Prawo dotyczące zgody na pliki cookie w UE, USA, Wielkiej Brytanii i innych krajach

Nieprzestrzeganie różnych przepisów dotyczących zgody na pliki cookie na całym świecie może prowadzić do kosztownych grzywien i kar. Według Konferencji Narodów Zjednoczonych ds. Handlu i Rozwoju 137 ze 194 krajów uchwaliło przepisy mające na celu ochronę danych i prywatności.

Poniższy przewodnik pomoże wyjaśnić korzystanie z plików cookie, prawa, które nimi rządzą, oraz sposoby zapewnienia zgodności.

Należy również pamiętać, że „przepisy dotyczące plików cookie” nie dotyczą tylko korzystania z plików cookie. Przepisy dotyczące plików cookie to przepisy mające na celu ochronę danych i prywatności i mają zastosowanie do wszystkich rodzajów technologii, które mogą być używane do przechowywania i przetwarzania informacji o użytkownikach.

Pliki cookie to tylko najbardziej powszechna technika stosowana obecnie do przechowywania informacji o użytkownikach na urządzeniach osobistych.

Zrozumienie różnych rodzajów plików cookie

Pliki cookie to małe pliki danych, które są przechowywane w pamięci urządzenia w celu gromadzenia informacji o aktywności użytkownika urządzenia, gdy użytkownik wchodzi na stronę. Pliki cookie używane do zbierania danych osobowych, na przykład do personalizacji i śledzenia reklam, mają wpływ na prywatność.

Podstawowe zrozumienie różnych rodzajów plików cookie jest konieczne, aby lepiej zrozumieć przepisy regulujące ich użycie i zapewnić zgodność z przepisami dotyczącymi zgody na pliki cookie w różnych krajach na całym świecie.

Poniżej przedstawiono kluczowe rozróżnienia decydujące o tym, jak korzystać z plików cookie:

• Sesyjne a trwałe pliki cookie: Sesyjne pliki cookie są automatycznie usuwane, gdy urządzenie przestaje uzyskiwać dostęp do strony internetowej, natomiast trwałe pliki cookie pozostają do kolejnych wizyt użytkownika urządzenia.
  
  
• Niezbędne a dobrowolne pliki cookie: Niezbędne pliki cookie są wymagane do prawidłowego działania witryny. Doskonałym przykładem są pliki cookie, które pozwalają użytkownikom umieszczać produkty w internetowym koszyku i zapisywać je na później. Z drugiej strony selektywne pliki cookie wykonują inne zadanie, takie jak umożliwienie użytkownikom dostosowania ich doświadczenia lub umożliwienie marketerom śledzenia aktywności użytkowników.
  
  
• Własne lub zewnętrzne pliki cookie: czy plik cookie jest używany przez Twoją organizację, czy w imieniu partnera marketingowego lub jakiejś organizacji zewnętrznej.
  
  

Przepisy UE dotyczące zgody na pliki cookie

Nagły wzrost wykorzystania „banerów plików cookie”, komunikatów wyświetlanych na stronach internetowych i aplikacjach z prośbą o zgodę użytkownika na odwiedzenie witryny, wynika w dużej mierze z surowych wymogów, jakie Unia Europejska (UE) nakłada na firmy gromadzące dane osobowe w Internecie użytkowników w krajach UE.

UE stała się światowym liderem, jeśli chodzi o przepisy dotyczące ochrony danych i prywatności w Internecie.

W 2002 r. UE uchwaliła dyrektywę o prywatności i łączności elektronicznej (zmienioną w 2008 r. i weszła w życie w 2011 r.), zgodnie z którą strony internetowe muszą uzyskać zgodę użytkownika, zanim będą mogły przechowywać, wykorzystywać lub odzyskiwać dane osobowe użytkowników.

W 2018 r. UE uchwaliła Ogólne rozporządzenie o ochronie danych (RODO), regulujące gromadzenie danych osobowych i nakładające surowe kary za naruszenia prawa. Podsumowując, dyrektywa o prywatności i łączności elektronicznej oraz RODO charakteryzują dane osobowe jako wszelkie dane utworzone przez osobę możliwą do zidentyfikowania i wymagają zgody użytkownika na gromadzenie tych danych.

Przepisy dotyczące zgody na pliki cookie RODO zapewniają również użytkownikom prawo do dostępu, usuwania, poprawiania i sprzeciwu wobec gromadzenia ich danych osobowych.

