Cookie walls | EU DPA o cookie walls i udzielaniu zgody


Rozporządzenie o Ochronie Danych Osobowych (RODO) oraz ePR (ePrivacy Directive) wpływają na to, jak, jako właściciel strony internetowej, musisz uzyskiwać i przechowywać zgody cookie od użytkowników z UE.

Wypróbuj nasz test zgodności, żeby sprawdzić, czy Twoja strona używa plików cookie i modułów śledzących zgodnie z RODO i ePR.

A cookie wall is on the edge of illegal, banned by three EU data protection authorities for being in violation of the GDPR.

Cookie wall to sposób, którego używają strony, aby uniemożliwić użytkownikom dostęp, jeżeli ci nie wyrażą zgody na wszystkie pliki cookie i moduły śledzące obecne na stronie.

Jest to bariera, która stawia użytkownikom ultimatum “wszystko albo nic”: muszą oni albo zgodzić się na wszystkie marketingowe ciasteczka i podobne technologie śledzące, albo zaryzykować odmowę dostępu do całej strony.

Dlatego też cookie wall stwarza kontrowersje – jej legalność jest dyskusyjna, a niektóre kraje w UE uznały ją już za niezgodne z prawem.

W tym wpisie przyjrzymy się wszystkim aspektom cookie walls:

  1. Czym jest cookie wall?
  2. Jak działa?
  3. Legalna czy nie?
  4. Jaka jest dobra alternatywa dla cookie wall?

Co to jest cookie wall?


Cookie wall to granica ustawiona przez stronę internetową, która ogranicza dostęp użytkownikom, którzy nie wyrazili zgody na wszystkie pliki cookie i moduły śledzące obecne i gotowe do aktywacji w domenie.

Strona wprowadza ten scenariusz “wszystko albo nic”, aby upewnić się, że aktywuje wszystkie pliki cookie i będzie gromadzić tyle danych, ile tylko jest możliwe, nawet jeżeli jest to wbrew woli użytkowników.

Niektóre strony mogą używać cookie wall w obawie, że rozdrobniona zgoda źle na nie wpłynie, jeżeli użytkownicy będą mogli zgodzić się tylko na niektóre ciasteczka zamiast na wszystkie. W tym artykule obalimy ten mit.

W praktyce cookie wall jest specyficznym rodzajem baneru zgody, który może wyglądać tak samo, jak te nieszkodliwe, które normalnie widzimy w Internecie. Różnica polega na tym, że cookie wall nie pozostawiają odbiorcy opcji zaznaczenia lub odznaczenia poszczególnych kategorii plików cookie – takich jak marketingowe ciasteczka, które zazwyczaj przechowują niezliczone ilości urządzeń śledzących od firm reklamowych.

A cookie wall force users to give their data to Google and Facebook
Cookie wall, taka jak ta przedstawiona powyżej, zmusza użytkowników do zgody na bycie śledzonym przez trzecie firmy, jak na przykład Google i Facebook, w zamian za dostęp do danej strony internetowej.

Cookie walls istnieją na niezliczonej ilości stron w sieci, także na wielu portalach informacyjnych, na których ludzie polegają względem codziennych informacji (a także, co ironicznie, zgłaszania problemów związanych z prywatnością).

Wyobraź sobie, że próbujesz kupić gazetę, ale możesz przeczytać ją dopiero wtedy, kiedy odkryjesz każdy detal dotyczący twoich najbliższych relacji i rodziny obcemu sprzedawcy oraz dziesiątkom osób trzecich.

Pomyśl, że chcesz wejść do supermarketu, ale jedyny sposób, aby to zrobić to uprzednie zdjęcie swoich ubrań, oddanie portfela i podanie NIP-u.

Brzmi to absurdalnie, ale jest porównywalne do sytuacji, w której cookie wall stawia użytkownika końcowego, wymagając zapłaty za dostęp w formie rezygnacji z kontroli własnych prywatnych danych i przekazanie ich do firm reklamowych. Te tworzą niepokojąco detaliczne profile poszczególnych osób, sprzedawane w czasie rzeczywistym w systemach przetargowych na przyszłościowych rynkach zachowań.

