Witold Wrodarczyk (Adequate) rozmawia z radcą prawnym Agnieszką Grzesiek-Kasperczyk (Kancelaria MyLo).
[Witold Wrodarczyk] 1 października 2019 roku Trybunał Sprawiedliwości Unii Europejskiej ogłosił wyrok w sprawie Planet49 dot. sposobu uzyskiwania zgody na instalowanie plików cookie. Co z niego wynika?
[Agnieszka Grzesiek-Kasperczyk] Wyrok ten stwierdza, że zgoda na instalowanie i wykorzystywanie plików cookie jest nieważna, jeśli została udzielona za pomocą domyślnie zaznaczonego pola wyboru. Zgodę można wyrazić poprzez przyciśnięcie przez użytkownika przycisku lub zaznaczenie pola wyboru przy przeglądaniu strony internetowej lub korzystaniu z aplikacji. Nie może to być zgoda milcząca lub bierna.
[Update 2021, Adequate] W maju 2020 roku zostały wydane wytyczne Europejskiej Rady Ochrony Danych zawierające wymogi dotyczące prawidłowej zgody na pliki cookie i inne podobne technologie, które potwierdzają wyrok ws. Plantet49 i precyzyjnie określają, jak powinien wyglądać prawidłowy proces uzyskania zgody.
Pojawiają się komentarze, że w praktyce to niewiele zmienia, bo w Polsce cały czas obowiązuje przepis, że za zgodę uważa się przeglądanie Internetu z określonymi ustawieniami przeglądarki (art. 173 prawa telekomunikacyjnego). I że wystarczy tylko poinformować, komu przekazywane są dane i jak długo działają ciasteczka za pomocą paska informacyjnego i linku do strony z polityką cookies, gdzie zainteresowane osoby znajdą odpowiednie informacje. Jedynie wtedy, gdy pliki cookie mają charakter danych osobowych, należy dostosować do RODO formę zgody i treść informacji podawanych podczas ich instalowania.
Taka interpretacja jest moim zdaniem nieprawidłowa. Zresztą, wyrok trybunału wskazuje, że nie ma w tym przypadku znaczenia, czy pliki cookie stanowią dane osobowe.
A czy pliki cookie stanowią dane osobowe?
Nie wszystkie. Natomiast w orzecznictwie europejskim coraz częściej pojawia się pogląd, że każdy plik cookie zawierający identyfikator, do którego przypisywana jest historia przeglądanych stron i innych interakcji, który może być wykorzystywany w celach np. statystyki lub remarketingu – należy traktować tak, jakby miał cechy danych osobowych. Również wtedy, gdy dane o tych plikach są przetwarzane anonimowo i nie można na ich podstawie identyfikować konkretnych osób.
A co w przypadku, gdy korzystasz z systemów marketing automation, w których pliki cookie są powiązane z danymi konkretnego użytkownika, takimi jak imię, nazwisko czy adres email i numer telefonu? A moduł eCommerce w Google Analytics, który w oparciu o pliki cookie przetwarza identyfikatory transakcji, które z kolei pozwalają na znalezienie danych nabywcy w CRM sklepu?
W takim przypadku nie ma wątpliwości, że dane zbierane na podstawie plików cookie stanowią dane osobowe. Jednak, jak mówiłam, obecnie przyjmuje się, że możliwość powiązania pliku cookie z konkretną osobą nie jest warunkiem koniecznym, by pliki cookie instalowane w celach analitycznych lub reklamowych traktować tak, jakby miały charakter danych osobowych. Wyrok Trybunału idzie właśnie w tym duchu.
Czyli prawnicy, którzy twierdzą, że „nas to nie dotyczy”, się mylą?
Moim zdaniem czas, by zmienili swoje stanowisko w tej sprawie. Jeszcze w maju 2019 roku sam ICO, brytyjski urząd ochrony danych osobowych na swojej stronie stosował domyślną zgodę na pliki cookie, ale w lipcu 2019 roku ICO zmienił praktykę i wydał wytyczne w zakresie cookies, jasno określając, że ustawienia przeglądarki nie stanowią ważnej zgody na ciasteczka.
