Z początkiem stycznia Google rozpoczął testowanie nowej funkcji w przeglądarce Chrome. Chodzi o blokowanie plików cookies innych niż Google firm, które są wykorzystywane przez reklamodawców do śledzenia użytkowników internetu.
O blokowaniu plików cookies (ciasteczek) firm trzecich Google mówił już od paru lat. Oficjalnie po to, aby dostarczać reklamodawcom tylko w pełni zanonimizowane dane, a co za tym idzie – lepiej zadbać o prywatność użytkowników. Testy, które ruszyły 4 stycznia objęły 1% wszystkich użytkowników Chrome, ale w ujęciu globalnym to 30 mln osób na całym świecie. Grono to będzie sukcesywnie rozszerzane – Google deklaruje, że do końca 2024 r. 3rd party cookies ostatecznie znikną z przeglądarki Chrome.
Czym są pliki cookies?
Ciasteczka to niewielkie pliki, które są zapisywane i przechowywane na urządzeniu, z którego użytkownik korzysta (np. na komputerze, tablecie, smartfonie) wchodząc na strony internetowe. Każdy taki plik zawiera podstawowe informacje o stronie, z której korzysta użytkownik, zdefiniowany czas ich istnienia oraz unikalny identyfikator.
Piliki cookies pomagają m.in. zoptymalizować proces korzystania ze stron WWW oraz gromadzą dane statystyczne, co umożliwia ulepszenie struktury i zawartości strony internetowej. Pliki te mają też swoje drugie oblicze – mogą służyć do śledzenia aktywności użytkowników w sieci. Pod pozorem dostarczania treści reklamowych bardziej dostosowanych do ich zainteresowań, zbierają informacje o zachowaniach podczas przeglądania strony. Cookies zapisują informację o tym, które artykuły w sklepie internetowym użytkownik szybko przewija, a przy których zatrzymuje się, czyta o nich i rozważa zakup. Zbieranie tych informacji pozwala na określenie algorytmu rekomendowania treści, które są dla danego użytkownika najbardziej interesujące.
Spora część plików cookies zapisanych w pamięci urządzenia pochodzi od wydawcy witryny internetowej, którą użytkownik przegląda. Te pliki cookies są często używane właśnie do zapamiętania informacji o użytkowniku i jego indywidualnych ustawieniach. Zdecydowana większość cookies instalowanych na komputerze podczas przeglądania internetu pochodzi jednak od stron trzecich i służy identyfikacji użytkownika jako konsumenta, umożliwiając wyrafinowane profilowanie do celów marketingowych podczas surfowania w internecie.
Czy cookies to dane osobowe?
Zapisane na urządzeniu końcowym pliki cookies pozwalają na śledzenie użytkowników na różnych portalach. Reklamodawcy identyfikują konkretnego internautę pomiędzy wieloma stronami internetowymi za pomocą tych plików oraz odpowiednich kodów. Zebrane informacje pozwalają im na zbudowanie precyzyjnego profilu danego użytkownika. Choć sam plik cookies nie jest daną osobową, to może być nośnikiem informacji, które będą stanowić dane osobowe. W przypadku, kiedy możliwa jest identyfikacja osoby przeglądającej stronę internetową, ciasteczka zawierają dane osobowe takiego użytkownika, które podlegają ochronie prawnej.
W europejskim i polskim systemie prawnym niewiele jest norm, które bezpośrednio odnoszą się do cookies. Przepisy są neutralne technologicznie – nie mówią o konkretnych rozwiązaniach, a o ich efektach, aby pozostały aktualne dłużej. Z tych względów w polskich ustawach czy unijnych dyrektywach nie ma wytycznych co do plików cookies, ale przepisy te regulują kwestie śledzenia w internecie oraz przetwarzania danych osobowych.
Regulacje dotyczące przetwarzania danych osobowych znajdziemy w RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), a wśród nich podstawy ich przetwarzania. Podstawy te będą aktualne dla danych osobowych zawartych w cookies. Najczęściej wykorzystywanymi podstawami przetwarzania jest zgoda oraz uzasadniony interes. Zgoda będzie właściwą podstawą w przypadku między innymi udostępniania danych osobowych partnerom biznesowym dla ich celów biznesowych, głebokiego (inwazyjnego) profilowania marketingowego (w tym łączenia danych z wielu urządzeń) oraz zautomatyzowanego podejmowania decyzji. Taki właśnie jest cel 3rd party cookies i – jeśli zawierają one dane osobowe – to zgoda powinna być zawsze dobrowolna, zrozumiała, prosta do udzielenia lub odmowy oraz możliwa do wycofania.
