Nowe obowiązki serwisów internetowych. Zmienią się zasady korzystania z plików cookie.
- mar
- 10
Dnia 22 marca 2013 roku wchodzi w życie nowelizacja prawa telekomunikacyjnego zmieniająca zasady korzystania z plików cookie przez serwisy internetowe (ustawa z dnia 16 listopada 2012 r. o zmianie ustawy – prawo telekomunikacyjne oraz niektórych innych ustaw, Dz.U. z 2012 r., poz. 1445).
Operatorzy e-usług i e-sklepów będą mieli więcej obowiązków informacyjnych wobec użytkowników, a w odniesieniu do niektórych plików cookie wymagana będzie zgoda użytkownika na ich zapisanie w pamięci urządzenia. W praktyce oznacza to konieczność dostosowania regulaminów i polityk prywatności, a także sposobu działania stron, do nowych przepisów.
Nowelizacja stanowi implementację do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. zmieniającej m.in. dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej.
Pliki cookie i ich funkcje.
„Cookies” (po polsku zwane „ciasteczkami”) to niewielkie pliki przesyłane przez serwer i zapisywane w pamięci urządzenia użytkownika (pamięci przeglądarki). Informacje zapisane w pliku cookie pozwalają serwisowi internetowemu zidentyfikować użytkownika podczas ponownej wizyty na danej stronie. Dzieje się tak dzięki możliwości odczytania przez serwer zapisanego wcześniej w przeglądarce pliku cookie. Mechanizm ten może być wykorzystywany w celu udostępnienia użytkownikom wielu udogodnień i funkcji, np. zapamiętania zawartości koszyka podczas przeglądania stron e-sklepu, identyfikacji użytkownika i logowania do konta użytkownika, zapamiętania ustawień strony, czy zapamiętania historii przeglądanych stron.
Dzięki „ciasteczkom” serwis internetowy „wie”, że jesteśmy zalogowani i zwalnia nas z konieczności wpisywania danych logowania za każdym razem, gdy przechodzimy do kolejnej strony z wrażliwymi informacjami (np. w serwisach społecznościowych). Pliki cookie mogą zawierać dane osobowe albo być powiązane z danymi osobowymi przechowywanymi w bazie danych serwera. Bezpieczeństwo i poufność danych zwartych w takich plikach zależą od wielu czynników (m.in. od tego, czy dane zawarte w pliku są zaszyfrowane). Pewne rodzaje plików cookie (tzw. tracking cookies) mogą zapamiętywać historię odwiedzanych stron, kolejność ich odwiedzania oraz czas odwiedzin. Dane te zawierają wiele informacji o użytkowniku (np. jego zainteresowaniach), wobec czego ich ujawnienie osobom postronnym może stanowić zagrożenie dla prywatności.
W związku z powyższym ważne jest, aby użytkownik wiedział, jakie pliki cookie zapisuje na jego urządzeniu dana strona internetowa oraz czemu one służą. Mając tę wiedzę użytkownik może świadomie podjąć decyzję o zezwoleniu na zapisywanie „ciasteczek” albo o odmowie ich zapisu (poprzez odpowiednie ustawienia przeglądarki internetowej). Użytkownik znający funkcje poszczególnych plików cookie będzie także wiedział, jakie funkcje serwisu przestaną działać w przypadku braku akceptacji „ciasteczek”. Nałożenie na operatorów serwisów internetowych obowiązku przejrzystego informowania o stosowanych plikach cookie jest głównym celem omawianej nowelizacji.
Jakie zasady obowiązują obecnie (do dnia 21 marca 2013 roku)?
Zgodnie z obecnie obowiązującym (do 21 marca 2013 roku) artykułem 173 prawa telekomunikacyjnego usługodawca internetowy może przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta przeznaczonych do korzystania z usług, jeżeli łącznie spełnione są następujące warunki:
- abonent lub użytkownik końcowy zostanie poinformowany jednoznacznie, w sposób łatwy i zrozumiały, o celu przechowywania danych oraz sposobach korzystania z ich zawartości;
- abonent lub użytkownik końcowy zostanie poinformowany jednoznacznie, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu;
- przechowywane dane nie powodują zmian konfiguracyjnych w urządzeniu końcowym abonenta lub użytkownika końcowego lub oprogramowaniu zainstalowanym w tym urządzeniu.
