Jak należy napisać Politykę Cookie?

Podstawową regulacją w zakresie plików cookie jest Dyrektywa Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. Do polskiego porządku prawnego została ona zaimplementowana poprzez ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Do plików cookie, zdecydowanie mają także zastosowanie przepisy RODO, a przede wszystkim:

• motyw 32, z którego wynika, że pliki cookie mogą identyfikować osobę fizyczną i zawierać jej dane osobowe,
• art. 7, określający zasady wyrażania zgody na przetwarzanie danych,
• art. 12 – czyli przejrzyste informowanie o zasadach przetwarzania danych osobowych,
• art. 13– a więc przekazywany wprost obowiązek informacyjny.

W ostatnim czasie, często mamy do czynienia ze zjawiskiem zwanym „dark patterns” – inaczej ciemnymi wzorcami, które projektanci stron internetowych wykorzystują w celu skłonienia użytkowników do podjęcia określonych zachowań korzystnych z punktu widzenia tych stron, np. do zaakceptowania domyślnego, z reguły jak najszerszego zakresu przetwarzania danych osobowych. Jednocześnie jednak podjęte zachowania są niezamierzone i potencjalnie szkodliwe dla samych użytkowników. W praktyce dark patterns najczęściej spotkać można w pop-upach i banerach dotyczących przetwarzania danych osobowych, np. w postaci świadomego wyróżnienia kolorystycznego przycisku, za pomocą którego wyrażana jest zgoda na umieszczenie na urządzeniu wszystkich plików cookie, podczas gdy przycisk służący do akceptacji jedynie niezbędnych plików pozostaje znacznie mniej widoczny. Tym samym, istotnym elementem, który musi spełniać odpowiednie wymogi, jest baner, za pomocą którego użytkownik wyraża zgodę na korzystanie z plików cookie.

Baner cookie, który jest obecnie uważany za zgodny z wytycznymi, powinien pobierać zgodę na ich wykorzystywanie w taki sposób, aby pliki cookie (z wyjątkiem niezbędnych do funkcjonowania strony internetowej) nie były instalowane na urządzeniu użytkownika, zanim nie wyrazi on w tym celu stosownej zgody. Rekomendowanym działaniem jest zaimplementowanie na stronie internetowej narzędzia klasy CMP (Corporate Performance Management), którym łatwo można zarządzać zgodami użytkownika. Użytkownik poprzez swoje działanie powinien mieć możliwość samodzielnej decyzji o tym, jakie zgody akceptuje, wobec czego nie powinny one być zaznaczane domyślnie.

Bardzo ważne znaczenie mają także okienka służące do wyrażenia zgód – ich treść, kolor oraz kontrast. Wszystkie przyciski powinny być równe i tego samego koloru, a także zostać ustawione w jednym rzędzie, co zapewni ich równowagę. Dzięki temu nie będzie dochodziło do wskazywania, że któryś z przycisków jest ważniejszy. Z tego miejsca użytkownik powinien mieć możliwość modyfikacji swojej zgody. Co istotne, zgodnie z art. 7 RODO, wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. W banerze cookie powinno znaleźć się także odesłanie do Polityki Cookie (link), gdzie użytkownik będzie mógł zapoznać się ze wszystkimi niezbędnymi informacjami.

Europejska Rada Ochrony Danych (EROD) stoi na stanowisku, że osoba fizyczna musi być poinformowana, w jaki sposób pliki cookie będą na nią wpływać. Jeszcze jako Grupa Robocza art. 29, EROD już w 2013 r. wskazywała, co należy rozumieć poprzez treść Polityki Cookie. Można ją również połączyć z Polityką prywatności, opisującą zasady przetwarzania danych, poprzez wydzielenie w dokumencie rozdziału poświęconego zasadom funkcjonowania plików cookie na stronie.

Niezbędnym elementem Polityki jest określenie plików cookie pochodzących od stron trzecich, a więc wskazanie podmiotów, które mają do nich dostęp i zasad ich działania.

Treść Polityki Cookie powinna wprost przekazywać informację o tym, kto jest administratorem danych osobowych, a więc właścicielem strony internetowej, czyli podmiotem decydującym o funkcjonowaniu na niej plików cookie. Należy wskazać adres siedziby administratora oraz dane, za pomocą których można się z nim skontaktować. Jeżeli ma to zastosowanie, wskazujemy także powołanego przez administratora przedstawiciela.

