Kalendarium regulacji dotyczących cookies i RODO
Digital Markets Act, Consent Mode i platformy CMP – co się zmienia?
Jak wygląda kontrola UODO – wtyczka Rentgen i praktyka
Cookies zgodnie z prawem – najważniejsze zasady
Case study: analiza procesu zbierania zgód na euro.com.pl
Jak wygląda raport z audytu cookies i co z niego wynika?
Podsumowanie
Rozumienie zmian prawnych dotyczących ochrony danych osobowych na stronach internetowych to podstawa prawidłowego wdrożenia systemów zgód. Wszystko zaczęło się w 2002 roku od unijnej dyrektywy e-privacy, wymuszającej informowanie użytkowników o stosowaniu cookies. Niewiele zmieniło się do 2011 r., kiedy pojawił się wymóg uzyskania wyraźnej zgody na ciasteczka. Cookie bannery stały się wtedy powszechnością, choć bardziej jako formalność niż realny element ochrony danych.
Prawdziwy przełom nastąpił w 2018 r. wraz z wdrożeniem RODO – odtąd zgoda na cookies musiała być świadoma, jednoznaczna i dobrowolna. Jednak bez realnych działań egzekwujących przez lata wciąż dominowało pobieżne podejście do regulacji. Dopiero orzeczenie TSUE z października 2019 r. podniosło poprzeczkę, wymuszając realne mechanizmy pozyskiwania zgód, krytykując proste banery informacyjne.
Późniejsze wydarzenia jeszcze mocniej zaostrzyły regulacje: zakwestionowanie legalności Google Analytics (2022 r.), istotna decyzja Komisji Europejskiej dotycząca przekazywania danych poza EOG w 2023 r., aż po Digital Markets Act z 2024 roku, istotny zwłaszcza dla właścicieli witryn korzystających z platform reklamowych i narzędzi analitycznych.
Digital Markets Act (DMA), obowiązujący od marca 2024 r., to nowe obowiązki nie tylko dla właścicieli stron, ale przede wszystkim dla odbiorców danych – takich jak Google, Meta czy Amazon. Platformy te są zobligowane do weryfikowania, czy dane otrzymywane z witryn były pozyskiwane legalnie.
To wszystko wpłynęło na dynamiczny rozwój rozwiązań typu Cookie Management Platform (CMP), np. UserCentrics (d. CookieBot) czy OneTrust, które umożliwiają legalne zbieranie zgód oraz integrację z mechanizmem Google Consent Mode v2. Wersja druga trybu consent mode jest odpowiedzią na aktualne realia prawne i techniczne. Najlepsze CMP pozwalają nie tylko zebrać zgodę, ale też prawidłowo ją przekazać dalej w procesie analitycznym. W polskich realiach przez długi czas panowało przekonanie, że bez „twardych” działań ze strony UODO temat nie jest palący. Zmieniło się to radykalnie po wejściu DMA i wzmożonych kontrolach UODO – tylko wśród naszych klientów, obsługujących ok. 40 firm, w bieżącym kwartale przeprowadzono aż trzy audyty zgodności cookies.
Aktualnie inspektorzy UODO nie ograniczają się już do weryfikacji dokumentacji formalnej. Coraz częściej kontrolują, jak faktycznie zbierane są dane z cookies oraz jak przebiega przekazywanie zgód i identyfikatorów. Do tego służy im m.in. wtyczka Rentgen dla przeglądarki Firefox, opracowana przez Fundację Internet. Czas Działać.
Oficjalną instrukcję obsługi wtyczki znajdziesz tutaj, a samą wtyczkę pobierzesz bezpośrednio ze strony fundacji. Rentgen pozwala kontrolować przepływ danych z Twojej witryny, wykrywając, do jakich domen stron trzecich trafiają (i czy są wśród nich identyfikatory użytkowników wymagające wyraźnej zgody).
W praktyce wtyczka pozwala w kilka minut uzyskać szczegółowy podgląd sytuacji na stronie – również tej nieświadomie niezgodnej z przepisami.
Najważniejsze zasady legalnego wdrożenia cookies są proste, ale wymagają konsekwencji:
Za całość procesów odpowiada inspektor ochrony danych osobowych w firmie – i tylko u niego możesz uzyskać ostateczną opinię o poprawności wdrożenia. Oczywiście korzystanie z platform CMP znacznie zwiększa prawdopodobieństwo, że zgody są zbierane w prawidłowy sposób, ale każdy przypadek wymaga indywidualnej analizy.