Powyższych warunków nie stosuje się, jeżeli przechowywanie oraz dostęp do plików cookie są konieczne do wykonania lub ułatwienia transmisji komunikatu za pośrednictwem publicznej sieci albo jeżeli jest to niezbędne w celu dostarczania usługi świadczonej drogą elektroniczną, żądanej przez użytkownika.
W praktyce oznacza to obowiązek poinformowania użytkownika o celach i funkcjach plików cookie oraz możliwości wyłączenia ich akceptacji w opcjach przeglądarki. Nie ma konieczności uzyskiwania uprzedniej zgody na zapisanie plików cookie (może to nastąpić bez wyświetlania użytkownikowi stosownego komunikatu i pytania o zgodę). Nie ma też obowiązku przekazania użytkownikowi wymaganych informacji przed zapisaniem „ciasteczek” na jego urządzeniu. Najczęściej informacje takie zawarte są w polityce prywatności lub regulaminie serwisu. Jest to tzw. model opt-out, czyli rozwiązanie prawne, w którym zgoda na zapisywanie plików cookie (przy spełnieniu powyższych warunków) jest domniemana, a odwołanie zgody (sprzeciw) wymaga aktywnego działania usługobiorcy (wyłączenia plików cookie w opcjach przeglądarki). Rozwiązanie to jest bardzo praktyczne, albowiem pozwala na domyślne uaktywnienie wszystkich funkcji serwisu wykorzystujących mechanizm „ciasteczek”. Jednocześnie jednak użytkownicy w praktyce najczęściej nie wiedzą, jakie pliki i w jakim celu są wykorzystywane.
Co się zmienia z dniem 22 marca 2013 roku?
Najkrócej rzecz ujmując zmianie ulega zasada domniemanej zgody użytkownika na zapis plików cookie – zastępuje ją wymóg uzyskania zgody na umieszczenie w urządzeniu usługobiorcy niektórych rodzajów plików cookie (częściowe przejście z modelu opt-out na model opt-in).
Zmieniony art. 173 prawa telekomunikacyjnego pozwala na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu użytkownika pod następującymi warunkami:
- abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
- abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
- przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Drugą istotną zmianą (obok obowiązku wyraźnej zgody na zapis „ciasteczek”) jest konieczność uprzedniego i bezpośredniego poinformowania użytkownika o celach przechowywania plików cookie. W praktyce oznacza to konieczność wyświetlenia użytkownikowi odpowiedniej informacji zanim usługodawca prześle pliki cookie do pamięci urządzenia usługobiorcy.
Podobnie jak poprzednio, warunków powyższych (tj. obowiązków informacyjnych i konieczności uzyskania zgody) nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do pliku cookie jest konieczne do:
- wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
- dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Powyższe złagodzenie reżimu opt-in budzi w praktyce wiele wątpliwości. Nie jest bowiem jasne, które funkcje plików cookie można uznać na „konieczne” do świadczenia usługi, a które są tylko dodatkowym usprawnieniem jej świadczenia. Wydaje się, że sam usługodawca może w pewnym stopniu decydować o tym, bez których plików serwis lub niektóre jego funkcje nie będą działały. Jako przykłady plików „koniecznych” wskazać można – w naszej ocenie – pliki przechowujące spersonalizowane preferencje usług, pliki umożliwiające korzystanie z funkcji „zapamiętaj mnie na tej stronie”, czy pliki tzw. sesyjne, umożliwiające przeglądanie serwisu bez konieczności logowania się na każdej kolejnej jego stronie. Jako przykłady plików „niekoniecznych”, a więc tych, które wymagają uprzedniej informacji i zgody, wskazać możemy wszelkie pliki „analityczne” służące do prowadzenia statystyk odwiedzin lub efektywności reklam on-line pochodzące od usługodawcy lub osób trzecich, czy pliki z preferencjami odnośnie zainteresowań daną tematyką (np. w serwisach informacyjnych). Problem w rozgraniczeniu „ciasteczek” niezbędnych i „zbędnych” polega na trudności uchwycenia granicy pomiędzy akceptowalnym stopniem „niewygody” w korzystaniu z serwisu bez mechanizmu cookies, a całkowitym brakiem dostępności serwisu lub jego funkcji. W naszej ocenie w przypadku, gdy brak „ciasteczek” powoduje znaczne (tj. nieakceptowalne dla większości użytkowników) utrudnienia w korzystaniu z usługi, to należy przyjąć, że ciasteczka te są „niezbędne”.
