Cookies (informacje śledzące) a RODO

Poradnik
12.07.2018
13 min. czytania
Tekst
Image
Element dekoracyjny

Wśród Waszych pytań o to, co zmienia RODO i jak je właściwie interpretować, powraca wątek cookies i innych sposobów identyfikowania lub śledzenia, na które codziennie trafiamy w sieci. To mit, że RODO wymaga naszej zgody na każde ciastko zaserwowane przez przeglądarkę i każdy uruchomiony skrypt. W tym tekście wyjaśniamy, kiedy rzeczywiście strony internetowe, które odwiedzamy, powinny pytać nas o zgodę, a kiedy wystarczy, że poinformują nas o tym, co robią. Zaczniemy jednak od przypomnienia, czym w ogóle są cookies (i inne informacje śledzące) i dlaczego nie zawsze musimy z nimi walczyć.

Informacje śledzące: jak to działa?

Internet jest siecią opartą na ciągłej interakcji: przesyłaniu i odbieraniu danych, weryfikowaniu i potwierdzaniu, czy wraca ten sam użytkownik i czy to, co dostaje, na pewno jest tym, o co zapytał. Portale internetowe i aplikacje nie tylko dostarczają, ale też potrzebują informacji o naszych urządzeniach końcowych. Taka informacja może być przechowywana i transportowana na wiele sposobów. Jej typowym nośnikiem są ciasteczka (małe pliki tekstowe przechowywane przez przeglądarkę). W ostatnich latach pojawiły się jednak nowe metody, jak choćby Web storage (technologia podobna do ciasteczek) i IndexedDB (baza danych przechowywana lokalnie przez przeglądarkę).

Istnieją też metody identyfikacji konkretnej przeglądarki (a pośrednio urządzenia, na którym ją uruchamiamy) bazujące nie na przechowywaniu informacji, ale na drobnych różnicach w efektach uruchomienia skryptów JavaScript w konkretnej przeglądarce na konkretnym urządzeniu (tzw. fingerprinting). Ze względu na większe skomplikowanie tego tematu o tym, jak działa fingerprinting i w jaki sposób stosują się do niego przepisy RODO, piszemy w osobnym tekście.

Ze względu na funkcję możemy rozróżnić trzy rodzaje informacji śledzących (w tym ciasteczek):

  • zawierające konkretne informacje (np. ustawienia kolorystyki strony czy wielkości tekstu, jeśli strona takie ustawienia wspiera), które pozwalają lepiej dopasować wyświetlaną treść czy usprawnić działanie aplikacji;

  • używane do autoryzacji użytkowników (kiedy w grę wchodzi logowanie za pomocą hasła, koszyk zakupów itp.);

  • identyfikujące (ale niekoniecznie używane do autoryzacji), które umożliwiają śledzenie naszych działań w Internecie (np. czy kliknęliśmy w banner reklamowy; jakie treści przeglądamy; ile czasu spędzamy na danej stronie).

Nie wszystkie informacje śledzące działają przeciwko nam. W niektórych sytuacjach identyfikacja cech przeglądarki lub naszego urządzenia (laptopa, tabletu, smartfona) jest niezbędna, żeby strony ładowały się poprawnie, a koszyki pamiętały, co do nich wcześniej wrzuciliśmy. Często jednak pliki cookie i skrypty uruchamiające się w momencie, kiedy ładujemy stronę internetową, mają za zadanie nas śledzić i wystawić na cel reklamodawcom.

Pliki cookie i skrypty często mają za zadanie nas śledzić i wystawić na cel reklamodawcom. Ale nie zawsze.

Przeciętna strona, na którą wchodzimy, ustawia kilka czy nawet kilkanaście informacji śledzących (w tym ciasteczek). Najtrudniej rozróżnić ich funkcję, kiedy są serwowane przez tę stronę, na którą wchodzimy. Tu może wchodzić w grę zarówno poprawne wyświetlanie ściąganych treści, autoryzacja, jak i sprawdzenie, czy zareagowaliśmy na reklamę. Jeśli w naszej przeglądarce pojawiają się ciasteczka z serwisów trzecich, zwykle w grę wchodzi śledzenie naszych działań w celach marketingowych. Ciasteczka z serwisów trzecich pojawią się także wtedy, gdy strona zawiera treści hostowane na innym serwerze (YouTube, Vimeo etc.) – ustawienie informacji śledzącej ze strony trzeciej może być potrzebne do ich poprawnego wyświetlenia, a także wszędzie tam, gdzie pojawią się jakiekolwiek inne widżety ze stron trzecich osadzane przez skrypty lub technologię iframe (np. przycisk like Facebooka). Jednak ani użytkownik– ani nawet właściciel serwisu – nie mają kontroli nad tym, jakie informacje pobiorą takie ciasteczka lub skrypty.

