Jak przetwarzać pliki cookies zgodnie z RODO? - poradnik

Pliki cookie, pomimo swojego niewielkiego rozmiaru, potrafią przyprawić administratora danych o ból głowy. Uregulowanie ich przetwarzania jest o tyle trudne, że ich funkcjonowanie określają równocześnie dwa przepisy – RODO oraz dyrektywa o prywatności i łączności elektronicznej (implementowana do polskiego porządku prawnego poprzez ustawę prawo telekomunikacyjne). Niedawna kampania austriackiego aktywisty – Maxa Schremsa – zmierzająca do uporządkowania stosowania plików cookie zwróciła uwagę na najczęstsze błędy związane z ich wykorzystaniem. Należą do nich m.in. brak okienka „odrzuć” w pierwszej warstwie, wprowadzający w błąd design linków, wprowadzające w błąd kolory przycisków, wprowadzający w błąd kontrast przycisków oraz niemożność łatwego wycofania zgody. Aby pomóc administratorom w zgodnym z przepisami zarządzaniu swoją stroną internetową, łotewski organ nadzorczy opracował praktyczny poradnik, którego nieoficjalne tłumaczenie zamieszczamy poniżej. W miejscach, w których autorzy poradnika odwoływali się do łotewskich przepisów regulujących łączność elektroniczną, wskazaliśmy odpowiadające im przepisy ustawy prawo telekomunikacyjne, dzięki czemu niniejszy poradnik pozostaje użyteczny dla polskich organizacji.

1.Definicje

1.1. Ciasteczka

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Plik cookie to mały plik tekstowy, który jest zapisywany na komputerze lub urządzeniu mobilnym użytkownika, w czasie gdy użytkownik uzyskuje dostęp do strony internetowej. Przy każdej kolejnej wizycie, pliki cookie są wysyłane z powrotem do administratora strony, z której pochodzą, lub do podmiotu trzeciego. Pliki cookie działają więc jak pamięć danej strony internetowej, dzięki czemu strona zapamiętuje dane dotyczące komputera lub urządzenia mobilnego użytkownika podczas kolejnych wizyt, w tym informacje dotyczące ustawień użytkownika lub dane ułatwiające korzystanie z strony. Dotyczy to również urządzeń Internetu rzeczy (IoT), które łączą się z Internetem.

1.2. Administrator

Administrator to osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych.

Witryna może zawierać zarówno pliki cookie należące do administratora, jak należące do podmiotów trzecich.

Należy pamiętać, że pliki cookie mogą być wykorzystywane nie tylko przez właściciela strony internetowej, ale także przez inne podmioty, jeżeli właściciel strony internetowej zezwolił na korzystanie z plików cookie podmiotów trzecich. W związku z tym właściciel strony internetowej nie musi być administratorem danych osobowych przetwarzanych za pomocą plików cookie.

1.3. Urządzenie abonenta i urządzenia użytkownika końcowego

Należy przez to rozumieć urządzenie, za pomocą którego użytkownicy mogą korzystać ze wszystkich usług i uzyskiwać dostęp do informacji, np. komputer osobisty, smartfon, tablet itp.

1.4. Technologie podobne do plików cookie

Co do zasady, metody śledzenia i zapamiętywania wyborów dokonywanych przez użytkowników na stronie internetowej, opierają się na plikach cookie. Pliki cookie to jednak tylko jeden ze sposobów śledzenia użytkowników, istnieją inne podobne technologie.

Przykład:
• Piksel śledzący (znany również jako piksel 1x1 lub tag pikselowy) to zwykle przeźroczysty obraz graficzny, wielkości 1 x 1 piksela, umieszczany na stronie internetowej lub we wiadomości e-mail, który wykorzystuje się do śledzenia nawigacji i "ścieżek" ruchu użytkowników na jednej lub kilku stronach internetowych. Technologia ta jest często stosowana w połączeniu z plikami cookie. Piksele śledzące są zazwyczaj wykorzystywane przez platformy, które świadczą usługi monitorowania i śledzenia ruchu użytkowników, na przykład w celu sprawdzenia, czy i kiedy wiadomość e-mail została otwarta przez odbiorcę. Piksel śledzący może pomóc w gromadzeniu informacji takich jak: adres IP komputera, adres URL strony, którą odwiedził użytkownik, adres URL strony, z której przybył użytkownik, czas wyświetlenia, zawartość pliku cookie, bądź typ przeglądarki, przy pomocy której odwiedzono stronę.

• Często stosowaną metodą śledzenia jest pobieranie tzw. odcisków (ang. fingerprint) urządzeń i przeglądarek. Pobieranie „odcisków” umożliwia identyfikację unikalnego urządzenia, poprzez zbieranie informacji przechowywanych w lokalnie zainstalowanych aplikacjach. Informacje przechowywane przez aplikacje lokalne mogą zawierać unikatowe identyfikatory, takie jak adres MAC i numery seryjne, które umożliwiają identyfikację użytkowników. Technologia ta umożliwia identyfikację użytkownika, nawet jeśli pliki cookie zostaną wyłączone lub usunięte.

Odciski przeglądarek składają się z dużej ilości różnorodnych informacji, które są unikatowe dla każdej z przeglądarek internetowych. Ponadto, niniejsza technologia może pobierać informacje o wtyczkach i rozszerzeniach przeglądarki, historii przeglądania oraz właściwościach sprzętu.

Niniejsze wytyczne koncentrują się na plikach cookie, niemniej jednak Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) oraz projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie prywatności i ochrony danych osobowych w sektorze łączności elektronicznej oraz uchylające dyrektywę 2002/58/WE (rozporządzenie o prywatności i łączności elektronicznej) mają zastosowanie do każdego, kto przechowuje informacje na urządzeniu końcowym użytkownika.

Oznacza to, wskazane przepisy mają zastosowanie do wszystkich podobnych technologii, wykorzystywanych do śledzenia urządzeń końcowych (laptopów, smartfonów, tabletów, telewizorów typu smart TV i innych). Jednocześnie należy zauważyć, że projekt rozporządzenia o prywatności i łączności elektronicznej obejmuje zarówno zagadnienie przetwarzania i przechowywania danych na urządzeniach końcowych użytkowników, jak i zbieranie informacji z tych urządzeń końcowych, obejmując w ten sposób rodzaje technologii śledzenia, które mogą wykraczać poza pojęcie plików cookie.

1.5. Strona internetowa

Strony internetowe opierają się na plikach HTML/XHTML dostępnych poprzez Internet za pośrednictwem protokołu http. Praktycznie każda firma czy organizacja pozarządowa posiada obecnie swoją stronę internetową, na której można znaleźć informacje o jej działalności lub zamówić usługę. Pliki cookie są tradycyjnie kojarzone ze stronami internetowymi, ale są wykorzystywane też na innego rodzaju platformach oraz w aplikacjach (np. aplikacjach na smartfony i tablety). W niniejszych wytycznych termin „strona internetowa” odnosi się do wszystkich możliwych środowisk, w których wykorzystywane są pliki cookie.

1.6. Usługi społeczeństwa informacyjnego

Usługa świadczona na odległość (strony nie spotykają się fizycznie), zazwyczaj jest świadczona odpłatnie, za pomocą systemów teleinformatycznych (poprzez cyfrowe przetwarzanie danych) i na indywidualne żądanie usługobiorcy. Usługi społeczeństwa informacyjnego obejmują handel elektroniczny towarami i usługami, wysyłanie informacji handlowych, oferowanie narzędzi do wyszukiwania, dostępu i odzyskiwania informacji, usługi zapewniające przesyłanie lub dostęp do informacji przez sieci teleinformatyczne, przechowywanie informacji oraz usługi pośrednictwa on-line1.

Funkcja IOD - to się dobrze przekazuje

2.Przepisy regulujące stosowanie plików cookie

Stosowanie plików cookie podlega następującym aktom prawnym: łotewskiej ustawie o usługach społeczeństwa informacyjnego (w Polsce będzie to ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne), która została przyjęta w celu transpozycji dyrektywy o prywatności i łączności elektronicznej oraz ogólnego rozporządzenia o ochronie danych („RODO”). Wzajemne relacje pomiędzy dyrektywą o prywatności i łączności elektronicznej a ogólnym rozporządzeniem o ochronie danych, zostały szczegółowo przeanalizowane przez Europejską Radę Ochrony Danych w opinii nr 5/2019 z dnia 12 marca 2019 r. w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO - w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych ("Opinia"). W Opinii wyjaśniono, że choć zakres merytoryczny wskazanych dwóch aktów prawnych jest różny, istnieją obszary, w których pokrywają się RODO i dyrektywa o prywatności i łączności elektronicznej.

Jednym z takich obszarów jest korzystanie z plików cookie, co wynika z paragrafu 29 Opinii. Zgodnie z orzecznictwem Unii Europejskiej może wystąpić sytuacja, w której przetwarzanie danych wchodzi zarówno w zakres dyrektywy o prywatności i łączności elektronicznej, jak i RODO. W związku z tym stosowanie plików cookie na stronach internetowych wymaga zapewnienia zgodności zarówno z łotewską ustawą o usługach społeczeństwa informacyjnego (w Polsce - ustawy Prawo telekomunikacyjne), jak i z RODO.

Należy także wziąć pod uwagę związek pomiędzy powyższymi aktami prawnymi, o którym mowa w art. 95 RODO oraz w motywie 173, a który potwierdza relację o charakterze prawa o charakterze ogólnym (RODO), oraz prawa o charakterze szczegółowym (łotewską ustawą o usługach społeczeństwa informacyjnego lub polską ustawą prawo telekomunikacyjne).

