Czym jest zgodność plików cookie z Gdpr?

Zgodność z RODO w zakresie plików cookie koncentruje się na podstawowym wymogu, aby strony internetowe uzyskiwały uprzednią, wyraźną zgodę od użytkowników przed umieszczeniem plików cookie na ich urządzeniach. Ogólne Rozporządzenie o Ochronie Danych (RODO) stanowi, że taka zgoda musi być:

• Dobrowolna
• Konkretna
• Świadoma
• Jednoznaczna

Standard ten jest spełniony wyłącznie poprzez wyraźne działanie—takie jak kliknięcie przycisku “akceptuję”—a nie poprzez bierną akceptację lub wstępnie zaznaczone pola wyboru. Jak zauważyli Toth i Wiesche (2022), “samo korzystanie ze strony internetowej nie może być interpretowane jako zgoda na używanie plików cookie”.

Analiza empiryczna praktyk w zakresie zgodności pokazuje, że:

• Wiele stron internetowych nadal stosuje mechanizmy zgody domniemanej lub miękkiego opt-in, które nie spełniają standardów RODO.
• Przejrzystość informacyjna pozostaje niespójna. Według badania przeprowadzonego przez Santosa i in. (2022), mniej niż 25% przeanalizowanych banerów cookie dostarczało jasnych i szczegółowych informacji na temat rodzajów i celów używanych plików cookie.
• Możliwość wycofania zgody jest często pomijana. Artykuł 7 ust. 3 RODO podkreśla, że użytkownicy muszą mieć możliwość wycofania zgody w równie łatwy sposób, w jaki została ona wyrażona, jednak mniej niż połowa badanych stron oferowała prosty mechanizm jej odwołania (Santos i in., 2022).

Dowód wyrażenia zgody to kolejny kluczowy aspekt. RODO nakazuje, aby strony internetowe przechowywały rejestry zgód użytkowników w celu wykazania zgodności w przypadku audytów lub sporów (“Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę”, art. 7 ust. 1). W praktyce często przekłada się to na systemy backendowe rejestrujące znaczniki czasu, identyfikatory użytkowników i preferencje dotyczące zgody (Toth i Wiesche, 2022).

Kluczowe wnioski:

• Ważna zgoda zgodnie z RODO wymaga jasnego, aktywnego udziału użytkownika.
• Wycofanie zgody i udokumentowane rejestry są niezbędne do pełnej zgodności.
• Większość stron internetowych nie zapewnia zarówno szczegółowych informacji, jak i łatwych opcji wycofania zgody.
• Nacisk regulacyjny coraz bardziej przesuwa się w kierunku egzekwowania przepisów i odpowiedzialności poprzez audyty i kary finansowe.

Wyniki te wskazują na utrzymującą się lukę między wymogami RODO a powszechnymi praktykami stosowanymi na stronach internetowych, co podkreśla potrzebę rygorystycznych wdrożeń technicznych połączonych ze świadomością prawną.