Cookies: Jak zjeść to ciastko?

Przed kilkoma dniami weszły w życie zmienione przepisy ustawy Prawo telekomunikacyjne dotyczące posługiwania się tzw. ciasteczkami. W praktyce są one wykonywane na różne sposoby – jedne serwisy informują o „polityce prywatności", inne wymagają jej akceptacji, jeszcze inne w ogóle nie dostrzegają wprowadzonych zmian. W zasadzie nikt nie prosi o zgodę na instalację plików cookies. Ale czy tak naprawdę można pozostać w zgodzie z zasadami używania ciasteczek inaczej, niż prosząc użytkownika o zgodę na instalację plików cookies?

Ciasteczka, czyli niewielkie pliki tekstowe, służą m.in. optymalizacji korzystania z serwisu

Ciasteczka to niewielkie pliki tekstowe zapisywane przez serwis internetowy, który odwiedzamy, na urządzeniu, z którego korzystamy podczas przeglądania serwisu („Nowe prawa dla internautów: dowiemy się o „cookies", Rzeczpospolita z 20 marca 2013 r.). Służą optymalizacji korzystania z serwisu, ale także do profilowania użytkowników, a przez to do celów marketingowych.

Powodem wprowadzenia w ustawie Prawo telekomunikacyjne nowych przepisów dotyczących ciasteczek była konieczność dostosowania polskich przepisów do zmienionych postanowień dyrektywy 2002/58/WE. W wyniku tej zmiany, dotychczasowa zasada opt-out (możliwość wyrażenia sprzeciwu wobec instalacji ciasteczek) została zamieniona na opt-in, czyli konieczność uzyskania zgody przez instalacją pliku cookie. Ale, jak czytamy w motywie 66 preambuły do dyrektywy zmieniającej dyrektywę 2002/58/WE, „w przypadku gdy jest to technicznie możliwe i skuteczne, zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE [dyrektywa o ochronie danych osobowych], użytkownik może wyrazić zgodę na działanie poprzez zastosowanie odpowiednich ustawień w przeglądarce lub innej aplikacji." Jest więc wymóg zgody, czy go nie ma?

Dwutorowe rozwiązanie

W zmienionych przepisach ustawy Prawo telekomunikacyjne przyjęto takie – dwutorowe – rozwiązanie. Z jednej strony, instalowanie plików cookies dopuszczalne jest po wyrażeniu zgody przez abonenta lub użytkownika końcowego (art. 173 ustawy Prawo telekomunikacyjne). Wyrażenie takiej zgody możliwe jest dopiero po otrzymaniu przez tegoż informacji o celu przechowywania i uzyskiwania dostępu do pliku cookie oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Internet jest medium globalnym, niepoddającym się regulacji krajowej czy nawet unijnej

Z drugiej strony, „abonent lub użytkownik końcowy może wyrazić zgodę [...] za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.". Chodzi więc o samo wyrażenie zgody za pomocą odpowiednich ustawień przeglądarki, za pomocą której przeglądane są serwisy, z których pochodzą ciasteczka. Zgoda jest zawsze udzielana po otrzymaniu informacji, o których wyżej. Oznacza to więc, że sekwencja zdarzeń powinna być następująca: najpierw otrzymanie informacji, a następnie wyrażenie zgody. Jest to bowiem tzw. zgoda osoby poinformowanej, świadomej konsekwencji wyrażenia zgody.

Zgoda na gruncie ustawy Prawo telekomunikacyjne (art. 174) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika, a także może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. Zgoda udzielona bezpośrednio podmiotowi instalującemu ciasteczka może potencjalnie spełniać te wymagania. Jest to możliwe także wtedy, gdy zgoda udzielana jest za pomocą ustawień przeglądarki. Ale ustawa wyraźnie precyzuje, że najpierw powinny zostać przekazane informacje, a później może zostać udzielona zgoda, co może nastąpić za pomocą ustawień przeglądarki. Czy istnieje więc w praktyce taki mechanizm, który opiera się o współpracę przeglądarek internetowych z serwisami internetowymi, w którym użytkownikowi najpierw prezentowane są informacje pochodzące z serwisu, a dotyczące plików cookies, a następnie dopiero dochodzi (lub nie) do instalacji ciasteczka? Nie, ponieważ prawodawca wspólnotowy poddał regulacji nie dostawców oprogramowania służącego do przeglądania serwisów internetowych, ale dostawców tychże serwisów.

