Prawo telekomunikacyjne a internet: zjeść ciastko i mieć ciastko

Projektowana regulacja dotyczy instalowania tzw. ciasteczek (cookies) w urządzeniach (np. komputerach) użytkowników podłączonych do sieci Internet. Są to niewielkie pliki tekstowe, wysyłane przez serwer odwiedzanej strony WWW i zapisywane na twardym dysku użytkownika. Zawierają one różne informacje o osobie korzystającej z danej witryny internetowej, w tym o historii jej połączeń z daną stroną. Informacje te odczytywane są przy kolejnych połączeniach przez podmiot (czy precyzyjniej serwer), który utworzył dane cookies. Dzięki temu możliwe jest automatyczne rozpoznawanie danego użytkownika, co z kolei pozwala na tworzenie np. spersonalizowanych serwisów WWW czy „koszyków zakupowych" w sklepach internetowych. Mechanizm ten wykorzystywany jest również powszechnie w marketingu internetowym, w celu dostosowania wyświetlanych dla danego użytkownika reklam do zawartości odwiedzanych przez niego stron internetowych.

Zmiany w dyrektywie E-Privacy

Urządzenia końcowe użytkowników zaliczane są do sfery ich prywatności. Z tych przyczyn przepisy prawa określają zasady dopuszczalnej ingerencji w nie osób trzecich, np. w drodze instalowania programów monitorujących aktywność użytkowników w sieci Internet czy zamieszczania cookies.

Zgodnie z dotychczasowym brzmieniem art. 5 ust. 3 dyrektywy Parlamentu Europejskiego i Rady nr 2002/58/WE („Dyrektywa o prywatności i łączności elektronicznej") wystarczające było poinformowanie o tym użytkownika wraz z zagwarantowaniem mu prawa do wyrażenia sprzeciwu. Dyrektywa 2009/136/WE zmieniła treść tego przepisu w ten sposób, że wprowadzono w nim wymóg uzyskania zgody użytkownika.

Na gruncie prawa polskiego odpowiednikiem zmienionego art. 5 ust. 3 dyrektywy 2002/58/WE jest art. 173 PT. Zgodnie z nim tzw. dane informatyczne, w tym pliki cookies, mogą być przechowywane w urządzeniach końcowych użytkowników pod warunkiem poinformowania o celu przechowywania danych i o sposobach korzystania z ich zawartości, a także braku wyrażenia przez użytkownika sprzeciwu wobec przechowywania takich informacji w jego urządzeniu końcowym. Przepis ten ma zostać zmieniony w ramach nowelizacji PT, nad którą właśnie trwają prace legislacyjne.

Nadzorujące ten proces Ministerstwo Administracji i Cyfryzacji (MAiC) poinformowało, że w art. 173 PT przewiduje się wprowadzenie wymogu zgody na instalowanie cookies na cele reklamowe (marketingowe).

To nie oprogramowanie szpiegujące

Przepis art. 5 ust. 3 dyrektywy 2002/58/WE reguluje różnego rodzaju sytuacje, w których dochodzi do zamieszczania przez osoby trzecie danych informatycznych lub programów komputerowych w urządzeniach końcowych użytkowników. Podkreślono to wyraźnie w motywach 65. i 66. dyrektywy 2009/136/WE, w których dokonano rozróżnienia pomiędzy instalowaniem programów służących do ukrytego monitorowania działań użytkowników („oprogramowanie szpiegujące") oraz zapisywaniem tekstowych plików cookies.

W przypadku tych pierwszych trafnie podkreślono, że mogą one stanowić poważne zagrożenie dla prywatności użytkowników. Oprogramowanie to jest bowiem często instalowane w celu oszukania użytkownika (np. aplikacja zmieniająca ustawienia strony głównej w przeglądarce), jest ono również trudne do usunięcia lub odinstalowania. Tego rodzaju zagrożeń nie ma w przypadku cookies. We wszystkich bowiem najpopularniejszych typach przeglądarek internetowych użytkownik może wprowadzić takie ustawienia, że przeglądarka informuje go o zapisaniu cookies lub pyta o zgodę na ich zapisanie, możliwe jest też całkowite wyłączenie ich obsługi. Podkreślić należy również „pasywny" charakter cookies w tym znaczeniu, że nie są one programami komputerowymi (nie mogą więc przejmować cudzych danych), nie mogą też przenosić wirusów komputerowych.

Z powyżej wskazanych przyczyn postuluje się ustanowienie liberalniejszych zasad dotyczących użycia cookies niż „oprogramowania szpiegującego" (spyware).

Postulat ten został już zrealizowany w obecnie obowiązującym art. 173 PT, w którym wprowadzono odmienne zasady dla umieszczania w urządzeniach końcowych użytkowników „danych informatycznych" (ust. 1) oraz dla „instalowania oprogramowania" (ust. 3). W pierwszym przypadku, jako rodzącym mniejsze zagrożenie dla prywatności, użytkownikowi zagwarantowano prawo sprzeciwu, w drugim natomiast wprowadzono konieczność udzielenia przez niego zgody.

Naszym zdaniem obecna treść art. 173 PT już odzwierciedla, bez konieczności jej nowelizacji, intencję, która stała u podstaw nowelizacji przez prawodawcę europejskiego art. 5 ust. 3 dyrektywy 2002/58/WE.

Zgoda na cookies

W dyrektywie 2002/58/WE prawodawca unijny dopuścił możliwość konkludentnego (dorozumianego) wyrażenia zgody na użycie cookies. Zastosowanie tej konstrukcji napotyka istotny problem w przypadku obecnie obowiązującego prawa polskiego. Zgodnie bowiem z art. 174 pkt 1 PT zgoda „nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści".