Nowe przepisy dotyczące ciasteczek
10.03.2011
ochrona danych osobowych | projekt
Zgoda na instalację cookies – domyślna, świadoma czy wymagana każdorazowo? Zmiana dyrektywy o e-prywatności może przysporzyć sporo kłopotu polskiemu ustawodawcy.
W styczniu 2011 roku Ministerstwo Infrastruktury opublikowało na swoich stronach internetowych dokument zawierający założenia projektu ustawy o zmianie ustawy – Prawo telekomunikacyjne. Dokument liczy 101 stron i stanowi propozycję kompleksowej nowelizacji reguł związanych z funkcjonowaniem telekomunikacji w Polsce. Ale… nie tylko. Dokument ten zawiera również propozycje legislacyjne, po których wdrożeniu polski rynek internetu dotkną istotne zmiany, a Prezes Urzędu Komunikacji Elektronicznej zyska mocniejszą niż dotychczas pozycję na tym rynku.
Propozycje legislacyjne mają na celu implementację tzw. pakietu łączności elektronicznej przyjętego 25 listopada 2009 roku przez Parlament Europejski i Radę. W ramach tego pakietu zmianie uległy postanowienia dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywa o e-prywatności) w zakresie dotyczącym wyrażania przez użytkowników zgody na instalację plików cookies.
Cookies to pliki instalowane w komputerze użytkownika w czasie korzystania przez niego ze strony internetowej. Pliki te służą między innymi do potwierdzenia, że dany użytkownik widział określone treści na danej stronie internetowej. Czasami mogą również służyć do przechowywania ustawień strony wybranych przez użytkownika oraz do śledzenia jego ruchów w sieci. Najczęstszym sposobem wykorzystania cookies jest generowanie z ich użyciem informacji o odsłonach stron internetowych i unikalnych użytkownikach danej strony. Informacje te są potrzebne operatorom stron internetowych do statystyk popularności ich strony, w celu przyciągnięcia reklamodawców. Reklamodawcy natomiast chcą używać cookies, aby badając zachowanie danego użytkownika, przypisać go do określonego profilu użytkowników, tak by można było oferować mu reklamy tych produktów, które mogłyby go najbardziej interesować. Takie działanie nazywa się targetowaniem behawioralnym i jest z powodzeniem stosowane przez wielu operatorów stron internetowych. Jak zatem można wywnioskować, cookies pełnią bardzo istotną rolę dla usług świadczonych drogą elektroniczną. Nie byłoby przesadą stwierdzenie, że obecny model funkcjonowania rynku reklamy internetowej w jakimś stopniu oparty jest o możliwość korzystania z cookies przez reklamodawców do zliczania ruchu na stronach internetowych.
Użytkownik, używając standardowej przeglądarki internetowej, nie jest świadomy, że w danym momencie instalowane są pliki cookies. Dokonując zmian ustawień przeglądarki, użytkownik może zablokować możliwość instalacji plików cookies, należy jednak podkreślić, że przeglądarki jako ustawienia domyślne mają ustawienia umożliwiające przyjmowanie cookies. Taki proces zarządzania cookies jest konsekwencją obecnego stanu prawnego, zgodnie z którym użytkownik powinien mieć możliwość rezygnacji z cookies (tzw. opt out), ale nie musi każdorazowo wyrażać zgody na ich instalację. W polskich przepisach prawa kwestię plików cookies regulują przepisy art. 173 ustawy – Prawo telekomunikacyjne.
W związku ze zmianą dyrektywy o e-prywatności stan prawny w państwach członkowskich Unii Europejskiej powinien ulec zmianie. Zmieniona w 2009 roku (dyrektywą 2009/136/WE) dyrektywa o e-prywatności zawiera nowe brzmienie artykułu 5 ust. 3, zgodnie z którym: „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania”. Nowym elementem w tym tekście jest konieczność wyrażenia przez użytkownika zgody „zgodnie z dyrektywą 95/46/WE”, czyli dyrektywą dotyczącą ochrony danych osobowych. Ten pozornie prosty zapis polskiemu ustawodawcy może przysporzyć sporo kłopotu.
Polski ustawodawca zmianę omówioną w powyższym akapicie zamierza zaimplementować poprzez dokonanie odpowiedniej zmiany w przepisach ustawy – Prawo telekomunikacyjne. Dlatego w projekcie założeń jest proponowana zmiana przepisu art. 173 Prawa telekomunikacyjnego, z której wynika, że na instalację plików cookies konieczna byłaby zgoda użytkownika końcowego. Niestety ustawodawca nie pisze, czy chodzi o każdorazową zgodę na instalację cookies, czy też o zgodę, która mogłaby być wyrażona poprzez świadome wskazanie przez użytkownika określonych ustawień przeglądarki. Idąc tropem wskazanym przez dyrektywę 95/46/WE o ochronie danych osobowych, dochodzimy do przepisów polskiej ustawy o ochronie danych osobowych, zgodnie z którą (w jej brzmieniu obowiązującym od 7 marca 2011 roku): „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie” (art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych). Jednak nasz ustawodawca, wpisując powyżej zacytowany wymóg do definicji pojęcia zgody osoby, której dane dotyczą na przetwarzanie jej danych, poszedł dalej niż wymaga tego dyrektywa 95/46/WE dotycząca ochrony danych osobowych. Dyrektywa ta nie zawiera bowiem takiego wymogu i nic nie stoi na przeszkodzie, aby zgoda na przetwarzanie danych osobowych przez osobę, której dane dotyczą, była wyrażona w formie konkludentnej (dorozumianej). Art. 5 ust. 3 dyrektywy o e-prywatności, zmieniony dyrektywą 2009/136/WE, odwołuje się natomiast do zgody wyrażonej „zgodnie z dyrektywą 95/46/WE”, a nie do zgody wyrażonej zgodnie z przepisami prawa krajowego implementującymi dyrektywę 95/46/WE. Dlatego nie ma przeszkód, aby przepis implementujący postanowienia art. 5 ust. 3 dyrektywy o e-prywatności do prawa polskiego dopuszczał zgodę wyrażoną w sposób konkludentny (opt-out).
Gdyby jednak ustawodawca chciał kwestię zgody na instalację cookies zapisać w sposób bardziej rygorystyczny, mogłoby to wymusić fundamentalną zmianę korzystania ze stron internetowych. Prawdopodobną konsekwencją byłaby aktualizacja przeglądarek internetowych do nowych wersji zawierających jako ustawienia domyślne odmowę akceptacji cookies (które to ustawienia użytkownik mógłby zmienić). W wersji bardziej pesymistycznej: konieczność wyrażania zgody na instalację każdej cookie. To już byłoby kompletnie niepraktyczne – są strony internetowe, z których instaluje się po kilka plików cookies; po pewnym czasie przeciętny użytkownik nie czytałby informacji o instalowanych cookies, tylko mechanicznie klikałby na ikonę „Tak” lub „Nie”, w zależności od swojego poglądu na instalację cookies, dokonując w ten sposób wyboru bardziej mechanicznego niż świadomego. Dlatego wydaje się, że ustawodawca powinien wybrać rozwiązanie, które z jednej strony zwiększy wiedzę użytkowników co do funkcji plików cookie, a z drugiej strony nie spowoduje szkód dla dynamicznie rozwijającego się rynku internetu.
Marek Szydłowski, zespół Technologie, Media, Telekomunikacja kancelarii Wardyński i Wspólnicy