Cookies – prywatność vs serwisy internetowe

Zmiany w ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne z listopada ubiegłego roku wprowadziły kilka nowości, z których dla osób obecnych w internecie najważniejszą wydają się zmiany dotyczące plików zwanych popularnie „ciasteczkami” (ang. cookies). Zmiany te dotyczą wszystkich przedsiębiorców, niezależnie od branży, posiadających zarówno zwykłą stronę WWW, jak i rozbudowane portale czy e-sklepy.

Warto o tych zmianach rozmawiać, ponieważ brak implementacji nowych przepisów może wiązać się z poważnymi konsekwencjami – może prowadzić do nałożenia kary pieniężnej w wysokości nawet do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Cookies to w uproszczeniu małe pliki tekstowe umieszczane w komputerach użytkowników końcowych za pośrednictwem przeglądarek internetowych. Co do zasady pozwalają one na przechowywanie określonych informacji na komputerze użytkownika i ich odczytanie przez serwis/portal, który te ciasteczka stworzył. Są powszechnie wykorzystywane praktycznie we wszystkich serwisach i stronach internetowych – zapamiętują ustawienia stron (nasze preferencje, aktywne logowania, umożliwiają działanie sond/ankiet/liczników/statystyk).

Celem nowych przepisów, których wprowadzenie wynika z implementacji przepisów unijnych, jest ochrona prywatności użytkowników internetu. Ciasteczka potencjalnie pozwalają na „śledzenie” użytkownika. Mogą zapamiętywać, jakie artykuły w ramach serwisu odwiedzaliśmy lub jakie treści zostały nam wyświetlone. Choć zwykle nie umożliwiają serwisowi internetowemu jednoznacznej identyfikacji użytkownika końcowego jako osoby fizycznej, to mogą posłużyć mu chociażby dla tzw. targetowania behawioralnego dla celów marketingowych (czyli dobrania wyświetlanych reklam w taki sposób, aby maksymalnie odpowiadały one zainteresowaniom użytkownika serwisu). To natomiast, w zależności od osobistego nastawienia, może być odbierane zarówno jako użyteczna usługa (widzimy reklamy usług lub produktów, które nas interesują), jak i potencjalne naruszenie wspomnianej prywatności.

Na czym polegają więc zmiany?

Dotychczas korzystanie z cookies wymagało od usługodawcy (np. portalu) spełnienia obowiązków informacyjnych (cel przechowywania danych, sposób sprzeciwienia się) oraz zapewnienia, by ciasteczka nie powodowały zmian konfiguracyjnych lub w oprogramowaniu.

Od 22 marca 2013 r. użytkownik końcowy lub abonent:

1. musi zostać bezpośrednio, jednoznacznie, w sposób łatwy i zrozumiały poinformowany o: - celu przechowywania cookies; - możliwości modyfikowania ustawień dot. ciasteczek w przeglądarce lub usłudze świadczonej przez dany portal;

2. po uzyskaniu powyższych informacji – będzie musiał wyrazić na to zgodę, która nie może być domniemana lub dorozumiana z innego oświadczenia woli.

Powyższe zasady (konieczność informowania i uzyskania uprzedniej zgody) nie będą musiały być stosowane m.in. w sytuacji, jeżeli przechowywanie lub uzyskanie dostępu do cookies jest konieczne do dostarczenia usługi świadczonej drogą elektroniczną, żądanej przez użytkownika końcowego.

Realizacja ww. obowiązków dla wielu portali czy stron WWW może być biznesowo lub technicznie niewykonalna, zarówno co do uzyskiwania uprzedniej zgody, jak również co do określania, czy zgoda została udzielona przez abonenta, czy przez użytkownika końcowego.

W tym kontekście warto wskazać na przykład Wielką Brytanię, w której zostały już zaimplementowane przepisy unijne dotyczące ciasteczek. Zgodnie z panującymi tam przepisami zainstalowanie i wykorzystanie ciasteczek wymagało każdorazowej, wyraźnej zgody użytkownika (każdorazowe opt-in), bez możliwości ustawienia takiej zgody w ustawieniach np. przeglądarki. Jak pokazała praktyka, swobodne korzystanie z niektórych stron internetowych przestało być możliwe, konieczne było ciągłe „klikanie” w formularze zgody. Oczywiście duża część usługodawców mniej lub bardziej świadomie bojkotowała nowe przepisy. Co ciekawe, dnia 31 stycznia 2013 r. swoją politykę w zakresie cookies wyraźnie rozluźnił również brytyjski ICO (odpowiednik naszego GIODO; patrz: http:// www.ico.gov.uk/news/current_topics/changes-to-cookies-on-our-website. aspx) - obecnie informuje on o fakcie umieszczenia plików cookies na komputerze użytkownika oraz o sposobie zmiany ustawień w tym zakresie. Część brytyjskich komentatorów uznała to za „śmierć ciasteczkowego prawa”.

Aktualnie podobne podejście prezentuje nasz rodzimy GIODO, który informuje o korzystaniu z ciasteczek przez jego stronę, ale nie wymusza na użytkowniku wyrażenia aktywnej, wyraźnej, uprzedniej zgody. Warto zwrócić jednocześnie uwagę na szczegółowość informacji dotyczących cookies podanych przez GIODO w swojej nowej polityce: http://www. giodo.gov.pl/169/id_art/1026/j/pl/. Podobne, a nawet dalej idące praktyki, Cookies wdrażają już niektórzy przedsiębiorcy (np. jeden z producentów samochodów), którzy w ramach swoich witryn internetowych umożliwiają internautom ustawianie różnego zakresu wykorzystywania cookies:
- minimalny, wymagany dla prawidłowego działania strony;
- rozszerzony, dla włączenia określonych funkcjonalności ułatwiających przeglądanie stron (np. zapamiętywanie logowania);
- pełny, zezwalający firmom trzecim na korzystanie z danych zebranych w serwisie.

Podsumowując, wprowadzone zmiany mogą oznaczać małą rewolucję. Można się spodziewać, że wkrótce na portalach zaczną pojawiać się liczne okienka z informacjami o stosowaniu przez daną stronę cookies albo z prośbą o wyrażenie zgody na korzystanie z nich.

Część przedsiębiorców może zdecydować się na przebudowanie swoich regulaminów serwisów, tak aby wynikało z nich, że korzystanie z ciasteczek jest elementem koniecznym do świadczenia ich usługi albo, że zgodę na korzystanie z cookies wyraził abonent.

Preferujący bezpieczniejsze rozwiązania mogą rozważać stworzenie strony startowej serwisu bez cookies. To, czy w Polsce i globalnie zostanie zachowany właściwy balans pomiędzy prywatnością użytkowników internetu, a ich wygodą oraz prowadzeniem biznesu w sieci, pokaże nam dopiero praktyka stosowania nowych przepisów przez branżę i regulatorów.

Przeczytaj także: Legalny SPAM?

Autorem tekstu jest Grzegorz Leśniewski,aplikant adwokacji w Kancelarii Olesiński & Wspólnicy

Cookies
DLP expert 1/2013

Tekst pochodzi z magazynu DLP expert 1/2013 (4)- który bezpłatnie można pobrać ze strony: https://www.dlp-expert.pl/magazine

Źródło: Redakcja