Jak działa cookie wall?

Większość stron internetowych na świecie ma własne i zewnętrzne pliki cookie osadzone w kodzie źródłowym. Obejmują one niezbędne pliki cookie, które są fundamentalne dla działania strony internetowej, oraz statystyczne pliki cookie, które często wykorzystują anonimowe dane w celu uzyskania wglądu w działanie strony.

Są też marketingowe pliki cookie, które zostały zamieszczone przez firmy reklamowe jedynie w celu gromadzenia prywatnych danych, aby móc włączyć użytkowników do systemów reklam behawioralnych (i wykorzystać ich do innych złowrogich celów).

A cookie wall is in violation of the GDPR, says ICO, CNIL and AP.
Cookie walls działają poprzez uniemożliwianie wejścia na stronę użytkownikom, dopóki nie udzielą oni pełnej zgody na wszystkie ciasteczka.

Wiele różnych typów plików cookie ma rozmaite cele – niektóre bezpośrednio naruszają prywatność, co jest powodem, dla którego europejskie ustawy o ochronie danych, takie jak RODO i ePR są w stanie kontrolować i regulować, w jaki sposób te pliki cookie i moduły śledzące mogą być używane przez firmy, organizacje i strony internetowe.

RODO nakazuje administratorom danych uzyskanie uprzedniej zgody użytkowników, zanim nastąpi jakiekolwiek przetwarzanie danych. Zgoda jest jedną z sześciu podstaw prawnych przetwarzania danych osobowych w UE i jest najczęściej wykorzystywana przez strony internetowe i firmy na całym świecie.

Tak więc baner zgody na pliki cookie powstał jako sposób dla administratorów danych osobowych, aby pozostać w zgodzie z RODO i ePR poprzez zdobywanie zgody użytkowników na przetwarzanie ich danych.

Cookie wall to hybrydowy baner plików cookie, który uzyskuje coś w rodzaju zgody użytkownika, ale wyklucza możliwość wyrażenia zgody tylko na określone rodzaje plików cookie. Działa poprzez blokowanie dostępu do strony, dopóki użytkownik nie kliknie “ok” dla wszystkich ciasteczek i modułów śledzących.

Czy cookie wall są legalne?


Właściwie, to nieszczególnie.

RODO definiuje ważną zgodę jako udzieloną dobrowolnie i ostrzega, że zgoda będzie nieważna, jeżeli jest warunkiem wymiany za usługi, do których przetwarzanie danych nie jest niezbędne.

Innymi słowy, cookie wall jest dokładnie na krawędzie bycia nielegalną – a niektórzy eksperci od prywatności, jak na przykład dr. Johnny Ryan z Brave aktywnie protestują przeciwko ich użyciu. 

I słusznie, ponieważ wypaczają one zgodę użytkowników i zakłócają podstawy zgody określone w RODO.

Dr Johnny Ryan z przeglądarki prywatności Brave złożył formalną skargę do Irish DPA (irlandzki organ ochrony danych) w kwietniu 2019 r. przeciwko cookie wall IAB Europe poprzez ich własną stronę internetową, która zmuszała odwiedzających do zaakceptowania między innymi śledzenia przez Google i Facebook.

Przeczytaj w całości formalną skargę dr. Johnny’ego Ryana do Irish DPA (angielski).

IAB Europe odmówiło odpowiedzi na pytania zadane następnie przez Irlandzką Komisję Ochrony Danych wynikające ze skargi dr. Ryana.

W lipcu 2018, zaledwie kilka miesięcy po wejściu w życie RODO, Europejska Rada Ochrony Danych (European Data Protection Board) wydała oświadczenie, że cookie walls powinny być zakazane nowym rozporządzeniem ePR, które ma zostać sfinalizowane w 2020 r.

Standard zgody według RODO

W Artykule 7 RODO znajdziemy konkretną definicję tego, co stanowi ważną zgodę.

