Banery ciasteczkowe - ale we właściwy sposób! Oto 7 rzeczy, na które powinieneś zwrócić uwagę

Mario Steinberg Ostatnia aktualizacja 10.11.2020
.
. 6 Min.
cookie banner dsgvo eprivacy

W ostatnim czasie na wielu stronach internetowych zmienił się wygląd banerów cookies. W przeszłości, użytkownik otrzymywał jedynie małe okienko pop-up ze zwięzłą informacją, że na stronie internetowej ustawione są pewne nieokreślone pliki "cookies". Obecnie często otrzymujesz listę poszczególnych plików cookie i możliwość wyboru poprzez pola wyboru, które z nich są akceptowane, a które nie. Dlaczego tak się dzieje - i co jest teraz właściwe?

Ten artykuł rzuci trochę światła na banery cookie i wyjaśni, jak prawidłowo zaprojektować informację o cookie na swojej stronie. Zanim jednak przejdziemy do szczegółów, należy zrozumieć, kiedy i po co w ogóle potrzebny jest baner cookie.

Cookies to informacje, które są przechowywane w urządzeniu końcowym osoby odwiedzającej stronę internetową (komputer, smartfon, itp.). Z jednej strony są one niezbędne do prawidłowego wyświetlania strony internetowej ("technicznie niezbędne pliki cookie"). Z drugiej strony, są one również ustawiane w innych celach, na przykład w celu analizy zachowań osób odwiedzających stronę internetową, w celach reklamowych lub podczas integracji z portalem społecznościowym Plugins. (Uwaga: W dalszej części tekstu termin "cookies" odnosi się również do porównywalnych technologii, takich jak piksele zliczające itp.) 

Przyjrzyjmy się najpierw obecnej sytuacji prawnej. W tym względzie, od czasu wejścia w życie RODO (rozporządzenie (UE) 2016/679) w dniu 25.05.2018 r. obowiązuje następujący zapis:

Jeżeli zapisywanie plików cookie na urządzeniu końcowym osoby odwiedzającej stronę internetową nie odbywa się w celu ochrony uzasadnionych interesów operatora strony internetowej lub osoby trzeciej, wymagana jest do tego zgoda osoby odwiedzającej stronę internetową zgodnie z art. 6 ust. 1 RODO .

baner cookie dsgvo

Ponieważ uzasadnione interesy operatora strony internetowej lub osób trzecich należy zestawić z interesami lub podstawowymi prawami i wolnościami osoby odwiedzającej stronę internetową, w poszczególnych przypadkach często nie jest jasne, które interesy przeważają.

Uzasadniony interes w funkcjonowaniu strony internetowej polega oczywiście zawsze na tym, aby strona była prawidłowo wyświetlana. Dlatego też niezbędne do tego celu pliki cookie są zawsze uwzględniane w uzasadnionym interesie operatora strony internetowej. 

Staje się to trudniejsze, gdy pliki cookie są wykorzystywane do analizy zachowań osób odwiedzających stronę internetową lub do celów reklamowych. W tym przypadku często nie można wykluczyć, że w przypadku sporu organy nadzorujące ochronę danych i/lub sądy będą przykładać większą wagę do interesów osób odwiedzających stronę internetową.

Poza technicznie niezbędnymi plikami cookie, ustawianie plików cookie powinno zawsze opierać się na zgodzie osoby odwiedzającej stronę internetową. Zgodę taką uzyskuje się klasycznie za pomocą pola wyboru.

Nie należy ukrywać, że ta sytuacja prawna może ulec zmianie wraz z wejściem w życie rozporządzenia o prywatności i łączności elektronicznej. Ponieważ jednak rozporządzenie o prywatności i łączności elektronicznej jest obecnie nadal przedmiotem dyskusji politycznej, zastosowanie RODO - a więc ostrożnościowe uzyskanie zgody za pomocą pola wyboru - pozostanie na razie w mocy w odniesieniu do cookies & co. Szczegóły możesz przeczytać w moim artykule Rozporządzenie o prywatności i łączności elektronicznej: co Cię czeka?"artykuł.