Szczególnie ważny aspekt stosowania tych aktów prawnych dotyczy definicji "zgody". Artykuł 2 lit. f) dyrektywy o prywatności i łączności elektronicznej stanowi, że "zgoda" użytkownika lub abonenta odpowiada zgodzie osoby, której dane dotyczą, w dyrektywie 95/46/WE. W motywie 17 dyrektywy o prywatności i łączności elektronicznej wyjaśniono, że "Do celów niniejszej dyrektywy pojęcie zgody użytkownika lub abonenta, powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46/WE". Zgodę można wyrazić w dowolny sposób umożliwiający użytkownikowi swobodne wyrażenie konkretnej i świadomej woli, w tym poprzez zaznaczenie pola wyboru na stronie internetowej.

Biorąc pod uwagę, iż art. 94 RODO stanowi, że odniesienia do uchylonej dyrektywy 95/46/WE należy rozumieć jako odniesienia do niniejszego rozporządzenia, uważa się, że pojęcie "zgody" w kontekście przepisów transponujących dyrektywę o prywatności i łączności elektronicznej jest analogiczne do pojęcia "zgody" zdefiniowanego w art. 4 pkt 11 RODO. Zgodnie z art. 4 ust. 11 RODO, "zgoda" osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych. Zgoda musi być zatem wyrażona w formie wyraźnego działania potwierdzającego, co oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie przez osobę, której dane dotyczą, zgody na przetwarzanie dotyczących jej danych osobowych, np. w formie pisemnej, elektronicznej lub ustnej.

3. Pliki cookies - zastosowanie

3.1. Funkcje plików cookie

Pliki cookie pełnią wiele ważnych funkcji, w tym przechowują informacje o użytkowniku i jego wcześniejszych działaniach na stronie internetowej. Informacje przechowywane w plikach cookie mogą zawierać dane osobowe, takie jak adres IP, nazwa użytkownika, unikalny identyfikator lub adres e-mail. Pliki cookie zawierają również informacje o ustawieniach językowych, dane o typie urządzenia, które użytkownik wykorzystuje do wyświetlania strony, a także identyfikator użytkownika, identyfikator reklamy i inne, w zależności od zastosowanej technologii śledzenia.

Pliki cookie można wykorzystywać na przykład do śledzenia aktywności w sieci, do śledzenia informacji wprowadzanych do formularza wniosku online, do identyfikowania użytkownika podczas rejestrowania się w bankowości lub korzystania z innych usług online, a także do wspomagania ładowania stron internetowych lub szybszego przesyłania informacji przez sieć.

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
W celu zapewnienia zgodności z zasadą przejrzystości, warunki określone przez administratora (np. polityka prywatności, polityka poufności, warunki korzystania lub polityka cookies), muszą zapewniać przejrzyste, zrozumiałe i wyczerpujące informacje o zamierzonym przetwarzaniu danych osobowych przy użyciu plików cookie. Obejmuje to informacje na temat kategorii plików cookie: 1) według struktury zarządzania nimi; 2) według celu ich przetwarzania; 3) według okresu ich przechowywania.

3.2. Kategorie plików cookie według struktury zarządzania

W zależności od organizacji, która zarządza serwerem lub domeną, z której wysyłane są pliki cookie, a następnie przetwarza zebrane dane, można wyróżnić następujące kategorie plików cookie:

  1. pliki cookie pierwszej strony: to pliki cookie utworzone przez dostawcę usług; wysyłane przez usługodawcę poprzez jego domenę;
  2. pliki cookie podmiotów trzecich: to pliki cookie utworzone przez innych usługodawców (podmioty trzecie); wysyłane z domen, które nie są zarządzane przez samego usługodawcę; wszelkie dane zebrane za pomocą plików cookie są przetwarzane przez podmiot trzeci.

Jeżeli pliki cookie są wysyłane z domeny zarządzanej przez dostawcę usług, ale informacje z plików cookie przetwarza podmiot trzeci, należy je traktować jako pliki cookie podmiotu trzeciego. Na przykład, jeżeli użytkownik ogląda film z serwisu Youtube na stronie internetowej polskiej firmy, to pliki cookie używane przez serwis Youtube w celu uzyskania dostępu do filmu, będą uważane za pliki cookie podmiotu trzeciego, a serwis Youtube będzie administratorem danych.

3.3. Kategorie plików cookie w zależności od ich przeznaczenia

Kategorie plików cookie w zależności od celu, w jakim są one gromadzone:

  1. techniczne pliki cookie, znane również jako niezbędne lub funkcjonalne pliki cookie, które umożliwiają użytkownikowi przeglądanie strony internetowej, platformy lub aplikacji oraz korzystanie z funkcji zawartych w tych usługach. Są to pliki cookie wykorzystywane do obsługi i zarządzania stroną internetową, które umożliwiają realizację funkcji, takich jak kontrolowanie ruchu i komunikacji, identyfikowanie sesji, zapisywanie pozycji dodanych do koszyka, realizacja procesu płatności, zarządzanie płatnościami, wykrywanie i zapobieganie oszustwom, logowanie wydarzeń, uzupełnianie formularzy rejestracyjnych, zliczanie wizyt w celu naliczania opłat za licencje na oprogramowanie.

Niniejsze pliki cookie umożliwiają korzystanie z usługi (strony internetowej, platformy lub aplikacji), zapewnienie bezpieczeństwa podczas korzystania, dodawanie treści do transmisji wideo lub audio, a także możliwość przesyłania treści dynamicznych (takich jak animowany tekst lub obrazy) lub udostępnianie treści w mediach społecznościowych.

Ze względu na techniczny charakter niniejszych plików cookie, kategoria ta obejmuje również pliki cookie, które umożliwiają jak najbardziej skuteczne zarządzanie powierzchnią reklamową, które są zaimplementowane jako integralny element strony internetowej, platformy lub aplikacji, pod warunkiem, że informacje o użytkowniku nie są gromadzone w innych celach,  takich jak personalizacja i dostosowywanie treści.

Techniczne pliki cookie nie wymagają zgody na ich wykorzystanie na stronie internetowej, także w przypadku przechowywania informacji na urządzeniu końcowym lub uzyskiwania dostępu do informacji przechowywanych na urządzeniu końcowym. Są niezbędne do przepływu informacji przez sieć teleinformatyczną lub do świadczenia przez usługodawcę usługi na żądanie abonenta lub użytkownika.

  1. techniczne pliki cookie, znane również jako niezbędne lub funkcjonalne pliki cookie, które umożliwiają użytkownikowi przeglądanie strony internetowej, platformy lub aplikacji oraz korzystanie z funkcji zawartych w tych usługach. Są to pliki cookie wykorzystywane do obsługi i zarządzania stroną internetową, które umożliwiają realizację funkcji, takich jak kontrolowanie ruchu i komunikacji, identyfikowanie sesji, zapisywanie pozycji dodanych do koszyka, realizacja procesu płatności, zarządzanie płatnościami, wykrywanie i zapobieganie oszustwom, logowanie wydarzeń, uzupełnianie formularzy rejestracyjnych, zliczanie wizyt w celu naliczania opłat za licencje na oprogramowanie.

Spersonalizowane pliki cookie nie wymagają zgody na ich wykorzystanie na stronie internetowej, ponieważ odpowiadają one za usługi bezpośrednio wymagane przez użytkowników (np. dokonany wybór języka poprzez kliknięcie w odpowiedniej sekcji strony), z zastrzeżeniem, że te pliki cookie są wykorzystywane wyłącznie w tym celu.

  1. Analityczne pliki cookie umożliwiają administratorowi śledzenie i analizowanie zachowań użytkowników na stronach internetowych. Ta kategoria obejmuje pliki cookie wykorzystywane przez reklamodawców do śledzenia zwyczajów użytkownika, związanych z przeglądaniem strony internetowej, co umożliwia reklamodawcom dostosowanie reklam do zainteresowań użytkownika. Pliki cookie, które umożliwiają uzyskanie informacji statystycznych dotyczących osób odwiedzających stronę internetową, są również uważane za analityczne pliki cookie.

Zasadniczo wszelkie informacje uzyskane za pomocą tego typu plików cookie są wykorzystywane do oceny działania dowolnej strony internetowej, aplikacji lub platformy w celu wprowadzenia ulepszeń na podstawie analizy danych dotyczących korzystania z usług świadczonych użytkownikom.

W celu przetwarzania analitycznych plików cookie należy uzyskać zgodę użytkownika zgodnie z art. 7 akapit 1 łotewskiej ustawy o usługach społeczeństwa informacyjnego (art. 173 ust. 2 ustawy prawo telekomunikacyjne). Przed uzyskaniem zgody, użytkownik musi uzyskać jasne i wyczerpujące informacje na temat celów, do których wykorzystywane są analityczne pliki cookie (art. 173 ust. 1 ustawy prawo telekomunikacyjne).

W ramach wykonywania swoich zadań, organom publicznym nie wolno przetwarzać analitycznych plików cookie do celów marketingowych, ponieważ to ustawodawca określa podstawę prawną przetwarzania danych osobowych przez organy publiczne (stanowi o tym motyw 47 RODO).

Należy pamiętać, że wymienione wyżej kategorie plików cookie nie stanowią zamkniętego zbioru. Usługodawcy i podmioty trzecie mogą obrać inne klasyfikacje, które w większym stopniu odzwierciedlać będą cele stosowania plików cookie, pod warunkiem przestrzegania zasady przejrzystości dla użytkowników.