Przepisy UE dotyczące plików cookie mają zastosowanie do każdej witryny internetowej, która ma odwiedzających z UE, niezależnie od tego, gdzie fizycznie znajduje się firma. Przepisy UE dotyczące plików cookie wymagają od firm:

• Uzyskaj zgodę użytkowników przed umieszczeniem w przeglądarkach użytkowników jakichkolwiek narzędzi śledzących lub plików cookie;
• Podaj szczegółowe informacje o wszystkich trackerach i plikach cookie używanych na ich stronach;
• Zapewnij użytkownikom możliwość łatwego wycofania lub rezygnacji ze zgody.

Jednak nie wszystkie pliki cookie wymagają zgody. UE zdaje sobie sprawę, że niektóre pliki cookie są niezbędne do prawidłowego funkcjonowania strony internetowej. Dlatego robią wyjątek dla plików cookie, które są „ściśle niezbędne” do świadczenia usług żądanych przez odwiedzających witrynę.

Najlepszym przykładem niezbędnego użycia plików cookie są sklepy internetowe, które umożliwiają użytkownikom zapisywanie produktów w internetowym koszyku zakupów. Chociaż zakres tego, co jest „ściśle niezbędne” nie jest jasno określony, użytkownicy witryn zakupowych oczekują, że funkcja koszyka na zakupy będzie działać, co sprawia, że ​​te pliki cookie są niezbędne.

Z drugiej strony pliki cookie, które zapewniają użytkownikom spersonalizowane wrażenia lub dostosowane reklamy, nie są niezbędne do prawidłowego funkcjonowania strony internetowej, w tym sklepów internetowych. Takie pliki cookie nie podlegają wyjątkowi, a przed ich użyciem wymagana jest zgoda.

Inne pliki cookie, które są uważane za absolutnie niezbędne, obejmują te, które zapewniają funkcje bezpieczeństwa witrynom, w których użytkownicy oczekują wysokiego poziomu bezpieczeństwa, w tym witrynom bankowości internetowej. Wszelkie pliki cookie, które nie są uważane za bezwzględnie konieczne, wymagają zgody, zanim będą mogły zostać zapisane na urządzeniu użytkownika.

Przepisy dotyczące zgody na pliki cookie w Stanach Zjednoczonych

Podczas gdy kilka stanów USA uchwaliło lub rozważa przyjęcie przepisów, federalne przepisy dotyczące prywatności w Stanach Zjednoczonych są ogólnie słabe w porównaniu z innymi dużymi krajami. Zasadniczo Stany Zjednoczone nie wymagają zgody na pliki cookie, z wyjątkiem Ustawy o ochronie prywatności dzieci w Internecie (COPPA), która reguluje działalność stron internetowych i usług online skierowanych do dzieci poniżej 13 roku życia.

COPPA dotyczy wyłącznie zbierania danych osobowych od dzieci poniżej 13 roku życia. Musisz przestrzegać COPPA, jeśli ma zastosowanie którakolwiek z poniższych sytuacji:

• Treść Twojej witryny lub aplikacji jest skierowana do dzieci poniżej 13 roku życia, a Ty zbierasz ich dane osobowe;
• Treść Twojej witryny lub aplikacji jest skierowana do dzieci poniżej 13 roku życia, a Ty zezwalasz stronom trzecim na zbieranie ich danych osobowych;
• Twoja witryna lub aplikacja jest skierowana do ogółu odbiorców, ale wiesz, że dzieci poniżej 13 roku życia korzystają z Twojej witryny i zbierasz od nich dane osobowe.

Federalna Komisja Handlu (FTC) definiuje „stronę internetową lub usługę online” w Zasadach ochrony prywatności dzieci w Internecie: Sześciostopniowy plan zgodności dla Twojej firmy i obejmuje wszystkie poniższe elementy:

• Aplikacje mobilne, które wysyłają lub odbierają informacje online
• Platformy do gier z dostępem do Internetu
• Wtyczki
• Sieci reklamowe
• Usługi lokalizacyjne z dostępem do Internetu
• Usługi Voice over Internet Protocol

Według FTC, COPPA nie ma zastosowania do szkół, ponieważ nie ma zastosowania do informacji gromadzonych przez organizacje non-profit, które służą celom edukacyjnym, ani do informacji gromadzonych przez rządy stanowe.

COPPA ma jednak zastosowanie do zewnętrznych podmiotów komercyjnych, które udostępniają strony internetowe i aplikacje szkołom i uczniom. W takich przypadkach osoba trzecia może uzyskać zgodę bezpośrednio od szkoły, a nie od rodzica.

