Nowe prawo UE Rozporządzenie o Ochronie Danych Osobowych, w skrócie RODO, po angielsku znana jako The General Data Protection Regulation (GDPR), wchodzi w życie 25 maja 2018 roku.
Jak RODO wpływa na pliki cookies i śledzenie użytkowników online? Jak zapewnić zgodność? Jak RODO wpływa na politykę cookies i sposób otrzymywania zgody na użycie plików cookies?
W tym artykule dowiemy się czym jest RODO i jakie znaczenie ma dla Twojej witryny internetowej.
RODO a pliki cookies
RODO to część nowych regulacji Unii Europejskiej będących najbardziej znaczącą inicjatywą w zakresie ochrony danych od 20 lat. Nowa regulacja ustala ścisłe wymagania odnośnie przetwarzania danych osobowych obywateli Unii Europejskiej.
Pliki cookies są wspomniane raz w 88 stronach regulacji. Jednak te kilka linii ma ogromne znaczenie dla użycia plików cookies:
(30): “Natural persons may be associated with online identifiers […] such as internet protocol addresses, cookie identifiers or other identifiers […]. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.”
(30): „Naturalne osoby mogą zostać powiązanie z identyfikatorami online […] takimi jak adresy IP, identyfikatory plików cookies i inne identyfikatory […]. To może zostawiać ślady, w szczególności gdy połączone z unikalnymi identyfikatorami i innymi informacjami otrzymanymi przez serwery, może zostać użyte do tworzenia profili naturalnych osób i identyfikować je.”
Innymi słowy: kiedy pliki cookies mogą identyfikować osobę, są uważane za dane osobowe.
O co chodzi z tymi plikami cookies?
Pliki cookies to małe pliki automatycznie zapisywane w przeglądarce użytkownika kiedy ten przegląda witryny internetowe. Same w sobie są nieszkodliwymi ciągami tekstu które są przechowywane lokalnie, mogą być przeglądane i usuwane.
Jednak pliki cookies mogą zawierać wiele informacji o Twojej aktywności i preferencjach. Mogą być używane do zidentyfikowania Ciebie bez Twojej wyraźnej zgody.
To stwarza poważne naruszenie z prawnego punktu widzenia, podczas gdy technologie przetwarzania danych rozwijają się w zastraszającym tempie i są coraz bardziej wyrafinowane, Twoja prywatność jako użytkownika jest coraz bardziej zagrożona.
Często pliki cookies nie pochodzą z witryny którą odwiedzasz ale z usług stron trzecich, które śledzą Cię w celach marketingowych itp. To wszystko dzieje się „w tle”, niewidocznie dla użytkownika.
Nie wszystkie pliki cookies są używane w celu identyfikowania użytkowników, ale większość z nich tak, zwłaszcza te najbardziej użyteczne dla właścicieli witryny i dlatego są przedmiotem podlegającym RODO.
Cookies dla analityki, reklamy i usług funkcjonalnych jak np Google Analytics czy przycisku „Lubię to” Facebooka, są przykładami plików cookies które mogą identyfikować użytkowników.
Problemy z plikami cookies to z jednej strony prywatność – jakie dane są rejestrowane – i z drugiej strony przejrzystość – kto zbiera informacje, w jakim celu, dokąd dane są przesyłane i na jak długo?
Dowiedz się więcej o plikach cookies z tego artykułu.
Nie wiesz czy Twoja witryna używa plików cookies? Sprawdź naszym darmowym testem, podaj tylko nazwę domeny i adres email. Darmowy test sprawdza 5 stron witryny. Potrzebujesz pełnego skanu? Załóż darmowe konto rejestrując swoją domenę.
Wymagania: Jak mieć pewność, że Twoja witryna i użycie plików cookies jest zgodne z RODO?
Jako właściciel witryny aby zapewnić zgodność z RODO musisz zrewidować procesy zarządzania danymi i upewnić się, że dane osobowe są zarządzane zgodnie w nowymi regulacjami (ang).
Sprawdź także stronę z infografiką udostępniona w witrynie Unii Europejskiej: Data protection: Better rules for small business(ang)
Rozporządzenie o Ochronie Danych Osobowych wymienia imię, nazwisko, zdjęcie, adres email, dane bankowe, posty z sieci społecznościowych, informacje medyczne, adres IP urządzenia jako dane osobiste.
Jeśli Twoja witryna internetowa lub organizacja przetwarza dane które są (a) bezpośrednimi danymi osobowymi lub (b) danymi które w połączeniu z innymi danymi mogą zidentyfikować osobę jako jednostkę, takie dane podlegają rozporządzeniu RODO i muszą być zarządzane zgodnie z nowymi przepisami.
Zmapuj i oszacuj dane wrażliwe w Twojej organizacji, sprawdź politykę bezpieczeństwa i upewnij się, że dane są bezpieczne.
Dwa kluczowe aspekty na które należy zwrócić uwagę to:
- Jak przechowujesz dane klientów i użytkowników w Twojej organizacji, oraz
- Pliki cookies na Twojej stronie (bezpośrednie oraz pochodzące od stron trzecich).
Dostosowanie polityki prywatności oraz polityki cookies jest ważną częścią tego procesu zapewnienia zgodności z RODO.
Jakie cechy powinna mieć zgoda na użycie plików cookies spełniająca wymagania RODO?
Jednym z najważniejszych wymagań które stawia RODO znajduje się w definicji prawidłowego uzyskania zgody na użycie plików cookies. Zgoda powinna:
- Informować: Dlaczego, jak i gdzie są używane dane osobowe? Dla użytkownika musi być jasne na co się zgadza. Użytkownik musi mieć możliwość zaakceptowania lub odrzucenia różnych plików cookies.
- Bazować na prawdziwym wyborze: Znaczy to, że użytkownik musi mieć możliwość używania witryny i jej funkcji nawet gdy zgoda na użycie plików cookies innych niż niezbędne do prawidłowego działania witryny, nie zostanie wyrażona.
- Być wydana jako dobrowolne działanie i nie może być błędnie interpretowana.
- Powinna być wydana zanim jakiekolwiek przetwarzanie danych osobowych ma miejsce.
- Być odwracalna. Użytkownik musi mieć możliwość zmiany ustawień wydanej zgody w prosty sposób w dowolnym momencie.
Co więcej,
- Użytkownik ma prawo do bycia zapomnianym. Na życzenie użytkownika, wszystkie jego dane osobowe muszą być usunięte.
- Wszystkie wydane zgody muszą być przechowywane jako dokumentacja wydania zgody.
Jakie wymagania ma zgodna z RODO informacja o użyciu plików cookies?
Wyżej wymienione wymagania sprawiają, że większość obwieszczeń i banerów użycia plików cookies staje się zdezaktualizowanych nie spełniając wymogów RODO.
Na przykład, zgoda domyślna informująca o „Zgodzie na używanie plików cookies przy dalszym używaniu strony internetowej” już nie wystarczy.
To samo dotyczy wyskakujących okienek i banerów z podobną informacją dla użytkowników.
Prosty przycisk „Zgadzam się” również nie wystarczy.
Poniżej przykład banera zgody na użycie plików cookies nie zgodnego z wymaganiami RODO.
Przykład zgodnego z RODO banera na użycie plików cookies:
Poniżej baner zbierający zgody na pliki cookies z systemu Cookiebot (dostępny w 43 językach), zgodny z RODO i unijną dyrektywą e-prywatności:
Baner zgody na cookies jest zgodny z nowymi regulacjami dlatego, że:
- Przede wszystkim, mimo, że to niewidoczne dla oka, uruchamianie wszystkich skryptów, poza niezbędnymi dla działania strony, jest zatrzymane dopóki zgoda nie zostanie wyrażona. Nazywa się to ’uprzednią zgodą’ i jest wymogiem zarówno RODO jak i dyrektywy e-prywatności. (wymaga to drobnych zmian w kodzie strony). W przypadku RODO, zgoda musi być wyrażona dla plików cookies śledzących dane osobiste, podczas gdy dyrektywa e-prywatności wymaga zgody użytkownika przed zapisaniem w przeglądarce użytkownika jakichkolwiek plików cookies innych niż ściśle wymagane.