[Update 2021, Adequate] W 2020 roku Europejska Rada Ochrony Danych wydała w tym zakresie wyraźne wytyczne. W grudniu 2021 roku pierwsza polska firma została ukarana upomnieniem UODO za niedostosowanie się do tych wytycznych.
Jak w takim razie wygląda prawidłowa zgoda na pliki cookie?
Aby umieszczać pliki cookie inne, niż te niezbędne do korzystania ze strony, w szczególności cookie związane ze zbieraniem statystyk strony lub marketingowe, powinniśmy uzyskać zgodę wyrażoną naciśnięciem przycisku lub zaznaczeniem pola wyboru.
Czyli pliki niezbędne, np. pliki pamiętające zalogowaną sesję lub towary dodane do koszyka i inne preferencje użytkownika, nie wymagają zgody?
Dokładnie. Nie musisz mieć zgody na pliki cookie konieczne do obsługi funkcji, z których użytkownik świadomie korzysta na stronie. Jeśli np. użytkownik zmienia tryb wyświetlania strony na ciemny, to plik cookie, który zapamiętuje to ustawienie, nie będzie wymagał zgody. Nie trzeba też zgody na pliki cookie zapisujące preferencje użytkownika w zakresie samej zgody na pliki cookie 🙂
W ostatnim czasie obserwuję wdrażanie przez serwisy nowej formy zgody, w której użytkownik może wybrać, które pliki cookie akceptuje, a które nie. Może wyrazić zgodę np. na pliki statystyczne, ale na pliki marketingowe już nie. Oczywiście jest też opcja zgody na wszystkie pliki.
Ważne jest jednak, aby nie było to zbyt zagmatwane. Pola wyboru nie mogą być domyślnie zaznaczone. Użytkownik, który chce ograniczyć zapisywanie ciasteczek przez stronę, nie może być zmuszany do odznaczania pól wyboru, przewijania list lub czytania długich i zawiłych tekstów, klikania kolejnych opcji… Z komunikatu musi jasno wynikać, że wyraża zgodę na pliki cookie.
Zobaczmy przykład poniżej. Strona letresor.pl prosi nas o zgodę na pliki cookie. Przycisk zgody jest bardziej eksponowany. Kiedy przejedziemy do ustawień, bardziej eksponowany jest przycisk „zaakceptuj wszystkie”, który zadziała tak, jak pełna zgoda na poprzednim ekranie. Aby ograniczyć ciasteczka, trzeba wybrać „zapisz te ustawienia”. Czy to nie jest manipulowanie użytkownikiem, by jednak wyraził zgodę na wszystkie ciasteczka?
Jest logiczne, że serwisy nie będą zniechęcały użytkowników do instalacji ciasteczek. Przyciski zgody i jej braku są tej samej wielkości i jasno określają swoje funkcje. Kolor lub położenie w tym przypadku w żaden sposób nie utrudnia użytkownikowi dokonania wyboru, nie można też twierdzić, że użytkownik jest wprowadzany w błąd.
[Update 2023, Agnieszka Grzesiek-Kasperczyk] Ilustracja przedstawia zdjęcia strony, która już nie istnieje. W czasie, kiedy funkcjonowała, takie rozwiązanie można było uznać za poprawne. Dziś, w świetle aktualnych wytycznych i decyzji regulatorów, należałoby stwierdzić, że na pierwszym ekranie obok „zgadzam się” i „przejdź do ustawień” powinien znaleźć się przycisk „nie zgadzam się”, który umożliwiłby wyrażenie pełnej odmowy jednym kliknięciem, tak, jak jest to możliwe w przypadku pełnej zgody.
