Czy RODO wymaga zgody na pliki cookie?

Analiza wymogów RODO pokazuje, że zgoda jest wyraźnie wymagana przed umieszczeniem większości plików cookie na urządzeniach użytkowników. Kilka miarodajnych źródeł potwierdza, że pliki cookie, zdefiniowane w art. 4 ust. 1 RODO jako „identyfikatory internetowe”, są uważane za dane osobowe, gdy mogą zidentyfikować użytkownika, bezpośrednio lub pośrednio (Parlament Europejski, 2016).

Kluczowe ustalenia:

• Zgoda musi być świadoma, konkretna, dobrowolna i jednoznaczna (art. 7 RODO).
• Wytyczne Grupy Roboczej Artykułu 29, a następnie Europejskiej Rady Ochrony Danych, wyjaśniają, że zgoda dorozumiana (np. kontynuowanie przeglądania bez wyraźnego działania) nie jest wystarczająca.
• Niezbędne pliki cookie (np. te wymagane do funkcjonowania strony internetowej lub obsługi koszyka) są zwolnione z wymogu uzyskania zgody (Opinia 04/2012 Grupy Roboczej WP29).
• W przypadku wszystkich plików cookie, które nie są niezbędne — takich jak śledzące, analityczne czy reklamowe — obowiązkowa jest uprzednia, aktywna zgoda.

„Zgoda musi zostać uzyskana przed umieszczeniem lub uzyskaniem dostępu do jakichkolwiek plików cookie na urządzeniu użytkownika, z wyjątkiem tych, które są absolutnie niezbędne do świadczenia usługi wyraźnie zażądanej przez użytkownika” (Europejski Trybunał Sprawiedliwości, sprawa Planet49, 2019).

Badania empiryczne banerów cookie i zgodności na stronach internetowych w UE wykazują powszechne wdrażanie mechanizmów zgody. Jednak dark patterns i wprowadzające w błąd projekty nadal prowadzą do praktyk niezgodnych z przepisami (Utz i in., 2019). Skuteczne platformy do zarządzania zgodą (CMP) muszą zapewniać:

• Jasne opcje akceptacji lub odrzucenia plików cookie
• Równorzędne wyeksponowanie obu opcji
• Szczegółową kontrolę nad różnymi kategoriami plików cookie

Niezgodność z wymogami RODO dotyczącymi zgody doprowadziła do kilku głośnych działań egzekucyjnych i kar nałożonych przez organy ochrony danych.

Podsumowując, RODO nakazuje uzyskanie uprzedniej, aktywnej zgody użytkownika na wszystkie pliki cookie z wyjątkiem tych, które są absolutnie niezbędne do działania strony internetowej, a rosnąca liczba wytycznych regulacyjnych i precedensów prawnych wzmacnia to zobowiązanie w całej UE i Wielkiej Brytanii.