Zapewne podczas przeglądania stron internetowych zwróciliście Państwo uwagę na informację o stosowaniu tzw. ciasteczek, czyli plików cookie. Często przybiera ona postać wyskakujących okienek z opcją wyboru czy komunikatów w formie paska u dołu lub góry strony internetowej.
Dlaczego więc powiadomienie użytkowników o wykorzystywaniu przez witryny tzw. ciasteczek jest istotne oraz jaka jest podstawa prawna tego obowiązku?

Co to są pliki cookie?

W naszej Polityce prywatności pliki cookie zdefiniowaliśmy jako dane tekstowe gromadzone w formie plików zamieszczanych na urządzeniu użytkownika. Takie jest bowiem powszechnie przyjmowane znaczenie tego pojęcia. W dużym uproszczeniu mechanizm działania plików cookie polega na tym, iż odwiedzając stronę internetową – w smartfonie, na komputerze, czy innym urządzeniu zostaną zainstalowane pliki, które gromadzą informacje. W przypadku ponownego korzystania z witryny zostaną one przekazane do serwisu internetowego, a w konsekwencji odczyta on, że użytkownik danego urządzenia już kiedyś ją przeglądał.
Niektóre pliki cookie są niezbędne dla prawidłowego działania strony internetowej, inne z kolei mogą być wykorzystywane także w celach analitycznych czy marketingowych – w tym, aby dostosować treść reklam do preferencji użytkownika urządzenia. Dlatego też bardzo często reklama oglądanej przez nas rzeczy w sklepie internetowym wyświetla się również w później odwiedzanych witrynach.

Podstawa prawna

Najważniejszym aktem prawnym, odnoszącym się do wykorzystywania plików cookie oraz innych podobnych technologii, jest obecnie dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), dalej: dyrektywa, która została implementowana w Polsce w postaci ustawy z dnia 16 lipca 2004 r.- Prawo telekomunikacyjne, dalej: u.pr.tel. Niniejsze regulacje odwołują się także do przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. Zagadnienie zgodnego z prawem wykorzystywania plików cookie jest również obszernie opisywane w opiniach Grupy Roboczej Art.29, a obecnie Europejskiej Rady Ochrony Danych.
Istotny przepis art. 5 ust.3 dyrektywy został wdrożony na gruncie polskiego porządku prawnego w formie art. 173 i art.174 u.pr.tel. Stosownie do art. 173 u.pr.tel. – przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w punkcie 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Tym samym, warunkami dla zgodnego z prawem umieszczenia lub odczytywania plików cookie jest uprzednie wypełnienie przez administratora obowiązku informacyjnego oraz wyrażenie zgody przez użytkownika. Pliki cookie nie mogą powodować zmian konfiguracji urządzenia użytkownika.

Obowiązek informacyjny

Z przytoczonego powyżej przepisu art. 173 ust.1 u.pr.tel. wynika, że powinien być to jednoznaczny, łatwy, zrozumiały komunikat o stosowaniu plików cookie, celu ich używania oraz możliwości określenia warunków przechowywania plików cookie lub dostępu do nich poprzez ustawienia przeglądarki. Warto także zamieścić w nim aktywny link czy przycisk, przekierowujący do polityki prywatności czy regulaminu strony internetowej, które precyzują cele oraz pozostałe kwestie związane z używaniem plików cookie.

Zgoda na instalowanie plików cookie

Jak wskazuje przepis art.173 ust.2 u.pr.tel. abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Tym samym, ustawodawca dopuszcza możliwość wyrażenia zgody przez użytkownika na umieszczenie lub odczytywanie cookie poprzez ustawienia przeglądarki. Z kolei art. 174 u.pr.tel. stanowi, iż do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
Wobec powyższego, zgoda na instalację plików cookie, nawet jeżeli jest wyrażana za pomocą ustawień przeglądarki, powinna spełniać wymagania określone w RODO. Zgodnie zaś z art. 4 pkt 11. RODO – „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Dlatego też powszechnie stosowanym rozwiązaniem jest zamieszczanie w komunikacie, oprócz podanych wyżej elementów, przycisku, aby umożliwić wyrażenie zgody na zamieszczenie plików cookie innych niż niezbędne. Niektóre serwisy internetowe korzystają także ze specjalnych narzędzi umożliwiających zarządzanie cookie z poziomu danej strony internetowej.

Co to są pliki cookie niewymagające wyrażenia zgody przez użytkownika

Zgodnie z art. 173 ust.3 u.pr.tel. warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

W opinii nr 04/2012 Grupy Roboczej Art.29 w sprawie wyłączenia zapisywania plików cookie spod zasady pozyskiwania zgody, przyjętej dnia 7 czerwca 2012 roku (wersja w języku polskim: https://archiwum.giodo.gov.pl/pl/1520111/4722, data dostępu: 07.04.2022 r., s.7-9.) wskazano, że będą to m.in: pliki cookie z danymi wprowadzanymi przez użytkownika (np. formularz zamówienia, który zapamiętuje, że podczas danej sesji użytkownik przeszedł z etapu I do etapu II itp.), uwierzytelniające pliki cookie (np. stosowane w usługach bankowości internetowej), czy pliki cookie do personalizacji interfejsu użytkownika (np. służące do zapamiętania języka wybranego przez użytkownika na wielojęzycznej stronie internetowej).
Tym samym, nie wszystkie cookies wymagają dla ich instalacji zgody użytkownika.

Pliki cookie a dane osobowe

Zgodnie z motywem 30 RODO; osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Natomiast stosownie do przepisu art. 4 pkt 1 RODO, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Tym samym, używanie plików cookie może wiązać się z przetwarzaniem danych osobowych w rozumieniu postanowień RODO. Dlatego też, niektóre serwisy internetowe w komunikacie zawierającym obowiązek informacyjny wskazują, że korzystanie z plików cookie wiąże się z przetwarzaniem danych osobowych oraz umieszczają aktywne linki do polityki prywatności czy regulaminu serwisu, aby dokładnie zapoznać się z warunkami takich działań, a jednocześnie zamieszczają przycisk pozwalający na wyrażenie zgody.
Warto również zapoznać się z wyrokiem Trybunału Sprawiedliwości w sprawie o sygn. C-673/17, który także podejmuje problematykę wyrażania zgody na ciasteczka oraz przetwarzanie danych osobowych.

Podsumowanie

Zagadnienie zgodnego z prawem umieszczania i używania plików cookie jest istotne, zwłaszcza w świetle prawa do prywatności oraz ochrony danych osobowych każdego z nas. Warto także wskazać, iż stosownie do przepisu art. 209 ust.1 pkt 27 u.pr.tel. – kto niezgodnie z przepisami art. 173 przechowuje informacje w urządzeniach końcowych abonenta lub użytkownika końcowego, lub korzysta z informacji zgromadzonych w tych urządzeniach, podlega karze pieniężnej. Organem właściwym w tym zakresie jest Prezes Urzędu Komunikacji Elektronicznej.