Narzędzia do pomiaru oglądalności a pliki cookies
Prowadzenie strony internetowej lub aplikacji mobilnej zazwyczaj wiąże się z koniecznością monitorowania ruchu i analizowania wydajności. Takie statystyki są często niezbędne do prawidłowego świadczenia usług cyfrowych. Jednym z powszechnie stosowanych rozwiązań technicznych umożliwiających zbieranie tych danych są pliki cookies oraz inne, podobne technologie – na potrzeby tego artykułu określane wspólnie mianem „plików cookies”.
Za pośrednictwem takich mechanizmów informacje statystyczne mogą być gromadzone zarówno przez wydawcę (np. aplikacji mobilnej), jak i przez dostawcę konkretnej usługi, np. narzędzia analitycznego. W tym przypadku dostawca pełni rolę procesora (podmiotu przetwarzającego) działającego na rzecz jednego lub wielu wydawców. Dzięki temu możliwe jest prowadzenie analiz porównawczych i generowanie statystyk, które wspierają rozwój usług cyfrowych i optymalizację treści.
Warunki wyłączenia obowiązku uzyskania zgody
Nie zawsze konieczne jest uzyskiwanie zgody użytkownika na stosowanie plików cookies w celach związanych z pomiarem wydajności czy analizą ruchu na stronie internetowej. Polskie przepisy – a konkretnie art. 399 ust. 3 ustawy z dnia 12 lipca 2024 r. – Prawo Komunikacji Elektronicznej – przewidują możliwość stosowania niektórych rodzajów cookies bez zgody użytkownika, o ile spełnione są określone warunki. Przepis ten stanowi implementację unijnej Dyrektywy o prywatności i łączności elektronicznej (ePrivacy Directive), która precyzuje, kiedy stosowanie cookies może odbywać się bez uprzedniej zgody. W praktyce dotyczy to m.in. sytuacji, gdy cookies są niezbędne do świadczenia usługi żądanej przez użytkownika.
Należy jednak pamiętać, że nawet jeśli zgoda nie jest wymagana, użytkownik musi być w sposób przejrzysty poinformowany o stosowaniu wszystkich rodzajów plików cookies oraz ich celu – np. w treści Polityki Prywatności lub Polityki Cookies.
Warto też zwrócić uwagę na podejście wyrażone w hiszpańskich wytycznych, które jednoznacznie wskazują, że brak obowiązku uzyskania zgody nie może prowadzić do:
- kojarzenia anonimowych danych z innymi działaniami przetwarzania,
- przekazywania danych osobom trzecim,
- ani umożliwiania śledzenia użytkownika na różnych stronach internetowych.
W praktyce oznacza to zakaz wykorzystywania identyfikatorów (np. cookies z domen stron trzecich), które pozwalają na śledzenie zachowań użytkowników w skali wielu witryn – w szczególności w celu porównywania lub mierzenia jednolitego zasięgu treści.
Nie wszystkie usługi pomiaru i analizy oglądalności wdrażane przez wydawców lub ich dostawców mieszczą się w zakresie wyłączenia z obowiązku uzyskania zgody użytkownika. Dotyczy to zwłaszcza sytuacji, w których deklarowane jest ponowne wykorzystywanie danych do innych celów – co ma miejsce np. w przypadku komercyjnych usług pomiarowych dostępnych na rynku.
W związku z tym Hiszpańska Agencja Ochrony Danych (AEPD) podkreśla, że jedynie ściśle określone działania analityczne mogą być uznane za absolutnie niezbędne dla prawidłowego funkcjonowania strony internetowej. Są to:
- Pomiar oglądalności – analiza liczby odsłon poszczególnych stron serwisu,
- Referrery – informacje o źródłach ruchu, tj. adresach stron internetowych (zarówno wewnętrznych, jak i zewnętrznych), z których nastąpiło przekierowanie użytkownika do odwiedzanej witryny,
- Dane techniczne – typ urządzenia, przeglądarka, rozdzielczość ekranu – agregowane dziennie,
- Czas ładowania strony – zbierany co godzinę dla każdej podstrony,
- Czas spędzony na stronie, współczynnik odrzuceń, poziom przewijania – dane dzienne dla każdej strony,
- Działania użytkowników – kliknięcia i wybory na stronie, agregowane dziennie,
- Lokalizacja geograficzna – zbierana codziennie, z podziałem na strony.
Każde dalsze przetwarzanie danych wykraczające poza powyższy zakres – zwłaszcza w celach marketingowych, profilowania, łączenia danych z innych źródeł czy ich udostępniania – wymaga uprzedniego uzyskania zgody użytkownika. Dotyczy to zarówno wydawcy strony, jak i ewentualnych dostawców usług analitycznych. Tylko wówczas takie przetwarzanie może być uznane za zgodne z przepisami o ochronie danych osobowych.
