Koniec szarej strefy w obszarze plików cookies oraz technologii identyfikujących użytkownika serwisów internetowych

Przedsiębiorstwa na co dzień prowadzące działalność w Internecie uzyskują coraz większe korzyści biznesowe (na skalę niespotykaną do tej pory), dzięki pozostawianiu przez nas, jako użytkowników sieci, śladów cyfrowych w postaci danych osobowych oraz informacji o różnego rodzaju preferencjach. 

W grudniu 2021 roku Prezes UODO wydał pierwszą w Polsce decyzję w obszarze korzystania z technologii bazującej na plikach cookies

Obliguje je to jednak do podjęcia dodatkowych działań, aby zapewnić tym informacjom odpowiedni poziom bezpieczeństwa, a swoim klientom wysokie gwarancje ochrony ich prywatności.

Więcej e-informacji, więcej cyberzagrożeń

Ilość gromadzonych w przestrzeni cyfrowej danych przyrasta w szybkim tempie. Proporcjonalnie do tego przyrostu rośnie również liczba przestępstw oraz rodzajów cyberataków. Bardzo często przestępcy wykorzystują powszechnie panujący lęk oraz panikę użytkowników Internetu, którzy korzystają z sieci zarówno prywatnie, jak i do realizacji obowiązków służbowych.

Źródłem największej liczby zagrożeń związanych z bezpieczeństwem cyberprzestrzeni są ludzie, którzy z niej korzystają. To oni w roli upoważnionych bądź nieupoważnionych użytkowników systemów i aplikacji, w sposób świadomy lub nieumyślny wprowadzają do systemu wirusy, niszczą dane, podsłuchują czy włamują się do innych systemów.

Wyróżnia się dwa rodzaje zagrożeń spowodowanych przez ludzi. Są to: zagrożenia zewnętrzne ‒ hakerzy, agenci obcych wywiadów, terroryści, itp. oraz zagrożenia wewnętrzne ‒ powodowane przez pracowników firmy bądź instytucji, dostawców, klientów, konsultantów lub byłych pracowników.

Źródłem największej liczby zagrożeń związanych z bezpieczeństwem cyberprzestrzeni są ludzie, którzy z niej korzystają

Ubiegły rok był pracowitym czasem dla cyberprzestępców, którzy wykorzystali pandemię oraz wzrost cyfryzacji spółek, łamiąc zarówno techniczne, jak i społeczne luki w zabezpieczeniach.  Istotne jest to, aby każda organizacja zidentyfikowała swoje słabe punkty i na tej podstawie zbudowała własny katalog zagrożeń, który będzie adekwatny do jej profilu biznesowego, zakresu gromadzonych danych oraz wykorzystywanych narzędzi. 

Czytaj także: ZBP ostrzega przed oszustwami związanymi z podszywaniem się pod urzędy oraz instytucje zaufania publicznego

Przeniesienie procesów biznesowych do cyberprzestrzeni a RODO

Ostatnie miesiące ubiegłego roku postawiły na nogi spółki wykorzystujące technologie identyfikujące użytkownika (np. pliki cookies) na swoich serwisach czy sklepach internetowych oraz nie jednego inspektora ochrony danych. 

Pierwsze sygnały pojawiły się ze strony aktywistów walczących o prywatność użytkowników w sieci. Aktywiści rozpoczęli masową wysyłkę zapytań do administratorów danych chcąc uzyskać informacje o podstawach prawnych przetwarzania ich danych po wejściu na stronę, listę podmiotów, którym dane zostały udostępnione, jak zrealizować prawo do usunięcia danych czy wycofania zgody. Spółki popadały w konsternację – co się dzieje? Do tej pory nikt nie zwracał uwagi na te działania, teraz okazuje się, że krótka informacja o tym, że strona korzysta z plików cookies przeglądarki nie jest wystarczająca.                                

W efekcie złożonych przez aktywistów żądań i braku ich realizacji (często również braku odpowiedzi, co jest bezpośrednim naruszeniem wymagań RODO) osoby te składały skargę do organu nadzorczego (UODO).

W grudniu 2021 roku Prezes UODO wydał pierwszą w Polsce decyzję w obszarze korzystania z technologii bazującej na plikach cookies. Decyzja wskazuje, iż przetwarzanie danych osobowych pochodzących z plików cookies może się odbywać tylko na podstawie zgody użytkownika strony. Nie można opierać tych działań na podejściu, iż użytkownik może zarządzać zgodami w ustawieniach swojej przeglądarki. Spod rygoru zgody są wyłączone tzw. niezbędne pliki cookies. Natomiast każdy inny rodzaj musi zostać opatrzony zgodą użytkownika.

Decyzja (UODO) wskazuje, iż przetwarzanie danych osobowych pochodzących z plików cookies może się odbywać tylko na podstawie zgody użytkownika strony

Aktualnie należy uznać, że jest to obszar, który z punktu widzenia ochrony danych osobowych generuje ogromne ryzyka m.in. skarg użytkowników, kontroli PUODO, zarzucenia operatorowi strony nielegalnego przetwarzania danych. M.in. zespół LexDigital wspiera klientów w kilkunastu postępowaniach ws. cookies przed Prezesem UODO.

Czytaj także: 100 tys. prób wyłudzeń kredytów na łączną kwotę 5,3 mld zł z wykorzystaniem cudzych dokumentów; raport infoDOK

Platformy CMP

W Europie liczby zakończonych oraz trwających postępowań biją na alarm. Inspektorzy ochrony danych w organizacjach skierowali rekomendacje do zarządów spółek o podjęcie działań zmierzających do jak najszybszego wdrożenia odpowiedniej platformy do zarządzania zgodami użytkowników na przetwarzanie plików cookies – Platformy CMP. 

Oczywiście w kontekście biznesowym wdrożenie Platformy CMP oznacza dla przedsiębiorców utratę dużej ilości informacji o użytkownikach (w porównaniu do sytuacji obecnej), a co za tym idzie potencjalnie zmniejszenia przychodów z realizacji działań reklamowych i promocyjnych w sieci.

Jak widać przytoczone wyzwanie postawione przed przedsiębiorcami w 2022 roku to przede wszystkim spłacenie „długu RODO”, który został zaciągnięty w trakcie przyśpieszonej cyfryzacji podczas pandemii oraz weryfikacja podejścia do prywatności w kontekście przetwarzania metadanych czy innych informacji identyfikujących użytkownika, które do tej pory były świadomie wyłączane spod rygoru RODO.

Czytaj także: Tylko co dziesiąty Polak wie, jak nie dać się śledzić w Internecie