W polskim ustawodawstwie nie ma definicji plików cookies. Prawo telekomunikacyjne wskazuje jedynie na ich funkcję: przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego.
W praktyce pliki cookies to niewielkie pliki tekstowe przechowywane w pamięci przeglądarki. Przesyłane są przez odwiedzane strony w celu poprawienia szybkości i efektywności ich działania oraz pozwalają właścicielowi strony na pozyskanie informacji o użytkowniku.
Sesyjne cookies: są to tymczasowe informacje przechowywane w pamięci przeglądarki do momentu zakończenia sesji przeglądarki lub wylogowania z danej strony internetowej;
Stałe cookies: pliki stałe nie zostają usunięte wraz z zamknięciem przeglądarki, a czas przechowywania w nich informacji jest określony indywidualnie w każdym pliku cookie.
Niezbędne pliki cookies: wykorzystywanie tych plików jest konieczne do poprawnego funkcjonowania strony internetowej.
Analityczne pliki cookies: pliki umożliwiające administratorowi strony dokonywać pomiary, np. liczby wizyt, i zbierać informacje o źródłach ruchu oraz w inny sposób badać sposób wykorzystywania strony internetowej.
Funkcjonalne pliki cookies: pliki te mają na celu zapamiętanie ustawień użytkownika (np. w zakresie wybranego języka, w którym wyświetlają się treści, lokalizacji użytkownika, ustawień czcionki czy spersonalizowanego wyglądu strony internetowej).
Reklamowe / marketingowe pliki cookies: pliki służące dostosowaniu wyświetlanych treści reklamowych do preferencji użytkownika
third party cookies - cookies podmiotów trzecich, tj. innych, niż administrator strony, którą odwiedza użytkownik.
W tym kontekście warto też wspomnieć o zero party data. tj. danych dobrowolnie przekazanych przez użytkownika (np. w formularzu online).
Wykorzystywanie plików cookies jest regulowane przepisami ustawy Prawo telekomunikacyjne. Ma ona zostać zastąpiona przez nową regulację (tzw. Prawo Komunikacji Elektronicznej), stanowiącą implementację dyrektywy unijnej, przy czym brzmienie ostatniego projektu Prawa Komunikacji Elektronicznej nie zmienia obecnych zasad wykorzystywania plików cookies.
Ponadto do stosowania plików umożliwiających śledzenie aktywności użytkowników sieci zastosowanie będą miały przepisy o ochronie danych osobowych. Z jednej strony pozyskiwanie danych o użytkownikach w wielu przypadkach będzie skutkowało przetwarzaniem ich danych osobowych, z drugiej zaś przepisy Prawa telekomunikacyjnego wprost odwołują się do standardu RODO w zakresie wymogów zgody na wykorzystywanie plików cookies.
Pliki cookies oraz podobne technologie można wykorzystywać, jeżeli jest to niezbędne do (i) transmisji komunikatu lub (ii) świadczenia usługi komunikacyjnej lub elektronicznej na żądanie użytkownika.
W pozostałych przypadkach stosowanie plików cookies lub analogicznych rozwiązań technicznych wymaga spełnienia określonych wymagań:
abonent lub użytkownik musi zostać uprzednio i bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o celu przechowywania i uzyskiwania dostępu do informacji, jak i o możliwości samodzielnej zmiany ustawień prywatności za pomocą ustawień oprogramowania lub konfiguracji usługi;
użytkownik wyrazi zgodę na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym;
przechowywanie informacji lub uzyskiwanie do nich dostępu w wyniku stosowanej technologii nie spowoduje zmian konfiguracyjnych w urządzeniu końcowym i oprogramowaniu zainstalowanym w tym urządzeniu.