Jak informować

Skoro więc sekwencja zdarzeń zakłada najpierw poinformowanie, a później instalowanie, można sobie wyobrazić następujący scenariusz: serwis, przy pierwszym wejściu na jego strony, przekazuje użytkownikowi informacje o celu przechowywania i uzyskiwania dostępu do pliku cookie oraz o możliwości określenia warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień przeglądarki. Najlepiej poinformować w formie informacji na stronie głównej. Zapisywanie ciasteczek może nastąpić dopiero pod warunkiem, że użytkownik zapozna się z tą informacją i jeżeli przeglądarka wykorzystywana przez użytkownika dopuszcza instalację ciasteczek, ponieważ Prawo telekomunikacyjne wymaga, aby użytkownik serwisu został poinformowany. Informacja musi mu więc zostać przekazana, nie wystarczy stworzenie możliwości zapoznania się z nią. Co istotne, przed tym zapoznaniem się serwis nie może instalować żadnych ciasteczek. Ale z drugiej strony, nawet nie zapoznając się z informacją użytkownik może korzystać z serwisu – byle bez instalowania mu plików cookies.

Oczywiście można również stosować mechanizm wyrażania zgody na instalację ciasteczek przez konkretny serwis. Jest to jednak w praktyce niezwykle uciążliwe i zapewne przyczyni się do spadku ilości osób odwiedzających tenże serwis.

I w tym miejscu wywód można by zakończyć, gdyby nie to, że zmieniona dyrektywa 2002/58/WE wymaga, aby zgoda na instalację plików cookies dokonywana za pomocą ustawień przeglądarki wyrażana była „zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE". W rozumieniu tych przepisów, zgoda to „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych" – w tym przypadku, na instalację ciasteczek. Tymczasem w Prawie telekomunikacyjnym czytamy tylko, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być wyrażona drogą elektroniczną, a także może być wycofana w każdym czasie. Nie ma wymogu oświadczenia „konkretnego", a wymóg konkretności zgody oznacza, że powinna ona zostać udzielona konkretnemu podmiotowi, w konkretnych okolicznościach. Polskie prawo dopuszcza więc, aby zgoda była udzielona abstrakcyjnie, poprzez ustawienia przeglądarki oderwane od konkretnego serwisu i konkretnych ciasteczek, dokonane np. jednorazowo przy instalacji oprogramowania. Czy mamy więc do czynienia z obniżeniem poziomu ochrony, czy też może z przypadkiem bardziej prozaicznym, jakim jest niezgodność polskich przepisów z unijnym pierwowzorem?

Pytań jest wiele

Tego rodzaju pytania dotyczące nowych przepisów można mnożyć – jaki jest np. stosunek art. 173 Prawa telekomunikacyjnego do art. 6 pkt 2 ustawy o świadczeniu usług drogą elektroniczną, zgodnie z którym podmiot prowadzący serwis internetowy jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o funkcji i celu oprogramowania lub danych nie będących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca? Te dane to właśnie ciasteczka – czyli czy należy poinformować, czy zapewnić dostęp do informacji? Różnica fundamentalna: poinformować, czyli przekazać informację, zapewnić dostęp, czyli umożliwić zapoznanie się z informacją, która jest gdzieś dostępna w serwisie.

A za pointę do tych rozważań niech posłuży następująca obserwacja – Internet jest medium globalnym, nie poddającym się regulacji krajowej. Można uchwalać w Polsce przepisy krajowe dotyczące ciasteczek. Można to robić w Unii Europejskiej. A i tak usługodawca wybierze dla siebie taki porządek prawny, który będzie mu zapewniał największą możliwą swobodę w posługiwaniu się ciasteczkami – i, jak pokazuje życie, często nie jest to kraj należący do Unii Europejskiej.