- Informacja o plikach cookies jest dokładna i szczegółowa oraz jest wyrażona prostym i zrozumiałym językiem, tak jak wymagają tego przepisy RODO.
- Jeśli użytkownik wybierze opcję pokazania szczegółów, baner rozwija się wyświetlając pełną listę wszystkich aktywnych plików cookies i technologii śledzących w użyciu na stronie. Lista pochodzi z comiesięcznych skanów witryny identyfikujących wszystkie znane rodzaje cookies i technologii śledzących wraz ze szczegółami takimi jak pochodzenie, czas życia i opis przeznaczenia.
- Pliki cookies są pogrupowane w cztery kategorie, na które użytkownik może wyrazić zgodę bądź je odrzucić. Niezbędne pliki cookies nie mogą być odrzucone, ponieważ są wymagane do prawidłowego działania witryny. Kategorie plików cookies które nie zbierają danych osobistych mogą być zaznaczone domyślnie, pozostałe muszą być aktywnie zaznaczone przez użytkownika zgodnie z wymogami.
- W przykładzie powyżej, statystyczne pliki cookies nie zbierają danych osobowych, mogą być zatem domyślnie zaznaczone. Cookies z kategorii marketing śledzą dane osobowe, zatem domyślnie nie są zaznaczone.
- Użytkownik ma dostęp do ustawień wyrażonej zgody i może w dowolnym momencie ją zmienić czy odrzucić.
- Wszystkie wydane zgody są bezpiecznie przechowywane jako dokumentacja tego, że zgoda została wydana.
- Po 12 miesiącach od pierwszej wizyty użytkownika na stronie, baner zgody pojawia się ponownie prosząc użytkownika o odnowienie zgody.
Jak zapewnić zgodność polityki cookies z RODO?
Rozporządzenie o Ochronie Danych Osobowych stawia nowe wymagania polityce cookies.
RODO i dyrektywa e-prywaności wymaga uprzedniej zgody informującej użytkowników witryny a RODO stawia wymaganie dokumentowania każdej wydanej zgody.
W tym samym czasie musisz udzielić informacji jakie dane użytkowników są udostępniane usługom stron trzecich używanym w Twojej witrynie (np Google Analytics czy Facebook) i dokąd w świecie dane te są wysyłane.
Polityka cookies zgodna z RODO i dyrektywą e-prywatności musi spełnić następujące wymagania:
Polityka cookies musi być przejrzysta
Polityka cookies musi w dowolnym momencie dać użytkownikowi jasny i dokładny obraz jak pliki cookies są używane w witrynie. Wymogiem jest to, żeby polityka cookies była napisana prostym i zrozumiałym językiem.
Przegląd i odpowiedzialność za pliki cookies na Twojej stronie
Twoja organizacja może być poddana kontroli i zmuszona do wyczerpującego opisania procesów zarządzania danymi przetwarzanymi na Twojej witrynie internetowej.
To łatwiej powiedzieć niż zrobić ponieważ większość witryn używa dużej liczby plików cookies stron trzecich.
Zgoda wydana jako pozytywna, dobrowolna akcja
Największą zmianą dla plików cookies i śledzenia online w związku z RODO jets to że zgoda musi być wydana w jasny i dobrowolny sposób.
Obywatele UE przyzwyczaili się już, chociaż to nadal irytujące, do banerów na stronach internetowych informujących o użyciu plików cookies, czasem zapraszających do poznania więcej informacji i jednym przyciskiem, nie dającym prawdziwego wyboru.
Według nowych przepisów to nie wystarczy. Zgoda musi być wyrażona w jasny i dobrowolny sposób a opcja odrzucenia plików cookies musi być dostępna.
Możliwość odrzucenia plików cookies w dowolnym momencie.
Użytkownik musi mieć możliwość dorzucenia zgody.
Należy zapewnić użytkownikom możliwość wglądu w wyrażone zgody w dowolnym momencie lub jej zmiany lub całkowitego odrzucenia.