Widziałem angielski serwis satyryczny, który na przycisku zgody na ciasteczka umieścił tekst „WHATEVER”. Czy to jest poprawne?
Przycisk nie musi zawierać tekstu „zgadzam się”. Ważne jest, aby dla użytkownika było jasne, co robi wybierając daną opcję. Jeśli więc komunikat okienka zgody brzmi „Czy zgadzasz się na pliki cookie?”, a użytkownik dostaje opcje „przejdź do ustawień” oraz „nie obchodzi mnie to” – w takim przypadku wybranie tego drugiego należy uznać za zgodę. To bardziej pytanie, czy taki komunikat jest spójny z treścią Twojej strony i profilu Twoich użytkowników, ale to już raczej nie zadanie dla prawnika.
[Update 2023, Adequate] Inną kwestią jest, czy na ekranie jednak nie powinien się znaleźć przycisk odmowy np. „no way!”. Zob. też update do poprzedniego pytania.
Testowaliśmy działanie widżetów zgody na ciasteczka wielu znanych polskich serwisów i sklepów internetowych. W wielu przypadkach zauważyliśmy, że pliki cookie, również analityczne i reklamowe, są ładowane na urządzenie jeszcze przed wyrażeniem zgody. W wielu przypadkach, wybranie określonych opcji faktycznie nie miało wpływu na to, jakie ciasteczka są umieszczane na stronie. Często również były instalowane ciasteczka, o których serwis nie informował.
To chyba jasne, że sama prawna formułka i przycisk nie załatwia sprawy. Widżety zgody na pliki cookie muszą być prawidłowo zainstalowane i faktycznie realizować opcje, które są dawane użytkownikowi. Nie może to być atrapa.
Zgoda na pliki cookie jest zgodą typu opt-in, czyli jest wymagana zanim strona umieści pliki cookie. Nie można zapisywać plików cookie, a dopiero potem pytać o zgodę lub dawać możliwość sprzeciwu. Najpierw zgoda, potem ciasteczka.
Jako prawnik mogę się wypowiadać w kwestiach formy i sposobu uzyskania zgody, ale o ich wdrożenie techniczne, audyt plików cookie i zapewnienie realizowania wyborów użytkownika, muszą dbać administratorzy strony.
Czy musimy to pilnie wdrażać? Od wyroku ETS minęło już kilka miesięcy, a wiele dużych serwisów ciągle informuje użytkowników o plikach cookie „po staremu”. Przykład, który pokazałem na początku, dotyczy strony gov.pl., która wciąż stosuje wyłącznie pasek informacyjny, którego zamknięcie faktycznie nic nie zmienia.
Może stosują tylko pliki niezbędne?
Sprawdziłem. Na komputerze znalazło się ciasteczko _ga z identyfikatorem użytkownika Google Analytics. W zależności od ustawień, które pozostają poza kontrolą użytkownika, Analytics może służyć do zbierania statystyk wizyt na stronie, ale również do tworzenia list remarketingowych i kierowania reklamy.
Każdy przypadek wymaga indywidualnej oceny. Co do zasady, na umieszczanie plików Google Analytics zawierających identyfikator użytkownika, powinno się uzyskać zgodę. Trudno powiedzieć, kiedy zaczną się kontrole i jakie w praktyce będą ich konsekwencje. W razie zakwestionowania sposobu zbierania zgody, odmienna opinia prawnika czy fakt, że inne strony robią to tak samo, nie będą żadnym argumentem. Uważam, że warto jak najszybciej dostosować sposób zbierania zgód na pliki cookie i nie czekać na pierwsze kary finansowe.
Dziękuję za rozmowę.
Agnieszka Grzesiek-Kasperczyk jest radcą prawnym i wspólnikiem kancelarii MyLo. Specjalizuje się w prawie marketingu internetowego i e-commerce. Autorka pierwszego w Polsce kursu online „RODO dla marketerów” i szkoleniowiec z zakresu prawa dla marketerów.