3.4. Rodzaje plików cookie w zależności od sposobu ich przechowywania

W zależności od okresu, przez jaki plik cookie jest przechowywany na urządzeniach końcowych, można wyróżnić następujące kategorie:

  1. Sesyjne pliki cookie lub tymczasowe pliki cookie: służą do gromadzenia i przechowywania danych w trakcie uzyskiwania przez użytkownika dostępu do strony. Każdy sesyjny plik cookie będzie istniał tylko przez czas trwania sesji przeglądarki, po zakończeniu której zostanie usunięty. Każda sesja przeglądarki rozpoczyna się w momencie otwarcia okna przeglądarki i kończy się w momencie jego zamknięcia. Sesyjne pliki cookie służą przechowywaniu informacji, które mają znaczenie wyłącznie dla świadczenia usług wymaganych przez użytkowników w określonej sytuacji (np. lista produktów w koszyku lub informacje o podróży użytkownika), a które powinny zniknąć po zamknięciu sesji.
  2. Trwałe pliki cookie: umożliwiają zapamiętanie ustawień lub działań użytkownika na jednej stronie lub na różnych stronach. Mają dłuższy cykl życia niż sesyjne pliki cookie i działają przez okres, który został określony w pliku cookie (od kilku minut do kilku lat, w zależności od celu korzystania z pliku cookie). Ten rodzaj plików cookie nie zostanie usunięty po zamknięciu okna przeglądarki i będzie przechowywany na urządzeniu użytkownika. Plik cookie będzie aktywowany za każdym razem, gdy użytkownik odwiedzi stronę, na której utworzono trwały plik cookie.

Z zastrzeżeniem ograniczeń dotyczących minimalizacji i retencji danych, pliki cookie nie mogą być przechowywane dłużej niż jest to konieczne do osiągnięcia ich celu.

Też wolisz profilaktykę niż leczenie?

4. Warunki korzystania z plików cookie na stronie internetowej

Artykuł 7 akapit 1 łotewskiej ustawy o usługach społeczeństwa informacyjnego stanowi, że pliki cookie mogą być wykorzystywane wyłącznie po uzyskaniu zgody abonenta lub użytkownika (art. 173 ust. 1 ustawy prawo telekomunikacyjne). Akapit 2 (art. 173 ust. 3 ustawy prawo telekomunikacyjne) tego samego artykułu przewiduje wyjątek od powszechnego wymogu uzyskania zgody, wyłączając spod tego wymogu korzystanie z plików cookie, które są niezbędne do przepływu informacji w sieciach teleinformatycznych lub do świadczenia usługi na żądanie abonenta lub użytkownika. Ta klasyfikacja jest zgodna z omówionym powyżej podziałem plików cookie na techniczne i analityczne. Techniczne pliki cookie nie wymagają zgody. Korzystanie z analitycznych plików cookie wymaga uzyskania uprzedniej zgody przed ich przetwarzaniem. W przypadku spersonalizowanych plików cookie, w zakresie, w jakim pliki te rejestrują wybory dokonane przez użytkownika, w odniesieniu do funkcji strony internetowej (na przykład wybór języka strony), można uznać, że użytkownik swoim aktywnym zachowaniem wyraził zgodę na wykorzystanie niniejszych plików cookie.

Łotewska ustawa o usługach społeczeństwa informacyjnego wymaga, by przed użyciem jakichkolwiek (w tym technicznych) plików cookie, użytkownik otrzymał wyczerpujące i jasne informacje o zamierzonych działaniach. Należy zauważyć, że zgodnie z RODO, jednym z kluczowych zagadnień, które należy wziąć pod uwagę podczas uzyskiwania zgody, jest dostarczenie użytkownikowi strony internetowej niezbędnych informacji o planowanym przetwarzaniu danych osobowych. Te dwa aspekty (uzyskanie odpowiedniej zgody i dostarczenie niezbędnych informacji) zostaną wyjaśnione w tej części wytycznych.

4.1. Jasne i wyczerpujące informacje

Artykuł 7 ust. 1 łotewskiej ustawy o usługach społeczeństwa informacyjnego (art. 173 ust. 1 ustawy prawo telekomunikacyjne) stanowi, że należy zapewnić jasne i wyczerpujące informacje na temat celu przetwarzania danych osobowych (stosowania plików cookie), zgodnie z przepisami dotyczącymi ochrony danych osobowych, wedle których dane osobowe powinny być przetwarzane w sposób przejrzysty dla abonenta lub użytkownika.

4.1.1. Jasne informacje

Wymóg jasnych informacji obejmuje następujące warunki: a) informacje są zwięzłe i łatwe do zrozumienia; b) użyty język jest prosty i łatwy do zrozumienia, unika się mylących stwierdzeń lub wyrażeń, które utrudniałyby zrozumienie informacji; c) informacje są przedstawiane w przejrzysty sposób.

4.1.1.1. Informacje zwięzłe i łatwe do zrozumienia

Informacje powinny być zwięzłe i łatwe do zrozumienia. Należy unikać niepotrzebnych treści, które mogłyby rozpraszać użytkowników lub powodować „przeciążenie informacyjne”. Przez informacje łatwe do zrozumienia należy rozumieć - informacje łatwe do zrozumienia dla przeciętnego użytkownika strony. Należy zawsze brać pod uwagę wiedzę przeciętnego użytkownika na temat stosowania i zarządzania plikami cookie. Im niższy poziom techniczny przeciętnego użytkownika danej strony, tym prostszy powinien być używany język (należy unikać terminów technicznych, które mogą być trudne do zrozumienia i przyswojenia).

Usługodawca (administrator) powinien znać grupę docelową, w tym przybliżony wiek grupy, do której oferowana jest usługa. Informacje dotyczące grupy docelowej powinny być wykorzystane do wyboru używanego języka, który jest najbardziej odpowiedni dla tej grupy. Na przykład marketer oferujący na stronie internetowej szkolenie z zakresu bezpieczeństwa IT może zakładać, że jego grupa docelowa lepiej rozumie problematykę plików cookie, niż grupa odbiorców, której oferuje zakup zabawek dla dzieci.

4.1.1.2. Używany język jest prosty i łatwy do zrozumienia

Wymóg używania prostego i łatwego do zrozumienia języka oznacza, że informacje należy przedstawiać w sposób jak najprostszy, unikając skomplikowanych zdań i konstrukcji językowych2. Informacje powinny być konkretne i ostateczne; nie powinny być abstrakcyjne ani niejednoznaczne, nie powinny pozostawiać miejsca na interpretację. W szczególności cele i podstawa prawna przetwarzania danych osobowych powinny być jasne. Poszczególne akapity i zdania powinny być prawidłowo skonstruowane. Kluczowe informacje mogą być podkreślane z różnym naciskiem. Informacje przekazywane użytkownikowi nie powinny zawierać nadmiernej ilości fachowego języka, w tym terminologii prawniczej lub technicznej.

Przykład złej praktyki
"Możemy wykorzystywać dane osobowe użytkowników w celu oferowania spersonalizowanych usług."
(Z przedstawionych informacji nie wynika jasno, co oznacza "personalizacja").

Przykład dobrej praktyki
"Będziemy przechowywać historię Twoich zakupów i wykorzystywać informacje o produktach, które wcześniej zakupiłeś, aby polecać Ci inne produkty, które naszym zdaniem mogą Cię zainteresować".
(Oczywiste jest, jakie rodzaje danych będą przetwarzane, jak również cel ich wykorzystania, jakim jest wyświetlanie ukierunkowanej reklamy osobie, której dane dotyczą.).

Należy unikać stosowania określeń takich jak "może", "mógłby", "niektórzy", "często" i "prawdopodobnie". W przypadku, gdy administratorzy danych (usługodawcy) używają nieprecyzyjnych określeń, zasada rozliczalności zobowiązuje do wykazania, dlaczego taki język jest nieunikniony.

4.1.1.3. Przejrzysta prezentacja informacji

Biorąc pod uwagę ilość informacji, jaką należy przekazać użytkownikowi, administratorzy mogą przyjąć warstwowe podejście do kwestii przejrzystości. Warstwowy obowiązek informacyjny dotyczący plików cookie, może pomóc w rozwiązaniu problemu „przeładowania informacjami”, a jednocześnie umożliwia użytkownikom bezpośrednie przejście do tej części informacji, z którą chcą się zapoznać.

Warstwowa treść obowiązku informacyjnego dotyczącego plików cookie umożliwia powiązanie różnych kategorii informacji, które muszą być przekazywane w ramach zasady przejrzystości. Dzięki temu zamiast wyświetlania wszystkich informacji o plikach cookie w jednym miejscu na ekranie urządzenia, możliwy jest podział treści na osobne sekcje, co pozwala uniknąć problemu „przeładowania informacjami”.

Niezależnie od powyższego, wszystkie informacje powinny być łatwo dostępne w jednej sekcji strony internetowej lub w jednym dokumencie, w przypadku gdy użytkownicy chcą zapoznać się z pełną informacją o plikach cookie. Należy pamiętać, że stosowanie systemu warstwowego nie jest konieczne, by informacje były prezentowane w sposób przejrzysty. Administratorzy mogą wybrać inny, dowolny sposób prezentacji informacji, który jest zgodny z zasadą przejrzystości.

Pierwsza warstwa powinna umożliwiać użytkownikowi zapoznanie się z dostępnymi informacjami na temat przetwarzania jego danych osobowych oraz wskazać, gdzie można znaleźć bardziej szczegółowe informacje na temat plików cookie.

Pierwsza warstwa obowiązku informacyjnego powinna zawierać następujące informacje:

  • Dane identyfikujące administratora. Jeżeli niniejsze informacje podawane są w innych sekcjach strony (np. w sekcji "O nas", "Kontakt" itp.), identyfikowanie administratora w pierwszej warstwie nie jest konieczne. Analogicznie, jeżeli tożsamość administratora można jednoznacznie odczytać z adresu domeny (nazwa domeny jest taka sama jak nazwa lub znak towarowy, pod którym administrator jest znany ogółowi społeczeństwa lub informacje te są wyraźnie wskazane na stronie internetowej), wówczas wskazywanie danych administratora w pierwszej warstwie obowiązku informacyjnego nie jest konieczne.
  • Cele, w jakich korzysta się z plików cookie na stronie.

