Bardzo interesującą kwestią jest też nowa regulacja dotycząca plików cookies. Podstawową funkcją cookies jest przechowywanie prostych informacji o użytkowniku (np. jego haseł i nazw), lecz pliki te pozwalają również na śledzenie go, np. w celach marketingowych (w tzw. systemach reklamy behawioralnej, takich jak Google Adwords).
DYREKTYWA: PODSTAWY
Akt prawny regulujący cookies to dyrektywa 2009/136/WE ('Nowa Dyrektywa'), wprowadzająca pewne zmiany do starej dyrektywy 2002/58/WE. Dyrektywa to dość nietypowy rodzaj aktu prawnego, który na kraje członkowskie UE nakłada obowiązek wprowadzenia określonych przezeń przepisów prawnych.
Dyrektywa najczęściej nie dotyczy więc w żaden sposób osób fizycznych lub prawnych, a jedynie nadaje kierunek reformom wewnątrz poszczególnych państw. Co istotne, państwa członkowskie nie muszą 'przepisywać' słów dyrektywy, a jedynie oddać ich intencję we własnych regulacjach. Przepisy wynikające z Nowej Dyrektywy muszą być wprowadzone do praw krajowych do 25 maja 2011 roku.
Artykuł 2 ust. 5 pkt. 3 rzeczonej dyrektywy brzmi następująco: „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.
Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.”
COOKIES TO DANE OSOBOWE?
Warto zaznaczyć, iż artykuł 5 ust. 3 zawiera odniesienie do innej głośnej unijnej dyrektywy – tej dotyczącej ochrony danych osobowych (95/46/WE). Jest to kolejny sygnał, iż pewne informacje przechowywane w niektórych plikach cookies traktowane być mogą przez prawo Unii Europejskiej jako dane osobowe, a więc wymagające szczególnej ochrony.
Interpretacja taka niesie ze sobą pewne bardzo istotne skutki. Jako że informacje pochodzące z plików cookies wędrują najczęściej do reklamodawców (np. firmy Google w przypadku reklam AdWords), stają się oni administratorami danych osobowych w rozumieniu dyrektywy 95/46/WE oraz polskiej ustawy o ochronie danych osobowych z 1998 roku. Nakłada to na nich liczne obowiązki wymienione w tej ustawie, oraz utrudnia przekazywanie tych danych poza granicę Unii Europejskiej (dla własnego bezpieczeństwa reklamodawcy powinni założyć, iż wszystkie zbierane przez nich pliki cookies zawierają dane osobowe).
Odniesienie do dyrektywy 95/46/WE logicznie łączy się nie tylko z wymogiem wyrażenia zgody na otrzymywanie plików cookies przez użytkownika, lecz także z wymogiem otrzymania przez niego informacji o celach przetwarzania. Administrator danych osobowych musi bowiem poinformować właściciela tych danych o celach ich przetwarzania zanim tego przetwarzania dokona. Należy tu zaznaczyć, iż wymóg ten stawiany przez Nową Dyrektywę odnosi się do wszystkich plików cookies (nie tylko tych zawierających dane osobowe), a więc w pewnym sensie rozszerza on typowy jak na razie dla danych osobowych wysoki poziom ochrony na inne 'poufne' dane.
Grupa Robocza Artykułu 29 ds. Ochrony Danych, unijne ciało doradcze, opublikowała w czerwcu 2010 roku opinię na ten temat, w której stwierdzono, iż „[j]ako że reklamy behawioralne opierają się na wykorzystaniu identyfikatorów umożliwiających tworzenie bardzo szczegółowych profili użytkowników, w większości przypadków uznawanych za dane osobowe, (…) świadoma zgoda może zostać uzyskana jedynie po podaniu użytkownikowi informacji o wysyłaniu plików cookie i jego celach.” Wprawdzie opinie Grupy Roboczej nie są prawnie wiążące, stanowią istotną wskazówkę interpretacyjną dla państw członkowskich.
OPT IN – OPT OUT
Mówiąc językiem laika, artykuł 5 ust. 3 nakłada na państwa członkowskie obowiązek wprowadzenia przepisów, które wymagać będą od m.in. internetowych reklamodawców uzyskania od użytkowników stron www wyraźnej, uprzedniej zgody na przesyłanie im plików cookies. Podobny obowiązek istniał już do tej pory w formie 'opt out' – użytkownicy musieli mieć możliwość wyłączenia w swoich przeglądarkach opcji odbierania plików cookies.
Nowa Dyrektywa wprowadziła jednak zamęt, gdyż interpretować ją można jako zmianę w kierunku modelu 'opt-in', według którego użytkownik musiałby za każdym razem wydać zgodę na otrzymywanie cookies. Potwierdziła to opinia Grupy Roboczej Artykułu 29, w której stwierdzono, iż „mechanizmy opt-in, wymagające działania użytkownika w celu wykazania zgody przed przesłaniem mu pliku cookie, lepiej spełniają wymogi art. 5(3).” Początkowo, obawiano się, iż oznaczałoby to powstanie np. 'wyskakujących okienek', przeciw którym wypowiedziała się jednak nawet Neeli Kroes, unijny komisarz do spraw prywatności w sieci.
Tym niemniej, w kwestii formy mechanizmów opt-in nie osiągnięto konsensusu. Grupa Robocza Art. 29 stwierdziła, iż najlepszym rozwiązaniem będzie umieszczenie w witrynach www wyraźnych przycisków pozwalających na ustosunkowanie się do przyjmowania plików cookies (nie wiadomo na razie, czy obowiązek ten spocznie na właścicielach stron czy dostawcach systemów reklamowych, jak sugerują niektóre organizacje branżowe). Pojawiły się również sugestie, iż to producenci przeglądarek internetowych powinni wprowadzić tę funkcję w swoich produktach.
Nie ustalono także, w jaki sposób użytkownik miałby być informowany o celach przetwarzania jego danych. Grupa Robocza w swojej opinii zaznaczyła, iż „najskuteczniejszym sposobem spełnienia tego wymogu jest podawanie podstawowych informacji bezpośrednio na ekranie, w sposób interaktywny, wyraźnie widoczny i łatwo zrozumiały. Istotne jest, by informacje były łatwo dostępne i wyraźnie widoczne. Najistotniejsze informacje nie mogą być ukryte w ogólnych warunkach świadczenia usług czy polityce prywatności.”
Nowa Dyrektywa wzburzyła sektor reklamowy. Przeciw jej założeniom wypowiedziała się m.in. organizacja Interactive Advertising Bureau, zrzeszająca takie koncerny jak Facebook czy Google. Nowe prawo nie podoba się również wielu użytkownikom sieci, którzy obawiają się, iż przeglądanie zasobów internetu stanie się uciążliwe.
POLSKA INTERPRETACJA
W Polsce nowe przepisy zostaną zawarte w nowelizacji Ustawy prawo telekomunikacyjne. Wprawdzie nie znane jest jeszcze jej brzmienie, Ministerstwo Infrastruktury opublikowało na początku stycznia 2011 dokument przedstawiający jej założenia. Możemy w nim przeczytać następujące odniesienie do kwestii cookies:
Zmiany w art. 173 wynikają z potrzeby właściwej implementacji znowelizowanego art. 5 ust. 3 Dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, w zakresie przechowywania danych informatycznych, w szczególności plików tekstowych, w urządzeniach końcowych abonentów lub użytkowników końcowych (tzw. „cookies”).
Zasadnicza zmiana polega na wyraźnym wskazaniu (w art. 173 ust. 1), że dane takie mogą przechowywać zarówno podmioty świadczące usługi drogą elektroniczną, jak również przedsiębiorcy telekomunikacyjni. Ponadto, podkreśla się, że niezbędna jest w takim przypadku zgoda abonenta lub użytkownika końcowego, a nie jak obecnie - jedynie poinformowanie go o takim przechowywaniu danych w jego urządzeniu końcowym (art. 173 ust. 1 pkt 2)."
Niestety, wypowiedź ta w niewielki sposób klaryfikuje podejście polskiego ustawodawcy do praktycznych rozwiązań, które będzie należało wprowadzić. Jak wynika z analizy komunikatów wydanych przez odpowiednie instytucje w innych krajach członkowskich, możliwości interpretacyjnych jest bardzo wiele.
SZERSZA PERSPEKTYWA
Dyrektywa 2009/136/WE wpisuje się idealnie w politykę prowadzoną przez Unię Europejską, zakładającą zapewnianie bardzo wysokiego poziomu ochrony prywatności w sieci. Odzwierciedla również trend, w ramach którego informacje zawarte w plikach cookies są uznawane za dane osobowe, które powinny być chronione zgodnie z prawem ochrony danych osobowych (także wyjątkowo rozbudowanym w UE).
Tym niemniej, jej treść budzi pewne kontrowersje. Pomijając fakt, iż ze względu na jej ambiwalentne zapisy istnieje małe prawdopodobieństwo harmonizacji prawa w tej dziedzinie na terytorium Unii, przepisy wprowadzane dyrektywą 2009/136/WE mogą naruszyć równowagę pomiędzy ochroną danych osobowych a praktycznością korzystania z Internetu. Dyskusyjnym jest również podejście Unii do kwestii ochrony danych osobowych w czasach, gdy rzesze użytkowników internetu świadomie wyzbywa się swojej prywatności korzystając z serwisów społecznościowych i innych 'darów' Web 2.0.
***
| Jeśli chcielibyście Państwo otrzymywać powiadomienia o nowych wpisach, zapraszam do skorzystania z subskrypcji RSS lub newslettera! |
Brak komentarzy:
Prześlij komentarz