Zgoda użytkownika musi spełniać wymogi wskazane w prawie ochrony danych osobowych, tj. zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Zgoda użytkownika musi spełniać wymogi wskazane w prawie ochrony danych osobowych, tj. zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Z obowiązujących przepisów nie wynika wprost czy konieczne jest, aby zgoda na wykorzystywanie plików cookies miała charakter wyraźnego, a nie dorozumianego działania użytkownika. Sprowadza się to do pytania, czy jeżeli użytkownik wchodzi na stronę internetową i zostaje poinformowany o wykorzystywaniu plików cookies (np. do celów analitycznych), to czy można uznać, że w sposób dorozumiany wyraził on zgodą na wykorzystywanie plików cookies jeśli kontynuuje korzystanie ze strony. Analogicznie, czy fakt, że użytkownik dostosował do swoich preferencji ustawienia plików cookies za pomocą wykorzystywanej przeglądarki internetowej zwalnia administratora strony z obowiązku zapytania o wyrażenie zgody na wykorzystywanie plików cookies w odrębnym banerze / okienku pop-up. Orzecznictwo i stanowiska organów ochrony danych wskazują na obowiązek aktywnego udzielenia zgody.
Prezes UODO uznał, że powiadomienie użytkownika o wykorzystywaniu plików cookies z założeniem, że samodzielnie dostosuje on swoje preferencje w opcjach wykorzystywanej przeglądarki jest niewystarczające i nie spełnia wymogów ważnej zgody na wykorzystywanie plików cookies (przedsiębiorca stosował na stronie jedynie komunikat informujący o wykorzystywaniu plików cookies, nie dając użytkownikowi bezpośrednio możliwości podjęcia jakiejkolwiek decyzji w tym zakresie).
Na poziomie unijnym Trybunał Sprawiedliwości badał, czy komunikat o stosowaniu plików cookies, w którym zgody na wykorzystywanie plików cookies są automatycznie zaznaczone (użytkownik może je odznaczyć), są zgodne z prawem. Trybunał wskazał, że takie rozwiązanie nie jest dopuszczalne - do wyrażenia zgody niezbędne jest działanie użytkownika. Użytkownik powinien mieć możliwość swobodnego, konkretnego i świadomego wyrażenia woli, np. poprzez zaznaczenie tick-box’u.
Podobne stanowisko zajął francuski organ ochrony danych, CNIL. Francuski organ w swoich wytycznych wskazał, że zgoda musi być wyrażona poprzez aktywne i świadome działanie użytkownika. Sam fakt przeglądania strony internetowej lub korzystania z aplikacji mobilnej nie jest uznawane za jednoznacznie aktywne działanie, które można uznać za ważną zgodę. Podobnie – zdaniem CNIL – wykorzystywanie komunikatów, na których wszystkie zgody są już zaznaczone nie spełnia warunków stawianych ważnej zgodzie na wykorzystywanie plików cookies.
Wykorzystywanie plików cookies może wiązać się z przetwarzaniem danych osobowych. Administrator strony internetowej przetwarzając takie dane powinien zapewnić prawną podstawę przetwarzania. W ramach wykorzystywania plików cookies najczęściej taką podstawą jest:
realizacja prawnie uzasadnionego interesu administratora (np. na wykorzystywanie danych osobowych do celów marketingowych);
niezbędność do wykonania umowy lub do podjęcia działań przed zawarciem umowy - na żądanie użytkownika (np. w celu identyfikacji użytkownika, gdy jest to niezbędne do działania strony internetowej).
Podstawa prawna przetwarzania danych nie może być utożsamiana ze zgodą wynikającą z przepisów prawa telekomunikacyjnego – tym samym nawet, jeżeli podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów administratora, to wykorzystywanie plików cookies, które nie są niezbędne, wymaga uzyskania zgody.
Tworzenie profilu użytkownika wiąże się z procesem określanym profilowaniem. Zgodnie z RODO profilowanie polega na zautomatyzowanym przetwarzaniu danych osobowych (np. zgromadzonych za pomocą plików cookies) w celu oceny czynników osobowych danej osoby, np. analizy lub prognozy aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
W świetle jednej z niedawnych decyzji Prezesa UODO istotne znaczenie dla przedsiębiorców tworzących profile marketingowe na podstawie danych z plików cookies ma pełna świadomość przebiegu procesów profilowania i możliwość transparentnego przedstawienia informacji o nich użytkownikom. W szczególności przedsiębiorcy tworzący profile behawioralne powinni być w stanie określić na jakiej podstawie są one tworzone (jakie dane zostały do tego celu wykorzystane, z jakimi informacjami zostały połączone) oraz jakie kategorie marketingowe zostały przypisane do określonego profilu. Przedsiębiorca stosujący profilowanie powinien poinformować o nim użytkowników i być przygotowanym do realizacji praw, w szczególności dostępu do danych.
Biorąc pod uwagę praktyczną doniosłość plików cookies w obszarze marketingu, można zastanawiać się, czy nie czeka nas ciasteczkowa rewolucja. Największe podmioty cyfrowe zapowiedziały bowiem rezygnację z obsługi plików cookies podmiotów trzecich (third party cookies) lub przyznanie użytkownikom znacznie pełniejszej kontroli nad przepływem informacji.
Działania te mają służyć zwiększeniu prywatności użytkowników. Jednocześnie podnosi się, że mogą one skutkować ograniczeniem możliwości profilowania oraz pozyskiwania informacji o konsumentach przez mniejsze podmioty, co może mieć negatywne skutki dla konkurencji.
Nawet jeśli jednak dojdzie do wykluczenia stosowania plików cookies podmiotów trzecich, nie wydaje się, by spowodowało to zaprzestanie tworzenia profili behawioralnych czy innego przetwarzania danych osobowych pochodzących z plików cookies do celów marketingowych. Można spodziewać się zwiększenia znaczenia wykorzystywania innych technologii śledzących, przy jednoczesnym dążeniu do zwiększania ochrony prywatności użytkowników.
Unijna strategia Zielonego Ładu oraz ambicje dotyczące redukcji emisji gazów w krajach członkowskich dotyczą wszystkich polskich przedsiębiorców z uwagi na członkostwo Polski w Unii Europejskiej. Wyzwanie może stać się szansą na uzyskanie przewagi konkurencyjnej i przyspieszenie tempa zmian, jeśli zostanie uwzględniona...
ESG to nie jest tylko kwestia regulacji. Konsumenci coraz bardziej doceniają zrównoważony rozwój i są gotowi za niego zapłacić.
80% towarów będących przedmiotem handlu przechodzi przez globalne łańcuchy dostaw. To duża liczba. Wynika z tego, że przy odpowiednim zarządzaniu łańcuchy dostaw mogą stać się jedną z najważniejszych dźwigni dla firm, pomagając im wywierać pozytywny wpływ na świat.
Ochrona danych osobowych i prywatności realizowana w ramach ESG to relatywnie nowe zagadnienie, niemniej szczególnie ważne z uwagi na coraz liczniejsze obowiązki regulacyjne w tym obszarze oraz rosnącą świadomość konsumentów i użytkowników końcowych dotyczącą przetwarzania ich danych osobowych.
Czy biznes może wspierać bioróżnoroność? Eksperci PwC opowiadają o polityce UE dotyczącej bioróżnorodności oraz wybranych dobrych praktykach.
Dyrektywa CSRD - kogo obejmą nadchodzące zasady raportowania? Jakie informacje należy przygotować i przeanalizować? A przede wszystkim, kogo obejmą nadchodzące zmiany?
Do czego przyczyni się wprowadzenie transparentności wynagrodzeń? Zapoznaj się z naszymi predykcjami HR na 2023 rok.
Czym jest greenwashing oraz jak mu przeciwdziałać? Co można zrobić, aby zminimalizować ryzyko naruszenia przepisów konsumenckich? Dowiedz się od ekspertów PwC.