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY

  • Informacje o tym, czy pliki cookie są należą do pierwszej strony (administratora), czy też są to pliki cookie podmiotów trzecich.
  • Ogólne informacje na temat rodzaju danych, które są gromadzone i wykorzystywane podczas profilowania użytkowników (np. w przypadku korzystania z analitycznych plików cookie).
  • Sposób, w jaki użytkownicy mogą akceptować i odrzucać pliki cookie, a także zarządzać dokonanymi wyborami.
  • Wyraźnie widoczny link do drugiego poziomu obowiązku informacyjnego, który zawiera bardziej szczegółowe informacje, np. "Polityka plików cookie" lub "Kliknij tutaj, aby uzyskać więcej informacji". Ten sam link może służyć do przekierowania użytkowników do panelu zarządzania plikami cookie (użytkownicy nie powinni przeglądać drugiej warstwy informacyjnej, aby znaleźć taki panel).

Powyższe informacje muszą być udostępnione przed użyciem pliku cookie, w postaci widocznej dla użytkowników, do czasu, aż użytkownik udzieli zgody lub zadecyduje o odmowie.

Przykład:
„Używamy własnych i zewnętrznych plików cookie w celu przechowywania historii zakupów użytkownika i wykorzystywania informacji o zakupionych wcześniej produktach w celu polecania innych produktów, które naszym zdaniem mogą zainteresować użytkownika. Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk "Więcej informacji". Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk "Akceptuj", lub odrzucić pliki cookie, naciskając przycisk "Nie zgadzam się". Jeśli użytkownik naciśnie przycisk "Nie zgadzam się", zapisywane będą wyłącznie pliki cookie o charakterze technicznym, które są niezbędne do zapewnienia funkcjonowania strony internetowej, korzystanie z takich plików cookie nie wymaga zgody użytkownika.”

Jeżeli użytkownik nie naciśnie przycisku "Zgadzam się", korzystanie z plików cookie (innych niż techniczne), nie będzie dozwolone. Oznacza to, iż w przypadku, gdy użytkownik kontynuuje przeglądanie strony bez kliknięcia przycisku "Zgadzam się", korzystanie z plików cookie wymagających udzielenia zgody jest niedozwolone.

Informacje zawarte w drugiej warstwie obowiązku informacyjnego, powinny być stale dostępne na stronie internetowej lub w aplikacji. Druga warstwa powinna zawierać informacje określone w podrozdziale 4.1.2 niniejszych wytycznych.

4.1.2. Wyczerpujące informacje

Przez wyczerpujące informacje o plikach cookie należy rozumieć takie, które umożliwiają użytkownikom zrozumienie zamierzonych celów i sposobu zastosowania plików cookie. Z tego względu polityka plików cookie powinna zawierać co najmniej następujące informacje:

  • Definicja i wyjaśnienie ogólnej funkcji plików cookie

Przykład:
Co to jest plik cookie: Ta strona wykorzystuje pliki cookie i/lub inne podobne technologie, które służą do gromadzenia i przechowywania informacji. Każdy konkretny plik cookie jest wykorzystywany do określonego celu lub celów, takich jak identyfikacja użytkownika, uzyskiwanie informacji sposobie korzystania ze stron internetowych lub w celu spersonalizowania wyświetlanych treści. Poniżej opisano konkretne zastosowania tych technologii.

  • Informacje o rodzajach wykorzystywanych plikach cookie i ich celach.

Przykład:
• Techniczne pliki cookie: umożliwiają użytkownikowi przeglądanie strony internetowej, platformy lub aplikacji oraz korzystanie z funkcji zawartych w tych usługach. Są to pliki cookie wykorzystywane do obsługi i zarządzania stroną internetową oraz umożliwiają korzystanie z usług oferowanych przez funkcje tej strony.

• Spersonalizowane pliki cookie: umożliwiają zapamiętywanie informacji, dzięki czemu użytkownicy mogą korzystać z serwisu na określonych warunkach, dostosowanych do ich potrzeb, takich jak preferencje językowe, liczba wyświetlanych wyników wyszukiwania, wygląd lub treść serwisu w zależności od zastosowanej przeglądarki i dostępności informacji w danym regionie itp.

• Analityczne pliki cookie: umożliwiają administratorowi plików cookie śledzenie i analizowanie zachowań użytkowników na stronach internetowych. Wszelkie informacje uzyskane za pośrednictwem plików cookie tego typu są wykorzystywane do oceny działania strony internetowej, aplikacji lub platformy w celu wprowadzenia usprawnień usług świadczonych dla użytkowników.

  • Odbiorcy plików cookie muszą być zidentyfikowani

Użytkownicy muszą być w stanie zidentyfikować administratora (administratorów) przetwarzania danych, w tym współadministratorów, przed wyrażeniem zgody lub odmowy. W tym celu informacje o administratorach można zebrać w formie listy, umożliwiając użytkownikom zapoznanie się z listą w ramach informacji dostarczanych w pierwszej warstwie obowiązku informacyjnego.

Zalecamy stosowanie opisowych tytułów i jasnych określeń, takich jak "lista firm, które na naszej stronie internetowej/aplikacji wykorzystują pliki cookie". Lista powinna być łatwo dostępna dla użytkowników, w dowolnym momencie, niezależnie od tego, czy przetwarzanie dotyczy strony internetowej czy aplikacji mobilnej. Lista nowych administratorów powinna być umieszczona w miejscu ekranu przyciągającym uwagę użytkowników lub w miejscu, w którym użytkownicy mogą ją łatwo znaleźć.

Użytkownik musi zostać poinformowany, kto będzie przetwarzał informacje uzyskane dzięki poszczególnym plikom cookie - pierwsza strona (dostawca usług), bądź podmioty trzecie.

Przykład:
Pliki cookie osób trzecich:
Analityczne pliki cookie umożliwiają administratorowi plików cookie śledzenie i analizowanie zachowań użytkowników na stronach internetowych. Wszelkie informacje uzyskane za pomocą tego typu plików cookie są wykorzystywane do oceny działania strony internetowej, aplikacji lub platformy w celu wprowadzenia usprawnień usług świadczonych dla użytkowników.

Jeżeli usługodawca nie jest w stanie w wystarczającym stopniu wyjaśnić celu wykorzystywania plików cookie przez podmioty trzecie, można wskazać informacje poprzez link do strony internetowej podmiotu trzeciego. Rozwiązaniem tego problemu mogą być także Platformy Zarządzania Zgodą (CMP), które spełniają wymogi RODO.

  • Informacje o tym, jak wyrazić zgodę, odmówić lub wycofać zgodę na korzystanie z plików cookie

Należy wskazać informacje objaśniające dotyczące sposobu udzielania zgody na pliki cookie.

Przykład:
Korzystamy z różnych rodzajów plików cookie umieszczanych domyślnie (np. "niezbędne" pliki cookie), ale w przypadku niektórych plików cookie np. służących do celów analitycznych, prosimy o zgodę użytkownika na ich wykorzystanie. Dokonując wyboru poprzez naciśnięcie odpowiedniego przycisku na pasku plików cookie, który pojawia się podczas odwiedzania strony, użytkownik decyduje czy zezwala na stosowanie określonych kategorii plików cookie. Jeśli klikniesz opcję "Zgadzam się", będzie to oznaczać, że akceptujesz wszystkie pliki cookie umieszczane w witrynie.

Jak wycofać zgodę.

Przykład:
Użytkownik może w każdej chwili cofnąć swoją zgodę odnośnie plików cookie i odmówić ich stosowania. Użytkownik może odrzucić wszystkie pliki cookie z wyjątkiem "niezbędnych" plików cookie. Jeśli chcesz wycofać swoją zgodę na analityczne i marketingowe pliki cookie, naciśnij przycisk: Wycofanie zgody.

Informacje o konsekwencjach w przypadku odmowy akceptacji plików cookie przez użytkownika.

Przykład:
Klikając przycisk "Nie zgadzam się", użytkownik rezygnuje z analitycznych i marketingowych plików cookie na stronie internetowej, wówczas przechowywane nadal będą techniczne pliki cookie, które są niezbędne do funkcjonowania witryny i nie wymagają zgody użytkownika.

Zamknięcie wyskakującego okienka dotyczącego plików oznacza, że użytkownik nie dokonał wyboru dotyczącego korzystania z plików cookie na stronie internetowej. W takim przypadku strona nie może używać plików cookie wymagających zgody, do momentu uzyskania zgody użytkownika na ich wykorzystanie. Nie dotyczy to plików cookie, odnośnie których zgoda nie jest wymagana.

  • Informacje o okresie przechowywania plików cookie

Dotyczy to plików cookie należących do administratora i podmiotów trzecich. Jeżeli nie jest możliwe dokładne określenie czasu przechowywania plików cookie, należy podać kryteria, w celu określenia tego czasu.

Przykład:
• Plik cookie pierwszej strony zostanie usunięty po zamknięciu okna przeglądarki.
• Pliki cookie podmiotów trzecich zostaną usunięte po 3 miesiącach.

  • W stosownych przypadkach informacje o tym, że administrator zamierza przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej.

Zgodnie z RODO należy poinformować osoby, czy istnieje decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony lub inna podstawa przekazania danych osobowych do państwa trzeciego na mocy art. 46 RODO lub 47. W przypadku przekazywania, o którym mowa w art. 49 ust. 1, a w przypadku przekazywania, o którym mowa w art. 49 ust. 1 akapit 2, w obowiązku informacyjnym należy uwzględnić odniesienie do odpowiednich gwarancji oraz informacje o tym, w jaki sposób uzyskać kopię danych lub informacje gdzie dane są dostępne.

