Czy ostrzeżenia o cookies są konieczne?

fot. Kimberly Vardeman

Przewijaj

22 marca 2013 roku był jednym z tych dni, które zmieniły Internet. W przeglądarkach masowo zaczęły pojawiać się ostrzeżenia o plikach cookies i niesfornie atakując z popularnych serwisów, blogów i portali stały się utrapieniem internautów.

Poniżej kilka odpowiedzi na ważne pytania o to czy ciasteczek należy się w ogóle obawiać, czy publikowanie związanych z nimi komunikatów na stronach www jest konieczne, a jeśli już – to w jakiej formie.

Cookies, zwane również Ciasteczkami, wbrew powszechnej opinii nie narodziły się w marcu. To wynalazek o długoletnim rodowodzie i jeden z elementów codzienności współczesnego Internetu. Tłumacząc w możliwie najbardziej przystępny sposób – pliki te są efektem komunikacji przeglądarki z serwerem, na którym znajduje się strona internetowa i zawierają dane umożliwiające witrynie identyfikację poszczególnych użytkowników. To, że portal pamięta takie dane jak login czy hasło bez konieczności ponownego ich wpisywania przy każdym przeładowaniu strony to właśnie zasługa działania cookies.

Podstawa prawna nie budzi wątpliwości

Ciasteczka stały się też złożonym systemem magazynowania (ogólnikowych, ale nawet w swojej ogólnej formie dość złożonych) danych na temat poszczególnych internautów. To doprowadziło do powszechnego wykorzystywania ich w systemach statystyk internetowych czy branży reklamowej, która zaczęła dobierać reklamy pod potencjalnego odbiorcę na bazie jego preferencji określonych na podstawie cookies właśnie. Początkowo zbawienne narzędzie personalizacji zaczęło budzić wątpliwości w obliczu coraz żywszej dyskusji dotyczącej prywatności w sieci. Sami internauci zaczęli zaś zastanawiać się ile tak naprawdę wiedzą o nich owiane aurą tajemnicy ciasteczka.

To doprowadziło do ożywionej dyskusji na gruncie Parlamentu Europejskiego, a w ostateczności wydania w 2009 roku dyrektywy, która od tego czasu wdrażana jest w poszczególnych krajach członkowskich UE. Zalecenia znalazły wyraz w ostatniej sporej nowelizacji Prawa Telekomunikacyjnego, której szerzej przyjrzymy się na łamach TechLaw.pl w najbliższej przyszłości. Bohaterem dzisiejszego wpisu jest m.in. artykuł 173 tej ustawy, który dotychczasowy model “opt-out” polegający na dorozumianej zgodzie na korzystanie z cookies zastąpił rozwiązaniem “opt-in” przez co konieczne jest uzyskanie akceptacji użytkownika.  Wspomniany przepis w czasie ostatniej nowelizacji otrzymał nowe brzmienie:

„Art. 173. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1)  abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

a)  celu przechowywania i uzyskiwania dostępu do tej informacji,

b)  możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;

2)  abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę; (…)

Czy ostrzeżenia o cookies są konieczne?

Nie – ostrzeżenie powinno znajdować się na Twojej stronie tylko jeżeli wykorzystuje ona cookies. Co więcej, nie każdy rodzaj ciasteczek wymaga publikacji tego typu ostrzeżenia. Ustawa wyłącza spod tego obowiązku ciasteczka o charakterze technicznym, czyli wykorzystywane między innymi przy rejestracji kont, logowaniu albo zapisywaniu towarów w koszyku sklepu internetowego. Podstawą prawną jest art. 173 ust. 3 Prawa Telekomunikacyjnego

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

2) dostarczania usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Zapoznaj się też z oświadczeniem prasowym (PDF) GIODO w tej sprawie.

Kiedy ostrzeżenia o cookies są konieczne?

Ostrzeżenie powinno pojawić się w przypadku występowania na stronie ciasteczek. Czy Twoja strona z nich korzysta? Cóż – prawdopodobnie tak, coraz trudniej o takie, które nie korzystają. Wśród “niespodziewanych” dostarczycieli ciasteczek prym wiodą zewnętrzne skrypty o charakterze analitycznym i komercyjnym.

