Przyzwyczailiśmy się już do tzw. cookies. Pliki cookies i ich stosowanie na gruncie ciągle jeszcze obowiązujących przepisów o ochronie danych osobowych wymagają jedynie podania użytkownikowi (internaucie) informacji, że strona z tychże ciasteczek korzysta. Niedługo ta sytuacja może się zmienić. Niektóre serwisy, zamiast tylko informować, zaczynają bowiem zbierać od użytkowników zgody na „śledzenie” poprzez ciasteczka.

Czy zgoda na śledzenie jest konieczna?

Tak. Artykuł 95 RODO wprost nie nakłada dodatkowych obowiązków w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii. Jeszcze nie wiadomo, kiedy zostanie uchwalone rozporządzenie ePrivacy, które ma jednoznacznie nakazać uzyskanie jednoznacznych zgód na wykorzystanie cookies. Na pewno ważnym jest stanowisko Grupy Roboczej Artykuły 29, gromadzącej organy ochrony danych osobowych wszystkich państw UE, która to uznała w wytycznych, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna), nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy ePrivacy.

Każda zgoda na przetwarzanie danych osobowych musi być przez użytkownika udzielona w sposób świadomy (decyzja potwierdzona np. zaznaczeniem okienka dialogowego) i na skonkretyzowany (jeden) cel użycia jego danych.

Art. 11 RODO może stanowić podstawę do zwolnienia z obowiązku uzyskiwania zgód na stosowanie cookies. Jeżeli cele, dla których przetwarzane są dane osobowe, nie wymagają zidentyfikowania przez przetwarzającego osoby, której dane dotyczą, to przetwarzający nie musi w przypadku cookies zbierać zgód na przetwarzanie.

Prawnie usprawiedliwiony cel przetwarzania

Jeśli pliki cookies służyć mają analityce i reklamie, to można przetwarzanie oprzeć na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej, czyli podmiotu przetwarzającego (art. 6 ust. 1 lit. f RODO). Jest to jak najbardziej możliwa sytuacja, ponieważ przetwarzanie danych osobowych do celów marketingu bezpośredniego jest działaniem w uzasadnionym interesie bez widocznego rozróżnienia na marketing własny i cudzy.

Informacja czy zgoda?

Sprawa zgody na ciasteczka póki co nie ma jednoznacznego stanowiska prawnego. Do czasu rozstrzygnięcia polskim administratorom stron pozostaje samodzielnie odpowiedzieć na pytanie: czy w związku z RODO zgoda na cookies będzie musiała być wyrażana w sposób świadomy?

Autor: Tomasz Mamys, Project Manager RODO w Sage Polska