Czy cookies i ich zamienniki obejmują przetwarzanie danych osobowych?

Czy cookies i ich zamienniki obejmują przetwarzanie danych osobowych

W branży technologicznej często mówi się o „cookies” i „tracking„, zwłaszcza w kontekście nadchodzącego zablokowania plików cookie stron trzecich (third-party cookies) w przeglądarce Google Chrome. Ta zmiana ma ogromne znaczenie, ponieważ Google Chrome obsługuje obecnie dwie trzecie globalnego ruchu internetowego. W odpowiedzi na to, dostawcy i użytkownicy narzędzi śledzących intensywnie pracują, aby dostosować się do nowej sytuacji. 

Podczas spotkań z marketerami i e-commerce managerami często słyszę, że cookies i narzędzia śledzące nie stanowią problemu prawnego, ponieważ nie zawierają danych osobowych, takich jak imiona, nazwiska, adresy e-mail czy numery PESEL. Dlaczego więc wymagana jest zgoda na ich przetwarzanie?

Ten sposób myślenia jest zrozumiały, ale uproszczony i niezgodny z prawną definicją danych osobowych. RODO definiuje dane osobowe jako wszelkie informacje dotyczące osoby, którą można zidentyfikować (bezpośrednio lub pośrednio). Oznacza to, że „identyfikacja” może oznaczać rozpoznanie lub wyodrębnienie konkretnej osoby z grupy. W świecie online do identyfikacji używamy unikatowych identyfikatorów. Zatem dane osobowe mogą obejmować informacje o osobach, których tożsamość jest dla nas nieznana, ale które możemy rozpoznać w kontekście ich zachowań online.

Dlaczego „CPokAsAPokAsABEACBENC7CgAP_AAH_AAAwIAAAAAAAA” to dana osobowa?

Zwykle kojarzymy dane osobowe z imionami, nazwiskami, adresami czy numerami PESEL. Jednakże, ciąg znaków „CPokAsAPokAsABEACBENC7CgAP_AAH_AAAwIAAAAAAAA” (tzw. TC string) również może być uznany za daną osobową. TC string koduje preferencje użytkownika dotyczące personalizowanych reklam w ramach IAB Transparency & Consent Framework i zawiera informacje o zgodach użytkownika.

7 marca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej orzekł, że TC string jest daną osobową, gdy jest przetwarzany w połączeniu z dodatkowymi danymi umożliwiającymi identyfikację użytkownika. W praktyce oznacza to, że wszelkie informacje zbierane przez cookies śledzące, piksele i podobne technologie będą traktowane jako dane osobowe, ponieważ mają na celu śledzenie konkretnych użytkowników.

Czy sytuacja będzie inna, jeśli nie śledzimy użytkowników?

Uzyskanie zgody użytkownika na przetwarzanie danych zgodnie z RODO może być wyzwaniem i potencjalnie obniżać konwersję. Można zastanawiać się, czy możliwe jest zbieranie danych, które nie pozwalają na identyfikację użytkowników. Jednak przepisy dotyczące cookies i podobnych technologii wymagają uzyskania zgody na zapisywanie informacji na urządzeniu użytkownika lub dostęp do nich, niezależnie od tego, czy są to dane osobowe.

Przepisy takie jak art. 5 ust. 3 unijnej dyrektywy o e-prywatności oraz art. 173 polskiej ustawy – Prawo telekomunikacyjne jasno wskazują, że zgoda jest wymagana na przetwarzanie wszelkich informacji, nie tylko danych osobowych.

Polecane narzędzia: