Wyskakująca znienacka belka z informacją na temat wykorzystywania plików cookies to chyba najbardziej irytujący element każdej strony internetowej. Zasłania spory fragment ekranu, zwłaszcza na urządzeniu mobilnym, uniemożliwiając zapoznanie się z treścią strony. Okazuje się, że w świetle przepisów RODO zgoda na pliki cookies jest wymagana, ale niekoniecznie w takiej formie, w jakiej zbiera ją większość stron. Ich właściciele wykazują się tutaj nadgorliwością.
Popularne ciasteczka to pliki przechowywane w pamięci urządzenia, z poziomu którego użytkownik odwiedził stronę internetową. Nie są groźne, wbrew różnym teoriom nie wykradają danych, natomiast bardzo ułatwiają korzystanie z witryny – zwłaszcza takiej, na którą w przyszłości wrócimy (portal informacyjny, sklep internetowy etc.).
Do najważniejszych zadań plików cookies zaliczamy:
Pliki cookies przynoszą więc obopólne korzyści: dla użytkownika (który przy następnej wizycie będzie mógł łatwiej i szybciej dotrzeć do potrzebnych mu informacji) oraz dla właściciela strony (który w bezpieczny i legalny sposób pozyskuje dane potrzebne do poprawienia funkcjonalności strony).
Całe zamieszanie wokół cookies i tego, czy użytkownik musi wyrazić zgodę na ich zapisanie w pamięci urządzenia (na marginesie – pliki zapisują się jeszcze zanim ktokolwiek udzieli takiej zgody), to efekt tworzenia zawiłego, niekonsekwentnego prawa. W tym przypadku chodzi głównie o RODO.
Ustawa ta wywołała tak duży popłoch wśród przedsiębiorców, że ci wolą być świętsi od papieża i informują o przetwarzaniu danych osobowych wszędzie, gdzie się tylko da – również wtedy, gdy wcale nie jest to potrzebne.
Pliki cookies niekoniecznie zbierają i przetwarzają dane osobowe użytkownika strony. Będzie tak tylko w sytuacji, gdy użytkownik ma stały, a nie dynamiczny adres IP – wówczas rzeczywiście można taką osobę zidentyfikować po adresie (choć też nie do końca, bo przecież z jednego komputera mogą korzystać różne osoby).
Co więcej, adres IP może być uznany za daną osobową tylko wtedy, gdy podmiot przetwarzający (czyli administrator strony) ma jednocześnie dostęp do danych łączących ten adres z danymi identyfikującymi użytkownika, co pewnie w 90 procentach przypadków nie ma miejsca.
Cała historia z wyświetlaniem informacji o stosowaniu plików cookies (i wymaganiem udzielenia na to zgody przez użytkownika) zaczęła się już w 2013 roku. Wówczas weszły w życie znowelizowane przepisy ustawy Prawo telekomunikacyjne, dostosowujące ją do unijnej dyrektywy e-privacy.
Dokument jest zagmatwany, a znajdujące się w nim zapisy mogą być różnie interpretowane. Pewne jest natomiast, że zgodnie z tym prawem właściciel strony www ma obowiązek poinformować o tym, że witryna korzysta z cookies, a także uzyskać na to zgodę.
W przepisach nie ma natomiast ani słowa o tym, w jaki sposób ta zgoda ma zostać udzielona. Prawo wypełnia więc już sam fakt poinformowania użytkownika o tym, że strona używa cookies. Jeśli użytkownik pozostanie na stronie, to uznaje się, że okazał taką wolę i dodatkowe zgody nie są już potrzebne.
Użytkownik wciąż ma możliwość zablokowania plików cookies z poziomu przeglądarki, natomiast praktycznie nikt tego nie robi, ponieważ wyłączenie cookies mocno ogranicza funkcjonalność witryny – np. utrudnia zrobienie zakupów w sklepie internetowym. Dlatego dodatkowe poganianie użytkownika w stylu „Hej, używamy cookies, widzisz, naprawdę ich używamy, weź no kliknij, że rozumiesz i akceptujesz, co?” nie ma żadnego sensu.