W tym pierwszym wypadku mówimy głównie o różnej maści skryptach, szczególnie związanych ze statystykami (Google Analytics, Piwik, itd.). Uwaga – nawet jeśli sami nie instalowaliśmy ich na naszej stronie, z takich statystyk często może korzystać serwer. Wówczas skrypt nie instaluje się bezpośrednio w kodzie witryny, lecz istnieje ryzyko, że będzie korzystał z cookies.  W drugim przypadku – chodzi o ciasteczka często wykorzystywane przez reklamodawców. Jeżeli na stronie korzystamy z któregoś z systemów reklamowych, niemal pewne jest, że działa on w oparciu o ciasteczka. Niestety nie potrafię stwierdzić czy np. osadzając na stronie film z YouTube, które emitują przecież reklamy, również dochodzi do wykorzystywania plików cookies, ale teoretycznie jest taka możliwość. Z całą pewnością jednak, cookies wiążą się też ze wszystkimi próbami implementacji serwisów społecznościowych na naszej witrynie, przyciskach “lubię to”, itd.

Jak prawidłowo powinno wyglądać ostrzeżenie o cookies?

[pullquote align=”right”]”Zdecydowana większość serwisów tworzy o wiele bardziej rozległe „okienka” z informacją o cookies, niż jest to konieczne.”[/pullquote] Ustawodawca nie pokusił się o przesadną kazuistykę, przez co twórcy stron internetowych mają prawdziwą zagwozdkę. “Sposób jednoznaczny, łatwy i zrozumiały” oraz wymóg bezpośredniego powiadomienia nie instruuje w jaki sposób należy komunikować wykorzystywanie ciasteczek. W Europie i Polsce jednym z najpopularniejszych sposobów są łatwe do ukrycia skrypty pojawiające się często u góry/dołu strony. Myślę, że w tej materii tworzy nam się pewien zwyczaj, jednak jestem daleki od poglądów niektórych prawników, w opinii których jest to jedyny słuszny sposób prezentacji ostrzeżenia. Ustawodawca tego nie precyzuje, trudno zatem rozstrzygnąć czy informacja w stopce strony czy dowolnym innym miejscu nie czyni przepisom zadość w takim samym stopniu jak wyskakujące okienka. Na pewno jednak na pierwszej stronie, z którą kontakt będzie miał użytkownik (uwaga – nie zawsze jest to strona główna) powinna znaleźć się pełna treść ostrzeżenia o cookies, rozwiązanie w stylu uniwersalnego linku do podstrony “wszystko o cookies” nie będzie wystarczające.

Jest to prawdopodobnie wyraz poglądu, że czytelnik powinien się z takim ostrzeżeniem zapoznać zaraz po wejściu na stronę internetową, a wyskakująca ramka czyni to o wiele bardziej prawdopodobnym niż mały druk w stopce strony (choć również nie daje pełnej gwarancji). Osobiście przychylam się do tego rozwiązania wyłącznie ze względów praktycznych – wykorzystywana na TechLaw.pl wtyczka z informacją o cookies nie jest “nachalna”, pojawia się jednorazowo, a umieszczanie ostrzeżenia w innych miejscach witryny mogłoby zaszkodzić jej estetyce.

ciasteczka-techlaw

Pomijając kwestie natury wizualnej, ważna jest również treść informacji o ciasteczkach. Co musi ona zawierać? Zgodnie z treścią ustawy kluczowe są jedynie dwa elementy:

  • Informację o tym, że strona internetowa korzysta z plików cookies i w jakim celu to robi (reklamy, statystyki, ustawienia, itd.) – jeśli wyjaśnienie zajmie trochę miejsca, nie powinno stanowić naruszenia prawa odesłanie w formie linku do podstrony szczegółowo wyjaśniającej to zagadnienie
  • Pouczenie o tym, że użytkownik za pomocą ustawień przeglądarki internetowej może określić warunki przechowywania cookies

Ustawodawca art. 173 PT wbrew pogłoskom nie nakłada obowiązku starannego instruowania w zakresie konfiguracji przeglądarki, ani też tworzenia całej złożonej polityki prywatności. Zdecydowana większość serwisów tworzy o wiele bardziej rozległe “okienka” z informacją o cookies, niż jest to konieczne.

