Co GDPR mówi o plikach cookie?

Pliki cookie, adresy IP i podobne identyfikatory internetowe są wyraźnie omówione w motywie 30 ogólnego rozporządzenia o ochronie danych (RODO), który stanowi: „Osoby fizyczne mogą być powiązane z identyfikatorami internetowymi [...] takimi jak adresy protokołu internetowego, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej”. Ta klasyfikacja podkreśla, że pliki cookie, gdy są używane do identyfikacji osób – bezpośrednio lub pośrednio – stanowią dane osobowe (Motyw 30 RODO).

Kluczowe wnioski z analizy prawnej i regulacyjnej obejmują:

• Pliki cookie jako dane osobowe: RODO uznaje pliki cookie za dane osobowe, gdy mogą one zidentyfikować użytkownika, nawet w połączeniu z innymi danymi.
• Wymóg zgody: Artykuł 6 i motyw 32 wymagają uzyskania ważnej zgody przed wdrożeniem plików cookie, które nie są niezbędne. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Wstępnie zaznaczone pola lub brak aktywności nie stanowią zgody (Wytyczne EROD 05/2020).
• Przejrzystość: Witryny internetowe muszą jasno informować użytkowników o rodzajach i celach plików cookie przed uzyskaniem zgody. Obejmuje to:
  • Tożsamość administratora danych
  • Dokładne cele, w jakich wykorzystywane są pliki cookie
  • Zaangażowane strony trzecie
• Prawo do wycofania zgody: Użytkownicy muszą mieć możliwość wycofania zgody w równie łatwy sposób, w jaki została ona udzielona (Artykuł 7(3) RODO).
• Rozliczalność: Organizacje muszą być w stanie wykazać, że uzyskano ważną zgodę na wszystkie pliki cookie, które nie są niezbędne.

Badania empiryczne wskazują na znaczące luki w zgodności wśród witryn internetowych, z których wiele nie wdraża mechanizmów zgody granularnej lub domyślnie stosuje niezgodne z przepisami modele rezygnacji (opt-out) (Degeling i in., 2019). Działania regulacyjne wzmocniły konieczność stosowania wyraźnych mechanizmów opt-in, szczególnie w przypadku śledzących i reklamowych plików cookie.

Podsumowując, zgodnie z RODO, pliki cookie, które mogą zidentyfikować osobę, są danymi osobowymi; w związku z tym ich wykorzystanie jest ściśle regulowane przez wymogi dotyczące świadomej, wyraźnej zgody i przejrzystości. Niezastosowanie się do przepisów może skutkować znacznymi karami, co pokazują ostatnie działania egzekucyjne w UE.