W ostatnim czasie na wielu stronach internetowych zmienił się wygląd banerów cookies. W przeszłości, użytkownik otrzymywał jedynie małe okienko pop-up ze zwięzłą informacją, że na stronie internetowej ustawione są pewne nieokreślone pliki "cookies". Obecnie często otrzymujesz listę poszczególnych plików cookie i możliwość wyboru poprzez pola wyboru, które z nich są akceptowane, a które nie. Dlaczego tak się dzieje - i co jest teraz właściwe?
Ten artykuł rzuci trochę światła na banery cookie i wyjaśni, jak prawidłowo zaprojektować informację o cookie na swojej stronie. Zanim jednak przejdziemy do szczegółów, należy zrozumieć, kiedy i po co w ogóle potrzebny jest baner cookie.
Dlaczego w ogóle potrzebujesz baneru cookie?
Pliki cookie to informacje, które są przechowywane w urządzeniu końcowym osoby odwiedzającej stronę (komputerze, smartfonie itp.). Z jednej strony są one niezbędne do prawidłowego wyświetlania strony internetowej ("technicznie niezbędne pliki cookie"). Z drugiej strony, są one także ustawiane w innych celach, na przykład do analizowania zachowań osób odwiedzających stronę, do celów reklamowych lub podczas integrowania wtyczek społecznościowych. (Uwaga: W dalszej części tekstu termin "pliki cookie" odnosi się również do porównywalnych technologii, takich jak piksele zliczające itp.)
Przyjrzyjmy się najpierw obecnej sytuacji prawnej. W tym względzie, od czasu wejścia w życie RODO (rozporządzenie (UE) 2016/679) w dniu 25.05.2018 r. obowiązuje następujący zapis:
Jeśli pliki cookie nie są przechowywane na urządzeniu końcowym osoby odwiedzającej stronę w celu ochrony uzasadnionych interesów operatora strony lub osoby trzeciej, wymagana jest na to zgoda osoby odwiedzającej stronę zgodnie z art. 6 ust. 1 ustawy RODO.
Ponieważ uzasadnione interesy operatora strony internetowej lub osób trzecich muszą być przeciwstawione interesom lub podstawowym prawom i wolnościom osoby odwiedzającej stronę internetową, w poszczególnych przypadkach często nie jest jasne, które interesy przeważają.
Prawnie uzasadniony interes w działaniu strony internetowej polega oczywiście zawsze na tym, by strona była poprawnie wyświetlana. Konieczne do tego pliki cookie są więc zawsze uwzględniane w uzasadnionym interesie operatora strony.
Staje się to trudniejsze, gdy pliki cookie są ustawiane w celu analizowania zachowań osób odwiedzających stronę internetową lub w celach reklamowych. W tym przypadku często nie można wykluczyć, że w razie sporu organy nadzorujące ochronę danych i/lub sądy będą przykładać większą wagę do interesów osób odwiedzających stronę.
Poza technicznie niezbędnymi plikami cookie, ustawianie plików cookie powinno zawsze opierać się na zgodzie osoby odwiedzającej stronę internetową. Zgodę taką uzyskuje się klasycznie za pomocą pola wyboru.
Nie należy ukrywać, że ta sytuacja prawna może ulec zmianie wraz z wejściem w życie rozporządzenia o prywatności i łączności elektronicznej. Ponieważ jednak rozporządzenie o prywatności elektronicznej jest obecnie przedmiotem dyskusji politycznej, stosowanie strony RODO pozostanie na razie w mocy w odniesieniu do plików cookie i innych - a więc również w odniesieniu do ostrożnego uzyskiwania zgody za pomocą pola wyboru. Szczegóły możesz przeczytać w moim artykule "Rozporządzenie o prywatności i łączności elektronicznej: Co Cię czeka?"artykuł.
Jak powinieneś zaprojektować swój baner cookie?
Poprawne zaprojektowanie baneru cookie nie jest wcale takie trudne. Ważne jest tylko, by pamiętać o kilku rzeczach, które przedstawię ci poniżej.
