Banery cookies – większość je zna, jednak niewielu potrafi je poprawnie zaprojektować.

Prawo systematycznie kształtuje coraz dokładniejsze wytyczne co do treści i sposobu działania takich rozwiązań, a naruszenie przepisów grozi poważnymi konsekwencjami. Europejskie organy ochrony danych także częściej nakładają kary pieniężne na podmioty stosujące nieodpowiednie banery cookies. Dla przykładu, francuski organ nadzoru nałożył na Google karę w wysokości 150 mln euro, a na Facebook 60 mln euro kary. Podobnie w grudniu 2021 r. polski Urząd Ochrony Danych Osobowych (UODO) po raz pierwszy upomniał za niewłaściwe stosowanie tej technologii. Prezes tego urzędu powołał się również na wyrok TSUE w sprawie Planet49. Mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu. Powołana sprawa jest obecnie w toku – decyzja Urzędu została zaskarżona przez ukaraną firmę i uchylona przez Wojewódzki Sąd Administracyjny (sygnatura akt II SA/Wa 3993/21). Wyrok nie jest jeszcze prawomocny. Z uwagi na fundamentalny charakter przedmiotu sporu istnieje prawdopodobieństwo, że zostanie on zaskarżony do NSA, który ostatecznie wyda przełomową decyzję w tym zakresie.

Docelowo jednak należy się spodziewać, że praktyka europejska w zakresie cookies zostanie ujednolicona i podąży w stronę podejścia naszych zachodnich sąsiadów (chociażby w wyniku zapowiadanego od dawna Rozporządzenia ePrivacy) – dlatego warto już teraz przygotować się na te zmiany. Jest to szczególnie istotne zwłaszcza w przypadku kierowania swoich usług również do innych krajów UE.

Zwiększone zainteresowanie kwestią cookies jest także wykorzystywane przez niektóre podmioty prywatne próbujące wyłudzić odszkodowania od właścicieli stron internetowych. „Zapłać, inaczej zgłosimy Cię do Urzędu” – tego typu szantaże zdarzają się coraz częściej. Sprytne zagrania ze strony wyłudzaczy stawiają właścicieli stron internetowych w wyjątkowo trudnej sytuacji, szczególnie, gdy strona rzeczywiście nie posiada poprawnego baneru cookies. Często zdarza się również, że pomimo nienagannej treści baneru, strona nie działa tak jak deklaruje jej właściciel i ciasteczka pobierają się w sposób nieprawidłowy, niezależnie od zgód wyrażonych przez użytkownika.

Jak zaprojektować system cookies?

Aby nasz system cookies odpowiadał treściom banerów należy wprowadzić odpowiednie skrypty wykonujące działania, na które zgodził się użytkownik. Podpowiadamy zatem nie tylko jak zaprojektować ich treść, ale również jak wprowadzić ją w życie.

Poprawny baner cookies:

1. Powinien dzielić pliki cookies na konieczne (absolutnie niezbędne do prawidłowego funkcjonowania strony) i dodatkowe (funkcjonalne, czyli usprawniające funkcjonowanie strony, a także analityczne, statystyczne, marketingowe).
2. Musi dać osobie odwiedzającej stronę (użytkownikowi) możliwość wyrażenia dobrowolnej zgody na cookies dodatkowe. Cookies konieczne nie wymagają osobnej zgody i strona może z nich korzystać na podstawie uzasadnionego interesu.
3. Wymaga by zgoda, o której mowa powyżej, mogła zostać wyrażona jedynie w formie aktywnego działania, a nie w formie dorozumianej (nie można, na przykład, wymagać od użytkownika, aby wyłączył zgodę na cookies dodatkowe, gdyż taka zgoda nie będzie dobrowolna w rozumieniu RODO).
4. Zapewnia użytkownikowi prostą formę akceptowania i odrzucania zgody na cookies dodatkowe. Nie można więc uzależnić odrzucenia cookies od dodatkowych czynności po stronie Użytkownika, np. od kliknięcia w dodatkowe ustawienia strony czy przeglądarki.
5. Pozwala przeglądarce na pobranie dodatkowych ciasteczek dopiero po wyrażeniu zgody przez użytkownika. Strona internetowa nie może instalować plików cookies na urządzeniu użytkownika przed zaakceptowaniem danej opcji za pomocą banera (zdarza się to m.in. w przypadku takich narzędzi jak Google Analytics i Facebook Pixel). Jest to niestety częsty błąd popełniany przez podmioty zarządzające stronami internetowymi, na który wielokrotnie wskazywały organy ochrony danych.
6. Powinien posiadać odesłanie do polityki plików cookies, która szczegółowo opisuje sposób, w jaki strona internetowa korzysta z plików cookies.