Przykład:
Należy pamiętać, że plik cookie "bcd" przesyła informacje do państw trzecich, w celu ich przetworzenia przez podmiot trzeci dla realizacji celów marketingowych (zob. sekcja "Pliki cookie stron trzecich" w Polityce plików cookie).

  • Informacja o profilowaniu, jeśli profilowanie obejmuje zautomatyzowane podejmowanie decyzji, które mogą mieć znaczący wpływ na użytkowników.

W zależności od okoliczności należy uwzględnić znaczące skutki dla użytkownika, w tym:

  • stopień inwazyjności procesu profilowania, w tym śledzenia osób na różnych stronach internetowych, urządzeniach i w usługach;
  • oczekiwania i preferencje osób korzystających z usług;
  • sposób prezentacji informacji;
  • wykorzystywanie informacji o osobach, których dane dotyczą.

Zgodnie z RODO, należy przedstawić istotne informacje dotyczące zasad profilowania, a także znaczenie takich operacji i przewidywane konsekwencje dla użytkowników.

W przypadku braku powyższych czynników, dostarczenie reklamy ukierunkowanej na podstawie profilowania, nie będzie prowadzić do znaczącego wpływu na użytkowników strony, np. sklep odzieżowy online, wykorzystujący reklamę na podstawie prostego profilu demograficznego: "kobiety w wieku 25-35 lat mieszkające w Rydze mogą być zainteresowane modą lub konkretnym rodzajem odzieży".

Kiedy ostatnio robiłeś analizę ryzyka?

4.2. Zgoda

Zgoda jest dobrowolnym, konkretnym, świadomym i jednoznacznym wyrażeniem woli osoby, której dane dotyczą (użytkownika), przez które osoba ta, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie swoich danych osobowych.

4.2.1. Dobrowolne wyrażenie zgody

Element "dobrowolnie wyrażonej" zgody oznacza rzeczywisty wybór dotyczący plików cookie, przy braku ryzyka negatywnych konsekwencji. Strona internetowa musi zapewnić użytkownikowi możliwość wyboru opcji "Akceptuj" lub "Nie akceptuj" plików cookie w oknie pierwszego paska informacyjnego, a także wskazać, gdzie w sekcji "Więcej informacji" można znaleźć dodatkowe informacje na temat plików cookie używanych na stronie internetowej.

Przykład złej praktyki
Ta strona używa plików cookie. Poprzez kontynuację korzystania z tej strony, wyrażasz zgodę na korzystanie przez nas z plików cookie.

Przykład dobrej praktyki
Używamy własnych i zewnętrznych plików cookie do przechowywania historii zakupów użytkownika i wykorzystywania informacji o zakupionych wcześniej produktach w celu polecania innych produktów, które naszym zdaniem mogą zainteresować użytkownika. Naciśnij przycisk "TUTAJ", aby zapoznać się z naszą polityką prywatności dotyczącą plików cookie. Użytkownik może wyrazić zgodę na wszystkie pliki cookie, naciskając przycisk "Zgadzam się" lub odrzucić je, naciskając przycisk "Pozostaw techniczne pliki cookie", lub ustawić wybraną konfigurację, naciskając przycisk "TUTAJ".

Jeżeli użytkownik wybierze opcję "Zgadzam się", oznacza to, że wyraża zgodę na wszystkie pliki cookie umieszczone w witrynie. Jeżeli użytkownik wybierze opcję "Pozostaw techniczne pliki cookie", odrzuca wszystkie pliki cookie wymagające zgody użytkownika, przy czym oznacza to również dalsze wykorzystanie technicznych plików cookie, które umożliwiają działanie witryny.

Zamiast określenia “techniczne pliki cookie”, dopuszczalne są inne nazwy, takie "niezbędne pliki cookie", "funkcjonalne pliki cookie"

Przykład dobrej praktyki
Używamy własnych i zewnętrznych plików cookie w celu przechowywania historii zakupów użytkownika, oraz wykorzystywania informacji o zakupionych wcześniej produktach w celu polecania innych produktów, które naszym zdaniem mogą zainteresować użytkownika. Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk "Więcej informacji". Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk "Akceptuj", lub odrzucić je, naciskając przycisk "Nie zgadzam się". Jeżeli użytkownik strony internetowej naciśnie przycisk "Nie zgadzam się", na stronie internetowej wykorzystywane będą techniczne pliki cookie, które są niezbędne do funkcjonowania strony i które nie wymagają zgody użytkownika.

Jeśli użytkownik wybierze opcję "Zgadzam się", oznacza to, że wyraża zgodę na wszystkie pliki cookie umieszczone w witrynie.

Jeśli użytkownik wybierze opcję "Nie zgadzam się", oznacza to, że nie wyraża zgody na wszystkie pliki cookie, które wymagają zgody użytkownika.

Jeżeli użytkownik wybierze opcję "Więcej informacji", oznacza to, że zostanie przekierowany do sekcji, w której może zapoznać się z polityką administratora w zakresie plików cookie i dokonać swobodnego wyboru w odniesieniu do wszystkich plików cookie, dla których wymagana jest zgoda.

Fakt, że użytkownik zdecyduje się zamknąć wyskakujące okienko dotyczące plików cookie (np. naciskając opcję "X"), nie może być uznawany za zgodę. Kliknięcie opcji "X" zamyka okno z informacjami i nie daje użytkownikowi możliwości wyboru "Zgadzam się" lub "Nie zgadzam się" na pliki cookie, a co za tym idzie nie daje możliwości wykorzystania na stronie internetowej plików cookie, które wymagają zgody.

Zgoda będzie ważna tylko wtedy, gdy użytkownik będzie miał wolny wybór co do poszczególnych plików cookie wykorzystywanych na stronie internetowej. Oznacza to, że strona internetowa musi umożliwiać użytkownikowi swobodny wybór między: 1) opcją akceptowania wszystkich lub niektórych plików cookie; 2) odrzucania wszystkich lub niektórych plików cookie; 3) oraz możliwością zmiany ustawień plików cookie w przyszłości.

Niezależnie od tego, czy użytkownik zdecyduje się odrzucić wszystkie bądź tylko niektóre pliki cookie, dokonany wybór nie może mieć negatywnych konsekwencji dla użytkownika - w postaci np. zakazu dalszego przeglądania strony lub jej określonej części (np. w przypadku strony wykorzystywanej do handlu elektronicznego, której głównym celem jest sprzedaż produktów, nie można uzależnić możliwości nabywania produktów od zaakceptowania analitycznych plików cookie).

4.2.2. Zgoda konkretna

Konkretny charakter zgody wymaga, określenia konkretnych celów, dla których przetwarzane są dane osobowe. Ponadto, przetwarzane dane muszą być adekwatne, istotne i nienadmierne w stosunku do celów, dla których zostały pozyskane i/lub są dalej przetwarzane.

Oznacza to, że w przypadku,  gdy osiągnięcie celu, jakim jest świadczenie usługi internetowej, nie wymaga korzystania z określonego rodzaju plików cookie, wówczas nie ma potrzeby korzystania z tych plików cookie na tej stronie.

Oznacza to również, że o zgodę nie trzeba pytać w odniesieniu do każdego pliku cookie, ale w odniesieniu do każdego z celów, w jakim pliki te są wykorzystywane. Jeżeli plik cookie jest wykorzystywany do więcej niż jednego celu, należy uzyskać zgodę na każdy z tych celów oddzielnie.

4.2.3. Świadoma zgoda

”Świadomy” charakter zgody oznacza, że wskazanie informacji na stronie internetowej jest niezbędne - przed uzyskaniem zgody, tak aby umożliwić użytkownikowi strony podjęcie świadomej decyzji, w tym zrozumienie, na co wyraża zgodę.

Oznacza to, że strona internetowa musi zapewnić użytkownikowi możliwość wyrażenia zgody,   zaś przed poinformowaniem użytkownika o stosowaniu plików cookie oraz przez wyrażeniem zgody przez użytkownika, na urządzeniu użytkownika nie są umieszczane żadne pliki cookie (poza tymi, które nie wymagają jego zgody).

Na wstępnej części strony internetowej, gdzie użytkownik rozpoczyna sesję przeglądania, należy zamieścić jasne i wyraźne oświadczenie o stosowaniu plików cookie, z prośbą o wyrażenie zgody. Wchodząc na stronę internetową, użytkownicy powinni mieć dostęp do wszystkich niezbędnych informacji na temat zastosowanych na stronie rodzajów plików cookie oraz informację na temat celów, do których będą wykorzystywane dane gromadzone za pomocą plików cookie. Dobrą praktyką jest umieszczanie na linku do sekcji, w której można przeczytać informacje o wszystkich plikach cookie wykorzystanych na danej stronie.

W podrozdziale 4.1.1.3 "Przejrzysta prezentacja informacji" niniejszych wytycznych wskazano informacje, które powinny być udostępnione użytkownikowi strony internetowej, aby spełniony został wymóg "świadomej zgody".

Jeżeli administrator nie udostępni wymaganych informacji i/lub użyje plików cookie przed udostępnieniem wymaganych informacji,  zgoda będzie nieważną podstawą do przetwarzania danych, bowiem kontrola użytkownika stanie się iluzoryczna. 

4.2.4. Zgoda jednoznaczna

“Jednoznaczny” charakter zgody oznacza, że zgoda musi być wyraźnie udzielona poprzez aktywne działanie użytkownika, które potwierdza, że użytkownik zgadza się na korzystanie z plików cookie. Należy jasno określić, jakie działania oznaczają zgodę na pliki cookie. Należy upewnić się, że wybór wyrażony przez aktywne działanie jest rzeczywiście oparty na jasnej informacji, że działanie to spowoduje wykorzystanie plików cookie.