#1 Właściwy czas
Ważne jest, by baner plików cookie pojawiał się natychmiast po wejściu na stronę i by początkowo nie były ustawiane żadne pliki cookie, a żadne dane nie mogły być przekazywane osobom trzecim (np. za pośrednictwem wtyczki społecznościowej).
#2 Właściwe miejsce
Ponadto należy zadbać o to, aby nie zostały pominięte żadne inne istotne treści: Baner cookie jest często umieszczany w stopce strony - i zasłania link do nadruku i/lub polityki prywatności.
#3 Dobrowolność
Ważne jest również, aby dalsze odwiedzanie strony internetowej nie było uzależnione od wyrażenia przez odwiedzającego zgody na zapisywanie wszystkich plików cookie. Nawet jeśli zgoda dotyczy tylko ustawienia technicznie niezbędnych plików cookie, odwiedzanie strony musi być nadal możliwe. Oczywiście jest oczywiste, że niektóre funkcje strony internetowej mogą nie działać poprawnie w przypadku braku zgody.
#4 Pełna lista wszystkich plików cookie
Baner plików cookie powinien wymieniać poszczególne pliki cookie lub - jeśli jest ich zbyt wiele - przynajmniej poszczególne konteksty (pliki cookie niezbędne ze względów technicznych, pliki cookie służące do analizy, pliki cookie służące do celów reklamowych itp.); jeśli wymienione są tylko konteksty, powinny one być wyjaśnione bardziej szczegółowo poprzez kliknięcie na nie w innym oknie i tam powinny być wyszczególnione poszczególne pliki cookie.
#5 Checkboxy z Opt-in
Zgoda na stronach internetowych jest w rozsądny sposób uzyskiwana za pomocą pól wyboru.
Oznacza to, że dla każdego pliku cookie - lub dla każdego kontekstu pliku cookie - w banerze plików cookie jest osobne pole wyboru.
Ważne jest, że tylko pole wyboru dla technicznie niezbędnych plików cookie może być już zaznaczone - pola wyboru dla wszystkich innych plików cookie muszą być puste. Poprzez kliknięcie na pozostałe pola wyboru odwiedzający stronę może teraz sam zdecydować, które pliki cookie lub konteksty akceptuje, a które nie.
Tło prawne tej kwestii jest następujące:
Jeżeli zgoda jest uzyskiwana za pomocą pola wyboru, istnieją zasadniczo dwie możliwości: Opt-in lub Opt-out. Różnica polega na tym, że w przypadku opt-in, pole wyboru jest początkowo puste, a odwiedzający stronę musi aktywnie wyrazić zgodę poprzez kliknięcie na pole lub ustawienie znacznika wyboru. W przypadku opt-out, pole wyboru jest już domyślnie ustawione - zgoda jest więc już udzielona - a odwiedzający stronę musi aktywnie usunąć zaznaczenie poprzez kliknięcie na pole wyboru.
Wielu właścicieli stron domyślnie stosuje opt-out. Prawdopodobnie dlatego, że wiedzą, iż większość odwiedzających chce szybko dostać się na stronę i dlatego klikają przycisk OK na banerze cookie - bez czytania tekstu banera lub zastanawiania się, na co wyrażają zgodę.
Dlaczego klauzula Opt-out to za mało
Mimo że takie podejście jest powszechne, nie jest ono poprawne z prawnego punktu widzenia. Zgoda wymaga aktywnego działania ze strony osoby odwiedzającej stronę internetową. Z tego względu jedynie opt-in, tzn. aktywne wyrażenie zgody przez osobę odwiedzającą stronę internetową - np. na korzystanie z narzędzia analitycznego, takiego jak Google Analytics - poprzez zaznaczenie pola wyboru, jest prawnie niedopuszczalne.
