Aktualności

powrót

Pliki Cookies – uwarunkowania prawne dotyczące plików Cookies.

23.08.2021
Pliki Cookies – uwarunkowania prawne dotyczące plików Cookies.

🔹🔹🔹Do dziś najważniejszą cechą współczesnej globalizacji była rewolucja w sferze technologii informacyjnych, która sprawiła, że technologie teleinformatyczne, Internet, a także automatyzacja i robotyzacja dotarły do najdalszych zakątków świata, choć tempo zmian i korzystania z dobrodziejstw technologii nie jest równomiernie rozłożone[1].

Gospodarka światowa oparta na swobodnym przepływie towarów i kapitału, któremu towarzyszą szybkie zmiany technologiczne, nie gwarantuje jednak stabilnego rozwoju wolnego od zagrożeń i turbulencji[2].

Zbiory danych dostawców usług internetowych, punktów wymiany Internetu
i sieci akademickich, głównie w Europie, pokazują unikalny obraz zmian
w ruchu internetowym spowodowanych pandemią i blokadą, która zmusiła setki milionów obywateli do pozostania i pracy w domu. Analiza pokazuje, że wzrost ruchu w Internecie wyniósł około 15-20% w ciągu kilku tygodni, co zwykle jest rozłożone na wiele miesięcy przy typowej eksploatacji.[3].

 

Wymóg dotyczący plików Cookies.

 

1.1.Co to są pliki Cookies?

Pliki Cookies (tzw. „ciasteczka”) to dane informatyczne, w szczególności pliki tekstowe w postaci szeregu liter i cyfr, przechowywane w komputerze użytkownika i przeznaczone do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na komputerze użytkownika oraz unikalny numer.

 Wyróżnia się dwa rodzaje plików Cookies:

  • sesyjne” (session Cookies) –  to pliki tymczasowe, które przechowywane są w komputerze użytkownika do czasu wylogowania, opuszczenia strony internetowej lub zamknięcia przeglądarki,
  • “stałe” (persistent Cookies) – te pliki przechowywane są w komputerze użytkownika  przez czas określony w parametrach plików Cookies lub do czasu ich usunięcia przez użytkownika.

W zależności od strony internetowej i jej celu, inny może być rodzaj wykorzystywania plików Cookies. Mogą być one wykorzystywane, np. do:

  • zapamiętywania haseł i loginów,
  • zapamiętywania danych w wypełnianym formularzu (automatyczne uzupełnianie formularzy),
  • analizy czasu spędzanego na danej stronie,
  • zapamiętywania informacji o sposobie korzystania ze strony,
  • zapamiętywania wybranych przez użytkownika ustawień i preferencji,
  • opracowania danych statystycznych, która podstrona/artykuł jest najbardziej popularna.

W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików Cookies
w komputerze użytkownika. Użytkownicy mogą dokonać w każdym czasie zmiany ustawień dotyczących plików Cookies lub je zablokować. Zmiany lub blokady dokonuje się w ustawieniach przeglądarki.

Przykład 1.1.1. Gdy piliki Cookies („ciasteczka”) będą zablokowane, strona nie będzie pamiętać ustawień, preferencji, czy haseł użytkownika. Wiąże się to z koniecznością wypełniania tych samych danych za każdym razem wchodzenia na stronę.

Dane osobowe to informacje pozwalające na rozpoznanie konkretnej osoby. Czasem do jej identyfikacji wystarczy jedna informacja (np. najwyższa osoba
w zespole), czasem tych informacji musi być więcej (np. imię, nazwisko i data urodzenia). Zdarza się, że ta sama dana w jednym miejscu pozwala na zidentyfikowanie konkretnej osoby (np. numer PESEL w urzędzie gminy),
a w drugim już nic nie znaczy (np. PESEL zapisany na kartce papieru). Daną osobową może być również adres IP, ale tylko wtedy, gdy za jego pomocą można wskazać konkretną osobę.

A zatem, jeśli adres IP nie identyfikuje konkretnej osoby – nie można go uznać za daną osobową. A skoro, w takim przypadku poprzez adres IP nie da się nikogo zidentyfikować  – nie można mówić o przetwarzaniu danych osobowych, przy przetwarzaniu piklów Cookies („ciasteczek”).

 

1.2.Zgoda na pliki Cookies.

Od 22 marca 2013 roku każdy właściciel strony internetowej, która używa plików Cookies („ciasteczek”), ma obowiązek informować o tym swoich użytkowników zgodnie z przepisami ustawy z dnia 16 lipca 2004 r.Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800) tj. z dnia 23 lutego 2021 r. (Dz.U. z 2021 r. poz. 576)[4].

Każda osoba odwiedzająca stronę (witrynę) ma prawo do informacji, czy strona używa plików Cookies. Co więcej, ma prawo dowiedzieć się, do czego pliki Cookies służą i jak je wyłączyć. Użytkownik strony na podstawie udzielonej informacji podejmuje decyzję, czy chce dalej korzystać ze strony.

Zgoda na Cookies jest uregulowana przede wszystkim przez ustawę Prawo telekomunikacyjne oraz unijną Dyrektywę o łączności (e-privacy)[5]. Te przepisy istnieją w Polsce od dobrych kilku lat. Wspomniane akty prawne nakazują właścicielom stron internetowych uzyskanie zgody na stosowanie i przechowywanie plików Cookies w komputerach użytkowników.

Jako zgodę rozumie się świadome i wyraźne okazanie woli.