Innym typowym powodem, dla którego strona serwuje nam informację śledzącą pochodzącą z innego serwera, jest potrzeba monitorowania i analizowania ruchu. Większość stron korzysta z gotowych, scentralizowanych rozwiązań analitycznych (jak Google Analytics czy Gemius). Są też strony bardziej przyjazne naszej prywatności, korzystające z rozwiązań hostowanych samodzielnie, jak Mamoto czy OpenWebAnalytics. Jedne i drugie używają ciasteczek ze znanymi nazwami, więc możemy blokować te, które służą do analizowania ruchu, nie blokując ciasteczek niezbędnych do pełnej funkcjonalności strony.

Niestety – poza opieraniem się na znanych nazwach tam, gdzie mamy z nimi do czynienia – nie możemy zarekomendować prostej i niezawodnej metody rozpoznawania, jaką funkcję pełni konkretna informacja śledząca. Każde ciasteczko może być używane do śledzenia, a jednocześnie autoryzacji czy przechowywania informacji o naszych preferencjach. Webmasterzy mogą też w dowolnym momencie zmienić funkcję lub nazwę ciasteczka (informacji śledzącej). Na szczęście w praktyce zdarza się to rzadko, więc blokowanie znanych ciasteczek śledzących działa całkiem dobrze, szczególnie jeżeli używamy kombinacji dwóch wtyczek.

RODO a portale internetowe

W zasadzie każdą informację, jaką zbiera na nasz temat przeglądarka czy strona internetowa, można na gruncie RODO uznać za daną osobową. Przykłady takich danych znajdziemy w motywie 30 rozporządzenia:

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować pozostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Oczywiście, pliki cookie to tylko przykład. RODO pozostaje neutralne technicznie: jego zakres zastosowania nie zależy od tego, jaka technika śledzenia/identyfikacji została wykorzystana, ale od tego, czy rzeczywiście dochodzi do identyfikacji.

Na gruncie RODO wystarczy, że wydawca portalu jest w stanie pośrednio zidentyfikować użytkownika. Ważny jest cel, nie metoda. 

Kiedy zatem mówimy o identyfikacji? Naturalnie nie tylko wtedy, kiedy w grę wchodzą dane ujawniające społeczną tożsamość danej osoby (imię, nazwisko, adres etc). Taka sytuacja rzadko ma miejsce przy standardowym przeglądaniu stron internetowych (inaczej np. na Facebooku). Na gruncie RODO wystarczy, że podmiot przetwarzający dane (np. wydawca portalu) jest w stanie pośrednio zidentyfikować użytkownika w oparciu o dane spseudonimizowane (takie, które dla kogoś innego byłyby tylko przypadkowym numerem, ale w jego „systemie” łączą się z konkretną osobą).

Identyfikator nie musi być tak namacalny i jednoznaczny jak plik cookie (z określonym numerem). Nawet połączenie różnych (osobno nie identyfikujących użytkownika) cech takich jak ustawienia przeglądarki, zainstalowane czcionki i oprogramowanie może prowadzić do pośredniej identyfikacji. Ważny jest cel, nie metoda. A zatem, jeśli zbieranie informacji (o naszej przeglądarce czy urządzeniu) służy ustaleniu, że oto na stronie internetowej pojawił się użytkownik o określonym profilu i że w związku z tym można mu wyświetlić stargetowaną reklamę albo spersonalizowaną treść, mamy już do czynienia z pośrednią identyfikacją.

To, że serwowanie wszelkiego typu informacji śledzących prowadzi do przetwarzania danych osobowych i „podpada” pod RODO, jeszcze nie znaczy, że w żadnym wypadku nie można tego robić. Bynajmniej! Jednak każdy, kto chce to robić, powinien być w stanie wskazać podstawę prawną swojego działania.

Na jakiej podstawie można oprzeć serwowanie informacji śledzących? Na gruncie RODO są aż trzy możliwości:

  • Niezbędność do zrealizowania usługi. Mamy z nią do czynienia wtedy, kiedy identyfikacja użytkownika jest konieczna, żeby strona/aplikacja działała poprawnie.

  • Uzasadniony interes administratora danych (zwykle będzie nim wydawca portalu lub administrator strony), który może polegać np. na monitorowaniu, jak „klikają” się konkretne treści (w tym wyświetlane informacje reklamowe). Warunkiem powołania się na tę podstawę prawną jest to, że śledzenie nie ingeruje nadmiernie w prywatność użytkowników (np. nie oznacza permanentnego zbierania lokalizacji czy integrowania danych z innych źródeł).

  • Świadoma, dobrowolna i jednoznaczna zgoda użytkownika. Najczęściej jest wymagana wtedy, kiedy w grę wchodzi poważniejsza ingerencja w prywatność użytkowników lub przekazywanie danych podmiotom trzecim (brokerom danych, innym portalom, agencjom interaktywnym).

W poszukiwaniu dobrych praktyk

Jak te abstrakcyjne reguły przełożyć na praktykę? Naszym zdaniem da się to zrobić rozsądnie, bez zalewania użytkowników pop-upami przy każdym wejściu na stronę i (z pewnością!) bez żądania „zgody” na każdym kroku.

