Czy cookies to przetwarzanie danych osobowych?
Tak, cookies mogą być uznawane za przetwarzanie danych osobowych, ale tylko w przypadku, gdy są w stanie zidentyfikować użytkownika lub umożliwiają jego identyfikację, na przykład poprzez powiązanie danych z jego kontem, preferencjami czy historią. W przypadku, gdy cookies zbierają tylko dane anonimowe, nie będą traktowane jako przetwarzanie danych osobowych.
Zgodnie z przepisami RODO, jeśli cookies są wykorzystywane do przetwarzania danych osobowych, użytkownik musi wyrazić zgodę na ich używanie, chyba że cookies są niezbędne do świadczenia usługi (np. utrzymanie sesji użytkownika). Wymagana jest także polityka prywatności, która tak naprawdę jest spełnieniem obowiązku informacyjnego określonego w art. 13 RODO, która informuje użytkowników o sposobie używania cookies oraz o celach tego przetwarzania.
Uregulowania cookies w RODO
Zagadnienie dotyczące cookies i przetwarzania danych osobowych odnosi się do kilku przepisów RODO, ale kluczowe artykuły to:
- Artykuł 4 RODO – Definicje:
- Definiuje pojęcie „danych osobowych” oraz „przetwarzania danych osobowych”, co jest istotne, gdy cookies mogą gromadzić dane pozwalające na identyfikację użytkowników.
- Artykuł 6 RODO – Zasady legalności przetwarzania:
- Określa podstawy legalności przetwarzania danych osobowych, w tym wymóg uzyskania zgody osoby, której dane dotyczą, jeśli przetwarzanie danych opiera się na zgodzie (np. przy używaniu cookies do celów marketingowych).
- Artykuł 7 RODO – Warunki wyrażenia zgody:
- Dotyczy uzyskiwania zgody użytkownika na przetwarzanie danych, w tym na używanie cookies, gdy te są wykorzystywane do przetwarzania danych osobowych.
- Artykuł 13 RODO – Obowiązki informacyjne:
- Przewiduje obowiązek informowania osób, których dane są przetwarzane (np. za pomocą cookies), o celu, podstawach prawnych i innych szczegółach dotyczących przetwarzania danych.
Obowiązek uzyskania zgody na cookies
Zgodnie z przepisami prawa, w tym z dyrektywą ePrivacy oraz rozporządzeniem RODO, uzyskanie zgody na wykorzystywanie cookies jest wymagane, jeśli te pliki są używane do przetwarzania danych osobowych lub służą do celów innych niż te niezbędne do świadczenia usługi. Oznacza to, że jeśli cookies zbierają dane, które mogą pozwolić na identyfikację użytkownika (np. w celach marketingowych, analitycznych czy personalizacyjnych), użytkownik musi wyrazić świadomą zgodę przed ich zapisaniem na urządzeniu administratora czyli właściciela strony internetowej czy bloga. Zgoda ta musi być dobrowolna, konkretna, świadoma i jednoznaczna. Administrator strony musi umożliwić użytkownikowi łatwe wyrażenie zgody lub jej odrzucenie, a także dać możliwość zmiany ustawień cookies w przyszłości.
W przypadku, gdy cookies są niezbędne do świadczenia usługi, np. utrzymania sesji użytkownika na stronie, zgoda nie jest wymagana. Niemniej jednak, użytkownik powinien być poinformowany o takich plikach cookies w ramach polityki prywatności i cookies.
Polityka prywatności a polityka cookies
Polityka prywatności i polityka cookies są dwoma odrębnymi dokumentami, ale często współistnieją i się uzupełniają. Polityka prywatności jest dokumentem, który wyjaśnia użytkownikowi, w jaki sposób jego dane osobowe są zbierane, przechowywane, przetwarzane i wykorzystywane na stronie internetowej. Dotyczy to wszystkich form przetwarzania danych osobowych, w tym zbierania danych przez cookies.
Polityka cookies z kolei koncentruje się bezpośrednio na wykorzystaniu plików cookies i innych podobnych technologii śledzących. Powinna zawierać szczegółowe informacje na temat tego, jakie pliki cookies są używane na stronie, do jakich celów, jak długo są przechowywane, oraz jak użytkownik może zarządzać swoimi preferencjami dotyczącymi cookies, w tym wycofać zgodę.
Obie polityki muszą być zgodne z obowiązującymi przepisami prawa, takimi jak RODO i dyrektywa ePrivacy. Polityka prywatności powinna zawierać odniesienie do polityki cookies, wyjaśniając użytkownikowi, jakie dane są zbierane za pomocą tych plików i w jakim celu. Polityka cookies z kolei powinna informować o technologiach wykorzystywanych do zbierania danych i umożliwiać użytkownikowi kontrolowanie tego procesu.
Czy cookies to przetwarzanie danych osobowych – podsumowanie
Cookies to zazwyczaj pliki zapisujące preferencje użytkownika strony internetowej aby ułatwić jej obsługę i szybciej się wczytywać. Cookies może być jednak wykorzystywane w marketingu do retargetowania na potrzeby wyświetlania reklam, profilowania i zbierania innych informacji o użytkownikach. W każdym przypadku gdy zbierane dane przez cookies nie są zanonimizowane oznacza to, że dane osobowe są w jakimś stopniu przetwarzane. A to z kolei oznacza obowiązek spełnienia obowiązku informacyjnego przez właściciela domeny w postaci stworzenia polityki prywatności i polityki cookies.