Mimo że można by teraz argumentować, że w przypadku opt-outu faktyczna zgoda polega na kliknięciu przycisku OK na banerze z ciasteczkami. Ale to już stąpanie po cienkim lodzie. Zgodnie z punktem 32 uzasadnienia RODO, w odniesieniu do zgody (podkreślenieprzeze mnie) zastosowanie mają następujące zasady:
"Zgoda powinna być wyrażona przez jednoznaczny akt potwierdzający dobrowolnie, w poszczególnych przypadkach, w sposób świadomy i jednoznaczny, że osoba, której dane dotyczą, wyraża zgodę na przetwarzanie dotyczących jej danych osobowych, np. w formie pisemnego oświadczenia, które może być również złożone drogą elektroniczną, lub ustnego oświadczenia.
Można to zrobić na przykład,poprzez zaznaczenie pola podczas odwiedzania strony internetowej, przez wybranie ustawień technicznych dla usług społeczeństwa informacyjnego lub przez jakiekolwiek inne oświadczenie lub zachowanie, przez które osoba, której dane dotyczą, jednoznacznie wyraża zgodę na zamierzone przetwarzanie swoich danych osobowych w odpowiednim kontekście.
Niemożliwe jest zatem wyrażenie zgody przez milczenie, już zaznaczone pola lub brak działania ze strony osoby, której dane dotyczą. Zgoda powinna obejmować wszystkie operacje przetwarzania wykonywane w tym samym celu lub celach. Jeśli przetwarzanie służy kilku celom, zgoda powinna być wyrażona dla wszystkich tych celów. Jeśli osoba, której dane dotyczą, jest proszona o wyrażenie zgody drogą elektroniczną, prośba ta powinna być sformułowana w sposób jasny i zwięzły oraz bez niepotrzebnego przerywania usługi, na którą wyrażana jest zgoda.".
#6 Dostosowanie polityki prywatności
Projektując swój baner dotyczący ciasteczek, nie możesz zapomnieć o dostosowaniu polityki prywatności. Oznacza to, że szczegóły dotyczące poszczególnych plików cookie muszą być również wyjaśnione w polityce prywatności.
#7 Specjalny problem w wtyczkach społecznościowych
Szczególny problem stanowi integracja wtyczek społecznościowych, ponieważ nie tylko ustawiają one pliki cookie, ale też automatycznie wysyłają dane osobowe osób odwiedzających Twoją stronę do odpowiedniego serwisu społecznościowego itp. Wtyczki społecznościowe mogą być wykorzystywane na różne sposoby.
Zgodnie z niedawnym wyrokiem ETS z dnia 29 lipca 2019 r. dane osobowe osoby odwiedzającej stronę internetową mogą być przekazywane do sieci społecznościowych itp. wyłącznie po uzyskaniu odpowiedniej zgody. Dlatego należy dopilnować, by wtyczka społecznościowa stała się aktywna tylko wtedy, gdy odwiedzający stronę wyraził na to zgodę, zaznaczając odpowiednie pole wyboru. (To orzeczenie nadal odnosi się do "Dyrektywy o ochronie danych", czyli poprzednika RODO, jednak jego wynik ma zastosowanie również do RODO).
Wnioski
Poprawne, czyli zgodne z prawem, zaprojektowanie bannera cookie to nie czary. Nie jest to też wada dla operatora strony. Przecież osoby odwiedzające stronę internetową też powinny być traktowane sprawiedliwie. Obejmuje to także dostarczanie przejrzystych informacji o tym, co dzieje się po wejściu na stronę internetową. Tylko wtedy odwiedzający stronę będą w stanie podjąć świadomą decyzję, czy, a jeśli tak, to jakie dane chcą ujawnić. Tak jak wielu twórców i operatorów stron internetowych nie chce być szpiegowanych przez osoby trzecie, tak samo powinni oni dać odwiedzającym swoją stronę możliwość samodzielnego decydowania o tym, jakie dane chcą ujawnić, a jakie nie.
Zdjęcie wspólne: Emily Wilson | Unsplash
Dodatkowe zdjęcia: Rawpixel | pexels, Raidboxes.
