Czym są pliki cookies? Jak do wdrożenia technologii cookies powinni podejść właściciele serwisów internetowych?
Dla każdego użytkownika Internetu komunikaty informujące, że odwiedzana przez nich strona www wykorzystuje technologię plików cookies, nie są żadnym zaskoczeniem. Początkowo komunikaty dotyczące „ciasteczek” miały bardzo prostą budowę. Krótki komunikat informował o możliwości wyrażenia zgody na wykorzystywanie plików cookies za pomocą programu zainstalowanego na urządzeniu użytkownika. Jednak orzecznictwo sądowe i praktyka z każdym rokiem stawiają plikom cookies coraz wyższe wymagania. Dlatego od pewnego czasu widać więcej skomplikowanych i rozbudowanych komunikatów, zarówno w formie bannerów czy checkboxów, jak i list zaufanych partnerów serwisów. Dobrze jest więc prześledzić, jak prawidłowo informować o stosowaniu technologii cookies na swojej witrynie internetowej.
Czym są pliki cookies?
Warto przypomnieć, czym właściwie są cookies, czyli tzw. ciasteczka. Są to niewielkie informacje wysyłane przez serwis internetowy, który odwiedzamy. Małe pliki zapisują się na komputerze lub smartfonie, z których korzystamy podczas przeglądania stron www. Ciasteczka używane są najczęściej w celu: optymalizacji procesu korzystania ze stron www, gromadzenia danych statystycznych, ulepszania struktury i zawartości strony www. Ciasteczka umożliwiają także zapamiętanie naszych preferencji i personalizowanie stron internetowych w zakresie wyświetlanych treści oraz dopasowania reklam.
Stanowisko TSUE
Wątpliwości związane ze stosowaniem technologii cookies nasiliły się pod koniec 2019 r. w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie Planet 49 C – 637/17, który w dniu 1 października 2019 r. orzekł, że do wyrażenia zgody na instalację plików cookies konieczna jest zgoda użytkownika. Rynek musiał odejść od powszechnie stosowanej praktyki domyślnie zaakceptowanego okienka wyboru na stronie.
Stanowisko francuskiego organu nadzorczego
Jak istotna jest prawidłowa instalacja plików cookies świadczą niedawno zakończone postępowania przeprowadzone przez francuski organ do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés dalej: CNIL). W grudniu 2020 r. francuski organ nadzorczy nałożył pięć kar finansowych o wartości prawie 140 mln €. Sankcjami zostali ukarani internetowi giganci. Karę w wysokości 100 mln € otrzymało Google, a 35 mln € Amazon za naruszenie krajowych przepisów dotyczących instalacji plików cookies.
Przeprowadzony przez francuski organ nadzorczy test funkcjonalności stron internetowych google.fr oraz amazon.fr wykazał, że:
• na komputerach użytkowników automatycznie instalowały się pliki cookies (w tym także także cookies reklamowe),
• pliki cookies instalowały się bez zgody i wiedzy użytkownika,
• bannery i checkboxy nie zawierały wyraźnej informacji dotyczącej zasad instalacji plików cookies na stronie internetowej,
• użytkownicy nie mieli zagwarantowanej możliwości skutecznego wniesienia sprzeciwu wobec procedury instalacji plików cookies na ich urządzeniach.
Z ustaleń poczynionych przez CNIL wynika, że po wejściu na wyżej wskazane strony internetowe banery, które wyświetlały treści o charakterze reklamowym, nie zawierały żadnych informacji pozwalających użytkownikowi na zapoznanie się z procedurą instalacji plików cookies na stronie internetowej.
Zarówno u Amazona jak i Google CNIL stwierdził naruszenia przepisów dotyczących instalowania plików cookies. Kontrola spółki ujawniła, że witryna internetowa amazon.fr, bez uprzedniej zgody użytkowników, instalowała pliki cookies, w tym te o charakterze reklamowym. Do tego przekazywane użytkownikom informacje dotyczące plików cookies były formułowane w sposób niejasny i niekompletny.
CNIL ustalił, że zamieszczone na stronie informacje nie dawały użytkownikowi możliwości zrozumienia, że pliki cookies instalowane na jego urządzeniu są wykorzystywane głównie do wyświetlania spersonalizowanych reklam.
Francuski regulator nakazał ukaranym firmom udzielenie użytkownikom odpowiedniego zakresu informacji dotyczących zasad instalacji plików cookies. Natomiast za brak realizacji tych zobowiązań ukaranym spółkom grozi grzywna w wysokości 100 tys. € (ok. 444 tys. złotych) za każdy dzień opóźnienia!
Wnioski dla serwisów internetowych posługujących się technologią cookies
Najwyższe w historii kary za nieprawidłowe stosowanie technologii cookies, które zostały nałożone na internetowych gigantów we Francji, dobitnie pokazują, że wspólnotowe organy nadzorcze opowiadają się po stronie prywatności użytkowników Internetu. Wysokość kar ma być przestrogą dla innych administratorów danych zbierających pliki cookie.
Postępowanie francuskiego organu nadzorczego dobitnie pokazuje, że ukarane spółki:
• nie mogą przechowywać reklamowych plików cookies bez uzyskania wcześniejszej zgody użytkowników serwisu,
• powinny w momencie wejścia na stronę google.fr czy amazon.fr przekazywać użytkownikom informacje dotyczące użycia plików cookies i ich instalacji na komputerach czy smartfonach użytkowników,
• respektować wniesione prawo sprzeciwu np. wobec instalacji reklamowych cookies.
Jak do wdrożenia technologii cookies powinni podejść właściciele serwisów internetowych?
Checklista kontrolna:
- określ zakres zbieranych danych oraz do czego są wykorzystywane pliki cookies w polityce prywatności,
- odbierz wyraźną zgodę użytkowników na instalację plików cookies, które służą do personalizacji treści np. w celach reklamowych,
- jasno i wyraźnie informuj swoich użytkowników do czego wykorzystujesz pliki cookies np. w celach statystycznych, reklamowych czy funkcjonalnych,
- zagwarantuj użytkownikowi prawo do wniesienia sprzeciwu wobec instalacji plików cookies.
Źródła:
• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706
• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729
• https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core
• https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
• http://curia.europa.eu/juris/liste.jsf?language=pl&td=ALL&num=C-673/17
• https://panoptykon.org/wiadomosc/cookies-informacje-sledzace-rodo
• https://wszystkoociasteczkach.pl/po-co-sa-ciasteczka/