Ciekawostka
Zauważmy, jak nieżyciowe prawo wprowadzają nam urzędnicy i technokraci. Przecież nawet jeśli użytkownik nie wyrazi zgody na cookies (zaznaczy taką opcję w belce wyświetlonej u dołu strony), to ten wybór i tak zapisze się w postaci właśnie ciasteczek.
Tutaj mamy do czynienia z klasyczną sytuacją, czyli: ile głów, tyle opinii. Opieramy się jednak na konsensusie wypracowanym przez grupę ekspertów z zakresu ochrony danych osobowych, który stanowi, że RODO nic nie zmienia w dyrektywie e-privacy – ta nadal obowiązuje i wyznacza standardy dla zbierania zgód na używanie cookies. Wynika to wprost z artykułu 95 rozporządzenia (RODO).
Co więcej, eksperci powołują się również na artykułu 11 RODO, zgodnie z którym nie trzeba uzyskiwać bezpośredniej zgody na przetwarzanie danych osobowych, jeśli dane zbierane przez administratora nie wymagają zidentyfikowania konkretnej osoby. Właśnie z taką sytuacją mamy do czynienia w przypadku ciasteczek, które służą celom analitycznym.
Wypracowany standard wciąż zakłada, że po wejściu na stronę internetową u jej dołu powinna zostać wyświetlona belka z komunikatem o cookies i przyciskami do udzielenia lub odrzucenia zgody na używanie ciasteczek.
Zauważmy jednak, że ten element naprawdę utrudnia korzystanie z witryny, psując również jej estetykę. W przypadku strony mobilnej może wręcz odstręczyć użytkownika i skłonić go do zamknięcia witryny.
Skoro przepisy nie narzucają obowiązku uzyskania zgody użytkownika poprzez wykonanie jakiegoś działania (np. kliknięcie w przycisk „Akceptuję cookies”), to wystarczy jedynie poinformować osobę wchodzącą na stronę, że ta używa ciasteczek – komunikat umieszczamy w dobrze widocznym miejscu, na przykład pod menu czy w dolnej belce.
Dodatkowo należy poinformować użytkownika o tym, że może w każdej chwili zapoznać się z zasadami używania cookies i dokonać zmian w ustawieniach dotyczących tych plików – w tym celu linkujemy do Polityki Prywatności znajdującej się na osobnej podstronie (w dokumencie m.in. wyjaśniamy, w jakim celu na urządzeniu użytkownika zapisują się pliki cookies).
Warto postawić przede wszystkim na prostotę, przejrzystość i nieirytowanie użytkowników natłokiem informacji. W zupełności wystarczająca będzie tutaj dolna, statyczna belka, niezasłaniająca treści witryny, z komunikatem o treści np.:
Stosujemy pliki cookies. Jeśli nie blokujesz tych plików (samodzielnie przez ustawienia przeglądarki), to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Zobacz politykę cookies.
Użytkownik zamyka komunikat przyciskiem np. „OK”, „Rozumiem”, czy ikonę zamknięcia komunikatu "X" - i to już wystarczy do spełnienia przepisów oraz bycia fair w stosunku do użytkowników.
Ps.1.
Osobiście uważam, że urzędnicy powinni się wykazać większą wyobraźnią. Informacja o cookies na każdej stornie, którą odwiedzamy jest niezwykle irytująca i zbędna. Wystarczyłoby narzucić producentom przeglądarek internetowych obowiązek informowania o cookies – podczas instalacji przeglądarki lub jej pierwszego uruchomienia.
Ps.2.
Poniżej przykład z życia wzięty :)
Sprawdź naszych specjalistów w praktycznym działaniu. Zobacz co możemy zrobić dla Twojej firmy - przejrzyj ofertę lub skorzystaj z bezpłatnej konsultacji.