Spora część plików cookies zapisanych w pamięci urządzenia pochodzi od wydawcy witryny internetowej, którą użytkownik przegląda. Te pliki cookies są często używane właśnie do zapamiętania informacji o użytkowniku i jego indywidualnych ustawieniach. Zdecydowana większość cookies instalowanych na komputerze podczas przeglądania internetu pochodzi jednak od stron trzecich i służy identyfikacji użytkownika jako konsumenta, umożliwiając wyrafinowane profilowanie do celów marketingowych podczas surfowania w internecie.
Czy cookies to dane osobowe?
Zapisane na urządzeniu końcowym pliki cookies pozwalają na śledzenie użytkowników na różnych portalach. Reklamodawcy identyfikują konkretnego internautę pomiędzy wieloma stronami internetowymi za pomocą tych plików oraz odpowiednich kodów. Zebrane informacje pozwalają im na zbudowanie precyzyjnego profilu danego użytkownika. Choć sam plik cookies nie jest daną osobową, to może być nośnikiem informacji, które będą stanowić dane osobowe. Kiedy możliwa jest identyfikacja osoby przeglądającej stronę internetową, ciasteczka zawierają dane osobowe takiego użytkownika, które podlegają ochronie prawnej.
W europejskim i polskim systemie prawnym niewiele jest norm, które bezpośrednio odnoszą się do cookies. Przepisy są neutralne technologicznie – nie mówią o konkretnych rozwiązaniach, ale o ich efektach, aby pozostały aktualne dłużej. Z tych względów w polskich ustawach czy unijnych dyrektywach nie ma wytycznych co do plików cookies, ale przepisy te regulują kwestie śledzenia w internecie oraz przetwarzania danych osobowych.
Regulacje dotyczące przetwarzania danych osobowych znajdziemy w RODO (rozporządzenie ogólne o ochronie danych osobowych), a wśród nich podstawy ich przetwarzania. Podstawy te będą aktualne dla danych osobowych zawartych w cookies. Najczęściej wykorzystywanymi podstawami przetwarzania jest zgoda oraz uzasadniony interes. Zgoda będzie właściwą podstawą między innymi udostępniania danych osobowych partnerom biznesowym dla ich celów biznesowych, głębokiego (inwazyjnego) profilowania marketingowego (w tym łączenia danych z wielu urządzeń) oraz zautomatyzowanego podejmowania decyzji. Taki właśnie jest cel 3rd party cookies i – jeśli zawierają one dane osobowe – to zgoda powinna być zawsze dobrowolna, zrozumiała, prosta do udzielenia lub odmowy oraz możliwa do wycofania.
Nie można również zapomnieć o prawie telekomunikacyjnym, które daje możliwość wyrażania zgody na instalowanie plików cookies poprzez ustawienia przeglądarki. W takim wypadku zgoda jest wyrażana jednorazowo podczas konfigurowania oprogramowania, a nie przez każdorazowe kliknięcie przycisku „akceptuj” przy każdej wizycie na stronie dostawcy korzystającego z technologii cookies. Taki sposób wyrażania zgody nie będzie wystarczający w przypadku 3rd party cookies.
Od piaskownicy do rezygnacji
Co skłoniło Google do rezygnacji z 3rd party cookies? Czy światowy gigant technologiczny postanowił zadbać o prywatność użytkowników? Aby odpowiedzieć na to pytanie, musimy cofnąć się do 2019 r. W tym właśnie roku TSUE nakazał stronom WWW zbieranie zgód opt-in (prawo do wyrażenia zgody) na pliki cookies (wyrok z 1 października 2019 r. ws. Planet49 C-673/17). W 2020 r. wydano potwierdzające ten wyrok wytyczne Europejskiej Rady Ochrony Danych i pojawiły się zalecenia europejskich regulatorów, nakazujące zmianę dotychczas funkcjonujących „informacji o cookie” (z prawem opt-out, czyli rezygnacji) na system, który zbiera zgody na ich używanie. Okazało się, że nie jest wystarczające poinformowanie użytkownika o stosowaniu cookies. Zanim na urządzeniu użytkownika zostaną zainstalowane pliki cookies, konieczne jest uprzednie uzyskanie wyraźnej zgody (wybranie przycisku wyrażającego zgodę). Opt-out, czyli zgoda domniemana, z której użytkownik co najwyżej może się wycofać, nie jest wystarczająca do zgodnego z prawem przetwarzania danych.