Krävs samtycke till cookies enligt GDPR?

Service

GDPR kräver att företag informerar om syftet och metoden för personuppgifter som behandlas. Och personen måste samtycka till det. Är samtycke till cookies även reglerat av GDPR? Eller kanske det räcker med att bara informera (utan samtycke) för cookies?

Vad är cookies och till vad?

Cookie-filer (så kallade "småkakor") Är IT-data, i synnerhet textfiler i form av en serie bokstäver och siffror, lagrade på användarens dator och avsedda för användning av Webbplatsens sidor. Cookies innehåller vanligtvis namnet på webbplatsen de kommer från, deras lagringstid på användarens dator och ett unikt nummer.

Det finns två typer av cookies:

  • session"(Sessionscookies) - dessa är temporära filer som lagras på användarens dator tills du loggar ut, lämnar webbplatsen eller stänger webbläsaren,

  • Konstant"(Peristent cookies) - dessa filer lagras på användarens dator under den tid som anges i parametrarna för cookies eller tills de raderas av användaren.

Beroende på webbplatsen och dess syfte kan typen av användning av cookies vara annorlunda. De kan användas till exempel för:

  • komma ihåg lösenord och inloggningar,

  • komma ihåg data i ett ifyllt formulär (automatisk ifyllning av formulär),

  • analys av tiden som spenderas på en viss sida,

  • komma ihåg information om hur man använder webbplatsen,

  • komma ihåg inställningarna och inställningarna som valts av användaren,

  • sammanställa statistisk data om vilken undersida/artikel som är mest populär.

I många fall tillåter programvaran som används för att surfa på webbplatser (webbläsare) att cookies lagras på användarens dator som standard. Användare kan ändra cookieinställningar när som helst eller blockera dem. Ändringar eller blockering görs i webbläsarinställningarna.

Man bör dock komma ihåg att när cookies blockeras kommer webbplatsen inte ihåg användarens inställningar, preferenser eller lösenord. Det innebär att du måste fylla i samma uppgifter varje gång du besöker webbplatsen.

Cookies och personuppgifter

Personuppgifter är information som identifierar en specifik person. Ibland räcker det med en information för att identifiera den (t.ex. den högsta personen i laget), ibland måste det finnas mer av denna information (t.ex. namn, efternamn och födelsedatum). Det händer att samma data på ett ställe låter dig identifiera en specifik person (t.ex. PESEL-nummer på ett kommunkontor), och på ett annat betyder det ingenting (t.ex. PESEL skrivet på ett papper). Personuppgifter kan också vara en IP-adress, men bara om de kan användas för att identifiera en specifik person.

Således, om en IP-adress inte identifierar en specifik person - kan den inte betraktas som personuppgifter. Och eftersom, i ett sådant fall, ingen kan identifieras via IP-adressen - det sker ingen behandling av personuppgifter.

En IP-adress kommer att betraktas som personuppgifter endast om den enhet som behandlar IP-adressen samtidigt har tillgång till data som länkar IP-adressen med andra uppgifter som identifierar personen. Tills processorn är säker på att den inte kan kombinera IP-adressen med andra uppgifter som identifierar personen, bör den säkra IP-adressen som om det vore personuppgifter.

Det finns fasta och dynamiska IP-adresser. En permanent adress anses vara personuppgifter eftersom den kan användas för att identifiera en specifik användare.

Pre-GDPR cookies samtycke

Samtycke till cookies regleras i första hand av telelagen och EU:s kommunikationsdirektiv (e-privacy). Dessa regler har funnits i Polen i flera år. Ovannämnda rättsakter kräver att ägare av webbplatser ska inhämta samtycke för användning och lagring av cookies på användarnas datorer.

Samtycke förstås som att man medvetet och tydligt visar viljan. Så samtycke är en avsiktlig gest. Det är inte nödvändigt att samla in påståenden, kryssa i kryssrutor (små, fyrkantiga fält), det räcker om personen visade en medveten gest av bekräftelse, t.ex. skrev in ett e-postmeddelande i lämpligt fält, eller fortfarande surfar på webbplatsen efter att ha läst relevant information om cookies.

Sammanfattningsvis kan samtycke till cookies uttryckas genom att helt enkelt ställa in webbläsaren eller ändra dess inställningar. Det anses att om användaren, efter att ha läst tydligare informationen om de cookies som används, fortfarande använder webbplatsen - han har gjort en medveten gest, det vill säga han har samtyckt till cookies (samtycke till cookies genom en medveten gest). Annars skulle han lämna webbplatsen eller ändra webbläsarinställningar (inaktivera eller blockera cookies).

Användaren måste vara tydligt informerad om användningen och syftet med cookies.

När krävs inte samtycke för cookies?

Kommunikationsdirektivet (liksom den polska telekommunikationslagen) ger några undantag när samtycke till cookies inte krävs. Enligt lag krävs inte samtycke om cookien är:

  • misshandlad"endast i syfte att utföra överföring av ett meddelande över ett elektroniskt kommunikationsnät”,

  • 'avgörande för tillhandahållandet av en informationssamhälletstjänst som uttryckligen begärts av abonnenten eller användaren”.

Samtycke till cookies behöver alltså inte krävas om cookies endast tjänar ett av ovanstående syften. Sådana syften kan till exempel inkludera en beställning i en e-butik eller att komma ihåg det språk som användaren valt.

Starta en gratis 30-dagars provperiod utan begränsningar!

Arbetsgrupp 29 (d.v.s. experter inom området för skydd av personuppgifter utsedda som ett rådgivande organ) säger i sin analys att meddelandet och samtycke till cookies inte krävs om minst ett villkor är uppfyllt:

  • cookies används inte för ytterligare ändamål, utan endast för att tillhandahålla tjänsten,

  • cookies innefattar till exempel den sk "cookies för användarinmatning"(Används för att spåra innehållet i de uppgifter som användaren angett när han fyller i onlineformulär eller när man slutför en beställning i en onlinebutik [fylla varukorgen med köp]), även känd som"session-id cookies”; „multimediaspelare session cookies"och"anpassningscookies för användargränssnitt"(T.ex." lspråkpreferenscookies"För att komma ihåg det språk som valts av användaren),

  • cookien är nödvändig för att erbjuda användaren (eller abonnenten) en specifik funktion: funktionen kommer inte att vara tillgänglig om cookies är inaktiverade och användaren (eller abonnenten) uttryckligen har begärt denna funktion som en del av tjänsten (informationssamhället).

Dessutom finns det bland specialister röster om att om Cookies endast används för analys och reklam, kan behandlingen av personuppgifter (om personuppgifter faktiskt kommer att behandlas under Cookies) baseras på det juridiskt motiverade syftet hos administratören. Och behandling baserad på denna rättsliga grund kräver inte samtycke.

Samtycke till cookies efter GDPR

När det gäller GDPR och samtycke till cookies finns det två röster i denna fråga. Vissa experter säger att samtycke till cookies krävs i form av tydliga och informerade samtycken, t ex genom att kryssa i lämplig ruta eller klicka på lämplig bekräftelseknapp, den s.k. utförande av en handling (eftersom endast den vidtagna handlingen är ett medvetet uttryck för vilja).

Den andra expertsidan hävdar å andra sidan att GDPR inte tillför något nytt till samtycke till cookies. Dessa specialister hänvisar till artikel 95 i förordningen, som säger att GDPR inte ålägger ytterligare skyldigheter för de frågor som regleras i kommunikationsdirektivet (d.v.s. det om cookies). Således kan man dra slutsatsen att om kommunikationsdirektivet inte kräver insamling av samtyckesutlåtanden för cookies, så gör inte GDPR det heller. Och det räcker att tydligt informera om de cookies som används.

Det andra argumentet är den allt oftare citerade artikel 11 i GDPR, som säger att om ändamålen för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver identifiering av personen, så kräver sådan behandling inte samtycke.

Ett annat argument som ovanstående experter refererar till är bristen på korrelation mellan ämnet för GDPR och användningen av cookies. GDPR är en förordning som handlar om skydd av personuppgifter, det vill säga uppgifter som kan användas för att identifiera en specifik person. Cookies, å andra sidan, används mer för analys av statistisk data, de identifierar inte en enda person. Därför gäller inte GDPR för cookies.

Till den nya frågan"hur samtycket till cookies ska se ut", Agnieszka Świątek-Druś, talesmannen för GIODO (UODO) svarar" I samband med sättet att genomföra art. 5 sek. 3 i direktiv 2002/58 / EG i dess lydelse enligt direktiv 2009/136 / EG (art. 2 punkt 5) finns det rättsliga tvivel om huruvida samtycket som avses i art. 173 i lagen - telekommunikationslag [samtycke genom avsaknad av inställningar i webbläsaren - redaktionell anmärkning], är det lämpliga samtycket enligt GDPR. Denna fråga är för närvarande föremål för en mer detaljerad analys av GIODO."

Hur informerar man om cookies?

Internetbranschens arbetsgivareförening IAB Polska har tagit fram riktlinjer för hur man uppfyller kraven på cookieinformation. I detta dokument rekommenderas:

  • lägga ut på webbplatsens sidor (inte bara på startsidan utan även på andra sidor, när användaren börjar använda webbplatsen/webbplatsen från undersidor) en lämplig "hårt fönster "/" bar "/" remsa"/ Etc., enligt vilket användaren skulle informeras - på ett allmänt sätt, med några få ord, högst flera meningar - om reglerna för cookies.

