Wytyczne EROD: pliki cookie, zgoda i zgodność

Rozporządzenie o Ochronie Danych Osobowych (RODO) i ePrivacy Directive (ePR) wpływają na to, jak, jako właściciel strony, musisz uzyskiwać i przechowywać zgody na użycie plików cookie od odwiedzających z UE.

Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy użycie plików cookie i modułów śledzących na Twojej stronie jest zgodne z RODO i ePR.

EDPB guidelines on valid consent, compliance with Cookiebot

Ostatnia aktualizacja: 27 maja 2020.

Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące zgodności z RODO, wyjaśniając, co stanowi ważną zgodę na stronach internetowych oraz orzekając, że użycie „cookie walls” jest nielegalne.

EROD jest najwyższym organem nadzorczym ds. RODO w UE, a ich wytyczne stanowią podstawę egzekwowania ochrony danych przez krajowe organy w każdym państwie członkowskim UE.

W tym artykule wyjaśniamy najważniejsze rzeczy, które musisz wiedzieć o wytycznych EROD, tak abyś mógł mieć pewność, że Twoja strona jest bezpiecznym miejscem dla jej użytkowników.

Szybkie podsumowanie

Wytyczne EROD w skrócie

4 maja 2020 Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące zgodności z RODO, które wyjaśniają, co liczy się jako ważna zgoda na przetwarzanie danych osobowych w UE i potwierdzają, że użycie “cookie walls” jako sposobu uzyskania zgody jest niedozwolone.

Nowe wytyczne EROD ujednolicają zastosowanie RODO – coś, co kilka krajowych organów ochrony danych oraz orzeczenie TSUE o Planet49 orzekło niezależnie. Ponieważ dyrektywy EROD określają, w jaki sposób organy ochrony danych w każdym państwie UE mają egzekwować RODO, bardzo ważne jest, aby o nich pamiętać.

Przeczytaj wytyczne EROD 05/2020 na temat ważnej zgody.

Sprawdź za darmo, czy Twoja strona jest zgodna z RODO i wytycznymi EROD.

Wypróbuj Cookiebot za darmo przez 30 dni… lub na zawsze, jeżeli masz niewielką stronę.

Wytyczne RODO na temat ważnej zgody

Aby zgoda była ważna w świetle RODO, musi być:

  • Dobrowolna
  • Konkretna
  • Świadoma
  • Jednoznaczna

EROD wyjaśnia w swoich wytycznych, że “jednoznaczne wskazanie zgody użytkownika” musi być efektem jasnej i potwierdzającej akcji tego użytkownika.

Czynności takie jak przewijanie strony lub podobne aktywności (znane także jako domyślna zgoda) nie spełniają kryteriów ważnej zgody według RODO.

W świetle wytycznych EROD oznacza to, że baner zgody na cookie nie może zawierać informacji, że dalsze przeglądanie Twojej domeny będzie uważane za zgodę na używanie plików cookie, które przetwarzają dane osobowe. Nie jest to ważna forma zgody w rozumieniu RODO.  

Zamiast tego, baner zgody musi być interaktywny. Strona musi powstrzymać aktywację jakichkolwiek plików cookie przetwarzających dane osobowe do czasu, gdy użytkownik wybierze którym kategoriom plików cookie pozwala na działanie (wcześniejsza zgoda).

Wytyczne EROD wyjaśniają także, że użycie domyślnie zaznaczonych pól wyboru nie jest zgodne z RODO, ponieważ nie spełnia warunku “jasnej i potwierdzającej akcji”.

W tym przypadku wytyczne EROD uzupełniają precedens prawny ustanowiony przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Planet49 w październiku 2019 r.

Tą decyzją TSUE zarządziło, że domyślnie zaznaczone pola wyboru na banerach zgody nie są dozwolone, ponieważ nie spełniają warunku dobrowolnej, potwierdzającej akcji.

Dowiedz się więcej o TSUE i przypadku Planet49

Wypróbuj Cookiebot za darmo przez 30 dni… lub na zawsze, jeżeli masz niewielką stronę.

EDPB guidelines clarify GDPR compliance in EU.
Wytyczne EROD wyjaśniają, jak RODO ma być interpretowane i egzekwowane w UE.

Wytyczne EROD na temat cookie walls

Dyrektywa EROD wyjaśnia także, że “cookie walls” są niezgodną formą uzyskiwanie zgody dla stron internetowych.