W świetle przepisów ustawy (art. 173 ust. 2) nie jest konieczne umieszczanie przycisku “zgadzam się”, “akceptuję”, itd. – ostrzeżenie o plikach cookies pełni bowiem charakter wyłącznie informacyjny.  Brak zmian w przeglądarce jest równoznaczny z wyrażeniem przez użytkownika zgody na wykorzystywanie ciasteczek. Takie ułatwienie to jeden z nielicznych jasnych punktów tego przepisu.

Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywa-nym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Jaka kara grozi za brak informacji o ciasteczkach?

Ustawodawca autorów stron internetowych niezwykle kreatywnie wrzuca do grona odpowiedzialnych, w którym zazwyczaj znajdują się włodarze gigantów telekomunikacyjnych. Nie sposób zatem kryć przerażenia w związku z potencjalnymi konsekwencjami wynikającymi z ustawy.

Zgodnie z przepisami karnymi Prawa Telekomunikacyjnego (art. 209 ust. 1, pkt. 27 i art. 210) za brak informacji o ciasteczkach karę  pieniężną w drodze decyzji nakłada Prezes Urzędu Komunikacji Elektronicznej. Uwzględniając okoliczności i możliwości finansowe ukaranego podmiotu może nałożyć karę w wysokości do 3 % przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Jeżeli okres działania podmiotu jest krótszy niż rok kalendarzowy, za podstawę wymiaru kary przyjmuje się kwotę 500 000 złotych(!). W prawie brytyjskim kwota 500 000 funtów za podobne naruszenie pojawia się w charakterze górnej granicy kary, stopniowanej od 5000 funtów. Nie do końca wiem co z tym przepisem zrobi Prezes UKE.

Uwaga na oszustów

W sieci pojawiły się już liczne głosy o rozmaitych wezwaniach do zapłaty Urzędu Komunikacji Elektronicznej za brak komunikatów na temat cookies. Ministerstwo Administracji i Cyfryzacji wystosowało nawet oficjalne dementi, w którym wyjaśnia, że póki co nie były prowadzone żadne działania zmuszające autorów stron do płacenia jakichkolwiek kar w kwestii problematyki niniejszego artykułu.

Zupełnie pozaprawna refleksja – warto też ignorować naciągaczy, którzy sprzedają drogie skrypty z ostrzeżeniami o cookies. Istnieje wiele doskonałych i darmowych skryptów, których wdrożenie jest bardzo proste zarówno na gotowych platformach (np. WordPress), jak i w autorskich stronach.

Co myślę o prawie dot. cookies?

Powyżej przedstawiłem możliwie wyczerpującą analizę tego nie do końca jasnego przepisu, a teraz czas na moją opinię. Prawo dotyczące cookies jest swoistym podsumowaniem ustawodawstwa Unii Europejskiej, która rozwiązując jeden problem, tworzy w jego miejscu pięć kolejnych. Podejrzewam, że nowy art. 173 PT w zdecydowanej większości będzie przepisem martwym. Czytelny sygnał w tym kierunku dało samo MAiC, które 10 miesięcy po wejściu nowelizacji w życie oficjalnie informowało, że jak dotąd wobec nikogo nie były wyciągane z tego tytułu konsekwencje (a gdyby były – przy tych kwotach kar – wyobrażacie sobie jak wielki byłby oddźwięk w mediach?). Unia Europejska zamiast edukować, zmusza do wdrażania prawa, które nie odegra żadnej istotnej roli w zakresie ostrzegania przed zagrożeniami wynikającymi z coraz śmielej poczynających sobie ciasteczek. Na dodatek prawa, które stanowi utrudnienie dla twórców stron i ich gości.

A swoją drogą informacja, że okienka ostrzegające o ciasteczkach nie powinny pojawiać się ponownie po ich zamknięciu, zapisuje się – jakżeby inaczej – w plikach cookies. Jeśli więc zdecydujemy się wyłączyć je w naszej przeglądarce, okienkom o cookies nie będzie już końca. Takie to właśnie jest to nowe, ciasteczkowe prawo w praktyce.

Fot. tytułowa: Kimberly Vaderman/Flickr  CC BY

[alert type=”warning”]Jeżeli chcesz otrzymywać informacje na temat nowych porad i analiz prawnych, będzie mi bardzo miło jeśli polubisz profil TechLaw.pl na Facebooku – >> Prawo Nowych Technologii <<[/alert]

8 Comments

Submit a comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *