Co powinna zawierać polityka cookies - udostępniamy wzór

Jakie są ramy prawne korzystania z plików

Ochronę poufności komunikacji, w związku z wykorzystaniem plików cookie i podobnych rozwiązań, regulują przede wszystkim:

• Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej „Dyrektywa 2002/58/WE”) oraz implementująca ją do polskiego porządku prawnego ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171 poz. 1800 z późn. zm., dalej „UPT”).
• Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).

Ze względu na nakładające się obowiązki, określone w powyższych przepisach, pierwszą rzeczą jest określenie relacji między nimi. W tym zakresie zwracamy uwagę na dwa postanowienia:

• Motyw 10 Dyrektywy 2002/58/WE: (…) Dyrektywę 95/46/WE (zgodnie z treścią art. 94 ust. 1 RODO Dyrektywa 95/46/WE została uchylona ze skutkiem od 25.5.2018 r., a zakres jej regulacji przekazano pod reżim RODO) stosuje się w szczególności do wszystkich spraw dotyczących ochrony podstawowych praw i wolności, które nie są szczegółowo objęte przepisami niniejszej dyrektywy, włączając zobowiązania nałożone na kontrolera oraz prawa jednostek.
• Motyw 173 RODO: niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają szczególnym obowiązkom mającym ten sam cel, określonym w dyrektywie Parlamentu.

Powyższe jest zgodne z doktryną, że prawo regulujące kwestie szczegółowe (lex specialis) ma pierwszeństwo przed prawem regulującym jedynie kwestie ogólne (lex generalis). Zatem bezpośrednie zastosowanie w zakresie zapisywania lub uzyskiwania dostępu do plików cookie zapisanych na urządzeniu końcowym abonenta lub użytkownika końcowego będzie miał art. 173 i 174 ustawy prawo telekomunikacyjne. RODO będzie miało zastosowanie w całości, wyłączając kwestie uregulowane szczegółowo w prawie telekomunikacyjnym, dotyczące przede wszystkim warunków uzyskania zgody abonenta lub użytkownika końcowego.

Pozostałe przepisy RODO, w tym zasady określające jakość danych, prawa osób, których dane dotyczą, poufność i bezpieczeństwo przetwarzania oraz kwestie przekazywania danych osobowych do państw trzecich będą miały zastosowanie w całej rozciągłości.

Polityka  cookie - udostępniamy wzór

NARZĘDZIA RODO

Udostępniamy

Wzór polityki cookie

Przygotowaliśmy dla Ciebie wzór polityki cookie, zawierający wszystkie elementy wymagane przez orzeczenie TSUE ws. Planet49.

Więcej

Jak odebrać zgodę na pliki cookie?

Przedmiotem dalszej analizy w tej części artykułu pozostaje zatem jedynie kwestia warunków odebrania zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego (rzutuje bezpośrednio na istotę wskazanego we wstępie rozstrzygnięcia). Bez znaczenia dla dalszej analizy pozostaje fakt, czy informacje przechowywane na urządzeniu końcowym abonenta lub użytkownika końcowego (np. pliki cookie) stanowią dane osobowe, czy nie, gdyż zgodnie z orzeczeniem TSUE (C 673/17 w sprawie Planet49) sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 Dyrektywy 2002/58/WE w związku z art. 2 lit. h) Dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) RODO, nie powinien być różny w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe na gruncie art. 173 ust. 1 UPT. Instalowanie plików cookie oraz korzystanie z informacji już zapisanych na urządzeniu końcowym dopuszczalne jest po wyrażeniu zgody przez abonenta lub użytkownika końcowego. Przed wyrażeniem zgody użytkownik musi być poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:

• celu przechowywania i uzyskiwania dostępu do tych informacji (np. plików cookie);
• możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji za pomocą ustawień oprogramowania, zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art. 173 ust. 2 UPT wskazuje, że abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, dodając równocześnie (art. 174 UPT), że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych,
a zatem powinna ona stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Równocześnie należy zaznaczyć, że UPT obejmuje zakresem swoich regulacji działania o różnej naturze i rozmaitym charakterze. W konsekwencji, szczególnego znaczenia nabiera wymóg konkretności
w kontekście zgód wyrażanych na mocy UPT (P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).

