Jak zaprojektować baner cookie, aby zgoda była ważna?

ODPOWIEDŹ

Administrator strony może dowolnie zaprojektować baner cookie. Należy jednak pamiętać, że warunki uzyskania zgody opierają się na art. 4 pkt 11 i art. 7 RODO.

Zgoda na zapisywanie i odczytywanie plików cookie (innych niż technicznie niezbędne) oraz na późniejsze przetwarzanie danych w oparciu o takie pliki, pozostanie skuteczna tylko wówczas, gdy w pełni spełnione będą wymogi RODO.

Projektując baner cookie, należy w każdym przypadku przestrzegać następujących zasad:

• najpierw zgoda, potem pliki cookie: zgodę należy uzyskać w pierwszej kolejności. Tworząc witrynę internetową, należy upewnić się, że przed uzyskaniem zgody nie zostaną zapisane żadne pliki cookie, inne od technicznie niezbędnych;
• świadomość osoby, której dane dotyczą: osoba, której dane dotyczą, musi mieć jasność, że wyraża zgodę na pliki cookie. Kontynuowanie przeglądania strony bez interakcji z paskiem cookie lub pomyłkowe kliknięcie na "ukryty przycisk zgody", nie może być interpretowane jako jednoznaczna zgoda. Ponadto, nie można zakładać udzielenia zgody tylko dlatego, że osoba, której dane dotyczą, „domyślnie zezwala” na zapisywanie lub odczytywanie plików cookie poprzez ustawienia swojej przeglądarki;
• domyślna ochrona prywatności: osoba, której dane dotyczą, musi wyrazić zgodę świadomie. Wstępnie zaznaczone pola wyboru w pasku cookie są niedozwolone;
• dobrowolność: zgoda musi być wyrażona dobrowolnie. Osoba, której dane dotyczą, nie może być narażona na niedogodności i/lub szkodę, jeżeli nie wyrazi zgody. Co do zasady niedopuszczalne jest odmówienie dostępu do strony osobie, która nie wyraziła zgody;
• możliwość cofnięcia zgody: baner cookie musi wyraźnie opisywać, gdzie i w jaki sposób można cofnąć zgodę. Odwołanie musi być równie proste jak udzielenie zgody;
• spełnienie obowiązku informacyjnego: osoba, której dane dotyczą, musi mieć jasność, na co wyraża zgodę. Wymaga to pełnego wypełnienia obowiązków informacyjnych;
• odmowa zgody jest równie łatwa, jak jej udzielenie: odmowa zgody (lub kontynuowanie przeglądania strony bez udzielenia zgody), musi być równie łatwa jak udzielenie zgody. Decyzja o odmowie zgody nie powinna wymagać od użytkownika dłuższej interakcji z wyskakującym okienkiem, niż decyzja o wyrażeniu zgody. Nie można żądać od osoby, której dane dotyczą, by poszukiwała opcji odmowy na drugim lub trzecim poziomie obowiązku informacyjnego;
• brak nieuczciwych praktyk: na osobę, której dane dotyczą, nie można wywierać nacisku co do wyrażenia zgody, ani bezpośrednio, ani pośrednio. Niedozwolone jest takie zaprojektowanie przycisku służącego do odmowy zgody, które czyni go mniej widocznym niż przycisk do wyrażenia zgody.