Ekspertka: instalowanie plików cookies nie zawsze wymaga zgody
Pliki cookies są różne i mogą, ale nie muszą stanowić danych osobowych. Ich instalowanie nie zawsze wymaga uzyskania zgody od użytkowników; zależy to od rodzaju tzw. ciasteczek – uważa Kinga Bieniek-Zawadzka, specjalistka ds. ochrony danych osobowych w iSecure.
„Odwiedzając różnego rodzaju witryny internetowe, nie da się nie zauważyć tzw. banneru cookies. Użytkownicy internetu informowani są w ten sposób przez właścicieli stron o wykorzystywaniu tzw. ciasteczek – zapisywanych w pamięci komputera krótkich plików tekstowych, których celem jest przede wszystkim zapewnienie prawidłowego działania strony, jak również zebranie informacji o preferencjach użytkownika” – zauważyła Kinga Bieniek-Zawadzka.
Jak podkreśliła, pliki cookies dzielą się na wiele rodzajów. Wskazała na przykład plików serwisowych, niezbędnych do właściwego funkcjonowania strony internetowej. „Ten rodzaj ciasteczek nie może zostać wyłączony przez użytkownika” – zauważyła. „Oprócz funkcjonalnych czy analitycznych plików cookies mierzących liczbę wizyt na stronie www oraz zbierających informację o potrzebach i preferencjach użytkownika poprzez zapamiętywanie wyborów dokonywanych w witrynach, należy wspomnieć o ciasteczkach marketingowych” – podkreśliła. Dodała, że ten ostatni rodzaj cookies pozwala dopasować wiadomości reklamowe indywidualnie dla każdego użytkownika.
W ocenie ekspertki każdy świadomy użytkownik wie, że odwiedzając witrynę internetową, może zostawić po swojej wizycie pewne ślady w postaci informacji na swój temat. Zauważyła zarazem, że pojawiają się wątpliwości, czy każdy rodzaj ciasteczek może zostać uznany w świetle przepisów o ochronie danych osobowych za dane osobowe, do których zbierania i przetwarzania niezbędne jest uzyskanie zgody.
„Zgodnie z definicją wskazaną w przepisach RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To pojęcie bardzo szerokie, obejmuje bowiem różne kategorie informacji o podmiocie danych. Aby uznać konkretną informację za dane osobowe, należy zweryfikować, czy możliwa jest identyfikacja osoby fizycznej za pomocą dostępnych narzędzi i rozwiązań. Liczy się zatem nie tylko sama treść, ale również to, kto dysponuje informacją o podmiocie danych i jakie dodatkowe dane może posiadać” – wskazała Bieniek-Zawadzka.
Jej zdaniem w tym kontekście należy każdorazowo rozważyć, czy określone pliki cookies kwalifikują się do kategorii danych osobowych, bo wcale nie jest to oczywiste. „W świetle doktryny w większości przypadków ciasteczka traktowane są jako dane osobowe, ale przepisy prawa, w tym w szczególności RODO, wskazują, iż identyfikatory internetowe, do których kwalifikowane są m.in. pliki cookies, należy uznać za dane osobowe, jeżeli czas, miejsce i kontekst, w którym się pojawiają, w połączeniu z innymi informacjami mogą być wykorzystywane do zidentyfikowania osób, których dotyczą” – zwróciła uwagę ekspertka.
„Pliki cookies same w sobie nie będą stanowić danych osobowych w sytuacji, gdy właściciel strony internetowej czy właściciel domeny nie będzie miał możliwości zidentyfikowania użytkownika końcowego. Jeżeli nie ma możliwości powiązania plików cookies – bez nadmiernego wysiłku i kosztów – z konkretnymi osobami fizycznymi, wówczas ciasteczko nie ma statusu danych osobowych” – podkreśliła Bieniek-Zawadzka.
W podobnym duchu wypowiedział się Naczelny Sąd Administracyjny w jednym ze swoich orzeczeń dotyczących identyfikacji podmiotów danych za pomocą numeru rejestracyjnego przypisanego do pojazdu – zauważyła ekspertka. Jak przypomniała, sąd wskazał, iż nie można numeru rejestracyjnego w sposób prosty powiązać z konkretną osobą, bo często z tego samego pojazdu korzystają różne osoby, co utrudnia powiązanie pojazdu z konkretnym właścicielem czy posiadaczem.
„Tak samo jest w przypadku ciasteczek – właściciel strony www nie jest w stanie określić, kto korzysta z konkretnego urządzenia czy przeglądarki internetowej” – oceniła. (PAP)
autorka: Małgorzata Werner-Woś