Odnowienie zgody
Po każdych 12 miesiącach, zgoda powinna być odnowiona podczas kolejnej wizyty na stronie.
Przyjazny dla użytkownika opis
Wyzwanie RODO to z jednej strony to, że użycie plików cookies powinno być przejrzyste a użytkownicy powinni być informowani jak ich dane są używane.
Z drugiej strony, komunikacja powinna być prosta i czytelna tak aby użytkownik miał prawdziwy wybór i wiedział na co się zgadza.
Uprzednia zgoda
Wraz z RODO i dyrektywą e-prywatności zgoda użytkownika musi być wyrażona zanim pliki cookies zostaną zapisane. W RODO potrzebujesz uprzedniej zgody aby ustawić pliki cookies zapisujące dane osobiste, podczas gdy dyrektywa e-prywatności idzie znacznie dalej, wymagając zgody do ustawienia wszystkich plików cookies, poza ściśle wymaganymi.
Zgoda musi być przechowywana jako dowód.
Wszystkie zgody muszą być bezpiecznie przechowywane aby stanowić dowód w razie kontroli.
Czy mogę używać szablonu polityki cookies?
W internecie istnieje wiele usług udostępniających generatory lub szablony dla polityki cookies. Wystraczy wygooglować „szablon polityki cookies”.
Należy jednak zachować ostrożność. Nie zalecamy użycia szablonów ponieważ wymaganiem RODO jest to, żeby informacja o plikach cookies i śledzeniu online była dokładna i szczegółowa.
Po pierwsze, wszystkie strony są różne a po drugie pliki cookies zmieniają się bez poinformowania właścicieli witryn o tym fakcie, zwłaszcza jeśli używasz usług stron trzecich takich jak zagnieżdżone treści, reklamy czy narzędzia analityczne.
Z Cookiebot oferowanym na zgodnosczrodo.pl możesz opublikować raport comiesięcznego skanu Twojej witryny jako część Twojej polityki prywatności lub polityki cookies.
W ten sposób informacja o użyciu plików cookies jaką udostępniasz odwiedzającym Twoją witrynę jest dokładna i szczegółowa przez cały czas.
Jak w prosty sposób sprawić aby użycie plików cookies i śledzenia użytkowników było zgodne z RODO i dyrektywą e-prywatności?
Aby spełnić wymagania RODO, możesz stworzyć własny mechanizm zbierania i przechowywania zgód na użycie plików cookies. Lub założyć konto Cookiebot, jedno z niewielu w pełni zgodnych z RODO rozwiązań dla plików cookies i śledzenia online.
Cookiebot łączy politykę cookies z monitorowaniem aktywności cookies w Twojej witrynie, dając pewność, że polityka cookies jest aktualna i prawdziwa przez cały czas.
Generowany co miesiąc raport o użyciu plików cookies i przetwarzania danych na stronie daje kontrolę przez cały czas.
Zgoda użytkownika jest zbierana przy użyciu zrozumiałego banera umożliwiającego użytkownikom w prosty sposób wyrażenie zgody lub odrzucenie cookies.
Użytkownicy mają w każdej chwili dostęp do ustawień zgody z możliwością zmiany lub odrzucenia zgody.
Po każdych dwunastu miesiącach zgoda jest odnawiana przy kolejnej wizycie użytkownika na stronie.
Informacja w banerze jest komunikowana w przyjazny dla użytkownika sposób, dając przejrzystość bez nadmiaru informacji.
Zgoda jest wymagana zanim pliki cookies są zapisane, poza cookies niezbędnymi do działania strony a zatem legalnymi.
Wszystkie zgody są zbierane automatycznie przy użyciu bezpiecznego połączenia i przechowywane jako zaszyfrowane dane.
Zasoby i źródła
The GDPR
What the EU’s General Data Protection Regulation means for website compliance
How do you make your website gdpr compliant and what is the general data protection regulation anyway?
“6 steps to GDPR compliance” in Information Age Digital Edition
Informative blogpost on GDPR-consent
How the GDPR affect cookie policies
GDPR: When do you need to seek consent
Data protection – Better rules for small business
2018 reform of EU data protection rules
Video: GDPR in 97 seconds