Cookies

Rozporządzenie o ochronie danych osobowych wprowadza sporą rewolucję w kwestii tzw. ciasteczek, czyli niewielkich plików zapisywanych na urządzeniach użytkowników końcowych, służących np. do śledzenia ustawień i aktywności dotyczącej odwiedzanych witryn internetowych.

Najważniejszą zmianą jest to, że nie będzie już wymagana zgoda użytkownika końcowego na instalację ciasteczek, które nie wkraczają w sferę prywatności użytkownika, czyli taką, która ma na celu np. zapamiętanie wybranego przez użytkownika języka strony lub zawartości koszyka w sklepie internetowym, a która przechowywana jest w pamięci podręcznej przeglądarki. Co więcej, zgody nie będą także wymagane przy instalacji ciasteczek używanych do celów analitycznych (np. na potrzeby programu Google Analytics) w celu liczenia użytkowników odwiedzających daną stronę internetową lub sprawdzenia, jakie kategorie, podstrony użytkownicy odwiedzają. Dopóki te dane są zanimizowane, dopóty użytkownik nie będzie musiał wyrażać zgody na ciasteczka (zanimizowane, tzn. takie, których nie da się powiązać wprost z danym konkretnym użytkownikiem, czyli jego adresem e-mail lub jakąkolwiek inną daną osobową).

Jeżeli właściciel e-sklepu będzie chciał wyświetlić użytkownikom zindywidualizowane reklamy lub zaprezentować ofertę pod nich przygotowaną, wówczas musi uzyskać zgody użytkowników. Co ważne, nie będzie ona wyrażana tak jak obecnie, czyli w wyniku kliknięcia na odpowiednie powiadomienie na stronie, tylko poprzez odpowiednie ustawienia przeglądarki internetowej. Zadaniem dostawcy przeglądarki internetowej będzie takie zapewnienie jej standardów prywatności, aby ustawienia prywatności były na korzyść użytkownika, czyli według zasady privacy by default. Zgodnie z tą zasadą administrator serwisu www, dostawca przeglądarki internetowej będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne w celu konkretnego przetwarzania. Dotyczy to ilości zbieranych danych, zakresu przetwarzania, okresu ich przechowywania oraz dostępności. Omawiane środki muszą zapewniać w szczególności, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Informacja o zasadzie działania plików cookies powinna być zawarta w polityce prywatności serwisu.

Przykład jednego z zapisów polityki prywatności, który dotyczy celu, w jakim ciasteczka są zapisywane:

  1. Administrator wykorzystuje własne cookies w celu poprawnego działania serwisu, a w szczególności dostosowania zawartości stron internetowych serwisu internetowego do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych serwisu.
     
  2. Administrator wykorzystuje cookies w celu realizacji procesów niezbędnych do pełnej funkcjonalności stron internetowych serwisu internetowego oraz optymalizacji korzystania ze stron internetowych. W szczególności pliki te pozwalają rozpoznać podstawowe parametry urządzenia użytkownika (takie jak: typ urządzenia, rozdzielczość ekranu, kraj, z którego dochodzi do wejścia) i dzięki temu odpowiednio wyświetlić stronę internetową dostosowaną do jego potrzeb.
     
  3. Administrator usługi wykorzystuje także cookies w celu zbierania ogólnych i anonimowych danych statystycznych za pośrednictwem narzędzi analitycznych Google Analytics (administrator cookies: Google Inc z siedzibą w USA).

 

Przykład zapisu z polityki prywatności, który dotyczy czasu przechowywania ciasteczek – RODO kładzie ogromny nacisk na to, aby konsument wiedział, na jak długi okres będą przechowywane jego dane, nawet wtedy, kiedy są zanimizowane:

  1. Użytkownik może samodzielnie i w każdym czasie zmienić ustawienia dotyczące plików cookies, określając warunki ich przechowywania i uzyskiwania dostępu przez pliki coo­kies do urządzenia użytkownika. Zmiany ustawień użytkownik może dokonać za pomocą ustawień przeglądarki internetowej. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o każdorazowym zamieszczeniu cookies na urządzeniu użytkownika. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
     
  2. Użytkownik może w każdej chwili usunąć pliki cookies, korzystając z dostępnych funkcji w przeglądarce internetowej, której używa.
     
  3. Ograniczenie stosowania plików cookies może wpłynąć na niektóre funkcjonalności dostępne na stronie internetowej serwisu.