Strony internetowe muszą być z nią zgodne lub znajdą się w konflikcie z prawem i ryzyku wysokich grzywien (nawet do 20 milionów euro lub 4% rocznego obrotu firmy).

RODO nie mówi konkretnie o plikach cookie – oprócz jednej wzmianki na ponad osiemdziesięciu stronach. Podnosi jednak standard zgody z wcześniejszych przepisów dotyczących prywatności, takich jak ePrivacy Directive (z jej krajowymi wdrożeniami w całej UE), która zajmuje się plikami cookie i modułami śledzącymi. 

Według RODO zgoda to “dobrowolnie udzielone, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dotyczą dane, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zasadniczo, RODO wyraźnie określa, że użytkownicy w UE muszą mieć jasny i wymagający aktywności wybór, zanim zostaną ustawione jakiekolwiek pliki cookie i przetworzone zostaną ich dane.

Cookie walls are non-compliant with the GDPR.
Trzy spośród organów ochrony danych w krajach UE zarządziły nielegalność cookie walls w 2019.

„Dobrowolnie udzielona” a cookie walls

Kiedy chodzi o legalność cookie wall, powyższa definicja zgody, zawarta w RODO szczególnie zmusza do zastanowienia, podkreślając, że ważna zgoda musi być dobrowolnie udzielona.

Cookie wall zmusza użytkowników do podjęcia decyzji między odwiedzeniem strony poprzez zaakceptowanie wszystkich cookies i modułów śledzących lub opuszczenie portalu z nienaruszoną prywatnością.

Zniekształca to sytuację zgody użytkownika, a tym samym unieważnia część definicji o swobodnym udzielaniu zgody.

Zgoda nie jest dobrowolnie udzielona, jeżeli zostaje wymuszona jako warunek dostępu do strony, która nie potrzebuje aktywowania wszystkich plików cookie, aby zapewnić użytkownikowi zaledwie “usługę” udzielenia dostępu, jak zostało to uszczegółowione w Artykule 7 RODO.

Skłoniło to kilka europejskich organów ochrony danych do przedstawienia nowych wytycznych, w których wprost stwierdzają, że cookie wall jest niezgodna z RODO.

Holenderskie DPA na temat cookie walls


Wiosną 2019, holenderskie DPA (Data Protection Authorites – organ ochrony danych) AP zarządził, że cookie walls są pogwałceniem RODO, ponieważ użytkownicy strony muszą udzielić swojej zgody dobrowolnie, a nie przymuszeni przez cookie wall, wymagającą ceny ich prywatności za dostęp do danej domeny.

Holenderskie DPA podsumowało swoją decyzję, mówiąc, że cookie wall stawia użytkownikom ultimatum “wszystko albo nic”, gdzie muszą albo wyrazić zgodę na wszystkie ciasteczka i moduły śledzące, albo opuścić stronę nie mając możliwości dostępu do niej.

Według holenderskiego organu stanowi to nieważną formę zgody, gdyż użytkownicy nie mają faktycznego wolnego wyboru między zaakceptowaniem lub odrzuceniem konkretnych plików cookie. Strony internetowe nie mają prawa odmawiać dostępu użytkownikom, którzy zdecydowali się nie zgadzać na ciasteczka i moduły śledzące.

Innymi słowy, cookie walls są nielegalne w Holandii.

Brytyjskie DPA na temat cookie walls


Brytyjski organ ochrony danych, ICO, także uaktualnił swoje wytyczne użytkowania plików cookie w zgodności z RODO w lecie 2019.

Stosując standard zgody RODO do krajowych wdrożeń ePrivacy Directive (w Wielkiej Brytanii PECR), brytyjskie ICO zdecydowało, że żadne kategorie plików cookie oprócz niezbędnych nie mogą mieć domyślnie zaznaczonych pól.

W uaktualnionych wytycznych ICO określiło również, że używanie cookie wall w celu ograniczenia dostępu do strony nie jest zgodne z RODO (ani PECR).