Przyjrzyjmy się przykładowi praktycznemu z wykorzystaniem wtyczki Rentgen. Jeżeli (tak jak UODO) korzystasz z czystej przeglądarki, bez zapisanej wcześniej zgody, szybko zobaczysz, które domeny są aktywne przy zbieraniu danych – nawet przed wyrażeniem zgody. Kolory w raporcie: na czerwono wyświetlane domeny potencjalnie przesyłające dane osobowe (np. ID użytkowników), na żółto – ogólne połączenia z zewnętrznymi serwerami.
Na analizowanej stronie euro.com.pl wykryto trzy domeny, które mogły przesyłać identyfikowalne informacje. Stan ten mógł ulec zmianie po wyrażeniu zgody lub nawigacji po serwisie. Analizując dane, kluczowe jest sprawdzenie, czy wcześniej nie były przekazywane identyfikatory bez zgody użytkownika. Szczególnej uwagi wymaga identyfikacja cookies pseudoanonimowych, których nie da się powiązać bezpośrednio z osobą, ale mogą stanowić dane osobowe zgodnie z RODO.
Następnym krokiem jest skorzystanie z funkcji „Generuj raport”. Wtyczka prowadzi przez procedurę kontroli: najpierw wybierasz, czy działasz jako administrator czy użytkownik serwisu. Dalej analizujesz proces zgód – m.in. czy istnieje jasna możliwość ich wycofania oraz czy na stronie jest równie łatwo odmówić wszystkim cookies, jak je zaakceptować.
W badanym przypadku odmowa wymagała większej liczby kliknięć (konieczne było przejście przez opcje „zarządzaj cookies” i odznaczenie wszystkich niechcianych). Takie rozwiązanie nie spełnia warunku równości, a mechanizm odmowy uznaje się za utrudniony względem akceptacji pełnej zgody.
Po analizie procesu, wtyczka generuje szczegółowy raport w formacie e-maila, gotowy do wysłania administratorowi strony (lub UODO, jeśli występujesz jako użytkownik). Raport zawiera informacje o polityce prywatności, sposobie prezentacji danych, statusie zgód oraz wykrytych domenach, które mogą przesyłać dane osobowe. Istotne jest również zabezpieczenie dowodów – narzędzie generuje zrzuty ekranu, które są zapisywane na serwerze fundacji tworzącej wtyczkę. Takie dowody można wykorzystać w korespondencji formalnej lub dokumentacji audytu.
Kolejne etapy sprowadzają się do weryfikacji sposobu udostępniania informacji o administratorze danych, przejrzystości interfejsu zgód i dostępności polityki prywatności. Kluczowe jest też zestawienie wykrytych domen z rzeczywistą polityką informacyjną w serwisie oraz wskazanie podstawy prawnej przetwarzania danych. Im więcej narzędzi śledzących zainstalujesz na stronie, tym trudniejszy do przeprowadzenia jest audyt.
Na końcu raportu można przejrzeć wygenerowane zrzuty ekranu, zapisy operacji w konsoli i dane, które trafiają do konkretnych domen. Wtyczka prowadzi przez cały proces, sugerując, co należy zweryfikować, ale jej interpretacje – jak każda narzędziowa rekomendacja – mają charakter ogólny i nie są prawnie wiążące dla podmiotów bez kwalifikacji IOD.
Co ważne, reakcja na takie raporty powinna być przemyślana. Z naszej praktyki wynika, że właściciele stron traktują je raczej jako sygnał do weryfikacji wdrożeń niż podstawę do wszczynania postępowań. To nie narzędzie do „straszenia” kontrolami, tylko do uporządkowania ważnej sfery biznesu – ochrony danych użytkowników.
Prawidłowa konfiguracja procesu zbierania zgód na pliki cookie to nie tylko wymóg prawny, ale również fundament zaufania użytkowników i strategicznej analityki internetowej. Wdrożenie odpowiedniego mechanizmu zgód, korzystanie z certyfikowanych platform CMP oraz regularna samokontrola – np. za pomocą narzędzi takich jak Rentgen – pozwalają minimalizować ryzyka. Kontrole UODO nie są już abstrakcją, tylko codzienną rzeczywistością firm, które prężnie działały dotąd „na zaufanie” do biurokratycznej bezwładności.
Warto już dziś zweryfikować swoje wdrożenie – samodzielnie lub z pomocą Inspektora Ochrony Danych Osobowych. Rynek wciąż się uczy, a praktyka prawna w dziedzinie ochrony danych dynamicznie się kształtuje. Zadbaj o zgodność korzystania z cookies z RODO. Jeśli potrzebujesz wsparcia, nasi specjaliści z Conversion służą pomocą przy wdrożeniu consent mode i platform CMP. Lepiej skontrolować swoją stronę wcześniej niż po fakcie.
Tagi:
Historie sukcesów
Ostatnie wpisy na blogu
