkowników stron www, z drugiej zaś buduje pozytywny wizerunek firmy w sieci. Czy naprawdę nie jest to ważki argument za przyjęciem nowego rozwiązania? Szkoda, że nadal wiele firm nie zauważa problemu. Być może przykład innych, ukaranych przedsiębiorców stanie się dla nich sygnałem, że jednak nie warto iść na skróty? Na pewno to sprawdzimy.