Nie zawsze zgoda na stosowanie plików cookies

• Wymóg uzyskania zgody
• Jeśli nie zgoda, to co?
• Compliance
• Zgoda nie tylko do cookies

Wymóg uzyskania zgody

Przetwarzanie informacji o plikach cookies opiera się nie tylko na RODO, ale także (jeszcze) na postanowieniach dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)[1].  Jeżeli informacja zapisywana na urządzeniu użytkownika stanowi dane osobowe, postanowienia dyrektywy mają pierwszeństwo przed RODO przy określaniu dopuszczalności czynności przechowywania lub uzyskiwania dostępu do tych informacji[2]. W praktyce oznacza to, że ustalenie podstawy prawnej przetwarzania tych danych osobowych opiera się na art. 5 (3) dyrektywy, a stosowanie innej niż zgoda podstawy przetwarzania jest możliwe tylko w okolicznościach wskazanych w tym przepisie. Wymóg uzyskania zgody użytkownika, wskazany w postanowieniach dyrektywy, jest wiążący dla administratora danych osobowych.

Polecamy: INFORLEX Twój Biznes Jak w praktyce korzystać z tarczy antykryzysowej Zamów już od 98 zł

Zgoda na zapisywanie plików cookies jest zatem wymagana w odniesieniu do korzystania z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskiwania dostępu do informacji przechowywanej na terminalu abonenta lub użytkownika końcowego. W praktyce zgody wymaga zapisywanie:

• plików cookies marketingowych,
• plików cookies analitycznych,
• plików cookies statystycznych,
• wtyczek mediów społecznościowych,
• plików cookies stron trzecich.

Jeśli nie zgoda, to co?

Dostawca nie potrzebuje natomiast zgody użytkownika na stosowanie plików cookies, jeżeli takie przetwarzanie jest niezbędne np. w celu wykonania lub ułatwienia transmisji, technicznego przechowywania danych lub dostępu do nich, realizacji usługi zażądanej przez użytkownika, zgodnie z art. 5 (3) dyrektywy eprivacy. Przetwarzanie w tych przypadkach jest niezbędne dla zapewnienia bezpieczeństwa transmisji lub ochrony interesów administratora albo też dotyczy usługi zainicjowanej przez użytkownika (np. zakupy w koszyku w sklepie internetowym) i opiera się na innej przesłance niż zgoda, tj. prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO). Trzeba mieć jednak na uwadze ograniczenia wynikające z art. 5(3) dyrektywy, zakreślającego obszar możliwego przetwarzania na innej niż zgoda podstawie prawnej.

Compliance

Zapewnienie zgodności stosowanych plików cookies z przepisami prawa, w tym z  zakresu ochrony danych osobowych, nie może polegać na bezrefleksyjnym pozyskiwaniu zgód na przetwarzanie danych osobowych w odniesieniu do wszystkich plików cookies. Po weryfikacji celów przetwarzania poszczególnych plików cookies należy pozyskiwać zgody w odniesieniu tylko tych, które wykraczają poza pliki niezbędne dla funkcjonowania witryny i jej bezpieczeństwa.

Administrator jest także zobowiązany do stosowania zasady przejrzystości przetwarzania, zgodnie z art. 11 RODO, co w przypadku projektowania stosowania plików cookies oznacza obowiązek przejrzystego i czytelnego informowania użytkownika o celach, w jakich pozyskiwane są konkretne zgody. Użytkownik powinien być wyraźnie poinformowany, które pliki cookies wymagają jego zgody, a których przetwarzanie będzie odbywało się bez takiej zgody.

Zgoda nie tylko do cookies

Na problematykę takiego przetwarzania należy jednak spojrzeć szerzej, z uwzględnieniem dostępnych i stosowanych przez administratorów technologii włączania użytkowników w ich działania, czasem ich śledzenia. W praktyce oznacza to, że wymóg uzyskania zgody na przetwarzanie danych osobowych będzie dotyczył nie tylko popularnych ciasteczek, ale także przetwarzania za pomocą takich technologii, jak np. Canvas fingerprinting.