Stosowanie cookies budzi coraz większe zainteresowanie regulatorów. Szczególnie aktywny na tym polu jest francuski organ nadzorczy ds. ochrony danych osobowych (Commission nationale de l’informatique et des libertés, „CNIL”), który 7 grudnia 2020 r. nałożył karę za niezgodne z prawem stosowanie plików cookies na spółki Google (100 mln Euro) (link) oraz Amazon (35 mln Euro) (link). Kilka tygodni wcześniej, karami z tego tytułu zostały obciążone Carrefour France (2 250 000 euro) oraz Carrefour Banque (800 000 euro) (link).
Dodatkowo, CNIL wyznaczył Google i Amazon termin trzech miesięcy na naprawienie naruszeń wynikających z nieprawidłowego spełniania obowiązków informacyjnych związanych z cookies. Po tym czasie, w razie braku dostosowania się do wytycznych CNIL, nakładane będą grzywny w wysokości 100 tys. euro za każdy dzień zwłoki.
Jaki wpływ na polską praktykę mogą mieć ww. decyzje?
Decyzje CNIL przypominają o tym jak ważne jest przestrzeganie zasad dotyczących korzystania z cookies oraz że ich ewentualne naruszenie może skutkować poważnymi karami.
Przepisy będące podstawą powyższych kar stanowią implementację Dyrektywy 2002/58/WE („Dyrektywa ePrivacy”), która jest również podstawą polskich regulacji dot. cookies. W konsekwencji, wytyczne CNIL mogą stanowić wskazówkę we wdrażaniu wymogów wynikających z polskiej ustawy.
Ponadto, wiele polskich podmiotów rozszerza swoją działalność i przygotowuje strony internetowe z których mogą korzystać klienci we Francji.
Jakie działania są niedopuszczalne w świetle tych kar?
- Zamieszczanie cookies na urządzeniach użytkowników bez zgody osób odwiedzających strony internetowe administratorów. Po wejściu na strony internetowe ukaranych firm, na komputerze użytkowników, bez ich wiedzy i zgody, instalowane były automatycznie cookies,
w tym cookies marketingowe. - Nieodpowiednie informowania o zakresie i celu korzystania z cookies. CNIL uznał że treści notyfikacji zw.
z cookies nie spełniała obowiązków wynikających
z przepisów prawa, tj.:- informacja wyświetlana na dole strony Google o treści „Przypomnienie o prywatności od Google” i dwoma przyciskami („przypomnij mi później” i „udostępnij teraz”) nie powiadamiała użytkowników o umieszczaniu plików cookie na ich urządzeniach oraz o celach ich stosowania w sposób jasny. Ponadto, informacja ta była podawana dopiero po rozpoczęciu zbierania informacji z cookies;
- informacja podawana przez Amazon, tj. „Korzystając z tej witryny, akceptujesz używanie przez nas plików cookie, które umożliwiają oferowanie i ulepszanie naszych usług. Czytaj więcej” została uznana za zbyt ogólną i za niepodającą wystarczających informacji o głównym celu korzystania z cookies (wyświetlaniu spersonalizowanych reklam).
- Nieprawidłowe spełnianie prawa do sprzeciwu przeciwko personalizacji reklam. Gdy użytkownik wyłączał personalizację reklam na stronie Google, jeden
z marketingowych cookies pozostawał na jego komputerze
i dalej odczytywał informacje na serwerze, do którego został podłączony. - Niewystarczające informowanie o sposobie wyrażenia sprzeciwu wobec cookies. Wskazane były również naruszenia wynikające z braku odpowiednio zrozumiałego procesu wyrażania niezgody na cookies lub braku podawania informacji o tym, że niepodanie takiej zgody jest możliwe.
Na co powinni zwracać uwagę administratorzy stron?
Jak wynika z powyższego, strony internetowe powinny być tworzone w sposób, który pozwoli użytkownikom faktycznie uzyskiwać informacje o dotyczących ich procesach oraz decydować o stosowanych wobec nich cookies (które nie są niezbędne dla świadczenia usług). Przede wszystkim:
- w przypadku, w którym prawo wymaga pobierania zgody na cookies, pliki te powinny być umieszczane na urządzeniach użytkowników stron internetowych dopiero po uzyskaniu zgody;
- informacje dotyczące cookies („cookie bannery” oraz polityki cookies) nie powinny być zbyt ogólne i powinny dostarczać informacje o stosowanych cookies i celach ich stosowania, w sposób który umożliwi użytkownikowi zrozumienie na czym polegają cookies wdrożone na stronie;
- administratorzy stron nie powinni korzystać z cookies w innych celach, niż zostało to zadeklarowane użytkownikom;
- mechanizmy wycofania zgody na cookies powinny być zweryfikowane pod kątem skuteczności – wskutek ich stosowania dezaktywowane powinny być wszystkie cookies których dotyczyło wycofanie zgody.
Dotychczasowa praktyka CNIL
Należy podkreślić, że w świetle ostatniej praktyki CNIL ,weryfikacja stosowania plików cookies na ryku nie jest zaskakująca. Organ ten już latem 2019 r. wydał wytyczne dotyczące stosowania cookies (link), które następnie aktualizował w październiku 2020 r. (link). Ponadto, CNIL w swoim planie kontroli na 2020 r. wskazał że tematyka ta będzie przedmiotem jego uwagi (link).
Powyższe wskazuje, że administratorzy mogą uniknąć nakładania dużych kar dzięki bieżącej analizie najnowszych działań organów nadzorczych, ich publikacji i opinii oraz dostosowywanie się do nich. Ochrona danych użytkowników Internetu jest bowiem stale kształtującą się dziedziną, w której pewne kwestie są na bieżąco rozwijane i definiowane. Na gruncie polskim wartościowe jest analizowanie sprawozdań Prezesa Urzędu Ochrony Danych Osobowych z poprzednich lat oraz rocznych planów kontroli sektorowych.
Regulacje dot. cookies obowiązujące w Polsce
Obecnie obowiązujące zasady stosowania cookies w Polsce są zamieszczone w art. 173 ustawy z dnia 16 lipca 2004 r. – prawo telekomunikacyjne. Wskazane tam są konkretne obowiązki związane z przechowywaniem cookies, w tym:
- obowiązki informacyjne (użytkownik musi zostać uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o kwestiach wskazanych w ustawie, w tym o celu przechowywania cookies);
- konieczność uzyskania zgody na przechowywanie cookies (do uzyskania zgody stosuje się odpowiednio przepisy o ochronie danych osobowych).
Powyższe warunki nie mają zastosowania wtedy gdy dostęp do cookies jest niezbędny do dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez użytkownika lub wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej.
Kwestie te mogą ulec zmianie w związku z planowanym zastąpieniem prawa telekomunikacyjnego nową ustawą – Prawo Komunikacji Elektronicznej (link do projektu). W chwili obecnej zapisy dotyczące cookies wciąż są przedmiotem dyskusji, także rekomendowana będzie weryfikacja tych kwestii po ostatecznym uchwaleniu tekstu ustawy. Istotna jest również bieżąca weryfikacja prac nad rozporządzeniem ePrivacy (link).