Exempeltext på cookiemeddelandet "Som en del av vår webbplats använder vi cookies för att ge dig tjänster på högsta nivå, inklusive på ett sätt som är anpassat efter individuella behov. Att använda webbplatsen utan att ändra cookieinställningarna innebär att de kommer att lagras på din slutenhet. Du kan ändra dina cookieinställningar när som helst. Mer information i vårCookiespolicy”/”Integritetspolicyn”.

  • en referens (t.ex. via en länk) till "Integritetspolicy"Eller dedikerad"Cookies policy", Där användaren skulle ha möjlighet att lära sig mer detaljerad information i detta avseende (och den rekommenderade lösningen skulle vara att utveckla en separat"Cookies policy", Uppenbarligen relaterad till det allmänna"Integritetspolicyoch ") och där han skulle kunna göra specifika val (dvs. samtycke / avmarkera samtycke till vissa kategorier av cookies).

Det minsta informationsomfånget enligt policyn (på en separat sida) bör innehålla information om:

  • enheter som placerar på slutenheter och använder cookies,

  • syftet med att lagra cookies, det vill säga syftet med deras användning/funktioner de fyller,

  • möjligheten för användaren att definiera villkoren för lagring eller åtkomst till cookies med hjälp av mjukvaruinställningar/tjänstkonfiguration, d.v.s. i synnerhet om reglerna relaterade till inställningarna för webbläsare, inklusive ändringar i deras inställningar - "hur kan du inaktivera cookies?", Etc.

EXEMPEL PÅ SEKRETESSPOLICY - MALL

  1. Webbplatsen samlar inte automatiskt in någon information, förutom information som finns i cookies.

  2. Cookiefiler (så kallade "cookies") är IT-data, i synnerhet textfiler, som lagras på Webbplatsanvändarens slutenhet och är avsedda för användning av Webbplatsens sidor.Cookies innehåller vanligtvis namnet på webbplatsen de kommer från, lagringstiden på slutenheten och ett unikt nummer.

  3. Den enhet som placerar cookies på webbplatsanvändarens slutenhet och får tillgång till dem är webbplatsoperatören ... [namnet på enheten] med sitt registrerade kontor på ....

  4. Cookies används för följande ändamål:

    1. anpassa innehållet på webbplatsens sidor till användarens preferenser och optimera användningen av webbplatser; i synnerhet tillåter dessa filer att känna igen webbplatsanvändarens enhet och korrekt visa webbplatsen, skräddarsydd för hans individuella behov;

    2. skapa statistik som hjälper till att förstå hur webbplatsanvändare använder webbplatser, vilket gör det möjligt att förbättra deras struktur och innehåll;

    3. upprätthålla webbplatsanvändarens session (efter inloggning), tack vare vilken användaren inte behöver ange inloggning och lösenord på nytt på varje undersida på webbplatsen;

    4. …………………………………………………………………………….

  5. Följande typer av cookies används som en del av webbplatsen:

    1. "Nödvändiga" cookies, som möjliggör användning av tjänster tillgängliga på webbplatsen, t.ex. autentiseringscookies som används för tjänster som kräver autentisering på webbplatsen;

    2. cookies som används för att säkerställa säkerhet, t ex används för att upptäcka bedrägerier inom området för autentisering på webbplatsen;

    3. "Prestanda"-cookies, som möjliggör insamling av information om användningen av webbsidorna;

    4. "Funktionella" cookies, som gör det möjligt att "komma ihåg" de inställningar som valts av användaren och anpassa användarens gränssnitt, t.ex. vad gäller det valda språket eller regionen för användaren, teckensnittsstorlek, webbplatsens utseende, etc.;

    5. "Reklam"-cookies, som möjliggör leverans av reklaminnehåll till användare som är mer skräddarsydda för deras intressen.

    6. …………………………………………………………………………….

  6. I många fall tillåter programvaran som används för att surfa på webbplatser (webbläsare) att cookies lagras på användarens slutenhet som standard. Webbplatsanvändare kan ändra cookieinställningar när som helst. Dessa inställningar kan särskilt ändras på ett sådant sätt att de blockerar den automatiska hanteringen av cookies i webbläsarens inställningar eller informerar om varje inlägg av dem på webbplatsanvändarens enhet. Detaljerad information om möjligheterna och metoderna för hantering av cookies finns i programvarans (webbläsare) inställningar.

  7. Webbplatsoperatören informerar om att begränsning av användningen av cookies kan påverka vissa av funktionerna som finns tillgängliga på webbplatsens sidor.

  8. Cookies som placeras på webbplatsanvändarens slutenhet kan också användas av annonsörer och partners som samarbetar med webbplatsens operatör.