W roku 2019 Trybunał Sprawiedliwości Unii Europejskiej orzekł w sprawie Bundesverband Verbraucherzentrale (odpowiednik polskiego urzędu ds. konsumentów) przeciwko Planet49, że zgoda dotycząca plików cookies nie może być oparta o tzw. Opt-Out, czyli domyślnie zgoda jest wyrażona, ale musi zostać udzielona poprzez Opt-In, czyli musimy taką zgodę wyrazić.
Powyższy wyrok szeroko wpłynął na wszystkie serwisy www, które rozpoczęły aktualizację komunikatów cookies na swoich stronach internetowych.
Niestety niektóre serwisy do dziś nie zapewniają zgodności z powyższym wyrokiem, a projekt nowego Prawa Komunikacji Elektronicznej, który najprawdopodobniej wejdzie w życie jeszcze w tym roku, zawiera kary nawet do 1 mln zł i na dzień dzisiejszy jest spójny z powyższym wyrokiem, w związku z czym dostosowanie swoich stron do poniższych interpretacji nie ominie nikogo.
Jak więc przygotować strony i nasze ciasteczka ?
Zgody dla plików cookies powinniśmy dostosować odpowiednio dla:
Cookies niezbędne do działania strony...
...dla których zgoda nie jest wymagana, jeżeli przechowywanie lub uzyskanie dostępu do informacji przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest konieczne do dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną (czyli przeglądanie strony internetowej).
Zgody nie wymaga się, jeśli pliki cookie są niezbędne do zapewnienia prawidłowego funkcjonowania witryny w zakresie zarządzania bezpieczeństwem czy dostępnością (np. sesyjne pliki cookie),
Pliki cookie, które nie wymagają zgody, można wyłączyć zmieniając ustawienia przeglądarki, przy czym należy mieć na uwadze, że zmiana ustawień może spowodować nieprawidłowe funkcjonowanie odwiedzanej przez internautę strony internetowej.(newsletter UODO 7/2019).
Nie ma obowiązku stosowania możliwości wyrażenia sprzeciwu na wykorzystanie plików niezbędnych do dostarczenia usług komunikacji wtedy kiedy: - stosowanie cookies jest wyłącznym celem umożliwienia lub ułatwienia komunikacji elektronicznej; lub
- jest bezwzględnie niezbędne do świadczenia usługi komunikacji online na wyraźne żądanie użytkownika.
Należy zapewnić jednak pełną przejrzystość w odniesieniu do tych operacji, użytkownicy muszą być poinformowani o ich istnieniu oraz celach, np. poprzez zamieszczenie tych informacji w polityce prywatności.
Inne cookies (śledzące, analityczne, marketingowe)
Pliki Inne cookies wymagające zebrania zgody nie mogą być wykorzystywane do zapisywania ani odczytywania, jeżeli użytkownik nie wyraził uprzednio zgody. Zgoda musi być wyrażona w sposób dobrowolny, konkretny, świadomy oraz jednoznaczny, za pomocą oświadczenia lub wyraźnego działania potwierdzającego.
Cookie alert musi być zaimplementowany w taki sposób by przed jego wyświetleniem ładowały się wyłącznie ciasteczka sesyjne. Gdy użytkownik kliknie: zgadzam się ładowane są wszystkie narzędzia analityczne, gdy kliknie: nie zgadzam się przechodzi do witryny bez dodatkowych narzędzi analitycznych (jedynie cookie sesyjne).
Osoba której dane dotyczą musi być w stanie udzielić swojej zgody w sposób niezależny oraz konkretny w odniesieniu do każdego odrębnego celu.
Można dać użytkownikowi możliwość wyrażenia zgody w sposób globalny, pod warunkiem jednak, że uzupełnia to, a nie zastępuje możliwość wyrażenia konkretnej zgody na każdy cel. W związku z tym, globalna akceptacja ogólnych warunków użytkowania nie może być skutecznym sposobem zebrania zgody, jeżeli nie może ona być wyrażona oddzielnie w odniesieniu do każdego z celów, (Wytyczne CNIL (francuski ogran) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337)
Możemy więc akceptować globalnie pliki inne cookies, ale musimy dać możliwość już w momencie wyrażenia zgody wybrania tylko jednego konkretnego celu.
Informacje muszą być zapisane w widoczny, zrozumiały i czytelny sposób przedstawiając sens zamierzonego przetwarzania oraz muszą umożliwiać użytkownikom uzyskanie pełnej informacji na temat zastosowanych plików śledzących. Informacje te należy zamieścić w polityce prywatności, w związku z czym należy zidentyfikować wszystkie podmioty stosujące pliki śledzące, umieścić taką informację w polityce prywatności i zamieścić taką informację w alercie cookies z linkowaniem do polityki.
Zgoda musi być rozliczalna, co oznacza, że podmioty korzystające z plików śledzących muszą wdrożyć mechanizm umożliwiający im wykazanie, w każdym momencie, że zebrali ważną zgodę swoich użytkowników.
Odmowa lub wycofanie zgody musi być równie łatwe jak jej udzielenie (RODO, kara https://uodo.gov.pl/decyzje/ZSPR.421.7.2019), dlatego musi istnieć łatwo dostępny mechanizm, który pozwoli użytkownikowi w każdym momencie wyłączenie cookies śledzących.
Prawidłowo zaimplementowany mechanizm cookies, można podejrzeć oczywiście na naszej stronie wchodząc w zakładkę https://www.rodo.pl/polityka-prywatnosci i klikając ustawienia cookies lub otwierając naszą stronę w trybie incognito.
Pozdrawiamy,
Zespół rodo.pl
Źródło:
Wytyczne CNIL (francuski ogran) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337
newsletter UODO 7/2019