Cookies: Podstawy i znaczenie dla ochrony danych osobowych na stronach internetowych

Znaczenie plików cookies

Płaskie ciasteczka odgrywają istotną rolę w ramach RODO na stronach internetowych. Powody są szczególnie:

1. Orzeczenie Trybunału Sprawiedliwości Unii Europejskiej dotyczące plików cookie . W tym przypadku jednak nie chodziło głównie o pliki cookie, lecz raporty przedstawiały to tak
2. Nowa wersja dyrektywy o prywatnościjest nieprawidłowo nazywana dyrektywą o plikach cookie.
3. Sprzedaż maszynki marketingowej niektórych dostawców z Consent Tools i niektórych platform doradztwa
4. Fakt, że pliki cookies są najłatwiej rozpoznawalne jako mechanizm przetwarzania danych i nie można ich wyeliminować z dyskusji

Co to jest ciasteczko?

Ciastko składa się z klucza i wartości i jest zarządzane przez przeglądarkę użytkownika. Zwykle pliki ciastek są przechowywane na urządzeniu użytkownika w formie plików tekstowych. Dawniej pliki ciastek były zwykle przechowywane na urządzeniu użytkownika w formie plików tekstowych. Dziś pliki ciastek są często przechowywane w bazach danych. Ciastka nie są plikami tekstowymi i nigdy nie były, ponieważ każda przeglądarka może samodzielnie wybrać formę przechowania i może to nadal robić.

Ciastko ma w szczególności następujące cechy (przykładowe wartości są podane w nawiasach):

• Imię: NID
• Wartość: 200=UxxxxxxsGiW99MK4GuykyVJnK8PMOWi02EBAwQ-juoMaximilia-injksa728lslsn
• Okres życia: 1 rok
• Ustawienia bezpieczeństwa: HttpOnly
• Domena: google.com

Odpowiedź na pytanie dotyczące domeny pliku cookie jest określana, czy jest to First- lub Third-Party Cookie.

First-Party Cookies

Pierwsze-partie Cookies są zarządzane przez stronę internetową, która została ostatnio odwiedzona i mogą być tylko odczytane przez tę stronę. Jeśli plik cookie ma domenę webseite4711.de i strona również posiada tę samą adres, to jest toFirst-Party dla tej strony.

Third-Party Cookies

Ciasteczka trzeciej strony są zarządzane przez osoby trzecie. Osoba trzecia jest dostawcą narzędzi, takich jak np. Google reCAPTCHA. Gdy zostanie załadowane takie narzędzie dostarczonego przez osobę trzecią, przeglądarka dodaje do żądania wszystkie ciasteczka z tej samej domeny co narzędzie.

Trzeci-party cookie może być utworzone tylko na serwerze od którego pobierana jest plik.

Przykładowe zastosowanie dla Google reCAPTCHA: Ten narzędzie udostępnia się na domenie google.com. Podczas odwiedzenia strony internetowej, która wykorzystuje reCAPTCHA, następuje to:

1. Strona internetowa jest wywołana w przeglądarce poprzez wpisanie adresu _www.webseite4711.de
2. Strona korzysta z Google reCAPTCHA poprzez następujący plik: https://www.google.com/recaptcha/api.js
3. Przeglądarz pobiera plik i wysyła wszystkie już istniejące pliki cookie dla domeny google.com. W szczególności przesyłany jest plik cookie NID, który zawiera identyfikator użytkownika Google. Ten plik cookie jest ustawiany np. wtedy, gdy użytkownik się zaloguje do swojego konta Google.
4. Nabędzony narzędzie może przeczytać plik cookie lub zmienić jego wartość.

Cookies Trzeciej Strony są więc dostępne tylko dla narzędzi, które znajdują się w tej samej domenie co plik cookie, przy czym domena przez definicję jest inna niż ta strony internetowej (stąd nazwa Third-Party, czyli Trzecia Strona).

Dzielenie się plikami cookies trzeciej strony pomiędzy różnymi narzędziami

Należące do narzędzi Google reCAPTCHA ma dostęp do kilku domen, w tym google.com i gstatic.com. Wszystkie pliki cookies ustawione przed dodaniem Google reCAPTCHA są automatycznie dostępne dla tego narzędzia. Dzięki temu reCAPTCHA może nie tylko czytać własne pliki cookies, ale także te zapisane przez wszystkie inne narzędzia Google, które ustawiają pliki cookies na jednej z dwóch wymienionych domen. W ten sposób reCAPTCHA ma dostęp do szerokiego zakresu plików cookies, które należą do innych narzędzi! To sprawia, że jest niemożliwe prawidłowo wdrożyć Google reCAPTCHA bez pytania o zgodę. Pytanie o zgodę jest jednak trudne, ponieważ nikt nie wie, jak Google przetwarza dane.

