Ciasteczka w praktyce - jak (dobrze) zarządzać zgodami na pliki cookies
W ostatnich latach UODO i organy pokrewne z całej Unii Europejskiej poświęcają szczególną uwagę plikom cookies i innym technikom śledzenia ruchu użytkowników na stronach internetowych. Każda witryna, która używa ciasteczek innych niż niezbędne do funkcjonowania serwisu, ma obowiązek wdrożenia funkcji zarządzania zgodami.
Pierwsza decyzja UODO w Polsce
W grudniu 2021 roku Prezes UODO wydał pierwszą w Polsce decyzję w obszarze korzystania z plików cookies, w której udzielił upomnienia spółce, że wbrew RODO przetwarzała dane swojego klienta. Firma nie zgodziła się z rozstrzygnięciem urzędu i wniosła skargę do Wojewódzkiego Sądu Administracyjnego. W wyżej wspomnianej decyzji Prezesa UODO stwierdzono, iż przetwarzanie danych osobowych pochodzących z ciasteczek jest dozwolone tylko wtedy, gdy uzyskana jest zgoda użytkownika strony. Co ważne, dostawca stron WWW nie może zakładać, że użytkownik sam, z poziomu przeglądarki internetowej, będzie zarządzał plikami cookies, oraz że bierna postawa osoby odwiedzającej stronę oznacza wyrażenie zgody na przetwarzanie tych danych. Wyłączone z obowiązku wspomnianej zgody na przetwarzanie danych są tylko niezbędne pliki cookies, które wpływają na prawidłowe funkcjonowanie witryny. Każdy inny rodzaj musi zostać opatrzony wyraźną zgodą użytkownika. W art. 4 pkt 11 RODO zdefiniowano zgodę jako:
Dobrowolne, konkretne, świadome i jednoznaczne pokazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. [...] wyrażenie zgody powinno być decyzją odwracalną i że osobie, której dane dotyczą, przysługuje pewien zakres kontroli. - wg wytycznych 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679 Wersja 1.1, przyjęta dnia 4 maja 2020 roku.
Temat proponowanych zmian wprowadzanych przez Europejską Radę Ochrony Danych w sprawie plików cookies, na które powoływało się UODO, nie jest jednoznaczny. Grudniowa sprawa tworzy pewien konflikt z aktualnie obowiązującym Prawem Telekomunikacyjnym, które obowiązuje w Polsce. W Europie Zachodniej, już od kilku lat, wymagane jest, aby zgoda na instalowanie ciasteczek była wyrażona w sposób aktywny (ze wskazaniem celu wykorzystania ciasteczek użytkownika). Artykuł 173 Prawa Telekomunikacyjnego mówi:
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Reasumując, osoba wchodząca na stronę internetową musi zostać poinformowana, że dojdzie do zapisania plików cookies na jej urządzeniu. Ta informacja musi być przekazana przed tym, zanim ciasteczka zaczną działać – oznacza to, że użytkownik najpierw musi kliknąć na przycisk wskazujący wyrażenie zgody, a dopiero potem pliki cookies zaczynają działać. Dopiero wynik ww. sporu ureguluje temat plików cookies w naszym kraju.
Zgoda na pliki cookies
Obawy przed cookies wynikają zwykle z nieporozumień i niezrozumienia ich działania, jednak w samej idei ciasteczek nie ma nic złego. Każda strona internetowa, która dba o renomę, pozwala osobom odwiedzającym na swobodne operowanie, łatwą modyfikację, a nawet całkowite wycofanie zadeklarowanych wcześniej zgód.
Mimo możliwości niewyrażenia zgody na cookies niewielu użytkowników decyduje się na takie kroki. Szacuje się, że przeciętne e-Commerce odnotowuje do 10% odmów. Dlaczego tak się dzieje? - Prawdopodobnie część osób odwiedzający stronę uważa, że bez wyrażenia zgody będą mieli ograniczony dostęp do witryny lub po prostu nie zwracają uwagi na pojawiające się powiadomienie.wyjaśnia Marcin Walczak, Key Account Manager w 2ClickShop Cloud
Warto wspomnieć, że brak zgody nie oznacza, że tracimy informacje o tych użytkownikach - nadal możemy zbierać informacje, które nie są związane z identyfikacją odwiedzającego stronę.
Polityka Plików Cookies - nieodłączny pomocnik każdego e-Commerce
Wbrew pozorom pliki cookie nie służą wyłącznie do śledzenia użytkownika w sieci. Ich głównym celem jest ułatwienie korzystania z internetu oraz zwiększenie komfortu z użytkowania danej platformy lub strony internetowej. W przypadku e-Commerce pliki cookies pozwalają na identyfikowanie użytkowników i wyświetlanie im dopasowanych komunikatów marketingowych. Oznacza to również, że treści reklamowe będą lepiej dopasowane do potrzeb danego użytkownika.
Pozytywną stronę ciasteczek dobrze obrazują sklepy internetowe, które przechowują dane o produktach umieszczonych wcześniej w koszyku. W przypadku, gdy klient opuści stronę sklepu, a później postanowi wrócić i dokończyć zakupy, produkty, które dodał do koszyka podczas poprzedniej wizyty, wciąż tam będą.
Na czym polega prawidłowe wdrożenie plików cookies?
Zarządzanie plikami cookies powinno umożliwiać użytkownikowi łatwe wyrażenie zgody na ciasteczka. Do czasu wyrażenia zgody przez użytkownika, powinien być on traktowany tak, jakby odmówił. Jeżeli dojdzie do odmowy lub ograniczenia niektórych ciasteczek, decyzja powinna być w pełni respektowana.
Dostawca strony WWW powinien zwrócić uwagę, czy:
-
pliki cookies inne niż niezbędne są instalowane na urządzeniu, zanim użytkownik wyrazi zgodę
-
użytkownik równie łatwo może odrzucić pliki cookies i wycofać zgody
-
istnieje możliwość wycofania zgody bez niekorzystnych konsekwencji dla użytkownika
-
parametry Google Analytics można zmodyfikować w taki sposób, by zapewnić zgodność z przepisami o ochronie danych (jeżeli korzysta z Google Analytics)
-
wszystkie informacje zawarte w banerze i polityce cookies są przejrzyste i zrozumiałe dla potencjalnego odbiorcy
Lista wytycznych stworzona przez Europejską Radę Ochrony Danych (wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679) jest bardzo długa, całość w formie prezentacji dostępna jest na stronie EROD.
Wysokie kary za nieprzestrzeganie Europejskich standardów
Polski organ nadzorczy właściwy do spraw ochrony danych osobowych, w kwietniu 2020 roku, nałożył rekordową karę pieniężną w wysokości blisko 5 milionów złotych za nieprzestrzeganie wytycznych RODO. 12 maja 2022 roku, podczas 65. posiedzenia plenarnego, ustanowiono harmonizacje metodologii nakładania kar pieniężnych przez Europejską Radę Ochrony Danych (EROD). Od teraz kary będą naliczane według wytycznych określonych 5-etapową metodologią. Aby uniknąć upomnień i wysokich kar nakładanych przez Urząd Ochrony Danych Osobowych, warto zapoznać się z wytycznymi EROD dotyczącymi plików cookies i zawczasu dostosować swój sklep do ustanowionych w Europie standardów.
W 2ClickShop każdy nowo powstały sklep i systemy B2B wyposażone są w rozwiązania dostosowane do aktualnych zmian prawnych. Rozwiązanie chmurowe, jakim jest 2ClickShop Cloud, umożliwia stałą aktualizację zgodnie ze zmieniającymi się przepisami prawa.