Nowe stanowisko PUODO w sprawie plików cookies – co musisz wiedzieć?

Czy wiesz, że pierwsze pliki cookies powstały w 1994 roku, a ich twórca, Lou Montulli, chciał jedynie usprawnić funkcjonowanie sklepów internetowych? Dziś cookies to podstawa działania niemal każdej witryny, ale również temat licznych kontrowersji i regulacji prawnych. W marcu 2025 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) przedstawił swoje stanowisko dotyczące ich stosowania, wskazując na konieczność uzyskiwania ważnej zgody oraz eliminacji nieuczciwych praktyk.

W 1994 roku Lou Montulli, pracownik Netscape Communications, wymyślił pliki cookie jako sprytny sposób na przechowywanie informacji na komputerze użytkownika, które mogły być potem odczytane przez strony internetowe podczas jego kolejnych wizyt. Oprócz tego, że umożliwiły one identyfikację internautów, miały również za zadanie zapamiętywać stan sesji i preferencje użytkownika, ułatwiając mu korzystanie z sieci. To jak cyfrowa pamięć, która sprawia, że internet staje się bardziej osobisty.

Czym są pliki cookies i jakie pełnią funkcje?

Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika podczas przeglądania stron internetowych. Ich główne funkcje obejmują:

• Optymalizację działania witryny – np. zapamiętywanie preferencji użytkownika,
• Personalizację treści – dostosowanie wyświetlanych informacji do indywidualnych potrzeb,
• Monitorowanie aktywności – gromadzenie danych analitycznych i marketingowych.

Wyróżniamy kilka rodzajów cookies, w tym pliki sesyjne (usuwane po zamknięciu przeglądarki), trwałe (przechowywane przez określony czas), autoryzacyjne (zapewniające bezpieczne logowanie), a także śledzące i tzw. zombie cookies, które odradzają się po usunięciu i stanowią potencjalne zagrożenie.

Cookies a ochrona danych osobowych

Choć same cookies nie zawsze bezpośrednio stanowią dane osobowe, mogą umożliwić identyfikację użytkownika poprzez gromadzenie informacji o jego aktywności w sieci. Wykorzystywane do celów analitycznych i reklamowych, mogą prowadzić do profilowania, co wiąże się z ryzykiem naruszenia prywatności.

Nowe wytyczne PUODO

Zgodnie z nowym stanowiskiem PUODO, organ nadzorczy zwraca uwagę na określone obowiązki administratorów związane z prowadzeniem stron internetowych, w tym w zakresie plików cookies, tj.:

• Obowiązek informacyjny – użytkownik musi być jasno poinformowany o stosowanych na stronie cookies i celach ich przetwarzania,
• Obowiązek uzyskania zgody – zgoda na cookies musi być dobrowolna, świadoma i jednoznaczna,
• Możliwość zarządzania zgodą – użytkownik powinien mieć możliwość zarządzania zgodą, w tym możliwość do jej efektywnego wycofania, 

Zasada minimalizacji danych – zbieranie informacji przez pliki cookies powinno być ograniczone do niezbędnego minimum.

Nieuczciwe praktyki – „cookie walls”

PUODO zwraca szczególną uwagę na tzw. „cookie walls”, czyli mechanizmy blokowania dostępu do treści bez akceptacji wszystkich plików cookies. Takie praktyki zostały uznane za niezgodne z RODO, ponieważ naruszają zasadę dobrowolności zgody.

Co zmieniły orzeczenia TSUE?

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyrokach C-673/17 (Planet49) i C-61/19 (Orange Romania SA) jasno określił, że:

• Zgoda na cookies musi być aktywna – domyślnie zaznaczone pola sprawiają, że zgoda automatycznie traci przymiot dobrowolności oraz staje się nieważna,
• Użytkownik musi otrzymać klarowne informacje o tym, jakie dane są zbierane i w jakim celu.

Jak dbać o prywatność w sieci?

Aby ograniczyć ryzyko związane z gromadzeniem danych przez cookies, warto:

• Zarządzać zgodami – akceptować jedynie niezbędne pliki cookies,
• Korzystać z trybu incognito – zmniejsza to ilość zapisywanych cookies,
• Regularnie czyścić historię przeglądarki,
• Stosować narzędzia blokujące mechanizmy śledzenia.

Cookies niekoniecznie zawsze smaczne

Pliki cookies to nieodzowny element nowoczesnych stron internetowych, jednak ich wykorzystywanie musi być zgodne z regulacjami prawnymi. Nowe stanowisko PUODO podkreśla konieczność uzyskiwania ważnej zgody, eliminacji nieuczciwych praktyk i zapewnienia przejrzystości w informowaniu użytkowników. Zarówno administratorzy stron, jak i internauci powinni podejmować świadome decyzje dotyczące ochrony danych osobowych w sieci.