Nie można również zapomnieć o Prawie Telekomunikacyjnym, które daje możliwość wyrażania zgody na instalowanie plików cookies poprzez ustawienia przeglądarki. W takim wypadku zgoda jest wyrażana jednorazowo podczas konfigurowania oprogramowania, a nie przez każdorazowe kliknięcie przycisku „akceptuj” przy każdej wizycie na stronie dostawcy korzystającego z technologii cookies. Taki sposób wyrażania zgody nie będzi wystarczający w przypadku 3rd party cookies.
Od piaskownicy do rezygnacji z ciasteczek
Co skłoniło Google do rezygnacji z 3rd party cookies? Czy światowy gigant technologiczny postanowił zadbać o prywatność użytkowników? Aby odpowiedzieć na to pytanie, musimy cofnąć się do 2019 r. W tym właśnie roku TSUE nakazał stronom WWW zbieranie zgód opt-in (prawo do wyrażenia zgody) na pliki cookies (wyrok z 1.10.2019 r. ws. Planet49 C-673/17). W 2020 roku wydano potwierdzające ten wyrok wytyczne Europejskiej Rady Ochrony Danych i pojawiły się zalecenia europejskich regulatorów, nakazujące zmianę dotychczas funkcjonujących „informacji o cookie” (z prawem opt-out, czyli rezygnacji) na system, który zbiera zgody na ich używanie. Okazało się, że nie jest wystarczające poinformowanie użytkownika o stosowaniu cookies. Zanim na urządzeniu użytkownika zostaną zainstalowane pliki cookie, konieczne jest uprzednie uzyskanie wyraźnej zgody (wybranie przycisku wyrażającego zgodę). Opt-out, czyli zgoda domniemana, z której użytkownik co najwyżej może się wycofać, nie jest wystarczająca do zgodnego z prawem przetwarzania danych.
Również w 2019 Google ogłosiło powstanie “Privacy Sandbox” – inicjatywy, która ma na celu opracowanie technologii, które zastąpią 3rd party cookies. Wraz z wdrożeniem RODO (i pojawieniem się wytycznych, o których mowa wyżej) oraz zwiększeniem świadomości użytkowników sieci co do kwestii związanych z prywatnością, Google doszedł do wniosku, że 3rd party cookies będa coraz częściej blokowane przez samych internautów. Rozwiązania ograniczające lub blokujące wykorzystanie 3rd party cookies wprowadziły już inne przeglądarki – m.in. Safari i Edge, jednak to rezygnacja z tych plików przez Google może okazać się rewolucją ze względu na jego udział w rynku. Zarówno w Polsce, jak i na świecie Google jest niekwestionowanym liderem, a cookies są kluczowym mechanizmem odpowiadającym za (re)targetowanie reklam display w ekosystemie Google Ads.
Zaproponowane przez Google alternatywa do 3rd party cookies opiera się o rozmycie przetwarzanych danych. Użytkownicy łączeni są w grupy i to dane o grupach, a nie o indywidualnych użytkownikach, są dalej przetwarzane. Ponadto ograniczana jest ilość zbieranych danych do najważniejszych kategorii. Pozwala to na wyeliminowanie głównego zagrożenia dla prywatności wynikającego z plików cookies, jakim jest możliwość praktycznie nieograniczonego zbierania informacji o indywidualnej aktywności osoby.
Można również odnieść wrażenie, że “Privacy Sandbox” była odpowiedzią Google na unijne rozporządzenie ePrivacy. Miało ono wejść w życie już razem z RODO, w 2018 r., i kompleksowo uregulować zasady prywatności w sieci. Przewidywało między innymi, że wszystkie cookies poza analitycznymi, będą wymagały wyrażenia zgody przez użytkownika. Prace nad tym rozporządzeniem idą jednak powoli i nie wiadomo jednak, kiedy i w jakim kształcie ta regulacja wejdzie w życie. Wydaje się jednak, że to coraz bardziej świadomi użytkownicy internetu mogą wpłynąć na to, jak zostanie wyznaczona granica pomiędzy uzasadnionym interesem wydawcy treści, a prywatnością.
Artykuł ukazał się w dzienniku Rzeczpospolita 22 lutego 2024 r.
