Pliki cookies stanowią dane osobowe, a to oznacza, że każdy, kto je wykorzystuje musi przestrzegać obowiązków wynikających z RODO. Są one powszechnie wykorzystywane właściwie przez zdecydowaną większość witryn internetowych. Niekiedy pliki cookies są niezbędne do prawidłowego działania strony internetowej, innym razem stanowią raczej ułatwienie w korzystaniu z niej. W każdym razie pliki te stanowią dane osobowe, a co za tym idzie ich wykorzystywanie jest możliwe tylko po spełnieniu obowiązków wynikających z RODO. O czym warto w tym kontekście pamiętać?
Czym są cookies?
Mówiąc najprościej „ciasteczka”, to pliki tekstowe zapisywane przez stronę internetową w pamięci komputera lub innego urządzenia, za pomocą którego użytkownik korzysta z internetu. Przy kolejnym odwiedzeniu witryny przeglądarka przysyła jej właścicielowi pliki cookies, które mogą być przez niego wykorzystane praktycznie w dowolnym celu, np. do proponowania użytkownikowi interesujących go treści. Najczęściej pliki te służą do automatycznego uzupełniania formularzy, utrzymywania sesji po zalogowaniu, personalizowania reklam czy zapamiętywania preferowanych ustawień strony.
Trudno więc mieć wątpliwości, że „ciasteczka” stanowią niezwykle użyteczne narzędzie, ułatwiające korzystanie z internetu. Z drugiej jednak strony pozwalają one właścicielom witryn na gromadzenie sporej ilości informacji o użytkownikach. To z kolei pociąga za sobą szereg ryzyk związanych z nieprawidłowym czy wręcz z nielegalnym wykorzystaniem tych danych. Dlatego tak istotną kwestią ich ochrona. Czy powinna ona następować na takich samych zasadach, jak ochrona danych osobowych?
Odpowiedź TSUE: „Ciasteczka” to dane osobowe
W jednym ze swoich wyroków twierdzącą odpowiedź na to pytanie udzielił Trybunał Sprawiedliwości Unii Europejskiej. W wyroku z 1 października 2019 roku, C 673/13, Wielka Izba TSUE uznała, że pliki cookies pozwalają na jednoznaczne zidentyfikowane konkretnego użytkownika. Tym samym pliki te są danymi osobowymi i podlegają wszystkim zasadom RODO. Oczywiście w praktyce wszystkie podmioty wykorzystujące „ciasteczka”, obok przepisów dotyczących przetwarzania danych osobowych, muszą stosować wszystkie regulacje odnoszące się do działalności telekomunikacyjnej.
Jednocześnie, jak wiadomo, zastosowanie plików cookies jest zróżnicowane. Stąd dokładny zakres obowiązków administratora wynikający z ich przetwarzania musi zostać podporządkowany właśnie rodzajowi „ciasteczek”. Inaczej katalog tych obowiązków przedstawia się w przypadków plików cookies niezbędnych do funkcjonowania danej witryny internetowej, a inaczej w przypadku tych, które niejako ułatwiają jej działanie.
Obowiązki związane z przetwarzaniem plików cookies
Ogólna zasada, na którą zwrócił uwagę Trybunał Sprawiedliwości Unii Europejskiej w przywołanym powyżej wyroku brzmi: wykorzystywanie plików cookies może nastąpić jedynie na podstawie świadomej zgody użytkownika, a więc osoby, której dane dotyczą. Skuteczność wyrażenia tej zgody ocenia się z punktu widzenia przepisów RODO. W tym kontekście unijny Trybunał uznał, że nie spełnia tych standardów wyrażenie zgody za pomocą domyślnie zaznaczonego okienka wyboru, które użytkownik musi „odklikać”, aby nie udzielić zgody.
Ponadto na wykorzystującym omawiane tu pliki ciążą określone obowiązki informacyjne. Przede wszystkim musi on jasno wskazać, w jakim celu i przez jaki okres czasu będzie korzystał z „ciasteczek”. Ważną kwestią jest także poinformowanie użytkownika, czy dostęp do tych plików uzyskają także osoby trzecie. Informacje te muszą być udzielone w sposób przystępny, tak aby użytkownik miał możliwość wyrażenia świadomej zgody na korzystanie z plików cookies przez dostawcę witryny internetowej.
Jednak powyższe zasady – na co zwrócił uwagę TSUE – nie dotyczą „ciasteczek” niezbędnych do funkcjonowania strony internetowej. Tego rodzaju ciasteczka mogą być przetwarzane bez uzyskiwania zgody użytkownika. Warto podkreślić, że chodzi tu jedynie o takie pliki cookies, które są niezbędne do przesłania komunikatu za pomocą sieci łączności elektronicznej lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika. Zgoda nie jest także potrzebna, gdy dochodzi do jedynie technicznego przechowywania danych użytkownika.