CV

dr Paweł Litwiński, adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, Instytut Allerhanda w Krakowie

Publicystyka Konsumenci

Pozostało 93% artykułu

Opinie Prawne

Marek Isański: Można przyspieszyć orzekanie NSA w sprawach podatkowych zwykłych obywateli

Wszyscy już się przyzwyczailiśmy, że fatalnie długi jest czas oczekiwania na rozpatrzenie skargi kasacyjnej od wyroku WSA w sprawach podatkowych zwykłych obywateli, bo to prawie 3 lata(!). Taka sytuacja – gdy skarga podatnika finalnie okaże się zasadna, co nie jest zjawiskiem rzadkim - jest nie tylko krzywdząca dla obywateli ale również generująca zbędne koszty po stronie budżetu. Można odnieść wrażenie, że państwo z jakąś dziwną premedytacją nie pilnuje wpłacanych przez wszystkich obywateli podatków, bo przecież w budżecie innych pieniędzy nie ma.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Na łamach Rzeczpospolitej 6 listopada nawoływałem, aby kompetencje nadzoru sztucznej inteligencji (SI) oddać Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). 20 listopada ukazał się tekst polemiczny, autorstwa mecenasa Przemysława Sotowskiego, w którym Pan Mecenas powołuje kilkanaście tez na granicy dezinformacji, bez uzasadnienia, oprócz „oczywistej oczywistości”. Tak jakby autor był bardziej politykiem niż prawnikiem. Niech mottem mojej repliki będzie to, co 12 sierpnia 1986 roku powiedział Ronald Reagan “Dziewięć najbardziej przerażających słów w języku angielskim to „Jestem z rządu i jestem tu, aby pomóc”

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

W dniu 4 grudnia 2024 r. na łamach dziennika "Rzeczpospolita" ukazała się publikacja „Sankcja kredytu darmowego – czy narracja parakancelarii jest zasadna?” autorstwa mecenasa Wojciecha Wandzela, przedstawiająca tezy i argumenty mające przemawiać za możliwością skredytowania kosztów kredytu i pobierania od tego odsetek, które w ocenie autora publikacji są pewnym wyjściem naprzeciw konsumentom, którzy chcą pozyskać kredyt.

Warszawa 1982. Stan wojenny. Rozprawa przed sądem wojskowym przeciwko podziemnym wydawcom.

Opinie Prawne

Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja

Dla wielu obywateli skrzywdzonych w czasach PRL, wejście sędziów stanu wojennego do sądów w III RP było nieakceptowalne. Niemoc ludzi Solidarności, aby to wejście zablokować, odebrała szacunek Temidzie na dekady.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Opinie Prawne

Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"

Przez ostatni rok główny ciężar działań i uwagi skupiony był na przywracaniu praworządności, choć z góry było wiadomo, że przy tym prezydencie para pójdzie w gwizdek. Jednocześnie w tym czasie nie zrobiono niczego, co by wydatnie poprawiło efektywność wymiaru sprawiedliwości.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Opinie Prawne

Marek Isański: Można przyspieszyć orzekanie NSA w sprawach podatkowych zwykłych obywateli

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

Czy rzeczywiście ktoś wierzy, że Rafał Trzaskowski będzie dobrym prezydentem akurat dlatego, że zna

Komentarze

Michał Szułdrzyński: Rafał, pardon maj frencz!

Rafał Trzaskowski zachwycił swoich sympatyków rozmową po francusku z Emmanuelem Macronem. Jednak w kontekście kampanii, która miała odczarować jego elitarny wizerunek, pojawia się pytanie, czy to nie oddala go od przeciętnego wyborcy.

ABC Firmy

Od dziś nowe wymogi dla sprzedających w sieci. Chodzi o bezpieczeństwo

Od dziś obowiązują unijne przepisy ws. bezpieczeństwa produktów sprzedawanych w internecie. Polska ich nie implementowała, więc na razie za niedopełnienie obowiązków nie grożą sankcję. Warto jednak dostosować się do nich zawczasu.

Waluty

Złoty mocniejszy, ale tylko w relacji do franka

Złoty w czwartek notował nieznaczne zmiany wobec euro i dolara. Większy ruch było widać w przypadku franka szwajcarskiego.

Waluty

Złoty znów rusza do ataku

Czwartek na rynku walutowym będzie upływał pod znakiem decyzji banków centralnych. Jak zareaguje na nie złoty?

Daniel Obajtek (wtedy jeszcze wójt gminy Pcim) oraz prezes PiS Jarosław Kaczyński w Sejmie w 2013 r

Opinie Ekonomiczne

Cezary Szymanek: Orlen ratuje się z „pułapki” Obajtka

Olefiny Daniela Obajtka, dwie wieże w Ostrołęce, przekop Mierzei Wiślanej, lotnisko w Radomiu. Wszyscy już wiedzą, że miliardy wydane na te inwestycje to pieniądze wyrzucone w błoto. A kiedy dowiemy się, kto poniesie za to odpowiedzialność?