Instalowanie pliku cookie za zgodą

Europejskie organy ochrony danych przyjęły opinię w sprawie wyjątków w zakresie pozyskiwania zgody na zapisywanie plików cookie.

W opinii Grupy Roboczej Artykułu 29 przeanalizowano zasadę dotyczącą plików cookie.

Podczas posiedzenia plenarnego w dniach 6-7 czerwca 2012 r., europejskie organy ochrony danych przyjęły opinię w sprawie wyjątków w zakresie pozyskiwania zgody na zapisywanie plików cookie. W opinii wyjaśniono, w jaki sposób zrewidowana dyrektywa o prywatności i łączności elektronicznej wpływa na wykorzystywanie plików cookie i podobnych technologii. Dokładniej mówiąc, europejskie organy ochrony danych przeanalizowały w opinii wyjątki od wymogu świadomej zgody w tym kontekście. W opinii omówiono rodzaje plików cookie, które pod określonymi warunkami można umieszczać na urządzeniu końcowym użytkownika bez wymogu uzyskania jego świadomej zgody. Ponadto, opinia zawiera wytyczne w zakresie podejmowania decyzji czy określony plik cookie jest zwolniony z zasady pozyskania świadomej zgody przed jego umieszczeniem na terminalu użytkownika.

Zrewidowany artykuł 5 ust. 3 (tzw. zasada dotycząca pliku cookie) dyrektywy o prywatności i łączności elektronicznej wzmocnił ochronę użytkowników sieci i usług łączności elektronicznej, poprzez wymaganie świadomej zgody przed zapisaniem lub dostępem do informacji na terminalu użytkownika (lub abonenta). Pomimo że wymóg dotyczy wszystkich rodzajów informacji przechowywanych na terminalu użytkownika lub do których realizowany jest dostęp na terminalu użytkownika, to większą część dyskusji skoncentrowano na wykorzystywaniu plików cookie.

Art. 5 ust. 3 pozwala na zwolnienie niektórych plików cookie z wymogu pozyskiwania świadomej zgody przed ich zamieszczeniem na terminalu użytkownika, jeżeli spełniają one jedno z poniższych kryteriów:

  • plik cookie jest wykorzystywany „jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej”
  • plik cookie jest „szczególnie niezbędny w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

Grupa Robocza Artykułu 29 skoncentrowała się w opinii na powyższych wyjątkach od zasady pozyskiwania świadomej zgody w kontekście plików cookie i podobnych technologii. Europejskie organy ochrony danych analizowały wcześniej szczegółowo wymogi świadomej zgody, w swoich opiniach w sprawie internetowej reklamy behawioralnej (WP 171) oraz w sprawie zaleceń EASA/IAB dotyczących najlepszych praktyk w internetowej reklamie behawioralnej (WP 188).

Analiza zawarta w niniejszej opinii wskazuje na możliwość zwolnienia z wymogu pozyskiwania świadomej zgody przed zapisaniem niektórych plików cookie, pod określonymi warunkami, jeżeli nie są wykorzystywane do dodatkowych celów. Pliki cookie obejmują np. tzw. „user-input cookies” (wykorzystywane do śledzenia treści danych wprowadzanych przez użytkownika przy wypełnianiu formularzy online lub w przypadku kompletowania zamówienia w sklepie internetowym [wypełniania koszyka zakupami]), znane także jako „session-id cookies”; „multimedia player session cookies” oraz „user interface customization cookies” (np. „language preference cookies” w celu zapamiętania języka wybranego przez użytkownika).

Jest mało prawdopodobne, aby pliki cookie administratora danej strony, zawierające dane dla celów statystycznych i analitycznych (tzw. „first party analytics cookies”) stwarzały zagrożenie dla prywatności, gdy są ściśle ograniczone do skumulowanych celów statystycznych administratora oraz gdy są wykorzystywane przez strony internetowe, które już zapewniają jasne informacje na temat tych plików cookie w swojej polityce prywatności oraz odpowiednie zabezpieczenia prywatności. Oczekuje się, że takie zabezpieczenia obejmować będą przyjazny dla użytkownika mechanizm rezygnacji z gromadzenia danych („opt-out”) oraz kompleksowe mechanizmy anonimizacji, które są stosowane w odniesieniu do innych gromadzonych informacji identyfikujących, takich jak adresy IP.

Europejskie organy ochrony danych chciałyby podkreślić, że w celu podjęcia decyzji, czy plik cookie jest zwolniony z zasady pozyskiwania świadomej zgody przed jego zamieszczeniem na terminalu użytkownika, istotne jest dokładne sprawdzenie, czy spełnia jedno z kryteriów wyłączeń określonych w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W przypadku wątpliwości, operatorzy strony internetowej mogą oczywiście zawsze poprosić o zgodę użytkownika, unikając w ten sposób jakiejkolwiek niepewności prawnej.

Informacje ogólne

Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych to niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE. W skład tego organu wchodzą przedstawiciele krajowych organów ochrony danych z państw członkowskich UE, Europejskiego Inspektora Ochrony Danych oraz Komisji Europejskiej. Jego zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE. Do kompetencji Grupy Roboczej Artykułu 29 należy badanie kwestii dotyczących zastosowania dyrektyw o ochronie danych w celu przyczynienia się do jednolitego stosowania dyrektyw. Grupa Robocza realizuje to zadanie wydając rekomendacje, opinie i dokumenty robocze.

http://ec.europa.eu/justice/data-protection/article-29/index_en.htm

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.