Przepisy dotyczące zgody na pliki cookie w Kanadzie

Kanadyjskie przepisy dotyczące prywatności są znacznie bardziej rygorystyczne niż w USA, ale nadal nie tak rygorystyczne, jak w UE. Kanada reguluje korzystanie z plików cookie poprzez swoje przepisy antyspamowe i dotyczące prywatności:

• Ustawa o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA)
• Kanadyjskie przepisy antyspamowe (CASL)

PIPEDA uznaje zgodę „wyraźną” i „dorozumianą”. Wyraźna zgoda lub zgoda „opt-in” jest wyrażona wyraźnie poprzez określone działanie. Zgoda dorozumiana lub zgoda „rezygnacja” może być wywnioskowana z braku działania danej osoby.

CASL wymaga, aby operatorzy witryn i aplikacji uzyskali wyraźną zgodę przed zainstalowaniem niektórych programów komputerowych, w tym plików cookie. W ramach CASL operatorzy witryn mogą założyć, że użytkownik wyraził wyraźną zgodę na pliki cookie, jeśli „zachowanie tej osoby jest takie, że uzasadnione jest przypuszczenie, że wyraża zgodę na instalację programu”.

Może to brzmieć bardziej jak dorozumiana zgoda niż wyraźna zgoda. Niezależnie od tego, prawo kanadyjskie nie wymaga wyraźnej zgody odwiedzających na pliki cookie, o ile strony internetowe i aplikacje dostarczają odpowiednich informacji i pozwalają użytkownikom zrezygnować.

CASL jest podobny do California Online Privacy Protection Act (CalOPPA), ponieważ oba prawa zasadniczo dotyczą każdego i każdego. Ze względu na globalny charakter Internetu firma prawdopodobnie dotrze do rezydenta Kalifornii lub Kanady i dlatego musi spełniać wymagania CalOPPA i CASL.

Zgoda na pliki cookie w Wielkiej Brytanii

W Wielkiej Brytanii ustawa o ochronie danych z 2018 r. reguluje prywatność danych i zgodę. Ustawa o ochronie danych wymaga uzyskania wyraźnej zgody użytkowników przed zebraniem ich danych osobowych. Ustawa jest wdrożeniem przez Wielką Brytanię dyrektywy RODO do wszystkich krajów członkowskich.

Warto jednak zauważyć, że rząd brytyjski niedawno zaproponował odejście od unijnych przepisów o ochronie danych. W celu zmniejszenia natłoku banerów wyrażających zgodę na pliki cookie, Wielka Brytania rozważa zmianę na ramy rezygnacji, a nie na system opt-in.

Przepisy dotyczące zgody na pliki cookie w Australii i Nowej Zelandii

Ani Australia, ani Nowa Zelandia nie wymagają zgody na pliki cookie. Oba kraje uchwaliły przepisy dotyczące prywatności, ale przepisy te nie odnoszą się konkretnie do plików cookie ani nie sugerują, że dane gromadzone przez pliki cookie powinny być traktowane jako dane osobowe.

Niemniej jednak wskazane jest ujawnienie wykorzystania plików cookie w polityce prywatności, ponieważ rząd australijski w swoich australijskich zasadach prywatności sugeruje, że informacje gromadzone za pomocą plików cookie stanowią dane osobowe, jeśli dana osoba może zostać przez nie „rozsądnie zidentyfikowana”.

Przepisy dotyczące zgody na pliki cookie w Chinach

Chiny uchwaliły ustawę o ochronie danych osobowych (PIPL) w 2021 r., która nakłada jedne z najbardziej rygorystycznych wymogów dotyczących gromadzenia danych osobowych. Zgodnie z PIPL, w celu usunięcia danych osobowych z granic Chin wymagane są bardzo specyficzne warunki.

Naruszenia prawa mogą skutkować wysokimi grzywnami zarówno dla Twojej firmy, jak i poszczególnych pracowników.

Dowiedz się, w jaki sposób Admirał może pomóc Ci zarządzać zgodą dotyczącą prywatności

Ponieważ nowe przepisy dotyczące prywatności są uchwalane, a te już obowiązujące są aktualizowane, najlepszą praktyką dla firm stało się wdrażanie systemów zarządzania plikami cookie i zarządzania zgodami w ramach ich wewnętrznej polityki dotyczącej plików cookie.

Platforma zarządzania zgodami na prywatność Admiral została zaprojektowana tak, aby była zgodna z RODO w zakresie zgody na pliki cookie i aktualnymi przepisami stanowymi USA, a ponadto jest prosta w instalacji i łatwa w użyciu.

Admiral oferuje platformę zarządzania zgodami (CMP), która działa z RODO i ramami IAB TCF. Aby dowiedzieć się więcej, zaplanuj czas na omówienie opcji zgodności już dziś.