Paczki pierwszej strony dla stron trzecich

Zatwierdzając na stronie internetowej narzędzie takie jak Google Analytics, zostaje załadowany skrypt JavaScriptu. Z tym skrypcem JavaScriptu można również zarządzać plikami First-Party Cookies, bo skrypt ten „żyje” na stronie, która go załadowała i może działać w jej imieniu.

Pierwszoplanowy plik cookie jest uważany za trzecijasneplik cookie

Pierwszy plik cookie może również stać się trzecim plikiem cookie. Przykład popularny:

1. Użytkownik odwiedza stronę google.com
2. Wtedy powstaje (lub jest zaktualizowany, jeśli już istniał) pierwszy plik cookie nazwany NID na domenie google.com
3. Użytkownik teraz odwiedza stronę uvwxyz.de, która wykorzystuje _Google reCAPTCHA
4. Google reCAPTCHA jest ładowany m.in. z domeny google.com_. Podczas ładowania narzędzia zostaje załadowany oryginalny plik cookie NID i teraz on jest plikiem Third-Party Cookie, ponieważ nazwa domeny strony obecnej brzmi uvwxyz.de i różni się od google.com._

Ciastka i ochrona danych osobowych

Zawsze, gdy strona internetowa załadowuje narzędzie z domeny, wszystkie pliki cookie znajdujące się na urządzeniu użytkownika są automatycznie przesyłane do tej domeny.

Jeśli narzędzie ładuje inne skrypty z innych domen, te skrypty mogą tworzyć, odczytywać i modyfikować Third-Party Cookies. W praktyce takie sytuacje występują np. (zawsze, stan na 30.12.2020) przy załadowaniu wideo z YouTube z lub bez plików cookies (!), gdzie dla celów marketingowych zostaje załadowany tracker DoubleClick. DoubleClick jest ładowany z domeny doubleclick.net i może więc uzyskać dostęp do plików cookies tej domeny.

Imię więcej plików z różnych domen, tym bardziej może kontrolować narzędzie pliki cookies. Na stronach wplecione są np. filmy z YouTube, które ładują nie tylko pliki z youtube.com lub youtube-nocookie.com, ale również z ytimg.com, gstatic.com i doubleclick.net. Gdyż Google Maps ładuje również pliki z gstatic.com, co oznacza, że oba narzędzia mogą się na przykład wymieniać poprzez te domeny. Póki co firma Google posiada wszystkie te serwery, może więc wybrać sobie dane, które zostały zebrane w sposób niezauważalny.

Ciasteczka są odpowiednie do identyfikowania i śledzenia użytkowników przez kilka sesji. Sesja to wizytacja strony internetowej, która kończy się opuszczeniem strony lub zamknięciem przeglądarki.

Ciastko istnieje tylko w jednym okienku przeglądarki na urządzeniu użytkownika. Gdy użytkownik odwiedza stronę z innego okienka, ta inna przeglądarka nie znaje ciasteczek z poprzednich odwiedzin strony.

Ciasteczka nie są więc w ogólności odpowiednie do śledzenia użytkowników między przeglądarkami lub urządzeniami.

Baśń o domenie bez plików cookies

Najprawdopodobniej już kiedyś przeczytaliście o Google Tag Managerze, który miałby być domeną bez plików cookies. Że ta stwierdzenie w sobie samym jest głupotą, bo usługa nie jest domeną, zostawmy to na boku.

Oświadczenie nie jest prawidłowe nawet wtedy, gdy domenę googletagmanager.com uznaje się za bezciastkową. Pokazałem to i udowodniłem w swoim własnym wpisie do Google Tag Manager.

Rozwiązanie dla plików cookies

Rozwiązaniem jest możliwie najmniejsze wykorzystanie narzędzi obsługujących pliki cookies. Niepotrzebne narzędzia powinny zostać usunięte. Zewnętrzne czcionki, obrazy i biblioteki powinny być przechowywane lokalnie. Zadajcie swojemu dostawcy o pełną spis opisu Twojej strony internetowej, aby ustalić wszystkie używane narzędzia.

Inne możliwości rozwiązania:

• Alternatywy dla narzędzi Google
• Lista sprawdzająca pytanie o zgodę (aby nie używać tego)

Proszę zwrócić uwagę na to, że nawet narzędzia na stronach internetowych, które nie używają plików cookie, często wymagają zgody użytkownika.