Jak wygląda baner cookies od strony użytkownika?

System wyświetla baner, w którym dostępne są opcje:

1. Akceptuj wszystkie pliki
2. Akceptuj niezbędne pliki
3. Wybierz kategorię, którą akceptujesz i zaakceptuj.

Jak wygląda proces tworzenia baneru cookies od strony właściciela strony?

1. Właściciel instaluje skrypty pobierające ciasteczka (np. za pomocą Google Tag Managera).
2. Właściciel instaluje skrypt do zarządzania ciasteczkami przez użytkownika za pomocą dodatkowej aplikacji (płatne/darmowe/open source) w tym:
   1. Grupuje skrypty na kategorie (niezbędne, analityczne, marketingowe, funkcyjne, preferencyjne, niesklasyfikowane)
   2. Definiuje tekst i wygląd baneru. Dodaje odnośnik do polityki cookies.

Możliwe jest też ustawianie odpowiednich kategorii i reguł w panelu Google Tag Managera.

Co robi aplikacja/skrypt?

Jeśli użytkownik wybrał opcję, aplikacja:

1. Pobiera wszystkie ciasteczka.
2. Pobiera tylko ciasteczka zdefiniowane jako niezbędne.
3. Pobiera tylko aplikacje z kategorii wybranej przez użytkownika, resztę blokując.

Poniżej zamieszczamy przykłady poprawnych i niepoprawnych banerów cookies:

Poprawne banery cookies

Niepoprawne banery cookies

Brak jakiegokolwiek odniesienia do plików cookies, jedynie do polityki prywatności.Baner nie wprowadza rozróżnienia na cookies konieczne i dodatkowe.Baner nie przewiduje możliwości wyrażenia dobrowolnej zgody na cookies dodatkowe.

Baner nie przewiduje możliwości wyrażenia dobrowolnej zgody na cookies dodatkowe (zgoda dorozumiana).Zmiana ustawień dotyczących cookies wymaga dodatkowych kroków ze strony użytkownika (tj. przejścia do osobnej karty).

Baner nie przewiduje możliwości wyrażenia dobrowolnej zgody na cookies dodatkowe (zgoda dorozumiana),Brak opcji modyfikacji plików cookies.

Jak sprawdzić, z jakich plików cookies korzysta strona?

Można tego dokonać samemu, np. za pomocą takiej witryny jak https://www.cookieserve.com/ lub skontaktować się bezpośrednio z twórcą strony internetowej.

W czym możemy pomóc?

Dobrze zaprojektowana strona internetowa wyróżnia się nie tylko angażującymi treściami, ale również solidnie opracowaną polityką prywatności i plików cookies. Banery wyświetlające się na stronie powinny być właściwie wdrożone od strony technicznej oraz posiadać odpowiednie treści i pola wyboru, które odzwierciedlają sposób przetwarzania danych osobowych. Warto pamiętać, że są to informacje dostępne publicznie dla każdego użytkownika, mające wpływ na wizerunek przedsiębiorstwa. Dlatego warto przeprowadzić audyt istniejących na stronie rozwiązań oraz sprawdzić zgodność stosowanych polityk z przepisami prawnymi, najnowszymi wytycznymi i orzecznictwem. Wdrożony system cookies powinien równocześnie spełniać funkcje marketingowe wpisane w strategię danej firmy. Dlatego w zespole DKLAW będziemy na bieżąco śledzić kształtujące się w tym zakresie prawo, aby jak najlepiej doradzać naszym klientom.