Pliki cookies w e-commerce. Jak ich używać, aby były zgodne z prawem?

Przeczytaj także: Pliki cookies - zmiany dla sklepów i serwisów internetowych

Zastosowanie plików cookies może ułatwić prowadzenie biznesu w sieci, ale przy tym przysporzyć sporo kłopotów. Tym bardziej że w ostatnim czasie w Polsce i krajach Unii Europejskiej zwraca się coraz większą uwagę na prawidłowe zastosowanie „ciasteczek”. Jak więc używać cookies w sklepach internetowych, żeby były zgodne z prawem? Opowiada Rafał Malujda, radca prawny IdoSell.

Dlaczego pliki cookies są ważne i potrzebne w kontekście e-commerce? Co dają sprzedawcom? Dlaczego warto o nie zadbać?

Dzięki plikom cookies właściciele sklepów internetowych mogą otrzymać informację o konsumentach np. o ich nawykach zakupowych. Tego typu informacje są dla e-biznesu coraz więcej warte, ponieważ na nich bazują różnego rodzaju mechanizmy sprzedażowe i marketingowe. Z perspektywy sprzedawcy e-commerce jest to kolejny wymóg regulacyjny, który musi spełnić. Jednak ci merchanci, którzy wdrożą cookies w sposób należyty, będą postrzegani jako transparentnie działający na rynku. Wielokrotnie jest tak, że przy audytach mechanizmów cookies okazuje się, że dostawca usług, czy też sprzedawca, nie wie, jakie mechanizmy ma u siebie wdrożone i jakie dane pobiera. Również nieprawidłową sytuacją jest ta, w której taki sprzedawca korzysta z cookies stron trzecich i nie jest świadomy, że jego mechanizmy wykorzystują np. cookies marketingowe innych organizacji.

Co oznacza należyty sposób wprowadzania cookies?

Poza cookies technicznymi, od których zależy poprawne działanie serwisu, musimy mieć uprzednią i „aktywną” zgodę użytkownika na konkretne cookies np. marketingowe lub statystyczne. Druga sprawa to warstwa informacyjna. Właściciel sklepu internetowego musi poinformować użytkownika o tym, jakie cookies akceptuje, jakie dane one wysyłają i skąd te „ciasteczka” pochodzą. Jeśli to są cookies stron trzecich, to z takiego zestawienia będzie wynikało również, czy dane pobrane z wykorzystaniem cookies mogą być dalej przekazywane, na przykład do podmiotu zlokalizowanego poza UE. W Unii Europejskiej i poza UE cookies mają coraz większe znaczenie – chociażby w USA, gdzie nie ma formalnie na poziomie federalnym przepisów wymagających zgody na „ciasteczka”, to jednak regulacje zaostrzające korzystanie z nich obowiązują na poziomie stanowym (np. w California Consumer Privacy Act). Dyskusja toczy się wokół stopnia ich granulacji, czyli tego, jak bardzo szczegółowe to muszą być informacje i jak bardzo ta zgoda musi być niskopoziomowa. Rozbijamy się tu o odwieczną dyskusję, czy ja mogę wyrazić jako użytkownik zgodę na paczkę cookies marketingowych, czy muszę jednak poznać informacje dotyczące każdego z wykorzystywanych cookies.

Ostatnio zaszły zmiany w interpretacji przepisów dotyczących cookies. Co zrobić, żeby faktycznie te, które są w sklepie internetowym, były zgodne z regulacjami?

Tych interpretacji jest coraz więcej. Tutaj musimy się przyzwyczaić do dalszego rozwoju orzecznictwa i docierania się interpretacji. Ja bym ocenił sytuację tak, że mamy trzy obszary, w których ta ocena i ciekawe dyskusje funkcjonują. Pierwszy to najnowszy powiew orzecznictwa, który dotyczy skupienia się na tym, czy każdy cookies faktycznie przetwarza dane osobowe. Jedno z ostatnich orzeczeń Wojewódzkiego Sądu Administracyjnego wspomina, że niekoniecznie każdy mechanizm cookies musi przetwarzać dane osobowe. Akurat w tamtej sprawie mechanizm cookies przetwarzał dane, których nie można było powiązać z żadnym konkretnym użytkownikiem i adresem IP komputera. To jest ciekawy kierunek interpretacyjny, bo przestaniemy przechodzić do porządku dziennego nad tym, że każde cookies przetwarzają dane osobowe. Drugi obszar jest związany z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej. Dotyczy tego, jak bardzo ta zgoda na pliki cookies musi być szczegółowa, a przede wszystkim „aktywna”. To może wydawać się trochę paradoksalne, gdyż polskich przepisów wynika, że teoretycznie jednym z przepisowych podejść związanych ze zgodami cookies jest ustawienie określonych parametrów w przeglądarce, co nie jest do końca prawidłowe. Zgodni z najnowszym orzecznictwem Trybunału, to jest podejście błędne, bo musi być zgoda aktywna. Coraz częściej mamy taki stopień szczegółowości, że widzimy na stronach dostawców nie tylko kategorie cookies, lecz również ich poszczególne nazwy i dostawców, a coraz rzadziej krótki komunikat o tym, że strona ładuje cookies. Ten drugi rodzaj stron odchodzi do lamusa, a kiedyś był standardem. W Polsce trend na egzekwowanie cookies wzrasta. Nie jest on jednak jeszcze tak intensywny, jak chociażby w Niemczech. U naszych zachodnich sąsiadów normą jest to, że można zarządzać cookies nie tylko według grupy kategorii, ale też konkretnych dostawców „ciasteczek” właśnie. W każdym momencie możemy do tego wrócić i to zmodyfikować. Trzeci sprawa to specyficzne obszary stosowania cookies. Niektórzy operatorzy stron internetowych próbują obchodzić regulacje w tym zakresie bezpośrednio lub pośrednio. Powodem tego, że nowe interpretacje są im nie po drodze, może być fakt, że ograniczają one i zmniejszają konwersję czy też możliwość użycia wielu mechanizmów marketingowych. Dlatego pojawił się pomysł, żeby stosować tzw. cookie wall, które uniemożliwiają użytkownikom dostęp na stronę, jeżeli ci nie wyrażą zgody na wszystkie pliki cookies i moduły śledzące obecne na stronie. Takie przypadki też są negatywnie diagnozowane. Dyskusja wokół cookie wall jednak cały czas trwa. Francuski organ regulacyjny wydał niedawno swoje wytyczne, w którym wskazuje sytuacje, w których stosowanie mechanizmu typu cookie wall byłoby dopuszczalne.

Coraz więcej sklepów internetowych wychodzi na kolejne rynki Europy i świata. Jak mogą się zabezpieczyć, żeby cookies były zgodne z prawem obowiązującym w danym kraju?

W mojej ocenie najlepsze jest podejście na zasadzie benchmarku, czyli wzięcie pod uwagę orzecznictwa Trybunału Sprawiedliwości UE. W tych przepisach kwestia granulacji w zakresie zgody i informacji osiągnęła taki poziom, że ciężko sobie wyobrazić, żeby ktoś w jakiejkolwiek jurysdykcji otrzymał zarzut, że nie działa zgodnie z wymogami dotyczącymi cookies. Niezależnie od tego, jak te przepisy zostały w prawodawstwie krajowym wdrożone. Mamy więc do czynienia z dyrektywą unijną, która dała rekomendację do wdrożenia przepisów krajowych i każdy z nich mógł to trochę po swojemu zrobić. Dlatego też różne mogły być interpretacje tych samych działań. Jeśli wdrożymy najbardziej wyśrubowane wymogi, nie będziemy się narażać na żaden zarzut.