Pliki cookies (tzw. ciasteczka), to nieodłączny element współczesnej strony internetowej. Niezbędny do usprawnienia działania strony, zbierania danych statystycznych, czy wspomagania działań reklamowych.
Wraz z możliwościami plików cookies, pojawiają się też zagrożenia dla prywatności. Wynika to z faktu, że ciasteczka mogą przechowywać dane osobowe. I tu wraz z innymi przepisami do gry wchodzi RODO.
Czym są cookies?
Cookies to małe pliki tekstowe, które podczas odwiedzania stron internetowych są zapisywane na Twoim urządzeniu (komputerze, smartfonie, tablecie, itp.). Pliki te mogą być następnie odczytane przez witrynę, np. przy kolejnym wejściu na nią. W tych plikach przechowywane są różne informacje na przykład dotyczące zalogowania w serwisie, stanu koszyka w sklepie internetowym, personalizacji serwisu internetowego (np. ustawienie języka, rozmiaru czcionki, itp.). Zakres przechowywanych informacji jest bardzo szeroki.
Czy RODO mówi coś o cookies?
Jeśli przeczytasz lub przeszukasz RODO, nie znajdziesz tam słowa o cookies, czy ciasteczkach.
No prawie. Bo o ile główny tekst rozporządzenia o nich nie mówi, to na przykład motyw 30 wspomina o ciastkach.
Nie zmienia to faktu, że RODO jest naturalne technologicznie. Znaczy to tyle, że nie znajdziesz tam (prawie) nic o technologiach. Natomiast wszędzie, gdzie pojawia się informacja o danych osobowych, dotyczą one wszelkich technologii, których używasz do przetwarzania danych osobowych.
Czy cookies to dane osobowe?
„Czy [dowolne słowo], to dane osobowe?”. Tego typu pytanie bardzo często pojawia się w kontekście RODO. Odpowiedź jest zazwyczaj prosta i jednocześnie niezbyt wiele wyjaśniająca. „To zależy”.
Podobnie jest z cookies. Ciasteczko jest pewną technologią. Plikiem zawierającym informacje. Samo w sobie nie jest daną osobową, ale może (choć nie musi) takie dane zawierać.
W przypadku stron, które korzystają z popularnych i nowoczesnych technologii, często w ciasteczkach znajdziemy dane osobowe. I tu do gry wchodzi RODO.
Czy na cookies potrzebna jest zgoda?
Jak to zwykle bywa w RODO – „To zależy”.
Pamiętaj o tym, że RODO daje nam do dyspozycji sześć przesłanek do przetwarzania „zwykłych” danych osobowych. Zgoda jest jedną z nich – nie jedyną.
Dlatego warto się zastanowić, kiedy zgodę wykorzystać, a kiedy korzystać z innej przesłanki.
Podam Ci kilka rodzajów plików cookies (nie jest to żaden oficjalny podział) i określimy sobie podstawę prawną przetwarzania.
- Niezbędne – te pliki serwowane są przez Ciebie (Twoją stronę internetową). Wspomagają jej prawidłowe działania, np. zapamiętując sesję logowania użytkownika, czy ustawienia dotyczące prywatności.
Dla tych plików nie jest potrzebna zgoda. - Funkcjonalne – te pliki pozwalają zapamiętać wybory użytkownika dokonane na stronie, np. gdy ustawi sobie jej język, kolorystykę, układ. Stosowanie tych plików nie jest niezbędne i zazwyczaj pytamy tu o zgodę.
- Statystyczne – dzięki tym plikom zbieramy dane statystyczne o odwiedzających i ich zrachowaniach na stronie. Tu można się pokusić o wykorzystanie przesłanki o uzasadnionym interesie administratora. Polecam jednak korzystać z tego rozwiązani tylko, jeśli mechanizm zbierania danych statystycznych jest w pełni kontrolowany przez Ciebie, a ingerencja w prywatność osoby nie jest nadmierna. W praktyce jednak najczęściej korzystamy z zewnętrznych mechanizmów statystycznych (np. Google Analytics, czy Gemius). W takim przypadku bezpieczniejsze będzie uzyskanie zgody.
- Reklamowe – najczęściej są to pliki, dla których Twoja strona jest tylko pośrednikiem, a ustawiane są przez Twoich partnerów reklamowych (np. Google, LinkedIn, Facebook), którzy dostarczyli Ci odpowiedni kod do wklejenie na stronę. Te pliki pozwalają Tobie prowadzić skuteczniejsze kampanie reklamowe. Jednak przy okazji pozwalają Twoim partnerom reklamowym, na budowanie profili Twoich użytkowników. Zdecydowanie trzeba je serwować na podstawie zgody.
Kara za cookies? Tak – to możliwe.
Nie odkryję ameryki, jeśli napiszę, że lepiej być zgodnym z RODO. Kwestia cookies nie jest tu wyjątkiem. Kilka firm przekonało się już o tym. Wystarczy wejść na stronę z listą kar z RODO i wpisać w wyszukiwarkę słowo „cookie”, aby zobaczyć ile już kar nałożono.
Zważywszy na kampanię organizacji NYOB dotyczącą banerów cookie, tych kar wkrótce przybędzie.
Co zrobić, by serwować cookies zgodnie z RODO?
Chcesz, żeby ciasteczka na Twojej stronie nie łamały zasad? Potrzebujesz dwóch rzeczy.
Narzędzia i wiedzy jak je skonfigurować. I mam je obie dla Ciebie.
W drugim artykule z serii Cookies zgodne z RODO. Jak ugryźć ciasteczka i nie połamać zębów pokazuję Ci jakie funkcje powinien realizować baner cookies.
W trzecim – Cookies zgodne z RODO – narzędzia, przedstawiam Ci kilka dostępnych narzędzi, ich wady i zalety.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.