Cookies a nowe przepisy ochrony danych osobowych
Jakie zmiany dot. Cookies wprowadzają nowe przepisy Rozporządzenia o ochronie danych osobowych w Niemczech?
Cookies to niezwykle ważne informacje dla prowadzących sklepy internetowe. Zapamiętują ustawienia języka i koszyka zakupów, analizują stronę internetową i wspierają marketing online. W jakim stopniu nowe przepisy Rozporządzenia o ochronie danych osobowych (niem. Datenschutzgrundverordnung (DSGVO)) będą miały wpływ na stosowanie ciasteczek?
Dla przypomnienia: czym są Cookies?
Cookies to niewielkie dane tekstowe, zapisywane na urządzeniu końcowym, np. komputerze, telefonie komórkowym czy tablecie, na którym przeglądamy strony internetowe. Dane te, zapisywane tymczasowo np. na komputerze użytkownika, udostępniają usługodawcy określone informacje.
Zapisane informacje zostają odczytane w celu zmierzenia konkretnych wartości lub ponownego rozpoznania użytkownika w przypadku ponownej wizyty na stronie lub przeglądania innej strony internetowej. Zakres informacji może obejmować nie tylko dane statystyczne, lecz również dane osobowe, takie jak np. adres IP użytkownika.
Używanie Cookies dziś
Stosowanie Cookies jest dopuszczalne w zależności od tego, jakie informacje przechowuje ciasteczko. Jeżeli w Cookies zapisane są stałe dane osobowe, takie jak np. adres IP w nieskróconej formie, dla danego ciasteczka obowiązują takie same zasady, jak dla gromadzenia, przetwarzania i wykorzystywania danych osobowych. Tworzenie i analiza Cookies jest dozwolona tylko wtedy, gdy dopuszcza to norma prawna lub dana osoba wyraziła na to zgodę.
Zgodnie z powszechnie stosowaną praktyką na niemieckich stronach internetowych, użytkownik informowany jest o Cookies na banerze umieszczonym w witrynie i tam może wyrazić zgodę na ich stosowanie.
Podstawy prawne nowego rozporządzenia DSGVO
Po pierwsze należy przypomnieć, że Cookies podlegają przepisom Rozporządzenia o ochronie danych osobowych. Art. 4 nr 1 tegoż rozporządzenia definiuje dane osobowe również jako te dane, dzięki którym możliwa jest identyfikacja osoby fizycznej. Jest to rozszerzona wersja definicji, zawartej w Federalnej ustawie o ochronie danych osobowych (niem. Bundesdatenschutzgesetz (BDSG)).
Cookies zawierają stałe znaczniki identyfikacji online, umożliwiające ponowne rozpoznanie użytkownika. Fakt, że mamy tu do czynienia z pseudonimami, nie ma w kontekście Rozporządzenia o ochronie danych osobowych żadnego znaczenia.
Co do zasady, istota pozostaje bez zmian. Przetwarzanie danych osobowych jest zasadniczo niedopuszczalne, chyba że spełniono przynajmniej jeden z warunków art. 6 Rozporządzenia o ochronie danych osobowych. M.in. zgoda użytkownika, przetwarzanie danych jest niezbędne do zawarcia umowy lub ochrony istotnych interesów użytkownika. Są to nowe warunki, choć generalnie bardzo zbliżone do poprzednich wymogów. Z tego względu na pierwszy rzut oka do wyboru mamy jedną metodę – uzyskanie wcześniejszej zgody użytkownika.
Czy zgoda użytkownika jest jedynym rozwiązaniem?
Krótko i zwięźle – nie. Zgodnie z nowymi przepisami DSGVO przetwarzanie danych osobowych jest dozwolone, gdy w grę wchodzi ochrona uzasadnionych interesów osoby odpowiedzialnej lub osób trzecich, „o ile nie przeważają interesy lub podstawowe prawa i swobody danych osób, wymagające ochrony danych osobowych”.
Jednym słowem wszystko zależy od dokładnego rozważenia konkretnego przypadku.