Cookie walls udostępniają zawartość strony dopiero po udzieleniu przez użytkownika zgody na przetwarzanie danych osobowych. Wytyczne EROD jasno oświadczają, że nie jest to ważna forma zgody.

Ponieważ cookie wall działa poprzez wymuszanie zgody użytkowników na przetwarzanie ich danych osobowych w zamian za dostęp do usług i funkcjonalności, cookie wall jako sposób uzyskiwania zgody nie spełnia wymogu RODO, aby ważna zgoda była dobrowolna i oparta na szczerym wyborze.

Chcesz wiedzieć więcej o cookie walls?

Co nowe wytyczne EROD oznaczają dla mojej strony?

Wytyczne EROD umacniają to, co było intencją RODO od samego początku: dać użytkownikom rzeczywiste, możliwe do wyegzekwowania prawa do ich własnych danych i prywatności.

W swoich rozporządzeniach na temat zgody EROD wyjaśnia, że jakakolwiek próba uniknięcia dawania użytkownikom realnej władzy nad ich własnymi danymi (taka jak wymuszanie zgody lub poleganie na słabo informujących zgodach domyślnych) nie będzie tolerowana.  

Innymi słowy, Twoja strona nie może aktywować żadnych plików cookie, które przetwarzają dane osobowe, dopóki użytkownik nie udzieli na to jasnej i potwierdzającej zgody.

Dla Twojej strony oznacza to:

  • Brak domyślnie zaznaczonych pól na Twoich banerach zgody
  • Przewijanie i przeglądanie strony nie jest ważną zgodą
  • Cookie walls są nieważną formą uzyskania zgody

Jeżeli Twoja strona używa rozwiązania, które aktywuje cookies na podstawie przewijania, klikania lub przeglądania strony (czyli każdej innej aktywności niż bezpośrednia interakcja z banerem zgody), używa domyślnie zaznaczonych pól lub cookie walls, masz obowiązek to zmienić.

Wytyczne EROD tworzą podstawę egzekwowania RODO na poziomie krajowym przez odpowiednie organy ochrony danych w każdym państwie członkowskim UE, więc jeśli Twoja witryna internetowa działa z kraju UE lub jeśli Twoja witryna przetwarza dane osobowe osób z UE, musisz przestrzegać wytycznych EROD dotyczących zgodności z RODO.

Wytyczne EROD i test zgodności z RODO

Nie jesteś pewien czy Twoja strona spełnia wymagania RODO odnośnie użycia plików cookie i modułów śledzących? Masz wątpliwości czy Twoja domena przestrzega wytycznych EROD co do ważnej zgody?

Przetestuj czy Twoja strona jest zgodna z RODO i wytycznymi EROD dzięki darmowemu testowi.

Cookiebot wykonuje darmowy skan Twojej strony, który wykrywa wszystkie pliki cookie i moduły śledzące działające na Twojej domenie.

Może okazać się, że Twoja strona ma dużo więcej cookies, niż się spodziewasz, jako że –

72% plików cookie jest potajemnie umieszczanych przez moduły śledzące stron trzecich, co czyni je niemal niemożliwymi do wykrycia bez właściwej technologii skanującej.

18% plików cookie na stronach to konie trojańskie, czyli elementy śledzące, które ładują się z głębokości ośmiu innych plików cookie.

50% wszystkich koni trojańskich zmienia się pomiędzy wizytami, więc użytkownicy ryzykują, że ich dane osobowe zostaną zebrane przez różne strony trzecie w Twojej witrynie, gdy ponownie odwiedzą Twoją domenę.

Źródło: Beyond the Front Page, badania na temat plików cookie na stronach z 2020 r.

Dowiedz się więcej o RODO i plikach cookie

Odwiedź stronę EROD

Wypróbuj Cookiebot za darmo

Cookiebot i wytyczne EROD

Cookiebot to wiodąca platforma do zarządzania zgodami, dzięki której Twoja witryna jest zgodna ze wszystkimi najważniejszymi przepisami dotyczącymi ochrony danych.

Rozwiązanie Cookiebot jest gotowe do użytku – nie wymaga ręcznej implementacji ani dodatkowej integracji z Twoją domeną.

Po prostu zaimplementuj Cookiebot z chmury, aby chronić prywatność Twoich użytkowników przed wyzyskiem ich danych przez strony trzecie.

Cookiebot wykonuje głębokie skany całej Twojej strony, aby wykryć wszystkie działające pliki cookie i moduły śledzące – także ukryte konie trojańskie – i automatycznie blokuje wszystko, dopóki użytkownik nie wyrazi zgody, w pełnej zgodności z RODO.

Rozwiązanie Cookiebot jest w pełni zgodne z wytycznymi EROD:

  • automatycznie blokuje wszystkie pliki cookie i elementy śledzące do momentu udzielenia zgody
  • szczegółowa, potwierdzająca zgoda na każdą z czterech kategorii cookies
  • pełna deklaracja dostawcy, celu, czasu trwania i rodzaju każdego pliku cookie
  • łatwa możliwość zmiany lub wycofania zgody 
  • bezpiecznie przechowywanie zgód użytkowników
  • automatyczna odnowa zgody użytkownika
Cookiebot CMP enabling compliance with EDPB guidelines
Interaktywny baner Cookiebot z rozdrobnioną zgodą jest zgodny z wytycznymi EROD odnośnie RODO.

Szczegóły wytycznych EROD

Dyrektywa EROD 05/2020 na temat ważnej zgody to detaliczny 33-stronicowy dokument, który został przyjęty 4 maja 2020 r.

W dalszej części artykułu przyjrzymy się ważnym fragmentom wytycznych EROD, które wyjaśniają ważną zgodę w świetle RODO:

  • Dobrowolnie udzielona zgoda
  • Warunkowość zgody
  • Konkretna zgoda
  • Świadoma zgoda
  • Wycofanie zgody
  • Dodatkowe warunki uzyskania ważnej zgody
  • Prawa podmiotu danych

Przeczytaj pełną treść wytycznych EROD

Czym jest EROD?

Europejska Rada Ochrony Danych (EROD) jest wiodącym organem nadzorczym odpowiedzialnym za spójne stosowanie Rozporządzenia o Ochronie Danych Osobowych (RODO) w UE.

EROD została utworzona wraz z wejściem w życie RODO w 2018 r. i składa się z przedstawicieli krajowych organów ochrony danych każdego państwa członkowskiego UE.

Zadanie EROD polega na przyjmowaniu ogólnych wytycznych i podejmowaniu decyzji, które wyjaśniają, w jaki sposób RODO powinny być interpretowane przez strony internetowe, firmy i organizacje w celu zapewnienia pełnej zgodności.

Wytyczne i decyzje EROD są podstawą egzekwowania RODO w państwach członkowskich UE, w których każdy krajowy organ ochrony danych jest odpowiedzialny za stosowanie RODO.

Dobrowolnie udzielona zgoda

Uzyskując zgodę użytkowników na aktywację plików cookies, które przetwarzają dane osobowe, Twoja strona musi upewnić się, że jest ona dobrowolna – to podstawa ważności zgody w RODO.

Jeżeli użytkownik nie ma realnego wyboru, czuje się zmuszony do wyrażenia zgody lub poniesie negatywne konsekwencje jeśli tego nie zrobi (takie jak obniżenie jakości usługi lub odmowa dostępu), wówczas zgoda nie będzie ważna.

Twoja witryna nie może łączyć zgody, tj. jeśli zgoda jest prezentowana jako niepodlegająca negocjacjom część warunków, domniemywa się, że nie została ona dobrowolnie wyrażona.

W związku z tym zgoda nie będzie uznana za ważną, jeśli użytkownik nie będzie w stanie odmówić lub wycofać zgody bez konsekwencji (takich jak obniżona jakość usług lub odmowa dostępu).

Warunkowość zgody

Tak jak pokrótce wspomnieliśmy, łączenie zgody nie jest dozwolone przez wytyczne EROD.

Uczynienie zgody warunkową, np. na akceptację regulaminu lub wykonanie usługi, w której dane osobowe przetwarzane przez pliki cookies i moduły śledzące nie są konieczne, jest uznawane za nieważną formę zgody.

RODO zawiera sześć podstaw prawnych przetwarzania danych osobowych, z których pierwsza polega na wyrażeniu zgody przez użytkownika, a druga na wykonaniu umowy.

Wytyczne EROD bardzo jasno wyjaśniają, że tych dwóch podstaw prawnych nie można łączyć. Jeśli Twoja witryna opiera się na zgodzie użytkownika na korzystanie z plików cookie i modułów śledzących, które przetwarzają dane osobowe, zgoda ta nie może być uzależniona od wykonania usługi, która nie potrzebuje danych osobowych (więcej informacji na ten temat znajdziesz w artykule 7, 4 RODO).

Ta właśnie część wytycznych EROD, skutecznie wyklucza stosowanie cookie walls jako formy uzyskiwania zgody, ponieważ wymuszona zgoda nie jest dobrowolna (czytaj: ważna).

Obowiązek wyrażenia zgody na niekonieczne gromadzenie danych osobowych stoi na przeszkodzie dobrowolnej zgody – wyjaśniają wytyczne EROD.

Dowiedz się więcej o cookie walls

Rozdrobniona zgoda

W większości witryn internetowych na świecie działa wiele różnych plików cookie, z których każdy gromadzi różne dane do różnych celów przez różnych dostawców.

Wytyczne EROD wyjaśniają, że jeżeli Twoja strona przetwarza dane osobowe dla więcej niż jednego celu, użytkownicy muszą mieć możliwość wyboru, który z nich akceptują – zamiast zgadzać się na pakiet różnych celów przetwarzania.

Oznacza to, że Twoja strona musi znać wszystkie pliki cookie i ich cele oraz oferować możliwość wyboru aktywacji tylko niektórych z nich. To właśnie nazywamy rozdrobnioną zgodą.

Cookiebot and EDPB guidelines compliance.

Rozdrobniona zgoda Cookiebot zapewnia pełną zgodność z wytycznymi EROD 05/2020.

Konkretna zgoda

Ważna zgoda, jak wyjaśniają wytyczne EROD, musi być konkretna, czyli jasno określać konkretny, wyraźny i prawnie uzasadniony cel zamierzonej czynności przetwarzania.

Aby spełnić wymóg RODO o konkretnej zgodzie, Twoja witryna musi zapewniać:

  1. Określenie celu jako zabezpieczenie przed nadużywaniem (np. kiedy dane osobowe są wykorzystywane do wielu celów bez wyraźnej zgody użytkownika na każdy z nich).
  2. Szczegółowość wniosków o zgodę.
  3. Wyraźne oddzielenie informacji związanych z uzyskaniem zgody na czynności przetwarzania danych od informacji o innych sprawach.

Świadoma zgoda

Wytyczne EROD wyjaśniają, że ważna zgoda musi być świadoma, to znaczy użytkownicy muszą wiedzieć i rozumieć, na co wyrażają zgodę.

Twoja strona musi zawierać te minimalne wymagania dotyczące treści, aby zgoda została uznana za świadomą:

  1. Tożsamość Twoja i Twojej witryny
  2. Cel każdej operacji przetwarzania, na którą w Twojej witrynie jest wymagana zgoda,
  3. Jaki typ danych jest zbierany i używany na Twojej stronie,
  4. Prawo do wycofania zgody,
  5. Informacje o wykorzystaniu danych do zautomatyzowanego podejmowania decyzji,
  6. Ewentualne ryzyko przekazywania danych w wyniku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń opisanych w art. 46.

Twoje informacje dla użytkowników muszą być napisane jasnym i prostym językiem oraz być łatwo zrozumiałe dla przeciętnego człowieka (nie tylko dla prawników).

EDPB guidelines clarify GDPR compliance. Try Cookiebot for free.
Baner Cookiebot z jasną i prostą do zrozumienia zgodą, spełniającą standardy wytycznych EROD na temat świadomej zgody.

Wycofanie zgody

Jeśli Twoja witryna opiera się na zgodzie na przetwarzanie danych osobowych za pomocą plików cookie i modułów śledzących, musisz być przygotowany na uszanowanie decyzji użytkowników dotyczących wycofania tej zgody. Jest to wymóg RODO.

Użytkownicy muszą mieć możliwość wycofania swojej zgody tak samo łatwo, jak ją wyrazili. Właściwie, jednym z warunków ważności zgody jest to, aby użytkownik miał prosty sposób jej późniejszego wycofania.

Użytkownicy muszą mieć możliwość wycofania swojej zgody bez ograniczeń i konsekwencji, takich jak odmówienie dostępu do strony lub obniżenie jakości usług.

Wszelkie przetwarzanie danych osobowych, które miało miejsce po wyrażeniu zgody przez użytkownika, a przed cofnięciem zgody jest zgodne z prawem.

Dodatkowe warunki uzyskania ważnej zgody

Ciężar udowodnienia zgody użytkownika na przetwarzanie danych osobowych spoczywa na właścicielu i/lub operatorze serwisu.

Oznacza to, że musisz być w stanie wykazać, że użytkownik wyraził zgodę na ustawienie przez Twoją witrynę plików cookie i elementów śledzących, które zbierają dane osobowe. Dokumentacja zgody musi być bezpiecznie przechowywana.

EROD zaleca, jako najlepszą praktykę, odświeżanie zgód w odpowiednich odstępach czasu.

Prawa podmiotu danych

Pamiętaj, że Twoi użytkownicy mają prawa zabezpieczone RODO, których zawsze musisz przestrzegać, aby zachować zgodność.

Są to:

  • Prawo do usunięcia zebranych i przechowywanych danych osobowych w przypadku cofnięcia zgody
  • Prawo do ograniczenia
  • Prawo do sprostowania
  • Prawo dostępu
  • Prawo do przenoszenia danych

Cookiebot i zgodność z RODO

Platforma zarządzania zgodami Cookiebot dba o spełnienie wszystkich wymagań RODO, których musi przestrzegać Twoja strona, używając plików cookie przetwarzających dane osobowe użytkowników w UE.

Cookiebot:

  • Skanuje i znajduje wszystkie pliki cookie i narzędzia śledzące, nawet ukryte konie trojańskie
  • Automatycznie blokuje wszystkie moduły śledzące do momentu udzielenia przez użytkownika konkretnej, szczegółowej zgody
  • Dokumentuje i bezpiecznie przechowuje każdą uzyskaną zgodę
  • Odnawia zgodę co rok

Przetestuj swoją stronę pod kątem zgodności z RODO

Wypróbuj Cookiebot za darmo

FAQ

Co to jest EROD?

Europejska Rada Ochrony Danych (EROD) jest najwyższym organem nadzorczym odpowiedzialnym za stosowanie i egzekwowanie Rozporządzenia o Ochronie Danych Osobowych (RODO) w UE. EROD składa się z przedstawicieli organów ochrony danych z każdego państwa członkowskiego UE, a ich głównym zadaniem jest przyjmowanie ogólnych wytycznych i podejmowanie decyzji dotyczących interpretacji i egzekwowania RODO.

Wypróbuj Cookiebot za darmo przez 30 dni… lub zawsze dla małych witryn.

Co mówią wytyczne EROD?

Wytyczne EROD dotyczące ważnej zgody z maja 2020 r. wyjaśniają, co stanowi o ważności zgody, polegając na zgodzie użytkownika na przetwarzanie danych osobowych, np. poprzez użycie plików cookie i modułów śledzących na stronach internetowych. Wytyczne EROD wykluczają stosowanie cookie walls (wymuszona zgoda) i określają, co strony muszą zrobić, aby uzyskać ważną zgodę na przetwarzanie danych osobowych.

Przetestuj za darmo zgodność z RODO Twojej strony

Co to jest ważna zgoda według EROD?

Wytyczne EROD 05/2020 wyjaśniają, że ważna zgoda jest dobrowolnym, świadomym, konkretnym i jednoznacznym wyrażeniem woli użytkownika. Oznacza to, że Twoja witryna musi dawać użytkownikom rzeczywisty wybór między różnymi plikami cookie i trackerami przed ich aktywacją i przetwarzaniem danych osobowych. Przewijanie i przeglądanie stron internetowych nie oznacza zgody, a banery cookie nie mogą mieć domyślnie zaznaczonych pól wyboru.

Dowiedz się więcej o zgodności z RODO

W jaki sposób moja witryna może być zgodna z RODO?

Po pierwsze, musisz wiedzieć o wszystkich plikach cookie i elementach śledzących działających w Twojej witrynie, aby móc poinformować użytkowników o ich rodzaju, celu, czasie trwania i dostawcy. Po drugie, musisz zablokować wszystkie pliki cookie (z wyjątkiem niezbędnych) do czasu, gdy użytkownicy wyrażą wyraźną i potwierdzającą zgodę, na ich aktywację. Po trzecie, musisz bezpiecznie dokumentować wszystkie zgody i odnawiać je co roku. Po czwarte, należy ułatwić użytkownikowi wycofanie zgody w dowolnym momencie.

Przeczytaj więcej o zgodzie na pliki cookie

Źródła

European Data Protection Board (EDPB)

EDPB guidelines 05/2020 on valid consent

What is the GDPR?

GDPR and cookie consent

Beyond the Front Page, a 2020 research paper of website cookies and tracking