Pliki cookies a ochrona danych osobowych użytkowników

"Ciasteczka" pełnią istotną funkcję w prawidłowym funkcjonowaniu współczesnych stron internetowych, jednak ich niekontrolowane wykorzystanie może stanowić poważne zagrożenie dla prywatności użytkowników. Wielu internautów akceptuje je bez zastanowienia. Ciasteczka same w sobie nie zawierają bezpośrednio danych osobowych, jednak mogą umożliwiać identyfikację użytkownika poprzez systematyczne gromadzenie informacji o jego aktywności w sieci.

Czym są ciasteczka?

Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika podczas przeglądania stron internetowych. Mogą one pełnić różne funkcje, m.in. optymalizując działania witryny, personalizując treści, monitorując aktywność użytkownika w celach analitycznych i marketingowych (patrz ramka).

Zgoda na ciasteczka

Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone pod warunkami określonymi w art. 399 Prawa komunikacji elektronicznej (Dz. U. z 2024 r. poz. 1221). Zgodnie z tymi regulacjami abonent lub użytkownik końcowy musi zostać uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

• celu przechowywania i uzyskiwania dostępu do tej informacji,
• możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Ponadto po otrzymaniu takich informacji abonent lub użytkownik końcowy musi wyrazić na to zgodę, a przechowywana informacja lub uzyskiwanie do niej dostępu nie może powodować zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. Abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Europejska Rada Ochrony Danych (EROD) wydała wytyczne dotyczące zgody na pliki cookies na podstawie RODO. Według tych zasad zgoda użytkownika musi być dobrowolna, świadoma, jednoznaczna i poprzedzona wyraźnym działaniem potwierdzającym. Nie można stosować domyślnie zaznaczonych pól wyboru, ponieważ nie spełniają one wymogu aktywnego wyrażenia zgody. Dodatkowo stosowanie tzw. "cookie walls" (czyli blokowanie dostępu do strony bez akceptacji plików cookies) jest niezgodne z RODO. Administratorzy serwisów muszą umożliwić użytkownikom łatwe wycofanie zgody w taki sam sposób, w jaki została udzielona. Zgoda na pliki cookies powinna być świadoma, co oznacza, że użytkownicy muszą mieć jasne i przejrzyste informacje o tym, jakie dane są zbierane i w jakim celu.

Administratorzy stron internetowych są zobowiązani do przekazywania użytkownikom jasnych, zrozumiałych i łatwo dostępnych informacji o działaniu plików cookies, aby mogli oni dokonać świadomego wyboru. Informacje te muszą być dostarczone przed uzyskaniem zgody.

Instalacja oprogramowania

Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:

• przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania,
• zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika,
• przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.

Art. 400 Prawa komunikacji elektronicznej wyraźnie stanowi, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych osobowych. Urząd Ochrony Danych Osobowych w Biuletynie UODO nr 3/03/2025 pochylił się nad problemem ochrony danych osobowych w odniesieniu do plików cookies. Można w nim przeczytać, że: "Cookies wykorzystywane do celów reklamowych i analitycznych mogą prowadzić do profilowania użytkowników oraz łączenia zebranych danych z innymi informacjami, co stanowi istotne ryzyko dla prywatności. Z tego względu stosowanie cookies musi pozostawać w zgodzie z zasadami ochrony danych osobowych określonymi w Rozporządzeniu o Ochronie Danych Osobowych (RODO), w tym z zasadami minimalizacji danych, przejrzystości oraz świadomej zgody".

Zalecenia dla użytkowników stron internetowych

Jeśli chodzi o obowiązki administratora danych w omawianej kwestii, to UODO zwraca uwagę na konieczność spełniania obowiązku informacyjnego w zakresie jasnego i przejrzystego informowania użytkowników o stosowanych plikach cookies oraz celach ich przetwarzania. Ponadto UODO wskazuje na obowiązek uzyskania zgody - użytkownik musi wyrazić świadomą i jednoznaczną zgodę na stosowanie plików cookies, w szczególności tych wykorzystywanych w celach marketingowych i analitycznych. Użytkownik powinien mieć zagwarantowaną możliwość efektywnego wycofania zgody na przetwarzanie plików cookies, a zgodnie z zasadą minimalizacji danych stosowanie cookies powinno być ograniczone do niezbędnego minimum, natomiast dane gromadzone za ich pośrednictwem muszą być odpowiednio zabezpieczone.

Jeśli chodzi o rekomendacje UODO w zakresie ochrony prywatności użytkowników, to Urząd zwraca uwagę na świadome zarządzanie zgodą na cookies, tj. selektywne akceptowanie tylko niezbędnych plików cookies, stosowanie trybu incognito, który ogranicza zakres zapisywanych plików cookies, regularne czyszczenie przeglądarki z plików cookies i danych przeglądania oraz zaleca implementację specjalistycznych narzędzi blokujących mechanizmy śledzenia.