Na gruncie art. 4 pkt 11 RODO możliwe jest odebranie zgody na przetwarzanie danych osobowych poprzez wyraźne działanie potwierdzające (z takim działaniem mamy do czynienia w sytuacji uzyskiwania zgody za pomocą ustawień przeglądarki). Grupa Robocza Art. 29 w opinii 2/2010 w sprawie internetowych reklam behawioralnych wskazuje, że zgoda może zostać udzielona na różne sposoby – jeśli jest to możliwe z technicznego punktu widzenia, skuteczne i zgodne z innymi obowiązującymi wymogami – zaznaczając równocześnie, że w przypadku zgody odbieranej poprzez ustawienia przeglądarki jedynie w bardzo nielicznych sytuacjach pozostanie ona skuteczna, ponieważ:

• Nie można domniemywać zgody użytkowników na podstawie faktu, że nabyli lub wykorzystali przeglądarkę lub inną aplikację działającą w określony sposób. Takie podejście oznacza, że zgoda zależy głównie od budowy aplikacji opracowanych przez strony trzecie, takich jak wyszukiwarki, lub od sposobu ich wprowadzenia na rynek, tj. z ustawieniami prywatności nastawionymi na akceptowanie plików cookie. Jak wskazano powyżej, co do zasady przeciętni użytkownicy nie są świadomi zbierania danych i śledzenia ich zachowania, celów takiego śledzenia itp. Złudzeniem byłoby oczekiwanie, że brak działania użytkownika uznać można za jasne i jednoznaczne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie.
• Jeśli ustawienia przeglądarki miałyby umożliwiać wyrażenie świadomej zgody, nie powinno być możliwe „ominięcie” decyzji podjętej przez użytkownika podczas ustawiania wyszukiwarki. W praktyce jednak usunięte pliki cookie mogą zostać poddane tzw. respawningowi za pomocą plików typu flash cookie, co pozwala dostawcy sieci reklamowej kontynuować monitorowanie użytkownika.
• Zgoda wyrażona poprzez ustawienie wyszukiwarki na przyjmowanie wszystkich plików cookie pozwala założyć, że użytkownicy akceptują przyszłe przetwarzanie, mimo że nie mają żadnej wiedzy o jego celach i zastosowaniach plików cookie. Takie zezwolenie na wszelkiego rodzaju przyszłe przetwarzanie bez wiedzy o jego okolicznościach nie może stanowić ważnej zgody.

Powyższe prowadzi do wniosku, że jedynie zastosowanie mechanizmu opt-in gwarantuje odbieranie zgody w sposób zgodny z przepisami o ochronie danych osobowych.

Masz ochotę dopytać o kilka kwestii? RODO to dla Ciebie tajemnica? Sprawdź terminy i zapisz się na bezpłatną konsultację z Cezarym Lutyńskim, naszym doradcą ds. ochrony danych.

Treść polityki plików cookie

Grupa Robocza z art. 29 (obecnie Europejska Rada Ochrony Danych) w wytycznych 2/2013 w sprawie pozyskiwania zgody na zapisywanie plików cookie oraz organy nadzorcze (m.in. CNIL) wskazują, iż
w polityce cookies należy określić cele uzyskiwania dostępu i przechowywania plików cookie, jeżeli to istotne, wskazanie plików cookie pochodzących od stron trzecich lub dostęp strony trzeciej do danych zbieranych przez pliki cookie na stronie internetowej, szczegółowe informacje na temat plików cookie strony trzeciej oraz inne techniczne informacje.

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.

WCHODZĘ W TO

Treść polityki cookies jest determinowana także przez orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Wyrok TSUE Planet49 GmbH C-673/17 wskazuje, iż usługodawcy (właściciele stron internetowych) powinni w politykach cookies wskazywać co najmniej na tożsamość administratora danych, cel przetwarzania, okres ważności cookies, informacje o odbiorcach lub kategoriach odbiorców danych.

Powyższe prowadzi do wniosku, że polityka cookies powinna zawierać co najmniej następujące elementy:

• Tożsamość usługodawcy – tj. wskazanie jego nazwy, adresu oraz danych do kontaktu. Należy także podać nazwę (domenę) strony internetowej, na której instalowane są pliki cookie.
• Rodzaje wykorzystywanych plików cookie (istnieją różne rodzaje cookies). Poniżej przedstawiamy ich najczęstszy podział.

Ze względu na konieczność uzyskania zgody:

• wymagające uzyskania zgody na ich funkcjonowanie, np. marketingowe, analityczne;
• uważane za niezbędne do funkcjonowania strony internetowej, które nie wymagają uzyskania zgody; według francuskiego organu nadzorczego CNIL będą to cookies, których dostęp do informacji przechowywanych na urządzeniu końcowym lub ich zapis odbywa się wyłącznie w celu umożliwienia lub ułatwienia komunikacji za pomocą drogi elektronicznej lub jest ściśle konieczny do dostarczenia usług komunikacji sieciowej na wyraźne żądanie użytkownika.

Ze względu na czas funkcjonowania:

• pliki cookie sesyjne – są to pliki tymczasowe przechowywane tylko do momentu zamknięcia przeglądarki lub wylogowania się ze strony internetowej,
• stałe, tzw. cookies śledzące – pliki, które zostają w pamięci przeglądarki przez dłuższy czas, zależny od ustawień przeglądarki użytkownika.

Ze względu na podmiot, od którego pochodzą:

• pliki cookie własne – podchodzące od usługodawcy, przechowywane przez stronę, którą użytkownik odwiedza,
• pliki cookie podmiotów trzecich – tworzone przez domeny, które nie są witryną, którą odwiedza użytkownik.