Dalej należy opisać, co rozumiemy jako pliki cookie, np.: „Pliki cookie to pliki, które są pobierane i instalowane na komputerze lub innym urządzeniu, a następnie przechowywane w przeglądarce internetowej podczas wizyty na stronie”.

Ponadto w Polityce powinno się określić cele i podstawę prawną funkcjonowania plików cookie. Zazwyczaj są to pliki funkcjonalne, które gwarantują poprawne działanie strony, a więc nie wymagają zbierania zgody. Zdarzają się jednak również pliki analityczne czy marketingowe, które wymagają wyrażenia zgody na ich stosowanie. Koniecznym jest podkreślenie rodzajów wykorzystywanych plików cookie, czyli wyeksponowanie ich szczegółowej listy, z uwzględnieniem plików, na których korzystanie dana osoba się godzi. Bardzo często wskazuje się, co rozumiemy poprzez niezbędne pliki cookie, a co przez analityczne, pozwalające podać liczbę i źródło odwiedzin na stronie internetowej. Lista plików cookie używanych na stronie powinna wskazywać:

• nazwę pliku,
• cel jego stosowania,
• okres trwałości (żywotność) pliku,
• informację o ich pochodzeniu od strony trzeciej.

Dodatkowo konieczne jest przekazanie informacji o wyrażeniu zgody na korzystanie z plików cookie i wyjaśnienie, co przez nie rozumiemy. Komunikujemy także, w jaki sposób można odrzucić (zmienić) zasady funkcjonowania plików cookie w urządzeniu oraz jak wycofać zgodę (w każdym momencie).

Dobrą praktyką jest wskazywanie na końcu Polityki, na jakich zasadach będą dokonywane zmiany w jej treści i jak będziemy informować daną osobę o dokonanych zmianach.

W 2020 r., swoje wytyczne do sposobu zbierania i wycofania zgody na korzystanie z plików cookie, wydał także CNIL, czyli francuski organ nadzorczy, rekomendując konieczność doinformowania osoby fizycznej o zasadach dokonywania powyższych działań. Ponadto CNIL zasygnalizował, że powinniśmy przekazać informacje o tożsamości administratora, a więc podmiotu decydującego o instalowaniu plików cookie na stronie internetowej i oznaczyć cel zapisywania plików cookie.

Oprócz wytycznych, w 2020 r. CNIL wydał także decyzję w sprawie Amazon, w której wprost odniósł się do stosowanego przez ten podmiot baneru cookie. Według CNIL, po wejściu na stronę internetową, baner ten wyświetlał treści o charakterze reklamowym, jednocześnie nie zawierając wyczerpującej i jasnej informacji zarówno o celu umieszczania plików cookie na urządzeniu użytkownika, jak i o możliwych sposobach wyrażenia sprzeciwu wobec takich czynności, w związku z czym na podmiot ten została nałożona kara. Użytkownik odwiedzający stronę internetową amazon.fr otrzymywał informacje dotyczące plików cookie, niemniej jednak uznano je za niejasne i niekompletne. W ocenie CNIL, baner informacyjny zawierał jedynie ogólne i przybliżone informacje, nieniosące żadnych wartości.

Swoje wytyczne w zakresie plików cookie wydał także brytyjski organ nadzorczy – ICO, zwracając uwagę na konieczność podjęcia przez użytkowników jasnych oraz faktycznych działań w celu wyrażenia zgody na korzystanie z plików cookie, które nie są kluczowe dla funkcjonowania strony. Według ICO, strony internetowe oraz aplikacje muszą jasno przekazać użytkownikom, jakie pliki cookie będą zainstalowane oraz co będą one robiły.

Na koniec należy wspomnieć, iż temat plików cookie wielokrotnie był przedmiotem badania judykatury. Bardzo ważnym wyrokiem w tym zakresie jest wyrok C 673/17 ws. Planet, gdzie TSUE wprost wskazał wszystkie informacje, które powinny znaleźć się w Polityce Cookie, nawiązując do konieczności zawarcia w dokumencie odniesienia do art. 13 RODO. Co istotne, Politykę Cookie należy stworzyć nawet jeśli strona wykorzystuje wyłącznie niezbędne pliki.