Privacy by design, privacy by default

Zasada privacy by default („zasada prywatności w ustawieniach domyślnych”) wprowadza wiele zmian w kwestii projektowania i funkcjonowaniu e-sklepów. Do tej pory w żadnym akcie prawnym nie były określone zasady, jakie powinna spełniać aplikacja, która przetwarza dane osobowe. Co warto podkreślić, bardzo często Generalny Inspektor Danych Osobowych podnosił kwestię bezpieczeństwa danych osobowych wykorzystywanych w procesie projektowania aplikacji webowej. GIODO wprost mówił o konieczności uwzględnienia w krajowym prawodawstwie zasady privacy by design („zasady prywatności w fazie projektowania”), wskazując jej uzasadnienie w zapisach konstytucji RP, w szczególności art. 47, 49 i 51[1].

Zasada privacy by design została wprowadzona art. 25 ust. 1 rozporządzenia, zgodnie z którym:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

W praktyce zapis ten wymusza na firmie, osobie projektującej aplikację i przygotowującej ją do przetwarzania danych osobowych konieczność wprowadzenia takich środków technicznych i organizacyjnych, które zapewnią ochronę danych użytkowników i zgodność z rozporządzeniem. W szczególności jest to bardzo ważne w organizacjach, które wdrażają nowe aplikacje, chronią systemy e-commerce, prowadzą testy bezpieczeństwa, a przede wszystkim zarządzają zmianą w danej firmie.

Zasadę privacy by default wprowadza art. 25 ust. 2 rozporządzenia, zgodnie z którym:

Administrator wdraża odpowiednie środki techniczne i orga­nizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Zgodnie z powyższym zapisem administrator aplikacji jest zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie były przetwarzane te dane, które są niezbędne do realizacji konkretnego celu przetwarzania, np. do realizacji zamówienia, wysyłki newslettera. Omawiane środki powinny zapewniać, aby dane osobowe nie były udostępniane bez zgody danej osoby nieokreślonej liczbie osób fizycznych, co ma ogromne przełożenie na transfer danych m.in. do zewnętrznych baz.

Ustawodawca, widząc ogrom zmian wprowadzanych zapisami RODO, wyszedł naprzeciw oczekiwaniom rynku i daje możliwość poddania się dobrowolnej certyfikacji, która sprawdzi m.in. przygotowanie firmy, e-sklepu pod kątem zgodności z zasadą privacy by design i privacy by default. Na pewno na początkowym etapie warto skorzystać z tej procedury, ponieważ zapewni ona spokojniejszy sen administratorom i właścicielom firm.

Podsumowanie

Rynek e-commerce czeka w 2018 r. spora rewolucja w kontekście wchodzącego rozporządzenia o ochronie danych osobowych. Jeśli firmy chcą się dobrze przygotować na ten okres transformacji, już teraz powinny zacząć robić wszystko, co możliwe, aby wprowadzać nowe procedury i zbierać zgody dostosowane do nowych wytycznych, tak aby na przełomie maja i czerwca nie przeżyć niemiłej niespodzianki. Rynek polski zna już kilka przykładów, kiedy dobrze poprowadzona transparentna komunikacja o wchodzących zmianach stała się idealnym przyczynkiem do zachęcenia klientów do nieplanowanych zakupów i wzrostu konwersji o kilka punktów procentowych. Proszę wyobrazić sobie sytuację, w której to Państwo otrzymują e-maila od jednego ze swoich ulubionych sklepów, który w prosty sposób tłumaczy wprowadzane zmiany zgodne z RODO, wszystko z troską o Państwa bezpieczeństwo, i na samym końcu zachęca do skorzystania z ciekawej nowej oferty produktowej lub promocji na wyprzedaże stanów magazynowych z mijającego roku albo kończącego się sezonu. Z jednej strony konsumenci czują się w pełni poinformowani o wprowadzanych zmianach (ktoś o „nich” zadbał), a z drugiej sklep komunikuje o możliwości skorzystania z ciekawej oferty.

Dla przypomnienia, kluczowe zmiany dla e-sklepu są następujące:

  • regulamin – dokładnie opisuje zasady działania e-sklepu i wszystkie punkty styku klienta z firmą zarówno na etapie składania zamówienia, jak i reklamacji, ale i także ewentualnego podejrzenia o wycieku danych osobowych,
     
  • polityka prywatności – staje się najważniejszym dokumentem, w którym są opisane cele i zakres przetwarzania danych osobowych,
     
  • remarketing – RODO w obecnym kształcie nie powoduje praktycznie żadnych zmian,
     
  • cookies – polityka ciasteczek jest regulowana ustawieniami przeglądarki internetowej.    
     


[1] Artykuł 47 Konstytucji: Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym; art. 49 Konstytucji: Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony; art. 51 ust. 2 Konstytucji: Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.