Jak nie udławić się ciasteczkami

Prowadzenie nawet prostej witryny www, nie mówiąc już o stronie, która służy do sprzedaży towarów i usług, obwarowane jest licznymi obostrzeniami prawnymi. Ich przestrzegania wymagają także dobre praktyki, które świadczą o profesjonalizmie danej firmy i mają wpływ na to, jak jest postrzegana przez swych partnerów i klientów. 

Zaczynamy od ciasteczek

Najważniejszym i pierwszym regulaminem, jaki należy stworzyć, budując jakąkolwiek stronę internetową czy aplikację, jest tzw. polityka cookies, czyli ciasteczek. Czym one są? To ciąg znaków pozwalający na zapisanie ściśle określonych danych, wysyłany przez nasz serwis www. Co ważne – dane te są zapisywane i przechowywane zawsze na urządzeniu, z którego użytkownik odwiedza naszą stronę (ta potem jedynie „sprawdza” je przy każdej takiej wizycie). Przede wszystkim chodzi tu o to, by rozpoznawać danego internautę i poznać jego preferencje. To na podstawie cookies możliwe jest m.in. spersonalizowanie serwisu, by pokazywać treści, które zainteresują konkretną osobę, lub zapamiętać, w jakim języku mają być one wyświetlane (gdy serwis ma kilka wersji językowych). Możliwe jest też odtworzenie zapisanych w pamięci danych logowania czy zapamiętanie produktów, które przy poprzedniej wizycie internauta włożył do koszyka, ale nie zakończył transakcji. To, co zapisywane jest w ciasteczkach, pomaga również dopasować reklamy do użytkownika, czyli np. wyświetlać mu banery promujące ofertę, która powinna go zainteresować, czy witryny, które wcześniej odwiedzał. 

Dlatego właśnie polityka cookies jest tak istotna: chodzi przecież o rozmaite dane, do których nasza witryna ma pełen dostęp. Z tego względu, po pierwsze, muszą być one chronione w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym, a po drugie – polityka ich przechowywania i udostępniania powinna być uregulowana, aby dane te nie padły ofiarą niedozwolonych praktyk. 

Obowiązek stosowania takiej polityki wynika z przepisów Prawa Telekomunikacyjnego, w wersji obowiązującej od 22 marca 2013 r., na podstawie ogólnych wytycznych Parlamentu Europejskiego. Tam, w art. 173., znajdziemy zapis dotyczący ciasteczek, który nakazuje właścicielowi serwisu www uzyskanie zgody użytkownika na przechowywanie i stosowanie cookies oraz poinformowanie go o możliwości wyłączenia tej funkcji w przeglądarce (i tego skutkach). 

Polityka taka dotyczyć powinna przede wszystkim tzw. plików stałych, które, w przeciwieństwie do „sesyjnych” (odpowiedzialnych m.in. za przenoszenie danych logowania pomiędzy podstronami w sklepie czy w banku internetowym), nie są usuwane po zamknięciu strony przez internautę. To na podstawie stałych  cookies adserwery powiązane z witryną „wiedzą”, że mogą kusić daną osobę reklamą produktu, który oglądała ona wcześniej, wyświetlając ją gdzieś indziej (np. na Facebooku). Ponieważ ciasteczkowe informacje są cenne marketingowo – powinny być odpowiednio chronione i zarządzane, a użytkownik musi być świadomy, że witryna ma do nich dostęp i może z nich korzystać. O tym też należy powiadomić we wspomnianym wyżej dokumencie. 

Prywatność pod ochroną

Cookies to jednak dopiero pierwszy krok na naszej drodze. Nawet jeśli tworzymy tylko firmowy blog, który w założeniu ma nas promować, a w szczególności wspierać sprzedaż naszych produktów, powinniśmy pochylić się nad całą sferą dotyczącą zgody użytkownika na gromadzenie i przechowywanie danych osobowych na jego temat, a także ich wykorzystania do celów handlowych. 

