Skip to main content

Słowa „cookies” czy „tracking” są odmieniane w branży przez wszystkie przypadki. Przede wszystkim w kontekście nadchodzącego blokowania plików cookie podmiotów trzecich (3rd party cookies) w przeglądarce Google Chrome. Impact tej zmiany wynika z tego, że jest to przeglądarka, która aktualnie obsługuje 2/3 światowego ruchu. Dostawcy oraz użytkownicy narzędzi śledzących dwoją się i troją, aby odnaleźć się w nowej rzeczywistości. Niejedna osoba zadaje pytanie, czy właściwie w ramach cookies oraz zastępujących je technologii dochodzi w ogóle do przetwarzania danych osobowych. Dziś dokładnie wyjaśniamy ten problem.

Dlaczego dane z trackingowych cookies lub pikseli to w praktyce zawsze dane osobowe?

Podczas roboczych spotkań i dyskusji z marketerami i e-commerce managerami spotkałem się wiele razy ze stwierdzeniem, że cookies i narzędzia trackingowe nie powinny stanowić problemu prawnego, ponieważ tam „nie ma danych osobowych”. Nie ma imion ani nazwisk, użytkownicy nie podają swoich adresów mailowych ani tym bardziej pocztowych. Nie mówiąc o bardziej „delikatnych” danych, jak PESEL czy dane finansowe. Dlaczego więc trzeba zbierać zgodę na przetwarzanie takich informacji?

Ten tok rozumowania jest całkowicie zrozumiały. Jednocześnie jest niestety zbyt prosty i nieadekwatny do tego, czym są w ogóle dane osobowe w rozumieniu prawnym. RODO definiuje je bardzo ogólnie jako wszelkie informacje o konkretnej osobie. Konkretnej, czyli takiej, którą identyfikujemy lub możemy zidentyfikować (wprost albo w ramach jakiegoś procesu, na podstawie zestawu informacji). Jak rozumieć to, że kogoś „identyfikujemy”? Moim zdaniem najlepszym synonimem jest „rozpoznanie” lub „wyodrębnienie z tłumu”. Czyli użytkownik przestaje być dla nas elementem pewnego „zbioru”. Stwierdzamy, że jest to konkretna osoba i potrafimy ją później rozpoznać (np. kiedy wraca następnego dnia na stronę sklepu).

Aby kogoś rozpoznać, nie musimy wiedzieć, jak się nazywa albo jak możemy się z nim skontaktować. W świecie offline w 99% przypadków rozpoznajemy kogoś po wyglądzie. W świecie online potrzebujemy do tego unikatowych identyfikatorów. A więc danymi osobowymi mogą być również informacje o takiej osobie, której imię i nazwisko czy dane kontaktowe są nam zupełnie nieznane. Wynika to z samej istoty celu, w jakim zbieramy informacje poprzez trackingowe (śledzące) cookies czy piksele. Skoro chcemy podążać za użytkownikiem, aby skierować do niego dostosowane do niego działania (najczęściej spersonalizowaną reklamę), to niejako z definicji chcemy przetwarzać dane na temat konkretnej osoby.

Dlaczego informacja o treści „CPokAsAPokAsABEACBENC7CgAP_AAH_AAAwIAAAAAAAA” to dana osobowa i co na ten temat sądzi ostateczna instancja, czyli Trybunał Sprawiedliwości Unii Europejskiej?

Z pojęciem „dane osobowe” kojarzą nam się najczęściej właśnie takie informacje, jak imiona, nazwiska, adresy mailowe, numery telefonów, numery PESEL czy dokumenty tożsamości. A co jeśli powiem Ci, że daną osobową może być taka informacja, jak „CPokAsAPokAsABEACBENC7CgAP_AAH_AAAwIAAAAAAAA”?

Ten ciąg liter i cyfr to tzw. TC string, czyli ciąg znaków kodujący preferencje użytkownika odnośnie personalizowanych reklam internetowych w ekosystemie IAB Transparency & Consent Framework. Zawiera informacje na temat m.in. tego, na jakie cele przetwarzania informacji zgodził się użytkownik oraz wobec jakich podmiotów wyraził tę zgodę.