Pewnym złagodzeniem wymogu zgody miała być w zamyśle polskiego ustawodawcy możliwość wyrażenia zgody za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez usługobiorcę urządzeniu końcowym lub ustawieniach konfiguracyjnych usługi (tj. w ustawieniach przeglądarki lub w opcjach dostępnych w samym serwisie – art. 173 ust. 2 pr. telekom.). Nie wyłącza to jednak uprzedniego (czyli przed przesłaniem cookies) obowiązku informacyjnego o celu stosowanych „ciasteczek”. W praktyce oznacza to konieczność wyświetlenia komunikatu o cookies użytkownikowi odwiedzającemu po raz pierwszy dany serwis. Minimalnym wymogiem jest – jak się wydaje – zamieszczenie na stronie serwisu odnośnika do „informacji na temat cookies”, choć można zasadnie twierdzić, że taki sposób postępowania nie gwarantuje „uprzedniego” dostarczenia informacji o „ciasteczkach” użytkownikowi. Najbezpieczniejszym z punktu widzenia usługodawcy rozwiązaniem wydaje się wyświetlanie nowym użytkownikom komunikatu o cookies z odnośnikiem do szczegółowej informacji o nich i np. opcją „zapoznałem się / nie wyświetlaj ponownie tego komunikatu”. Pamiętać trzeba przy tym o konieczności jasnego i przejrzystego opracowania informacji o celach konkretnych plików cookie.
Wykładnię taką zdaje się potwierdzać komunikat Ministra Administracji i Cyfryzacji dotyczący nowelizacji, w którym czytamy: „…gdybyśmy przy każdym wejściu na nową stronę musieli klikać, czy je chcemy, czy nie, byłoby to bardzo uciążliwe. Dlatego w nowej ustawie proponujemy, aby użytkownik mógł wyrazić zgodę za pomocą ustawień przeglądarki – tam ustawimy poziom, ile i jakich chcemy ciasteczek. Przyjęliśmy zasadę, że musimy być o kwestii i działaniu cookies poinformowani. Od chwili uzyskania informacji o cookies każda nasza decyzja (a także jej brak w postaci braku zmiany domyślnych ustawień przeglądarki umożliwiających przetwarzanie cookies) będzie wyrazem świadomego aktu woli.” (źródło: https://mac.gov.pl/dzialania/prezydent-podpisal-prawo-telekomunikacyjne-co-ono-zmienia-animacja/ , odwiedzono dn. 10.03.2013).
Jakkolwiek nowa regulacja zasad korzystania z „ciasteczek” może wydawać się nadmiernie restrykcyjna, to warto zauważyć, że sposób implementacji do polskiego prawa rozwiązań przyjętych w dyrektywie UE jest dość liberalny i budzić może wręcz wątpliwości odnośnie jego zgodności z dyrektywą. Dyrektywa wymaga bowiem wyraźnie zgody użytkownika, a polskie rozwiązanie idzie w kierunku „zgody domniemanej”, a zatem najmniej kłopotliwej w praktyce dla usługodawców i usługobiorców, skupiając się na aspekcie informacyjnym.
Data: 11.03.2013
Autor: adw. Łukasz Niedziela
Aktualności i publikacje
- Adwokat Łukasz Niedziela gościem Radia Gdańsk.
- Spółka z o.o. – pytania i odpowiedzi.
- Kontynuacja współpracy z Festiwalem CAMERIMAGE.
- Adwokat Łukasz Niedziela członkiem Komisji Doskonalenia Zawodowego Pomorskiej Izby Adwokackiej.
- Szkolenia z prawa autorskiego dla adwokatów Pomorskiej Izby Adwokackiej.
- Zakładanie i rejestracja w KRS spółki z ograniczoną odpowiedzialnością (z o.o.).
- Nowe zasady odpowiedzialności sprzedawców z tytułu rękojmi.
- Prawo autorskie – kolejna edycja forum prawnego CAMERIMAGE 2014.