E-learning RODO to już standard!

Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
ZOBACZ WIĘCEJ
Informacje muszą być przedstawione użytkownikowi w taki sposób, aby mógł je rozpoznać i nie pomylić z reklamami lub innymi treściami na stronie internetowej. Z tego względu ważne jest, aby przycisk, link lub inne pole wymagające aktywnego działania użytkownika, znajdowało się tuż przy lub w pobliżu miejsca, gdzie udostępniana jest informacja o wykorzystywaniu plików cookie. Ponadto, informacje o stosowaniu plików cookie powinny być dostępne na stronie internetowej i nie mogą znikać, dopóki użytkownik nie wyrazi zgody lub nie odmówi stosowania plików cookie.

Ponadto kliknięcie w link "więcej informacji o plikach cookie", nie może być uznane za wyrażenie zgody, ponieważ w takim przypadku użytkownik prosi jedynie o dodatkowe informacje. Brak jakiegokolwiek działania również nie może być uznany za ważną zgodę.

Wyrażenie zgody jest konieczne, aby pliki cookie mogły być przetwarzane na stronie internetowej (zob. zob. podrozdział 4.1.1.3 Wytycznych).

Istnieją różne narzędzia, który metody uzyskiwania zgody. Wybór najbardziej odpowiedniej wymaga rozważenia rodzaju wykorzystywanych plików cookie, ich celu oraz tego, czy są to pliki cookie należące do pierwszej strony czy podmiotu trzeciego.

4.3. Narzędzia służące do odbierania zgody (CMP)

Dostępne są następujące metody do wyrażania zgody (lista nie jest wyczerpująca):

  • Podczas procesu konfigurowania witryny lub aplikacji

Wiele stron internetowych i aplikacji na smartfony umożliwia użytkownikom wybór ustawień, np. języka, czcionki, koloru tła itp. W zależności od konkretnych funkcji aplikacji, użytkownicy mogą być proszeni o zezwolenie na dostęp do informacji znajdujących się w ich smartfonie (np. dostęp kontaktów, w celu polecania aplikacji znajomym, bądź dostęp do albumu ze zdjęciami). W trakcie tego procesu użytkownicy mogą także wyrazić zgodę na pliki cookie, które mają być wykorzystywane do określonego celu. W tym przypadku zgoda jest zintegrowana z innymi ustawieniami użytkownika.

  • Za pośrednictwem Platformy Zarządzania Zgodą (CMP)

Platforma Zarządzania Zgodą to narzędzie, które zapewnia kompleksową obsługę zarządzania plikami cookie na stronie internetowej. Istnieją różne platformy, które umożliwiają zarządzanie sposobem uzyskiwania zgody. Niektóre z nich połączone są z systemem zarządzania znacznikami (TMS). System zarządzania znacznikami (TMS) to oprogramowanie służące do obsługi znaczników marketingowych dołączanych do adresów URL w niektórych procesach internetowych i witrynach handlu elektronicznego. System zarządzania znacznikami upraszcza obsługę znaczników marketingu cyfrowego odnoszących się do różnych wyników reklamowych.

Przed wyborem jednej z platform należy upewnić się, czy wybrane rozwiązanie spełnia wymogi RODO odnośnie zasady przejrzystości i zgody.

  • Wyrażanie zgody przed oferowaniem usługi lub aplikacji wymagającej pobrania plików (np. wideo, obrazów lub gier)

W takim przypadku, należy umożliwić użytkownikom, by wyrazili zgodę na korzystanie z plików cookie, przed pobraniem usługi lub aplikacji. Użytkownicy powinni być należycie poinformowani, że pobranie usługi lub aplikacji wymaga, by udzielili zgody na korzystanie w określonym celu z  i plików cookie.

Jeżeli pliki cookie są przetwarzane przez podmioty trzecie, aby umożliwić podjęcie przez użytkowników świadomej decyzji, użytkownicy powinni być o tym poinformowani, wraz ze wskazaniem celów przetwarzania przez te podmioty.

  • Warstwowy obowiązek informacyjny

W warstwowym modelu informacyjnym, pierwsza warstwa informacji przedstawiona jest oknie, które pojawia się, gdy użytkownik wchodzi na stronę internetową. Pierwsza warstwa zawiera prośbę o zgodę na korzystanie z plików cookie, a także często  link do drugiej warstwy, w której znajdują się dodatkowe informacje o plikach cookie.

W przypadku korzystania z wyskakującego okna zawierającego pierwszą warstwę informacji, nie powinno się w niej prezentować treści, która "zachęca" użytkownika do zaakceptowania plików cookie, zamiast ich odrzucenia. Dlatego w przypadku umieszczenia w wyskakującym okienku przycisku "Akceptuj", w tym samym wyskakującym okienku należy umieścić także przycisk "Odmów", umożliwiający użytkownikowi odmowę zgody na korzystanie z plików cookie. Poszczególne przyciski powinny posiadać ten sam kolor, a także nie powinny się różnić podkreśleniem, czcionką lub kolorowym wypełnieniem.

Przykład złej praktyki
Używamy własnych i zewnętrznych plików cookie w celu przechowywania historii zakupów użytkownika i do wykorzystywania informacji o zakupionych wcześniej produktach w celu polecania innych produktów, które naszym zdaniem mogą zainteresować użytkownika. Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk "Więcej informacji". Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk "Akceptuj", lub odrzucić je, naciskając przycisk "Nie zgadzam się". Jeśli użytkownik naciśnie przycisk "Nie zgadzam się", nadal zapisywane są techniczne pliki cookie, które są niezbędne do funkcjonowania strony internetowej i nie wymagają zgody użytkownika.

Więcej informacji Nie zgadzam się Zgadzam się

Przykład dobrej praktyki
Używamy własnych i zewnętrznych plików cookie do przechowywania historii zakupów użytkownika i do wykorzystywania informacji o zakupionych wcześniej produktach w celu polecania innych produktów, które naszym zdaniem mogą zainteresować użytkownika. Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk „Więcej informacji”. Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk „Akceptuj”, lub odrzucić je, naciskając przycisk „Nie zgadzam się”. Jeśli użytkownik naciśnie przycisk „Nie zgadzam się”, nadal zapisywane są techniczne pliki cookie, które są niezbędne do funkcjonowania strony internetowej i nie wymagają zgody użytkownika.

Więcej informacji Nie zgadzam się Zgadzam się

4.4. Ustawienia przeglądarki użytkownika jako metoda pozyskiwania zgody

Ustawienia przeglądarki użytkownika nie są uznawane za zgodną z RODO metodę uzyskiwania zgody użytkownika. Więcej informacji na ten temat można znaleźć w Opinii 2/2010 w sprawie reklamy behawioralnej w Internecie wydanej przez Grupę Roboczą Art. 29.

Przeciętny użytkownik strony internetowej nie jest świadomy, że jego działania w sieci mogą być śledzone. Użytkownicy nie zawsze wiedzą, w jaki sposób korzystać z ustawień przeglądarki, aby odrzucić pliki cookie, nawet jeśli taka informacja została zawarta w polityce prywatności. Błędem jest założenie, że brak działania użytkownika strony internetowej jest równoznaczny z jasnym i jednoznacznym wyrażeniem jego preferencji. Odpowiedzialność za zgodne z prawem przetwarzanie plików cookie nie może przeniesiona na użytkownika, który nie dochował pewnych środków ostrożności poprzez ustawienia przeglądarki.

Aby ustawienia przeglądarki zapewniały świadomą zgodę, nie może być możliwości "pominięcia" wyboru dokonanego przez użytkownika podczas ustawiania przeglądarki. W praktyce jednak usunięte pliki cookie można łatwo "przywrócić" za pomocą tak zwanych "flash cookies", które umożliwiają dostawcy sieci reklamowej dalsze monitorowanie użytkownika. Pliki flash to pliki tekstowe, które serwer WWW wysyła do użytkownika, gdy przeglądarka żąda zawartości obsługiwanej przez wtyczkę Adobe Flash. Pliki flash różnią się od zwykłych plików cookie przeglądarki tym, jak wiele danych mogą przechowywać i jak można odmówić ich przyjęcia. W przeciwieństwie do zwykłych plików cookie przeglądarki, pliki cookie flash muszą być usuwane za pomocą ustawień programu Adobe Flash Player.

Dostępność i rosnąca popularność tego typu technologii stawia pod znakiem zapytania możliwość zapewnienia świadomej i ważnej zgody poprzez ustawienia przeglądarki.

Z powyższych względów wyrażenie zgody na otrzymywanie plików cookie, poprzez ustawienia przeglądarki, w większości przypadków będzie oznaczać, że użytkownicy strony wyrażą zgodę na przetwarzanie danych, niejednokrotnie bez znajomości celów ani zastosowań tych plików. Każda zgoda na przetwarzanie danych bez wiedzy o okolicznościach towarzyszących przetwarzaniu, może być uznana za nieważną.

Bezpłatne szkolenia dla Twoich pracowników!

4.5. Pozyskiwanie zgody od osób nieletnich

Jeżeli bezpośrednie świadczenie usług społeczeństwa informacyjnego wymaga zgody osoby, której dane dotyczą, a osoba, której dane dotyczą, jest dzieckiem, jej zgoda może stanowić zgodną z prawem podstawę przetwarzania,  jeżeli dziecko ukończyło co najmniej 13 lat.

Jeżeli dziecko nie ukończyło 13 lat, przetwarzanie danych osobowych  będzie zgodne z prawem, o ile zgoda została wyrażona przez rodzica lub opiekuna prawnego.

W celu uzyskania "świadomej zgody" od dziecka, które ukończyło 13 lat, administrator powinien w odpowiedni sposób udzielić dziecku informacji i przekazać tą informację jasnym i prostym językiem, który będzie łatwo zrozumiałe dla dziecka. W przypadku młodszych dzieci, biorąc pod uwagę dostępne technologie, administrator powinien dołożyć należytych starań, aby sprawdzić, czy zgoda została udzielona lub potwierdzona przez osobę będącą rodzicem lub opiekunem prawnym.

Ponadto, należy uwzględnić poziom ryzyka związanego z wykorzystywaniem plików cookie (np. uwzględnienie charakteru pozyskiwanych danych osobowych), biorąc pod uwagę zasadę minimalizacji danych: im mniejsze ryzyko, tym prostszy system weryfikacji zgody, który należy wprowadzić.

  • Jeżeli stronę internetową, która jest skierowana do dzieci, mogą odwiedzać niezarejestrowani użytkownicy, a pliki cookie będą wykorzystywane do celów analitycznych, to zgodę rodziców można uzyskać za pomocą wyskakującego okna, które pojawia się, gdy dziecko odwiedza wskazaną stronę internetową. Metoda ta pozwala uniknąć konieczności zwracania się o dodatkowe dane - od dziecka, lub osoby, która jest jego rodzicem lub opiekunem prawnym.

Przykład
Jeśli masz mniej niż 13 lat, poproś rodziców o przeczytanie tego powiadomienia! Używamy własnych i zewnętrznych plików cookie, aby dowiedzieć się, w jaki sposób użytkownik korzysta z naszej witryny, oraz w celu sporządzania raportów statystycznych. Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk "Więcej informacji". Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk "Akceptuj", lub odrzucić je, naciskając przycisk "Nie zgadzam się".

  • W przypadku automatycznego dostosowania i personalizacji pewnych aspektów wyświetlanej treści (takich jak język strony internetowej lub układ treści), należy podjąć dodatkowe środki ostrożności, aby upewnić się, że osoba będąca rodzicem lub opiekunem prawnym, wyraziła zgodę w konkretnych okolicznościach danego przypadku - niezależnie od odpowiedniej analizy ryzyka. W związku z tym użytkownicy mogą być zapytani o to, czy ukończyli 13 lat, a jeśli udzielą odpowiedzi odmownej, zostanie wyświetlony następujący komunikat.

Przykład
Poproś rodzica lub opiekuna prawnego o podanie daty urodzenia! (Informacje o roku urodzenia rodzica lub opiekuna prawnego są wykorzystywane do weryfikacji zgody. Informacje o roku urodzenia nie będą przechowywane). Używamy własnych i zewnętrznych plików cookie, aby dowiedzieć się, w jaki sposób użytkownik korzysta z naszej strony, aby sporządzać raporty statystyczne, a także w celu spersonalizowania korzystania ze strony, na przykład poprzez dostosowanie układu strony albo wybór języka.

Aby dowiedzieć się więcej na temat naszej polityki plików cookie, naciśnij przycisk "Więcej informacji". Użytkownik może zaakceptować wszystkie pliki cookie, naciskając przycisk "Akceptuj", lub odrzucić je, naciskając przycisk "Nie zgadzam się". Jeśli użytkownik strony internetowej naciśnie przycisk "Nie zgadzam się", zapisywane są techniczne pliki cookie, które są niezbędne do funkcjonowania strony internetowej i które nie wymagają zgody użytkownika.

  • Jeżeli pliki cookie mogą być źródłem większego ryzyka niż opisane w przykładach a) i b) (np. informacje gromadzone poprzez pliki cookie, dotyczą stron internetowych odwiedzanych przez dziecko - następnie zebrane informacje zostają udostępniane podmiotom trzecim w celu analizy zainteresowań dziecka i wyświetlania spersonalizowanych reklam), rodzice lub opiekunowie prawni powinni być zmuszeni do podania dodatkowych informacji w celu weryfikacji udzielonej zgody (np. adres e-mail, na który administrator może wysłać wiadomość weryfikacyjną, w celu dodatkowego sprawdzenia zgody udzielonej przez rodzica lub opiekuna prawnego).

Z uwagi na to, że dzieci stanowią grupę wrażliwą, administratorzy powinni powstrzymać się od profilowania dzieci w celach marketingowych. Opinia 02/2013 w sprawie aplikacji na smartfony (WP202), przyjęta 27 lutego 2013 r., stwierdza w szczególności w sekcji 3.10 dotyczącej dzieci na stronie 26, że "administratorzy nie powinni przetwarzać danych dzieci do celów reklamy behawioralnej, ani bezpośrednio, ani pośrednio, ponieważ wykracza to poza zrozumienie dziecka, a tym samym poza zgodne z prawem przetwarzanie danych". Dzieci mogą być szczególnie narażone na nadużycia w sieci, a także łatwiej ulegają wpływom reklamy behawioralnej. Dla przykładu, w grach online profilowanie może być wykorzystywane do identyfikowania graczy, którzy wedle wskazań algorytmu, z większym prawdopodobieństwem wydadzą pieniądze na grę. Wiek i niedojrzałość dziecka mogą mieć wpływ na jego niezdolność do zrozumienia motywów i konsekwencji tego typu działań marketingowych.

4.6. Wyraźna zgoda

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator musi być w stanie wykazać, że osoba ta wyraziła zgodę na operację przetwarzania. Oznacza to, że na stronie internetowej muszą być wdrożone pliki cookie typu „zgadzam się”/”nie zgadzam się”, które będą przechowywać wybory dokonane przez użytkownika adresu IP, a dotyczące plików cookie, z których korzysta strona.

Nie ma określonego limitu czasu, przez który udzielona zgoda jest ważna. To, jak długo zgoda pozostaje ważna, zależy od kontekstu, zakresu pierwotnej zgody oraz oczekiwań osoby, której dane dotyczą. Jeżeli okoliczności związane z przetwarzaniem danych ulegną znacznej zmianie, pierwotna zgoda straci ważność. W takim przypadku należy uzyskać nową zgodę.

4.7. Odwołanie zgody

Użytkownik strony internetowej może w każdej chwili wycofać swoją zgodę, w sposób równie łatwy, jak udzielił zgody. W tym celu na stronie internetowej należy zamieścić informacje o sposobie, w jaki można wycofać zgodę i usunąć pliki cookie. RODO nie wymaga, aby zgoda była zawsze udzielana i wycofywana w ten sam sposób. Jednak w przypadku, gdy zgoda jest uzyskiwana drogą elektroniczną, jednym kliknięciem myszki, przeciągnięciem palca lub naciśnięciem klawisza, osoby, których dane dotyczą, powinny mieć praktyczną możliwość równie łatwego wycofania udzielonej zgody. Wymóg prostego wycofania zgody jest ujęty w RODO, jako niezbędny aspekt ważności zgody. Jeżeli mechanizm wycofania zgody nie spełnia wymogów RODO, wówczas mechanizm udzielania zgody również nie jest zgodny z RODO.

Przykład złej praktyki
Użytkownik może w każdej chwili zmienić preferencje dotyczące plików cookie poprzez ustawienia w swojej przeglądarce internetowej. Użytkownik może na przykład cofnąć zgodę na korzystanie z plików cookie, wybierając odpowiednią opcję w przeglądarce, co spowoduje odrzucanie wszystkich propozycji zapisywania plików cookie. Ustawienia te można znaleźć w menu "opcje" lub "preferencje". Poniżej przedstawiamy przydatne linki: Chrome: Centrum pomocy Google Chrome; Firefox: Pliki cookie - informacje, które strony internetowe przechowują na komputerze użytkownika; Safari: Safari dla macOS Sierra: Zarządzanie plikami cookie i danymi witryn internetowych za pomocą Safari; Edge: Microsoft Edge, dane przeglądania i prywatność; Opera: Bezpieczeństwo i prywatność w Operze .

Przykład dobrej praktyki
Użytkownik może w każdej chwili cofnąć swoją zgodę odnośnie plików cookie i odmówić ich stosowania. Użytkownik może odrzucić wszystkie pliki cookie z wyjątkiem "niezbędnych" plików cookie. Jeśli chcesz wycofać swoją zgodę na analityczne i marketingowe pliki cookie, naciśnij odpowiedni przycisk: Wycofanie zgody.

4.8. Przedłużanie zgody i zmiany w zakresie wykorzystywania plików cookie

Dobra praktyka wymaga, aby udzielone zgody były regularnie weryfikowane  i aktualizowane, w celu zachowania zgodności z najnowszymi wymogami. Co do zasady, zgoda na pliki cookie pozostaje ważna do momentu osiągnięcia celu przetwarzania danych osobowych.

Jeżeli cel przetwarzania danych osobowych został osiągnięty lub uległ zmianie, należy ponownie poprosić o zgodę.

To samo dotyczy zmian w zakresie celu korzystania z plików cookie - jeżeli cel uległ zmianie, do dalszego korzystania z plików cookie wymagana jest ponowna zgoda.

4.9. Wyjątki od obowiązku odebrania zgody

Pracodawca, rekruter, kandydat.
RODO w HR.

Szkolenie RODO w HR rozwiewa wszystkie wątpliwości w zakresie ochrony danych kadrowych.
SPRAWDŹ TERMINY
Artykuł 173 ust. 3 ustawy prawo telekomunikacyjne wskazuje, że odebranie zgody nie jest konieczne, jeżeli przechowywanie lub uzyskanie dostępu do plików cookies jest konieczne do:

  1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
  2. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

4.9.1. Wyjątki od obowiązku odebrania zgody

Niniejszy wyjątek dotyczy plików cookie, których jedynym celem jest transmisja informacji w sieci. Przynajmniej trzy elementy można uważać za ściśle niezbędne, aby nastąpiła komunikacja między dwiema stronami za pośrednictwem sieci:

  1. zdolność skierowania informacji za pośrednictwem sieci, w szczególności poprzez identyfikację końcowych punktów komunikacji;
  2. zdolność wymiany danych w zamierzonej kolejności, w szczególności poprzez numerowanie pakietów danych;
  3. zdolność wykrywania błędów transmisji lub utraty danych.

