Jak czytamy w komunikacie, podczas posiedzenia plenarnego w dniach 6-7 czerwca 2012 r. europejskie organy ochrony danych przyjęły opinię w sprawie wyjątków w zakresie pozyskiwania zgody na zapisywanie plików cookie. W opinii wyjaśniono, w jaki sposób zrewidowana dyrektywa o prywatności i łączności elektronicznej wpływa na wykorzystywanie plików cookie i podobnych technologii. Dokładniej mówiąc, europejskie organy ochrony danych przeanalizowały w opinii wyjątki od wymogu świadomej zgody w tym kontekście.
W opinii omówiono rodzaje plików cookie, które pod określonymi warunkami można umieszczać na urządzeniu końcowym użytkownika bez wymogu uzyskania jego świadomej zgody. Ponadto, opinia zawiera wytyczne w zakresie podejmowania decyzji, czy określony plik cookie jest zwolniony z zasady pozyskania świadomej zgody przed jego umieszczeniem na terminalu użytkownika.
Zrewidowany artykuł 5 ust. 3 (tzw. zasada dotycząca pliku cookie) dyrektywy o prywatności i łączności elektronicznej wzmocnił ochronę użytkowników sieci i usług łączności elektronicznej poprzez wymaganie świadomej zgody przed zapisaniem lub dostępem do informacji na terminalu użytkownika (lub abonenta). Pomimo że wymóg dotyczy wszystkich rodzajów informacji przechowywanych na terminalu użytkownika lub do których realizowany jest dostęp na terminalu użytkownika, to większą część dyskusji skoncentrowano na wykorzystywaniu plików cookie.
Art. 5 ust. 3 pozwala na zwolnienie niektórych plików cookie z wymogu pozyskiwania świadomej zgody przed ich zamieszczeniem na terminalu użytkownika, jeżeli spełniają one jedno z poniższych kryteriów:
- plik cookie jest wykorzystywany „jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej”;
- plik cookie jest „szczególnie niezbędny w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.
Grupa Robocza Artykułu 29 skoncentrowała się w opinii na tych wyjątkach od zasady pozyskiwania świadomej zgody w kontekście plików cookie i podobnych technologii. Europejskie organy ochrony danych analizowały wcześniej szczegółowo wymogi świadomej zgody w swoich opiniach w sprawie internetowej reklamy behawioralnej (WP 171) oraz w sprawie zaleceń EASA/IAB dotyczących najlepszych praktyk w internetowej reklamie behawioralnej (WP 188).
Analiza zawarta w opinii wskazuje na możliwość zwolnienia z wymogu pozyskiwania świadomej zgody przed zapisaniem niektórych plików cookie pod określonymi warunkami, jeżeli nie są wykorzystywane do dodatkowych celów. Pliki cookie obejmują np. tzw. „user-input cookies” (wykorzystywane do śledzenia treści danych wprowadzanych przez użytkownika przy wypełnianiu formularzy online lub w przypadku kompletowania zamówienia w sklepie internetowym [wypełniania koszyka zakupami]), znane także jako „session-id cookies”; „multimedia player session cookies” oraz „user interface customization cookies” (np. „language preference cookies” w celu zapamiętania języka wybranego przez użytkownika).
Z opinii wynika, że jest mało prawdopodobne, aby pliki cookie administratora danej strony zawierające dane dla celów statystycznych i analitycznych (tzw. „first party analytics cookies”) stwarzały zagrożenie dla prywatności, gdy są ściśle ograniczone do skumulowanych celów statystycznych administratora, oraz gdy są wykorzystywane przez strony internetowe, które już zapewniają jasne informacje na temat tych plików cookie w swojej polityce prywatności oraz odpowiednie zabezpieczenia prywatności. Oczekuje się, że takie zabezpieczenia obejmować będą przyjazny dla użytkownika mechanizm rezygnacji z gromadzenia danych („opt-out”) oraz kompleksowe mechanizmy anonimizacji, które są stosowane w odniesieniu do innych gromadzonych informacji identyfikujących, takich jak adresy IP.
Europejskie organy ochrony danych podkreślają w swojej opinii, że w celu podjęcia decyzji, czy plik cookie jest zwolniony z zasady pozyskiwania świadomej zgody przed jego zamieszczeniem na terminalu użytkownika, istotne jest dokładne sprawdzenie, czy spełnia jedno z kryteriów wyłączeń określonych w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W przypadku wątpliwości operatorzy strony internetowej mogą oczywiście zawsze poprosić o zgodę użytkownika, unikając w ten sposób jakiejkolwiek niepewności prawnej.
Źródło: GIODO
GIODO: niektóre pliki cookie nie wymagają uzyskania zgody użytkownika
Niektóre pliki cookie pod określonymi warunkami można umieszczać na terminalu użytkownika bez konieczności uzyskania od niego świadomej zgody - wynika z opublikowanej na stronie GIODO opinii unijnych ekspertów zajmujących się ochroną danych osobowych.