7 marca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym uznał TC string za informację, która stanowi daną osobową – wówczas, gdy jest on przetwarzany w powiązaniu z dodatkowymi danymi, które pozwalają zidentyfikować użytkownika (czyli, jak wspomniałem, „rozpoznać”/”wyodrębnić z tłumu”). A ponieważ przetwarzanie samego takiego ciągu znaków ma sens wyłącznie z dodatkowymi danymi, to TC string jako informacja o preferencjach użytkownika będzie stanowić daną osobową.

Na zasadzie analogii można zatem stwierdzić, że daną osobową będą wszelkie informacje zebrane poprzez trackingowe cookies, piksele czy inne podobne technologie (również w modelu server-side!). Skoro narzędzia te mają podążać za użytkownikiem, to zbieranie takich informacji ma sens tylko wówczas, gdy dotyczą one konkretnego (czyli zidentyfikowanego) użytkownika. A więc niejako z definicji informacje te będą stanowić dane osobowe.

Jest to jednocześnie takie przetwarzanie danych osobowych, dla którego trudno znaleźć inną podstawę prawną przetwarzania niż zgoda użytkownika. Zgoda, która – jak wymaga RODO – musi być konkretna i dobrowolna, ze świadomością tego na czym będzie polegało przetwarzanie danych.

Czy sytuacja będzie inna, jeśli nie śledzimy użytkowników?

Uzyskanie wspomnianej zgody z naturalnych względów rodzi wyzwanie. Trzeba trzeźwo założyć, że wdrożenie mechanizmu uzyskiwania zgody, który całkowicie realizuje wytyczne organów nadzorczych w zakresie RODO z dużym prawdopodobieństwem może obniżać konwersję (rozumianą jako liczbę użytkowników z wyrażoną zgodą). Naturalnie może zatem pojawić się pytanie: a co jeśli nie będziemy śledzić użytkowników i zbierać tylko takie dane z cookies/pikseli, które nie pozwolą identyfikować użytkowników?

Brzmi kusząco, natomiast w tym momencie musi pojawić się jeden z moich ulubionych memów opisujących pracę prawnika:

Przepisy, które dotyczą cookies i podobnych technologii wymagają uzyskania zgody użytkownika na zapisywanie informacji na urządzeniu użytkownika lub uzyskiwanie do niej dostępu. A więc nie „danych osobowych”, tylko wszelkich informacji. Mówią o tym jasno art. 5 ust. 3 unijnej dyrektywy o e-prywatności oraz art. 173 ustawy – Prawo telekomunikacyjne, które wdraża wspomnianą dyrektywę do polskiego prawa.

Podsumowanie i wnioski dla marketerów
  1. Trackingowe cookies i podobne narzędzia zbierają informacje, które w praktyce zawsze będą stanowić dane osobowe, nawet jeśli są to niezrozumiałe dla człowieka ciągi znaków.
  2. Uznanie informacji zbieranych poprzez narzędzia trackingowe za dane osobowe zostało w 2024 r. potwierdzone przez Trybunał Sprawiedliwości Unii Europejskiej. Organy nadzorcze w poszczególnych państwach, także w Polsce, będą kontynuować ten tok rozumowania.
  3. Wyrok TSUE to kolejny powód, dla którego musisz zadbać o swój consent mode, czyli mechanizm, w ramach którego użytkownik wyraża (lub nie) zgodę na bycie śledzonym do celów reklamowych (także w social mediach).
  4. Nawet jeśli stosujesz narzędzia zbierające informacje o ogóle użytkowników, to pamiętaj: jeśli oryginalnie te informacje pochodzą z urządzeń userów (np. z plików cookies), to tak czy inaczej musisz uzyskać zgodę na ich zbieranie. Przepisy o cookies i podobnych technologiach dotyczą wszystkich informacji, a nie tylko danych osobowych. Są zero-jedynkowe.
Bartosz Pilc

PARTNER KANCELARII CORE LAW - b.pilc@core.law