Zabezpieczenia wymagane w przypadku wyłączonych plików cookies – minimalne standardy dla wydawców
W przypadku stosowania plików cookies lub podobnych technologii, których użycie nie wymaga uzyskania zgody użytkownika (tzw. cookies wyłączone, np. do celów pomiaru oglądalności), wydawca ma obowiązek wdrożenia określonych środków zabezpieczających. Ich celem jest zapewnienie zgodności z zasadą minimalizacji danych oraz przejrzystości wobec użytkowników.
Minimalne wymagania obejmują:
- Transparentność informacji
Użytkownicy muszą zostać wyraźnie poinformowani – np. w polityce prywatności lub polityce cookies – o stosowaniu plików cookies wyłączonych, wykorzystywanych wyłącznie w celach pomiaru oglądalności.
- Ograniczony czas życia cookies
Żywotność tych plików cookies powinna być ograniczona do okresu umożliwiającego dokonanie miarodajnych analiz porównawczych, np. maksymalnie 13 miesięcy. Co istotne, czas ten nie powinien być automatycznie przedłużany przy każdej kolejnej wizycie użytkownika.
- Maksymalny okres przechowywania danych (retencja)
Dane zebrane za pomocą tych cookies nie mogą być przechowywane dłużej niż 25 miesięcy.
Migracje, chmury, systemy.
RODO w IT.
Współpraca z dostawcą usług pomiaru oglądalności obsługującym wielu wydawców
Jeżeli wydawca korzysta z usług dostawcy, który realizuje pomiar oglądalności dla kilku podmiotów jednocześnie, konieczne jest spełnienie określonych wymogów. Taki dostawca musi zapewnić każdego z obsługiwanych wydawców, że:
- Dane są gromadzone, przetwarzane i przechowywane w sposób całkowicie odseparowany dla każdego wydawcy,
- Pliki cookies (lub podobne technologie) wykorzystywane przez różnych wydawców są od siebie całkowicie niezależne, a także niepowiązane z żadnymi innymi cookies wykorzystywanymi poza zakresem danej usługi.
Dodatkowe zabezpieczenia w przypadku korzystania z zewnętrznych usług pomiaru oglądalności
Gdy wydawca decyduje się na współpracę z zewnętrznym dostawcą usług pomiarowych, zobowiązany jest do wdrożenia dodatkowych środków ochrony danych. W szczególności powinien:
Zawrzeć z dostawcą umowę powierzenia przetwarzania danych osobowych, zgodnie z art. 28 RODO. Umowa ta musi zawierać m.in. jasne zobowiązania dostawcy do:
- Niewykorzystywania ponownie danych zebranych w ramach usługi, bez jakichkolwiek wyjątków,
- Ograniczenia przetwarzania wyłącznie do celów pomiaru oglądalności, i tylko wtedy, gdy jest to bezwzględnie konieczne,
- Respektowania warunków separacji danych w przypadku obsługi wielu wydawców,
- Przestrzegania zasad przekazywania danych poza Europejski Obszar Gospodarczy (EOG), zgodnie z wymogami RODO.
Przeprowadzić oraz udokumentować ocenę zgodności rozwiązania technicznego z ww. wymogami. Wydawca może takiej oceny dokonać we własnym zakresie lub zlecić ją niezależnej stronie trzeciej.
Podsumowywanie
Choć część zastosowań cookies do pomiaru oglądalności może odbywać się bez uprzedniego uzyskania zgody użytkownika, konieczne jest zachowanie najwyższej ostrożności i ścisłe przestrzeganie wymogów technicznych, organizacyjnych oraz prawnych. Kluczowe znaczenie ma tutaj nie tylko zgodność z przepisami krajowymi (takimi jak Prawo Komunikacji Elektronicznej), ale również z ogólnymi zasadami wynikającymi z RODO.
Należy oczekiwać, że zagadnienia związane ze stosowaniem plików cookies – zwłaszcza w kontekście pomiaru oglądalności – będą przedmiotem dalszych interpretacji oraz uszczegółowień zarówno na poziomie krajowego, jak i unijnego prawa. W związku z tym kluczowe znaczenie ma bieżące monitorowanie wytycznych oraz stanowisk organów nadzorczych, które odgrywają istotną rolę w wykładni przepisów w realiach szybko ewoluujących technologii cyfrowych.
Nieprawidłowe stosowanie plików cookies – zarówno poprzez brak wymaganej zgody, jak i wykorzystanie danych w celach niezgodnych z deklarowanym przeznaczeniem – może skutkować poważnymi konsekwencjami prawnymi. Odpowiedzialność za zgodność z przepisami spoczywa nie tylko na dostawcach narzędzi analitycznych, lecz przede wszystkim na administratorach, którzy decydują o sposobach i celach ich wykorzystania. Organy nadzorcze mają prawo kontrolować takie działania, a w przypadku naruszeń – nakładać sankcje.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
W jakich przypadkach możliwe jest stosowanie plików cookies do pomiaru oglądalności bez uzyskania uprzedniej zgody użytkownika?