„Stosowanie ogólnego podejścia, takiego jak to, jest wątpliwą formą zgody. Oświadczenie takie jak “kontynuując przeglądanie tej strony, wyrażasz zgodę na pliki cookie” nie stanowi ważnej zgody w świetle wyższych standardów RODO”.

Niemniej jednak ICO przyznaje również, że w UE nie ma jednolitego zakazu stosowania cookie walls, tzn. jest to kwesta interpretacji RODO oraz że istnieją praktyczne względy dotyczące stosowania częściowych cookie walls.

ICO “będzie szukało dalszych uwag i opinii na ten temat od zainteresowanych stron”.

Francuskie DPA na temat cookie walls


Francuski organ ochrony danych, CNIL, także zaktualizował swoje wytyczne w lecie 2019 i ogłosił taki sam sprzeciw wobec cookie wall, jak brytyjskie i holenderskie organy ochrony danych. 

CNIL zarządziło, że strony muszą “zostawić użytkownikom możliwość dostępu do usługi nawet w przypadki odmowy zgody”.

Innymi słowy, cookie wall jest niezgodna z RODO także we Francji.

Użycie cookie walls, jak mówi CNIL, jest niezgodne, ponieważ nie stanowi ważnej zgody, jako że zgoda uzyskana dzięki cookie wall nie jest udzielona dobrowolnie, co do czego zgadzają się brytyjskie ICO i holenderskie AP.

Więc czy cookie wall są nielegalne?

Tak, cookie walls są zabronione w Holandii, Wielkiej Brytanii i Francji.

W pozostałej części Europy są one uważane za podejrzaną praktykę i jest dosyć prawdopodobne, że zostaną oficjalnie zabronione w ePrivacy Regulation w 2020, w oczekiwaniu na wszelkie nieprzewidziane rozwiązanie nowego unijnego prawa ochrony prywatności.

Cookiebot na temat cookie walls


Cookiebot wierzy w rozdrobnioną zgodę. To daje użytkownikowi rzeczywiste opcje wyrażenia zgody, które są zgodne z RODO. Buduje zaufanie między użytkownikami i stroną internetową – coś, co cookie wall gotowe jest zdradzić.

Granular consent as an alternative to cookie walls, offered by Cookiebot.
Rozdrobniona zgoda razem z banerem zgody od Cookiebot umożliwia stronom internetowym faktyczną zgodność z RODO.

Dzięki naszemu rozwiązaniu rozdrobnionej zgody strony mogą zaoferować użytkownikom prawdziwy wolny wybór, poprzez konfigurowalne banery zgody, które gromadzą zgody użytkowników i zarządzają aktywacją cookies na Twojej stronie zgodnie z RODO.

Rozdrobniona zgoda to przyszłość

Dzięki pozwalaniu użytkownikom zadecydować, które ciasteczka i moduły śledzące pozwalają stronie zamieścić na swoich urządzeniach, strona internetowa nie tylko działa w zgodzie z wymaganiami RODO względem podstawy prawnej na przetwarzanie danych osobowych.

Respektuje ona także prywatność i wolność osób za ekranem, ukrytych pod terminami “użytkownik” i “podmiot danych” – prawdziwych istot ludzkich, których prywatne życie może zostać poważnie naruszone przez gromadzenie ich danych przez osoby trzecie.

Szacunek dla godności prywatności i szczere poszanowanie autonomii innych osób jest trudne do ustanowienia; jest czymś więcej niż prawem… jest kulturą.

Cookiebot pracuje każdego dnia, aby pomóc stronom internetowym stać się zgodnymi ze światowymi prawami ochrony danych, lecz także po to, by stworzyć kulturę prywatności i autonomii w Internecie.

Wypróbuj Cookiebot za darmo, aby być zgodnym z RODO, lecz także… z tego drugiego powodu.

Dla prywatności i wolnej przyszłości.

Zasoby


What is the GDPR?

European Data Protection Board

ICO’s guidance on the use of cookies and similar technologies

Dutch DPA on cookie walls (in Dutch)

CNIL’s guidance on the use of cookies in France (in French)

Dr. Johnny Ryan’s formal complaint against IAB Europe to the Irish Data Commission