Czym są dane osobowe? To wszelkie informacje (lub ich kombinacje), które pozwalają jednoznacznie zidentyfikować tożsamość konkretnej osoby fizycznej. Nie dotyczą zatem podmiotów prawnych i firm. Poza podstawowymi danymi, takimi jak imię, nazwisko, adres, PESEL czy NIP, może to być np. służbowy adres e-mail (jeśli zawiera czyjeś nazwisko i nazwę firmy, w której pracuje), a nawet adres IP komputera (jeśli jest on na stałe przypisany do konkretnej maszyny w danej lokalizacji). 

Gdy mamy do czynienia z danymi osobowymi, podstawową kwestią jest proces ich zbierania i przechowywania. Żebyśmy mogli to robić (na stronie internetowej najczęściej poprzez formularz rejestracji użytkownika), należy spełnić warunki określone w ustawie. Najważniejszy z nich to obowiązek zgłoszenia takiej bazy Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) wraz z podaniem, kto jest ich administratorem, czyli osobą odpowiedzialną w naszej firmie za ich gromadzenie, magazynowanie i przetwarzanie. I pamiętajmy – do przetwarzania mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane im przez administratora danych. Nie muszą to być wyłącznie pracownicy firmy, ale też np. jej zleceniobiorcy czy nawet praktykanci. 

Gromadząc dane osobowe, musimy je zgodnie z prawem zabezpieczyć: „administrator jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem” (art. 36., ust. 1. Ustawy o ochronie danych osobowych). Ponadto – zbierając takie dane, musimy za każdym razem informować konsumenta, który podlega tego typu rejestracji, o swojej nazwie i adresie, miejscu ich przechowywania, celu ich gromadzenia, o ich odbiorcach (obecnych i przyszłych), o jego prawie dostępu do nich i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (jeśli jest taki obowiązek –  przytaczamy jego podstawę prawną). 

Gdzie zawrzeć te wszystkie informacje, aby każdy z naszych klientów miał do nich dostęp? Najlepszym miejscem jest dokument zwany „Polityką prywatności”. Opisuje on rodzaj gromadzonych informacji i ich przeznaczenie, a także sposoby ich wykorzystania. 

Innymi słowy, polityka prywatności to dla użytkownika serwisu czy też sklepu internetowego zbiór informacji na temat tego, co dzieje się z danymi osobowymi, które pozyskujemy od konsumentów w sposób jawny (gdy udzielają na to zgody) i ukryty. Istotnym elementem tej polityki są bowiem także statystyki, jakie strona gromadzi (np. w celu sprzedawania swej powierzchni reklamodawcom). 

Zgody marketingowe i inne

To, że mamy dane naszych klientów, nie wystarczy, żeby zrobić z nich użytek handlowy i marketingowy. Dlatego już na etapie tworzenia formularza do rejestracji danych użytkownika warto pomyśleć, po co zbieramy te dane, by informować o tym internautów i prosić ich o zgody na to, że będziemy je w danych celach wykorzystywać. 

Taka zgoda musi mieć swoje elementy. W najprostszej dopuszczalnej formie zawiera informację, kto jest administratorem danych (tu dajemy np. nazwę naszej firmy), jaki jest cel ich zbierania i przetwarzania i jaki ich zakres nas interesuje. Pamiętajmy przy tym, że w taki sam sposób musimy prosić o zgody na każdy cel, dla którego dane pozyskujemy, wedle zasady: jeden cel – jedno oświadczenie. Wpisanie w polu formułki, że „dane będą przetwarzane w celach marketingowych i reklamowych” może zostać potraktowane przez GIODO czy sąd jako dwa cele (i wówczas takie oświadczenie będzie nieważne). Nie wystarczy też np. zgoda na samo tylko wzięcie adresu e-mail danej osoby, by móc potem wysłać do niej promocyjny e-mail. Na e-mail marketing trzeba mieć osobną zgodę. 