Jeśli strona internetowa potrzebuje konkretnej informacji o naszym urządzeniu (np. rozdzielczości ekranu, preferowanej kolorystyce czy dostępnych czcionkach), żeby móc normalnie działać, nie powinna o nic pytać. Wystarczy, że określi zakres zbieranych danych oraz to, do czego są wykorzystywane, w polityce prywatności.

Tylko wtedy, kiedy strona próbuje uzyskać informację wykraczającą poza to, co jest niezbędne, powinna się nam „przedstawić” i poprosić o zgodę.

Tylko wtedy, kiedy strona próbuje uzyskać informację wykraczającą poza to, co jest niezbędne, powinna się nam „przedstawić” i poprosić o zgodę (przy czym w takiej sytuacji nie może się opierać na domyślnych ustawieniach przeglądarki ani z góry zaznaczonych okienkach).

Gdzieś pomiędzy jest korzystanie z informacji, które są standardowo wykorzystywane do działań marketingowych (np. sprawdzanie, czy użytkownik zareagował na wyświetlony banner) i nie wykraczają poza nasze racjonalne oczekiwania. W takich przypadkach zgoda nie jest konieczna, ale na stronie musi pojawić się informacja o przetwarzanych danych i możliwość wyrażenia sprzeciwu wobec takiej praktyki.

Granice tego, co na gruncie RODO może być uznane za uzasadniony interes administratora (wydawcy strony internetowej, administratora strony) związany z marketingiem i targetowaną reklamą, będą się jeszcze ucierać w orzecznictwie sądów i decyzjach Prezesa UODO. Serwisy internetowe będą zapewne próbowały obronić to, że personalizacja treści (również reklamowych) na ich stronach mieści się w ich uzasadnionym interesie, bo bez niej ich model zarabiania pieniędzy się nie spina. Nawet jeśli zgodzimy się na ten argument, pozostaje spór o to, jakie są dziś racjonalne oczekiwania użytkowników związane z profilowaniem i gdzie się zaczyna to, co RODO uznaje za nadmierną ingerencję w prywatność.

Naszym zdaniem stałe śledzenie i analizowanie działań podejmowanych przez użytkowników (w tym na innych stronach internetowych czy nawet poza siecią, dzięki dostępowi do lokalizacji) przekracza granicę uzasadnionego interesu. Na terytorium, które wymaga świadomej i dobrowolnej zgody, wkraczamy również wtedy, kiedy w grę wchodzi przekazywanie danych innym podmiotom (brokerom danych, agencjom interaktywnym etc.).

Jak do wdrożenia RODO podeszły polskie portale internetowe? Przygotowując ten tekst, sprawdziliśmy kilka portali, serwujących treści o różnym charakterze (od informacyjnych po rozrywkowe). Z tego przeglądu wyłania się dość niski standard ochrony danych osobowych:

  • Mimo tego, że większość portali traktuje przekazywanie danych innym podmiotom (zwykle określanym jako Zaufane Podmioty) w celach marketingowych jako coś, co wymaga zgody użytkownika, standard pozyskiwania tej zgody jest niski. Za świadomą zgodę uważane jest nawet odruchowe zamknięcie okienka z informacją na temat przetwarzania danych (po przykłady odsyłamy do subiektywnego przeglądu złych i dobrych praktyk).

  • Niektóre portale jeszcze przed wyrażeniem zgody serwują ciasteczka pochodzące od innych podmiotów (m.in. brokerów danych), mimo że najprawdopodobniej mają one funkcję śledzącą, a więc trudno je obronić w oparciu o uzasadniony interes. Rekordzistą w tej konkurencji okazał się Super Express, który zaserwował nam aż 161 takich ciastek.

  • Skrypty i ciasteczka Google Analytics (służące do monitorowania ruchu na stronie) są standardowo serwowane jeszcze przed wyrażeniem zgody, a więc w oparciu o uzasadniony interes portali. Mimo że wolimy narzędzia analityczne, które da się obsługiwać samodzielnie (jak Mamoto czy OpenWebAnalytics), taką wykładnię uzasadnionego interesu jesteśmy w stanie zaakceptować.

  • Wiele stron wyświetla informację o cookies nawet tym użytkownikom, którzy mają zupełnie zablokowane przyjmowanie ciasteczek. Uważamy, że to zła i irytująca praktyka. Sprawdzenie tego, że przeglądarka nie pozwala ustawić żadnych ciasteczek, z pewnością nie wykracza poza techniczne możliwości komercyjnych portali. Apelujemy: nie informujcie bez sensu!

Katarzyna Szymielewicz

Współpraca: Michał „rysiek" Woźniak, Karolina Iwańska

Polecamy także inne artykuły z cyklu: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk

Wesprzyj naszą walkę o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.

Michał „rysiek" Woźniak, Karolina Iwańska
Współpraca

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.