Więcej informacji na ten temat można znaleźć w opinii Grupy Roboczej Art. 29 Opinii w sprawie wyłączenia dotyczącego zgody na stosowanie plików cookie (WP 194).

Na przykład, jeśli plik cookie służy do równoważenia obciążenia w celu rozdzielenia ruchu sieciowego pomiędzy różne serwery, można go uznać za taki rodzaj pliku cookie, który ma znaczenie dla przepływu informacji przez sieć komunikacji elektronicznej. Jedynym celem takiego pliku cookie jest identyfikacja jednego z serwerów (tj. punktu końcowego komunikacji), a zatem jest on niezbędny do komunikacji sieciowej.

Jeżeli plik cookie, którego celem jest transmisja komunikatów przez sieć, pełni niniejszą funkcję tylko pozornie, bez rzeczywistego zamiaru wykorzystania jego właściwości, nie jest zwolniony z konieczności uzyskania zgody.

4.9.2. W celu świadczenia usług żądanych przez abonenta lub użytkownika

Plik cookie, aby był zwolniony z obowiązku uzyskania zgody na podstawie tego kryterium, musi spełniać jednocześnie dwa warunki:

  1. użytkownik wyraźnie zażądał usługi społeczeństwa informacyjnego: użytkownik (lub abonent) wykonał sam podjął działanie w celu zażądania usługi o jasno określonym zakresie;
  2. plik cookie jest ściśle niezbędny do świadczenia usługi społeczeństwa informacyjnego: usługa nie będzie działać przy wyłączonej obsłudze plików cookie .

Przykład:
• Nie jest wymagana zgoda jeżeli: sesyjne pliki cookie są używane na stronie internetowej w celu śledzenia pozycji umieszczanych przez użytkownika w koszyku internetowym. Te pliki cookie tracą ważność po zakończeniu sesji lub wkrótce potem. Tego typu pliki cookie spełniają warunek "ścisłej niezbędności" i nie wymagają zgody. Podobnie nie wymagają zgody pliki cookie, które rejestrują język lub kraj użytkownika podczas odwiedzania strony internetowej, jako ściśle niezbędne do świadczenia usług żądanych przez użytkownika.

• Konieczne jest uzyskanie zgody jeżeli: strona dotycząca podróży wykorzystuje plik cookie, który ma 2-letni okres ważności i który jest wykorzystywany przy każdorazowym odwiedzeniu strony: do identyfikacji przeglądarki i urządzenia użytkownika, a także - do wyświetlania planu podróży oraz do zapamiętywania wyborów użytkownika dotyczących podróży. Mimo że taka funkcjonalność może być przydatna dla niektórych użytkowników, takie pliki cookie wymagają zgody. Użytkownik musi wiedzieć, jak długo witryna będzie zapisywać dokonane wybory.

Jeżeli użytkownik kupuje bilet z punktu początkowego do punktu końcowego podróży, cel ten można osiągnąć za pomocą sesyjnego pliku cookie. Jeśli jednak zamiarem jest świadczenie dla użytkownika użytkownik usługi, która pozwala stronie internetowej zapamiętać na dłuższy czas wybory dotyczące użytkownika, wymagana jest zgoda na plik cookie, który przechowuje informacje o takich wyborach.

4.9.3. Pliki cookie, w przypadku których zgoda nie jest wymagana

Przykładami plików cookies, które nie wymagają zgody użytkownika są:

  1. pliki cookie służące do wprowadzania danych przez użytkownika (identyfikator sesji), na przykład pliki cookie wykorzystywane przez pierwszą stronę (administratora), które służą do gromadzenia danych wprowadzanych przez użytkownika podczas wypełniania formularzy online, koszyka z zakupami itp.;
  2. pliki cookie służące do uwierzytelniania (identyfikacji użytkownika) - podczas sesji;
  3. Pliki cookie związane z bezpieczeństwem użytkownika, a używane do wykrycia naruszenia uwierzytelniania - przez ograniczony, stały okres;
  4. pliki cookie związane z funkcjonowaniem odtwarzaczy multimedialnych, a używane do przechowywania danych technicznych, które służą do odtwarzania treści wideo lub audio – w trakcie sesji;
  5. pliki cookie służące do równoważenia obciążenia - w trakcie sesji;
  6. pliki cookie służące do dostosowywania ustawień użytkownika, takich jak preferencje dotyczące języka lub tła - podczas sesji (lub nieco dłużej);
  7. pliki cookie służące do udostępniania treści poprzez wtyczki społecznościowe podmiotów trzecich.

Poza wyjątkowymi przypadkami jedyną podstawą prawną do umieszczania plików cookie jest zgoda.

Jeżeli strona internetowa wykorzystuje wyłącznie pliki cookie, na które zgoda nie jest wymagana, administrator może poinformować użytkownika o istnieniu plików cookie w polityce prywatności, która powinna być dostępna na stronie internetowej. W takim przypadku nie ma obowiązku umieszczania na stronie wyskakującego okienka, które informuje o tym, że witryna wykorzystuje techniczne pliki cookie.

W powyższym przypadku, jeżeli administrator zdecyduje się jednak, by przekazać informacje za pomocą wyskakującego okienka - nie musi pytać o dodatkową zgodę. Wystarczy, że umieści w okienku jasną i zrozumiałą informację o tym, że brak jest obowiązku udzielania zgody.

Przykład złej praktyki
Należy pamiętać, że strona wykorzystuje techniczne pliki cookie.

Zgadzam się

Przykład dobrej praktyki
Informujemy, że strona wykorzystuje techniczne pliki cookie, w celu identyfikacji użytkowników strony podczas sesji. Aby uzyskać więcej informacji na temat technicznych plików cookie wykorzystywanych na stronie, należy kliknąć link: "Polityka prywatności". Naciśnięcie przycisku "Rozumiem” spowoduje zamknięcie niniejszego okienka.

Rozumiem

5. Ocena skutków dla ochrony danych

Przed przystąpieniem do przetwarzania, administrator musi w każdym przypadku uwzględnić charakter, zakres, kontekst i cel przetwarzania oraz to, czy przetwarzanie może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, zgodnie z art. 35 ust. 1 RODO, a także przeprowadzić ocenę skutków dla ochrony danych (DPIA), jeśli uzna, że przetwarzanie może spowodować wysokie ryzyko dla wolności i praw osób fizycznych.

Łotewski organ nadzorczy opublikował listę czynności przetwarzania, dla których przeprowadzenie DPIA jest obowiązkowe. Wykaz ten obejmuje czynności przetwarzania obejmujące systematyczne monitorowanie, śledzenie  lokalizacji lub zachowań osób, których dane dotyczą, a także profilowanie tych osób na dużą skalę.

Przeprowadzenie DPIA jest niezbędne także wówczas, gdy przetwarzanie obejmuje agregowanie, łączenie lub porównywanie odrębnych zestawów danych, jeżeli takie operacje w istotny sposób przyczyniają się do profilowania lub analizy behawioralnej osób, których dane dotyczą. Dotyczy to w szczególności sytuacji, gdy zestawy danych pochodzą z różnych źródeł i gdy przetwarzanie było/jest prowadzone przez różnych administratorów w różnych celach.

Należy zauważyć, że lista łotewskiego organu nadzorczego nie jest wyczerpująca, a podstawowym kryterium oceny, co do konieczności przeprowadzenia DPIA, jest ryzyko dla praw i wolności osób, których dane dotyczą.

Można zauważyć, że ryzyko dla praw i wolności tych osób jest istotnie mniejsze, w przypadku korzystania z technicznych plików cookie oraz nieco mniejsze, w przypadku spersonalizowanych plików cookie.

Stwierdzone ryzyko może zostać też w dużej mierze ograniczone, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, stanowiących zabezpieczenie gromadzonych danych.

Powszechnie uważa się, że stosowanie analitycznych plików cookie, w dostarczanych przez podmioty trzecie, zwiększa ryzyko dla osoby, ponieważ ogranicza możliwość kontroli, kto i w jakim zakresie ma dostęp do danych, oraz w jaki sposób je wykorzystuje.

Inne czynniki, które należy wziąć pod uwagę przy ocenie potencjalnego ryzyka dla praw i wolności osób, obejmują: treść oferowaną przez stronę internetową, racjonalnie oczekiwany poziom anonimowości, treść informacji zgromadzonych w plikach cookie oraz zakres, w jakim informacje o osobie, której dane dotyczą, mogą już znajdować się w posiadaniu podmiotu trzeciego, który dostarcza pliki cookie wykorzystywane do gromadzenia informacji.

Z uwagi na powyższe, łotewski organ nadzorczy zachęca do starannego rozważenia przeprowadzenia DPIA w przypadku, gdy strona internetowa oferuje treści, które można powiązać z danymi osobowymi szczególnej kategorii  (np. strona randkowa lub strona dotycząca usług medycznych), lub z danymi, które mogą być uznane za wrażliwe przez klienta (np. usługi finansowe), a także w innych przypadkach, gdy analiza przeprowadzona przez administratora doprowadzi do wniosku, że przetwarzanie może spowodować wysokie ryzyko dla praw i wolności osoby, której dane dotyczą.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Czy użytkownik powinien mieć możliwość odwołania zgody na pliki cookies?

 

1 Łotewska ustawa o usługach społeczeństwa informacyjnego. Latvijas Vēstnesis, 17.11.2004, nr 183, artykuł 1 pkt 2 akapitu pierwszego.

2 Patrz: publikacja Komisji Europejskiej "Let's be clear" (2011).

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".