Albo to: teoretycznie (i takie informacje można znaleźć nawet na stronach renomowanych kancelarii prawnych) administrator danych osobowych może prowadzić marketing towarów i usług swej firmy bez pytania o zgodę (jeśli nie wyrażono aktywnie sprzeciwu). Lecz ponieważ marketing jest pojęciem niezdefiniowanym ustawowo, to tak naprawdę nie wiadomo, jak ten zapis interpretować. Bo czy oznacza to możliwość wysyłania klientom informacji handlowych... no, już raczej nie, gdyż to niekoniecznie mieści się w pojęciu marketingu. Lepiej więc zatroszczyć się o wszelkie zgody i już. 

Nie zapominajmy też, że okienka, w których użytkownik zaznacza swoją zgodę (zwane checkboksami), nie powinny być w naszym formularzu zamarkowane z góry jako „wybrane”. Orzecznictwo sądów i wytyczne GIODO mówią wyraźnie, że takie automatyczne domniemanie jest łamaniem praw konsumenta. Każda zgoda tego ostatniego musi być jego świadomą decyzją „wyrażoną w pełni dobrowolnie poprzez działanie”. Wprawdzie możemy go poinformować, że brak pewnych zgód nie pozwoli mu np. wziąć udziału w promocji czy otrzymać rabatu, ale to jedyna dopuszczalna prawem forma „przymusu”.

Okazuje się zresztą, że przejście przez ten labirynt regulaminów, polityk i koniecznych oświadczeń na długo nie wystarczy, gdyż przedsiębiorców działających w sieci czeka rewolucja (nazywana przez niektórych tsunami). 25 maja 2018 r. wchodzi bowiem w życie GDRP, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych UE. Będą to nowe i jednolite dla całej Unii przepisy dotyczące zbierania i ochrony danych użytkowników. Tak więc właścicieli oraz twórców witryn, serwisów i aplikacji czeka sporo nowej pracy (i wydatków). Oczywiście do tematu GDRP jeszcze wrócimy na naszych łamach. 

Jeśli jesteś internetowym sprzedawcą, zadbaj o te rzeczy

Polityka cookies

* Są to reguły przechowywania i udostępniania danych o odwiedzających naszą witrynę lub serwis www, zdobywanych  za pomocą tzw. stałych plików cookies, oraz zasady informowania o tym użytkowników naszej strony. 

* Należy uzyskać zgodę użytkownika na przechowywanie i stosowanie cookies oraz poinformować go o możliwości wyłączenia tej funkcji w przeglądarce (i tego skutkach). 

Polityka prywatności

* Dokument będący zbiorem informacji dotyczący tego, jaki rodzaj danych na temat naszych użytkowników pozyskujemy (w tym danych osobowych) oraz jakie jest ich przeznaczenie i w jaki sposób będą wykorzystywane. 

* Bazę danych osobowych należy zgłosić do GIODO i odpowiednio ją chronić. 

* Użytkownicy powinni mieć łatwy dostęp do naszej „Polityki prywatności”. 

Zgody

* Jeśli prosimy użytkowników o podanie danych na ich temat, prosimy ich też o zgodę na to, by te dane wykorzystywać w konkretnych celach (np. marketingowych czy handlowych). 

* Na każdy, nawet najmniejszy cel należy prosić o zgodę osobno. 

* Każda zgoda musi być dobrowolna i poprzedzona świadomą decyzją użytkownika, nie wolno samemu zaznaczać zgód w jego imieniu, nawet tych oczywistych. 

Przydatne linki

www.wszystkoociasteczkach.pl – tu można znaleźć dobry wzór dokumentu polityki cookies i inne użyteczne informacje. 

www.edugiodo.giodo.gov.pl – serwis edukacyjny GIODO z informacjami na temat zbierania, przechowywania i przetwarzania danych osobowych.