RODO: Słodko-gorzkie ciasteczka

Komentarz: Tomasz Mamys, Project Manager RODO w Sage Polska

Każdy pewno zauważył, że ostatnio podczas  odwiedzin stron serwisów internetowych coraz częściej pokazują się prośby o wyrażenie zgody na przetwarzanie danych osobowych i profilowanie? Są jednak nieco inne niż te, które zazwyczaj przeklikiwaliśmy – bardziej obszerne. To zasługa niepewności przedsiębiorców, jaką niesie ze sobą rozporządzenie o ochronie danych osobowych (RODO).

Przyzwyczailiśmy się już do tzw. ciasteczek – cookies. Dla porządku, ciasteczko to mały plik, który serwis internetowy wysyła do naszej przeglądarki, ta z kolei zapisuje go na naszym urządzeniu (laptop, smartfon), a później odsyła do serwisu przy kolejnych odwiedzinach tej samej witryny. To dzięki ciasteczkom użytkownik nie musi wpisywać pełnego adresu strony za każdym razem, gdy do niej powraca (bo np. przeszedł na chwilę do innego serwisu, a teraz wraca do danej strony), ulubionych ustawień czy unikalnego numeru przeglądarki, który także do strony www jest zazwyczaj przesyłany.

Między innymi dzięki ustawieniom w plikach ciasteczkowych śledzenie aktywności internautów jest możliwe. Pliki cookies i ich stosowanie na gruncie ciągle jeszcze obowiązujących przepisów o ochronie danych osobowych wymagają jedynie podania użytkownikowi (internaucie) informacji, że strona z tychże ciasteczek korzysta.

Niedługo ta sytuacja może się zmienić i w przypadku wspomnianych we wstępie serwisów internetowych – właśnie się zmienia. Niektóre serwisy, zamiast tylko informować, zaczynają bowiem zbierać od użytkowników zgody na „śledzenie” poprzez ciasteczka.

Czy zgoda na śledzenie jest konieczna?

TAK!

Artykuł 95 RODO wprost nie nakłada dodatkowych obowiązków w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii. Jeszcze nie wiadomo, kiedy zostanie uchwalone rozporządzenie ePrivacy, które ma jednoznacznie nakazać uzyskiwanie jednoznacznych zgód na wykorzystanie cookies. Na pewno ważnym jest stanowisko Grupy Roboczej Artykuły 29, gromadzącej organy ochrony danych osobowych wszystkich państw UE, która to uznała w wytycznych, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna), nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy ePrivacy.

Dla swej ważności więc, każda zgoda na przetwarzanie danych osobowych musi być przez użytkownika udzielona w sposób świadomy (decyzja potwierdzona np. zaznaczeniem okienka dialogowego) i na skonkretyzowany (jeden) cel użycia jego danych. Dlatego właśnie strony internetowe już nie tylko informują nas o samych cookies, ale również pytają nas o zgodę na przetwarzanie danych przed ustawianiem i używaniem ciasteczek śledzących. Istotnym jest również to, by możliwa była opcja niewyrażenie zgody na przetwarzanie danych w celach marketingowych, w tym na profilowanie oraz tak samo prosty mechanizm odwołania, co wyrażenia zgody (art. 7 ust. 3 RODO).

NIE!

Art. 11 RODO może stanowić podstawę do zwolnienia z obowiązku uzyskiwania zgód na stosowanie cookies. Jeżeli cele, dla których przetwarzane są dane osobowe, nie wymagają zidentyfikowania przez przetwarzającego osoby, której dane dotyczą, to przetwarzający nie musi w przypadku cookies zbierać zgód na przetwarzanie.

Prawnie usprawiedliwiony cel przetwarzania[1]

Jeśli pliki cookies służyć mają analityce i reklamie, to można przetwarzanie oprzeć na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej, czyli podmiotu przetwarzającego (art. 6 ust. 1 lit. f RODO). Jest to jak najbardziej możliwa sytuacja ponieważ  przetwarzanie danych osobowych do celów marketingu bezpośredniego jest działaniem w uzasadnionym interesie, bez widocznego rozróżnienia na marketing własny i cudzy.

Informacja czy zgoda?

Sprawa zgody na ciasteczka póki co nie ma jednoznacznego stanowiska prawnego. Główny Inspektor Danych Osobowych dostrzegając problem i jego wagę, analizuje to zagadnienie**. Do czasu rozstrzygnięcia, polskim administratorom stron pozostaje samodzielnie odpowiedzieć na pytanie: czy w związku z RODO zgoda na cookies będzie musiała być wyrażana w sposób świadomy?

Tymczasem, Prawo telekomunikacyjne, które reguluje w Polsce zasady używania plików cookies, pozwala na zgodę dorozumianą, tzn. na samo poinformowanie użytkownika o ich używaniu.

** https://giodo.gov.pl/pl/1520281/9826


[1] Motyw 47 RODO

Źródło: newsrm.tv

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *