Informacja o ich stosowaniu pojawia się praktycznie na każdej stronie internetowej – najczęściej na dolnym pasku bądź w formie wyskakującego okienka, który dla wielu użytkowników jest uciążliwym elementem blokującym dostęp do interesującej go treści. Świadomość, czym są jest także bardzo niska. Mowa oczywiście o plikach cookies, które w porównaniu do tradycyjnych ciasteczek nie są tak smaczne i użyteczne dla konsumentów 🙂 Są z kolei niezwykle pomocne dla ich właścicieli 🙂
Czym są pliki cookies?
Pliki cookies to niewielkie informacje wysyłane przez serwis internetowy odwiedzany przez użytkownika, które są zapisywane na jego urządzeniu końcowym (na przykład na komputerze stacjonarnym, laptopie, smartfonie). Powszechnie nazywane są „ciasteczkami” (z ang. cookie- ciastko). Pełnią one różnorodne funkcje – przede wszystkim większość z nich służy zapewnieniu prawidłowego funkcjonowania strony internetowej. Serwisy korzystają także z takich plików, które pozwalają określić preferencje i zainteresowania użytkownika i na tej podstawie dostosowują wyświetlane na ich stronach treści oraz dopasowują reklamy.
Co zmienia RODO względem ciasteczek?
Korzystanie z plików cookies może prowadzić do pozyskiwania danych osobowych użytkownika serwisu. W takim przypadku, zasadne jest uregulowanie możliwości korzystania z ciasteczek zgodnie z przepisami RODO. Co ciekawe, zdania w tej kwestii są podzielone – wśród specjalistów z zakresu ochrony danych osobowych pojawiły się głosy, iż wystarczające jest wykonanie wyłącznie obowiązków z ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, tj. poinformowanie o stosowaniu plików cookies przy założeniu, iż właściwe jest stosowanie dorozumianej zgody przewidzianej w naszej ustawie krajowej („wyrażonej” poprzez ustawienia przeglądarki). W opinii redakcji RODOkompasu takie stanowisko jest błędne. Co prawda, artykuł 95 RODO stanowi, iż nie nakłada ono dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania danych w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE. Prawo telekomunikacyjne w zakresie ciasteczek jest implementacją dyrektywy wskazanej w art. 95 RODO, tj. dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej. Przepis art. 95 RODO wskazuje zatem, iż dyrektywa 2002/58/WE a w konsekwencji przepisy krajowe przyjęte na jej podstawie (w naszym przypadku – przepisy Prawa telekomunikacyjnego), są przepisami szczególnymi, mającymi pierwszeństwo przed RODO. Przepis ten należy jednakże wziąć pod lupę i szczegółowo przeanalizować. Przede wszystkim należy wskazać, iż dotyczy on wyłącznie przetwarzania danych w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności. Dodatkowo jego zakres jest ograniczony jedynie do wyłączenia zastosowania tych obowiązków przewidzianych przez ROOD, które mają ten sam cel, co obowiązki określone w dyrektywie 2002/58/WE. Na gruncie dyrektywy 2002/58/WE stosowanie plików cookies nie stanowi ogólnodostępnej usługi łączności elektronicznej w publicznej sieci łączności. Oznacza to zatem, iż do czasu przyjęcia rozporządzenia e-Privacy [1], które ma zastąpić dyrektywę 2002/58/WE, zasadne jest stosowanie RODO.
Jeżeli RODO, to jaka podstawa prawna stosowania ciasteczek?
W tym przypadku także nie ma jednomyślnych poglądów. Część specjalistów wypowiada się za koniecznością zbierania wyraźnych zgód spełniających wymogi RODO, część jako podstawę prawną wskazuje uzasadniony interes administratora. Praktyka pokazuje, iż (raczej) zwyciężyła pierwsza koncepcja – serwisy zbierają zgody na stosowanie plików cookies. My także przychylamy się do tej koncepcji🙂
Administratorze, czy wiesz już jak „ugryźć” te ciasteczka? 🙂
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
[1] Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej) – proces legislacyjny tego rozporządzenia jeszcze trwa i nie wiadomo, jaka będzie ostateczna treść tej regulacji.