Organy nadzorcze wskazują, iż usługodawca, w celu zachowania transparentności, jest zobowiązany do informowania o podmiotach trzecich, których plikami cookie  się posługuje. Francuski organ nadzorczy przypomina, że aby zgoda spełniała wymogi RODO, użytkownik musi być w stanie zidentyfikować wszystkie podmioty stosujące pliki śledzące, zanim będzie mógł wyrazić swoją zgodę. Znajduje tu zastosowanie zasada, zgodnie z którą, aby zgoda na dostęp i przechowywanie plików cookie spełniała wymogi RODO, usługodawca (właściciel strony internetowej) musi poinformować użytkowników strony internetowej przed wyrażeniem przez nich zgody o:

• celu dostępu i przechowywania plików cookie (atrybut konkretności zgody),
• podmiocie, dla którego zgoda jest wyrażana (atrybut świadomości zgody), tj. wskazanie wszystkich podmiotów stosujących pliki śledzące. Nazwy podmiotów trzecich wskazuje się w banerze cookie, ale oczywiście należy wymienić te podmioty także w polityce cookies.

Ważne, aby pamiętać także o innych technologiach, wtyczkach i rozszerzeniach stosowanych przez usługodawcę, np. FLASH, SILVERLIGHT, czy JAVA oraz o informowaniu o tym użytkownika strony internetowej, mając na uwadze zasady opisane w niniejszym artykule.

Warto również zwrócić uwagę na pewne rozbieżności pomiędzy stanowiskiem francuskiego organu nadzorczego CNIL i brytyjskiego organu nadzorczego ICO. Brytyjski organ wskazał np., że analityczne pliki cookie nie są ściśle niezbędne i wymagają zgody, natomiast  CNIL wskazał, że stosowanie pewnych cookies analitycznych może być w niektórych sytuacjach uznane za konieczne dla dostarczenia usługi wyraźnie zażądanej przez użytkownika i nie podlegać obowiązkowi zbierania zgody. Powyższe wskazuje, że do każdego pliku cookie należy podejść indywidualnie, by ocenić jego zadanie, które ma do spełnienia na stronie internetowej.

• Czas przechowywania plików cookie – żywotność plików cookie musi być proporcjonalna do zamierzonego wyniku i ograniczona do tego, co jest konieczne do osiągnięcia celu. Organy nadzorcze proponują, aby żywotność plików cookie analitycznych nie przekraczała 13 miesięcy, natomiast informacje zebrane za ich pośrednictwem można przechowywać maksymalnie przez 25 miesięcy.
• Informacje na temat możliwości zmiany swoich wyborów – usługodawca w sposób klarowny powinien poinformować użytkownika strony internetowej o zasadach wyrażania zgody, o możliwości odrzucenia plików cookie oraz o możliwości zmian w plikach cookie. Powinna znaleźć się też informacja o prawie do cofnięcia zgody w dowolnym momencie oraz o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Usługodawca informuje, że zgodami na wykorzystywanie plików cookie można zarządzać za pośrednictwem ustawień prywatności na stronie lub za pomocą swojej przeglądarki internetowej. Należy przekazać użytkownikowi narzędzia do zmian w zgodach plików cookie. Przede wszystkim należy podać źródła kontaktu, ale także z poziomu strony internetowej użytkownik powinien móc w sposób zgodny z art. 7 RODO wycofać zgodę – czy to za pomocą wskazówek usługodawcy (patrz wyżej: zestawienie), czy za pomocą baneru cookie. Użytkownik powinien otrzymać szczegółowe informacje na ten temat, aby nie miał wątpliwości, jak może skorzystać z proponowanych narzędzi.
• Zmiany w polityce cookie – w celu spełnienia zasady przejrzystości usługodawca powinien również informować użytkowników o z góry przewidzianych zasadach zmian
• w polityce należy rozważyć, jakie zmiany mogą nastąpić, w jaki sposób wpłyną na użytkowników oraz jak należy je wprowadzić w życie, tj. określić zasady publikacji i wejścia w życie zmian.

Kilka słów o cookies w aplikacji mobilnej

Cookies w aplikacji mobilnej mają ograniczoną użyteczność, ponieważ środowisko mobilne nie należy do środowisk jednorodnych, co powoduje, że cookies nie łączą aktywności użytkowników w ramach różnych aplikacji. Użytkownik może korzystać z przeglądarki w wersji mobilnej oraz aplikacji dostarczanych przez różne podmioty. Alternatywą dla plików cookie są identyfikatory, np. UDID (Universal Device Identifier – ciąg znaków nadawanych przez Apple wszystkim urządzeniom mobilnym, IDFA (Apple’s Identifier for Advertising) – identyfikator obsługiwany przez system iOS). Zasady wskazane w niniejszym artykule powinny być stosowane także do dostępu i przechowywania danych w każdej technologii śledzącej, umieszczonej w aplikacjach mobilnych.