Przepisy ustawy Prawa Telekomunikacyjnego wskazują, że zgoda na pliki Cookies powinna spełniać wymogi przewidziane dla wyrażania zgód stosownie do przepisów Rozporządzenia. To oznacza, że zgoda musi być wyrażona dobrowolnie, świadomie, jednoznacznie i konkretnie, w formie oświadczenia woli lub jednoznacznego działania potwierdzającego ze strony użytkownika strony (witryny).

W praktyce oznacza to, że zgoda:

  • nie może być domyślnie zaznaczona, a checkboxy na jej wyrażenie powinny być odznaczone;

Przykład 1.2.1.  To jeden z najczęściej popełnianych błędów, tzn., gdy użytkownik wchodzi na stronę, jest tam nawet możliwość zaznaczenia na jakie pliki Cookies się zgadza, ale wszystkie są domyślnie zaznaczone – konieczne jest odznaczenie określonej zgody – to jest błędne także dlatego, że powoduje, że pliki Cookies działają już po samym wejściu na stronę, zanim jeszcze użytkownik może tej zgody udzielić lub nie.

 

  • zgoda nie może obejmować wszystkich celów naraz i dawać użytkownikowi możliwość wyboru na co się zgadza a na co nie;

Przykład 1.2.2.  Użytkownik strony internetowej może chcieć wyrazić zgodę na pliki Cookies związane z analityką, ale może nie chcieć wyrazić zgodny na pliki Cookies służące od marketingu usług własnych właściciela strony internetowej.

 

  • zgody nie mogą być ukryte;

Przykład 1.2.3.  Informacja w tym zakresie jest dostępna dopiero po „przeklinaniu” się przez pół strony.

 

  • osoba, która wyraża zgodę, musi wiedzieć na co się zgadza;

 Przykład 1.2.4. Informacje wyjaśniające w jakim celu wykorzystywane są dane pliki Cookies powinny być czytelne i zrozumiałe dla użtkownika.

 

1.3.Zgoda na pliki Cookies w kontekście RODO.

Unijne rozporządzenie[6] wymaga zaś świadomej zgody na konkretny cel, o ile przetwarzane dane pozwalają na identyfikację osoby do której należą. Zgodnie bowiem z art. 11 Rozporządzenia jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji, wyłącznie po to, by zastosować się do RODO.

Dopiero, gdy pliki Cookies mogą mieć charakter danych osobowych, należy dostosować do RODO treść informacji podawanych przy okazji ich instalowania.

Przykład 1.3.1. Jeśli więc, np. ktoś jest zalogowanym użytkownikiem Google i pliki Cookies pozwalają identyfikację, wówczas wymagana jest  zgoda, i to już na konkretny cel, a nie ogólna. Co więcej użytkownik sam musi zaznaczyć przycisk „akceptuję”, nie może on być z góry zaznaczony na „tak”.  Pokazuje to kara dla Google. Francuski odpowiednik Urzędu Ochrony Danych Os obowych w Polsce ukarał Google za to, że zbierał zbiorczą zgodę na całą politykę prywatności i przetwarzanie danych w różnych celach. Tymczasem zgoda musi być konkretna, czyli profilowanie w celu wyświetlania reklamy, dopasowania usług w mapach Google.  Jeżeli na podstawie Cookies podejmowana jest automatycznie decyzja o tym, jaką reklamę pokazać, to zdaniem Grupy Roboczej (obecnie Europejskiej Rady Ochrony Danych) występuje profilowanie, i to w dodatku kwalifikowane, które wymaga odrębnej zgody.

 

1.4.Odpowiedzialność z tytułu niewykonania obowiązków dotyczących plików Cookies.

Prezes Urzędu Komunikacji Elektronicznej (UKE), w drodze decyzji, może nałożyć na podmiot nie stosujący się do obowiązujących przepisów nt. ciasteczek karę w wysokości do 3 % jego przychodu. ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Z ustawy wynika, że może to być nawet 500 tysięcy złotych.

Niezależnie od kary pieniężnej dla podmiotu, którego własnością jest strona, Prezes UKE może nałożyć także karę na kierującego przedsiębiorstwem, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego przedsiębiorcy telekomunikacyjnego lub związku takich przedsiębiorców, karę pieniężną w wysokości do 300% jej miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.

 Tak więc osoba odpowiedzialna za brak informacji nie będąca właścicielem strony, ale np. pracownikiem właściciela także może podlegać karze.

 

[1] F. Carbonero, E. Ernst, E. Weber, Research Department Working Paper No. 36. Robots worldwide: The impact of automation on employment and trade, October 2018, https://www.ilo.org/wcmsp5/groups/public/—dgreports/—inst/documents/publication/wcms_ 648063.pdf

[2]International Monetary Fund. 2019. World Economic Outlook: Global Manufacturing Downturn, Rising TradeBarriers. Washington, DC, October:

[3] Anja Feldmann, Oliver Gasser, Franziska Lichtblau, Eric Pujol, Igmar Poese, Christoph Dietzel, Daniel Wagner, Matthias Wichtlhuber, Juan Tapiador, Narseo Vallina-Rodriguez Implications of the COVID-19 Pandemic on the Internet Traffic Broadband Coverage in Germany; 15th ITG-Symposium.

[4] Art. 174 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. 2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. 3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do: 1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej; 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego. 4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy: 1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania; 2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta; 3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.

[5] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności
i łączności elektronicznej).

[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Najnowsze Aktualności

Go to top

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Prywatności. Możesz zmienić sposób zapisu i dostępu do plików cookies w Twojej przeglądarce.
Dowiedz się jak przetwarzamy Twoje dane osobowe w naszej polityce prywatności. Rozumiem