P
omimo znaczenia przepisów dotyczących plików cookie są one podzielone między RODO, a dyrektywą o prywatności i łączności elektronicznej. Biorąc pod uwagę powyższe, dokonajmy krótkiej analizy zagadnienia przetwarzania danych osobowych przez ciasteczka, w kontekście RODO.
Pliki cookie to małe pliki tekstowe, które strony internetowe umieszczają na twoim urządzeniu podczas przeglądania. Są przetwarzane i przechowywane przez przeglądarkę internetową. Same w sobie pliki cookie są nieszkodliwe i pełnią kluczowe funkcje na stronach internetowych. Pliki cookie można również ogólnie łatwo przeglądać i usuwać. Idealnym rozwiązaniem, co do wdrożenia bezpieczeństwa informacji, jest program do RODO.
Pliki cookie mogą jednak przechowywać bogactwo danych, wystarczających do potencjalnej identyfikacji użytkownika bez jego zgody. Pliki cookie to podstawowe narzędzie, którego reklamodawcy używają do śledzenia Twojej aktywności online, dzięki czemu mogą kierować reklamy za pomocą ściśle określonych reklam. Biorąc pod uwagę ilość danych, które mogą zawierać pliki cookie, mogą być uważane za dane osobowe w określonych okolicznościach, a zatem podlegają RODO.
Przed przeanalizowaniem, co RODO i dyrektywa o prywatności i łączności elektronicznej mają do powiedzenia na temat plików cookie, niezbędne jest podstawowe zrozumienie różnych rodzajów plików cookie.
Rodzaje ciasteczek
Ogólnie rzecz biorąc, istnieją trzy różne sposoby klasyfikowania plików cookie: w jakim celu służą, jak długo przechowują informacje oraz ich pochodzenie.
Czas przetwarzania danych
Sesyjne pliki cookie – te pliki cookie są tymczasowe i wygasają po zamknięciu przeglądarki (lub po zakończeniu sesji).
Trwałe pliki cookie – ta kategoria obejmuje wszystkie pliki cookie, które pozostają na dysku twardym, dopóki ich nie usuniesz lub przeglądarka zrobi to, w zależności od daty ważności pliku cookie. Wszystkie trwałe pliki cookie mają datę ważności zapisaną w kodzie, ale ich czas trwania może się różnić. Zgodnie z dyrektywą o prywatności i łączności elektronicznej nie powinny one trwać dłużej niż 12 miesięcy, ale w praktyce mogą pozostać na Twoim urządzeniu znacznie dłużej, jeśli nie podejmiesz żadnych działań.
Pochodzenie
Własne pliki cookie – jak sama nazwa wskazuje, własne pliki cookie są umieszczane na Twoim urządzeniu bezpośrednio przez odwiedzaną stronę internetową.
Pliki cookie stron trzecich – są to pliki cookie umieszczane na Twoim urządzeniu. Nie przez odwiedzaną stronę internetową, ale przez stronę trzecią, taką jak reklamodawca lub system analityczny. Najlepszym przykładem jest tzw. pixel Facebook.
Cel, powód przetwarzania
Niezbędne pliki cookie – te pliki cookie są niezbędne do przeglądania strony internetowej i korzystania z jej funkcji, takich jak dostęp do bezpiecznych obszarów witryny. Pliki cookie, które umożliwiają sklepom internetowym przechowywanie produktów w koszyku podczas zakupów online, są przykładem absolutnie niezbędnych plików cookie. Te pliki cookie będą na ogół plikami cookie sesji innych firm. Chociaż uzyskanie zgody na te pliki cookie nie jest wymagane, to, co robią i dlaczego są konieczne, należy wyjaśnić użytkownikowi.
Preferencyjne pliki cookie – nazywane również „funkcjonalnymi plikami cookie”, te pliki cookie umożliwiają witrynie zapamiętanie wyborów dokonanych w przeszłości, takich jak preferowany język, region, dla którego chcesz otrzymywać prognozy pogody lub jaka jest Twoja nazwa użytkownika i hasło możesz się automatycznie zalogować.
Pliki cookie związane ze statystykami – nazywane również „wydajnymi plikami cookie”, te pliki cookie zbierają informacje o tym, jak korzystasz ze strony internetowej, takie jak strony, które odwiedziłeś i które linki kliknąłeś. Żadna z tych informacji nie może zostać wykorzystana do identyfikacji użytkownika. Wszystko to jest agregowane, a zatem anonimizowane. Ich jedynym celem jest poprawa funkcji strony internetowej. Obejmuje to pliki cookie pochodzące z zewnętrznych usług analitycznych, o ile pliki cookie są przeznaczone wyłącznie do użytku właściciela odwiedzanej witryny.
Marketingowe pliki cookie – te pliki cookie śledzą Twoją aktywność online, aby pomóc reklamodawcom w dostarczaniu trafniejszych reklam lub ograniczyć liczbę wyświetleń reklamy. Te pliki cookie mogą udostępniać te informacje innym organizacjom lub reklamodawcom. Są to trwałe pliki cookie i prawie zawsze pochodzą od podmiotów zewnętrznych.