Poprawne zaprojektowanie baneru cookie nie jest wcale takie trudne. Ważne jest tylko, aby pamiętać o kilku rzeczach, które przedstawię Wam poniżej.

#1 Właściwy czas

Ważne jest, aby baner plików cookie pojawiał się natychmiast po wejściu na stronę internetową i aby początkowo nie były ustawiane żadne pliki cookie, a żadne dane nie mogły być przekazywane osobom trzecim (np. za pośrednictwem portalu społecznościowego Plugin).

#2 Właściwe miejsce

Ponadto należy zadbać o to, aby nie zostały pominięte żadne inne istotne treści: Baner cookie jest często umieszczany w stopce strony - i zasłania link do nadruku i/lub polityki prywatności.

#3 Woluntarność 

Ważne jest również, aby dalsze odwiedzanie strony internetowej nie było uzależnione od wyrażenia przez odwiedzającego zgody na instalację wszystkich plików cookie. Nawet jeśli wyrażona zostanie zgoda jedynie na instalację technicznie niezbędnych plików cookie, odwiedzanie strony internetowej musi być nadal możliwe. Oczywiście jest oczywiste, że niektóre funkcje strony internetowej mogą nie działać prawidłowo w przypadku braku zgody.  

#4 Pełna lista wszystkich plików cookie

Baner plików cookie powinien wymieniać poszczególne pliki cookie lub - jeśli jest ich zbyt wiele - przynajmniej poszczególne konteksty (pliki cookie niezbędne ze względów technicznych, pliki cookie do analizy, pliki cookie do celów reklamowych itp.); jeśli wymienione są tylko konteksty, należy je wyjaśnić bardziej szczegółowo poprzez kliknięcie na nie w innym oknie i tam wyszczególnić poszczególne pliki cookie.    

#5 Checkboxy z opt-in

Zgoda na stronach internetowych jest w rozsądny sposób uzyskiwana za pomocą pól wyboru.

Oznacza to, że dla każdego pliku cookie - lub dla każdego kontekstu pliku cookie - w banerze plików cookie jest osobne pole wyboru. 

Ważne jest, że tylko pole wyboru dla technicznie niezbędnych plików cookie może być już zaznaczone - pola wyboru dla wszystkich innych plików cookie muszą być puste. Poprzez kliknięcie na pozostałe pola wyboru odwiedzający stronę może teraz sam zdecydować, które pliki cookie lub konteksty akceptuje, a które nie.

Tło prawne tej kwestii jest następujące: 

Jeżeli zgoda jest uzyskiwana za pomocą pola wyboru, istnieją zasadniczo dwie możliwości: Opt-in lub Opt-out. Różnica polega na tym, że w przypadku opt-in, pole wyboru jest początkowo puste, a odwiedzający stronę musi aktywnie wyrazić zgodę poprzez kliknięcie na pole lub ustawienie znacznika wyboru. W przypadku opt-out, pole wyboru jest już domyślnie ustawione - zgoda jest więc już udzielona - a odwiedzający stronę musi aktywnie usunąć zaznaczenie poprzez kliknięcie na pole wyboru.

Wielu właścicieli stron domyślnie stosuje opt-out. Prawdopodobnie dlatego, że wiedzą, iż większość odwiedzających chce szybko dostać się na stronę i dlatego klikają przycisk OK na banerze cookie - bez czytania tekstu banera lub zastanawiania się, na co wyrażają zgodę.

Dlaczego klauzula opt-out to za mało

Mimo że takie podejście jest powszechne, nie jest ono poprawne z prawnego punktu widzenia. Zgoda wymaga aktywnego działania ze strony osoby odwiedzającej stronę internetową. Z tego względu jedynie opt-in, tzn. aktywne wyrażenie zgody przez osobę odwiedzającą stronę internetową - np. na korzystanie z narzędzia analitycznego, takiego jak Google Analytics - poprzez zaznaczenie pola wyboru, jest prawnie niedopuszczalne.

