Być może zauważyliście, że wiele stron internetowych w ostaniem czasie zmieniło swoje informacje o plikach cookies i sposoby pozyskiwania zgód na nie. Może się to wiązać z decyzją PUODO wydaną w sprawie iSecure Sp. z o.o.

W decyzji tej PUODO wypowiedział się na temat wymogów dot. stosowania plików cookies. PUODO stwierdził, że:

• tam gdzie adres IP jest na dłuższy okres lub na stałe przypisany do konkretnego urządzenia, a urządzenie to do konkretnego użytkownika, jest on daną osobową gdyż umożliwia identyfikację danej osoby; podobnie należy traktować ID plików cookies;
• zgoda na instalowanie plików cookies powinna być wyrażona w sposób jednoznaczny i czynny, brak aktywnego działania, milczenie lub bezczynność nie mogą zostać uznana za prawidłowo wyrażona zgodę;
• brak zmiany automatycznych ustawień w przeglądarce internetowej nie stanowi czynnej/aktywnej zgody;
• zgoda na instalowanie plików cookies i informacje niezbędne do jej podjęcia (uszczegółowione np. w polityce prywatności) muszą wystąpić przed rozpoczęciem takiego instalowania;
• aby udzielić świadomej zgody na instalowanie cookies dana osoba musi zostać poinformowana m. in. o tym, jakim podmiotom przekazywane będą uzyskane w ten sposób dane.

Spółka została ukarana upomnieniem, nakazano jej również podjęcie szeregu działań. Spółka nie zgadza się z decyzją PUODO, która została przez nią zaskarżona.

Spółka, zajmująca się na co dzień (nomen omen) bezpieczeństwem danych osobowych, podnosi m. in., że:

• dla niej adres IP oraz ID cookies nie dają możliwości identyfikacji osoby;
• podmiot, który mógł uzyskać dostęp do IP jest procesorem Spółki, z którym ma ona zawartą umowę powierzenia przetwarzania;
• PUODO może nie być właściwy dla spraw podpadających pod ustawę Prawo telekomunikacyjne (cookies);
• nie doszło do ujawnienia danych (IP, cookies ID) np. firmie Google bo ona działa jako niezależny administrator;
• nie są w stanie samodzielnie doprowadzić do usunięcia tych danych.

Pełne stanowisko spółki iSecure Sp. z o.o. można znaleźć pod tym adresem.

Bardzo dobrze, że wokół tego problemu wywiązała się szczegółowa dyskusja, bo prawomocne rozstrzygnięcie w tej sprawie powinno wyjaśnić niedomówienia na temat niektórych aspektów stosowania cookies i wpłynąć na zmianę niekoniecznie prawidłowych powszechnych praktyk w tym zakresie.

Na podstawie obowiązujących przepisów, już teraz możemy stwierdzić jakie stosowanie cookies jest bezpieczne, a jakie wiążą się z określonym (mniejszym lub większym) ryzykiem. Istotne są z pewnością:

• zakres stosowania plików (czy są one niezbędne do funkcjonowania strony, czy nie, a jeżeli nie to jakie funkcje pełnią),
• jaka informacja im towarzyszy i kiedy jest prezentowana,
• w jaki sposób zbierana jest zgoda na poszczególne rodzaje cookies,
• w jakim momencie cookies są uruchamiane.

Jeżeli czujesz, że twoja polityka cookies wymaga pewnego odświeżenia lub w ogóle jej nie posiadasz, a chciałbyś ją przygotować z uwzględnieniem aktualnych przepisów i wytycznych zapraszamy do kontaktu.