Pliki cookie i RODO
Znasz już główne sposoby klasyfikowania plików cookies. Istnieją również ciasteczka, które nie będą dobrze pasować do tych kategorii lub mogą kwalifikować się do wielu kategorii. Kiedy ludzie narzekają na ryzyko związane z prywatnością związane z plikami cookies, zazwyczaj mówią o trwałych, marketingowych plikach cookies innych firm. Te pliki cookie mogą zawierać znaczne ilości informacji o Twojej aktywności online, preferencjach i lokalizacji. Łańcuch odpowiedzialności (kto może uzyskać dostęp do danych plików cookie) za pliki cookies stron trzecich, również może być problematyczny. Jedynie zwiększając ich potencjał do nadużyć. Być może z tego powodu stosowanie plików cookies stron trzecich spada od czasu przejścia na RODO.
Ogólne rozporządzenie o ochronie danych (RODO) jest najbardziej kompleksowym prawodawstwem w zakresie ochrony danych, które do tej pory uchwalił jakikolwiek organ zarządzający. Jednak na 88 stronach wspomina o plikach cookie tylko raz, w motywie 30.
Te dwie linie stwierdzają, że pliki cookie, o ile są używane do identyfikacji użytkowników, kwalifikują się jako dane osobowe, a zatem podlegają RODO. Firmy mają prawo przetwarzać dane swoich użytkowników, o ile otrzymają zgodę lub mają uzasadniony interes.
Osoby fizyczne mogą być kojarzone z identyfikatorami online dostarczanymi przez ich urządzenia, aplikacje, narzędzia i protokoły. Takie jak: adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory. Mamy tutaj również na myśli identyfikatory częstotliwości radiowych. Może to pozostawić ślady, które w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymanymi przez serwery, mogą zostać wykorzystane do utworzenia profili osób fizycznych i ich identyfikacji.
Dyrektywa w sprawie plików cookie i prywatności elektronicznej
Dyrektywa o prywatności i łączności elektronicznej (EPD), uchwalona w 2002 r. I zmieniona w 2009 r. Stała się znana jako „prawo dotyczące plików cookie”. Jej najbardziej zauważalnym efektem było rozpowszechnianie wyskakujących okienek zgody na pliki cookie po ich wydaniu. Uzupełnia (a w niektórych przypadkach zastępuje) RODO, odnosząc się do kluczowych aspektów poufności komunikacji elektronicznej i szerszego śledzenia użytkowników Internetu.
Zgodność plików cookie
Aby zachować zgodność z przepisami dotyczącymi plików cookie na mocy RODO i dyrektywą o prywatności i łączności elektronicznej, musisz:
- Przed użyciem jakichkolwiek plików cookie, z wyjątkiem ściśle niezbędnych plików cookie, uzyskaj zgodę użytkowników;
- Podaj dokładne i szczegółowe informacje o danych, które śledzi każdy plik cookie. Ponadto wskaż jego cel, w prostym języku przed otrzymaniem zgody;
- Dokumentuj i przechowuj zgodę otrzymaną od użytkowników;
- Zezwalaj użytkownikom na dostęp do Twojej usługi, nawet jeśli nie wyrażą zgody na użycie niektórych plików cookie;
- Ułatw użytkownikom wycofanie zgody by było to tak proste, jak jej wcześniejsze wyrażenie. Zobacz, jak ważna jest anonimizacja danych – kara taksonów 4 x 35.
Rozporządzenie o prywatności i łączności elektronicznej
Wszystkie kraje na świecie oczekują na rozstrzygnięcie. Ostateczne zastąpienie EPD, rozporządzenie o e-prywatności (EPR), będzie oparte na EPD i rozszerzy jego definicje. W UE dyrektywa musi zostać włączona do prawa krajowego przez kraje UE. Podczas gdy rozporządzenie staje się prawnie wiążące w całej UE od daty jego wejścia w życie. Znamy już tę ścieżkę legislacyjną…
EPR miał zostać uchwalony w 2018 r. W tym samym czasie, gdy weszło w życie RODO. UE najwyraźniej nie osiągnęła tego celu, ale istnieją projekty tego dokumentu online, a jego finalizacja planowana jest wkrótce. Pomimo że nie ma jeszcze daty, kiedy zostanie on wdrożony. Idąc dalej, stworzyć bardziej niezawodne zabezpieczenia dla metadanych i uwzględnić nowe metody komunikacji, takie jak WhatsApp.
Nadal ustalane są zasady dotyczące ciasteczek, a same pliki cookies stale się rozwijają. Oznacza to, że utrzymanie bieżącej polityki plików cookie będzie ciągłym zadaniem. Jednak odpowiednie informowanie użytkowników o plikach cookies to jedyna dobra droga wypełnienia obowiązków – również RODO. W razie potrzeby, uzyskanie zgody sprawi, że użytkownicy będą zadowoleni i a Ty będziesz przetwarzał dane zgodnie z RODO.
Podsumowanie cookies, a RODO
Tutaj nie chodzi w zasadzie o kwestie RODO, ale o nasze konstytucyjne prawo do prywatności, umocowane na prawie naturalnym. Możliwości korzystania z plików cookies, dają możliwości marketingowe, jak również mogą być użyte do ataków hakerskich. Na przykład korzystając z Google Tag Manager, można przechwycić wszystkie wpisywane dane, np numer karty kredytowej. By mieć taką możliwość, wystarczy dodać linijkę kodu do źródła strony internetowej. W związku z powyższym, skorzystajmy z darmowego narzędzia jak EditThisCookie by sprawdzić jakie informacje zbierają o nas strony. Jako właściciele stron, portali i sklepów, weryfikujmy okresowo nasz kod źródłowy i ograniczajmy dostęp dla osób trzecich – nawet programistów.