Można by argumentować, że w przypadku klauzuli opt-out faktyczna zgoda polega na kliknięciu przycisku OK na banerze cookie. Ale to jest stąpanie po cienkim lodzie. Zgodnie z motywem 32 preambuły RODO , w odniesieniu do zgody stosuje się następujące zasady (podkreślenie przeze mnie):

infobox liniowy

"Zgoda powinna być wyrażona przez jednoznaczny akt potwierdzający dobrowolnie, w poszczególnych przypadkach, w sposób świadomy i jednoznaczny, że osoba, której dane dotyczą, wyraża zgodę na przetwarzanie dotyczących jej danych osobowych, np. w formie pisemnego oświadczenia, które może być również złożone drogą elektroniczną, lub ustnego oświadczenia.

Można to zrobić poprzez zaznaczenie pola wyboru podczas odwiedzania strony internetowejpoprzez wybór ustawień technicznych dla usług społeczeństwa informacyjnego lub poprzez jakiekolwiek inne oświadczenie lub zachowanie, za pomocą którego osoba, której dane dotyczą, jednoznacznie wyraża zgodę na zamierzone przetwarzanie swoich danych osobowych w odpowiednim kontekście.

Cisza, pola już zaznaczone lub bezczynności ze strony osoby, której dane dotyczą nie powinny zatem stanowić zgody. Zgoda powinna obejmować wszystkie operacje przetwarzania danych przeprowadzane w tym samym celu lub celach. Jeżeli przetwarzanie służy kilku celom, zgoda powinna być udzielona dla wszystkich tych celów przetwarzania. W przypadku, gdy zgoda jest wymagana od osoby, której dane dotyczą, za pomocą środków elektronicznych, wniosek powinien zostać złożony w sposób jasny i zwięzły oraz bez zbędnego przerywania usługi, na którą udzielana jest zgoda."

infobox liniowy

#6 Dostosowanie polityki prywatności

Projektując baner cookie nie można zapomnieć o dostosowaniu polityki prywatności. Oznacza to, że szczegóły dotyczące poszczególnych plików cookie muszą być również wyjaśnione w polityce prywatności. 

#7 Specjalny problem społeczny Plugins

Szczególny problem stanowi integracja z serwisami społecznościowymi Plugins, ponieważ te nie tylko ustawiają pliki cookie, ale również automatycznie wysyłają dane osobowe odwiedzających Twoją stronę do odpowiedniego serwisu społecznościowego, itp.

Zgodnie z niedawnym wyrok ETS z dnia 29 lipca 2019 r. dane osobowe osoby odwiedzającej stronę internetową mogą być przekazywane do sieci społecznościowych itp. wyłącznie po uzyskaniu odpowiedniej zgody. Dlatego należy zadbać o to, aby portal społecznościowy Plugin stał się aktywny tylko wtedy, gdy odwiedzający stronę wyraził na to wcześniej zgodę, zaznaczając odpowiednie pole wyboru. (Niniejsze orzeczenie nadal odnosi się do "dyrektywy o ochronie danych", tj. poprzedniej regulacji RODO; jednakże wynik ten ma również zastosowanie do RODO).

Poprawne, czyli zgodne z prawem, zaprojektowanie bannera cookie to nie czary. Nie jest to też wada dla operatora strony. Ponieważ osoby odwiedzające jego stronę internetową również powinny być traktowane sprawiedliwie. Obejmuje to również zapewnienie przejrzystych informacji na temat tego, co dzieje się po wejściu na stronę internetową. Tylko wtedy odwiedzający stronę internetową będą mogli podjąć świadomą decyzję, czy chcą ujawnić dane, a jeśli tak, to jakie. Podobnie jak wielu twórców i operatorów stron internetowych nie chce być szpiegowanych przez osoby trzecie, powinni oni również dać odwiedzającym ich własne strony internetowe możliwość samodzielnego decydowania o tym, jakie dane chcą lub nie chcą ujawniać.

Zdjęcie dodane: Emily Wilson | Unsplash
Dodatkowe zdjęcia: Rawpixel | pexels, RAIDBOXES

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.