Wykorzystywanie plików cookies – dziś oraz w kontekście prac nad ePrivacy

Pliki cookies śledzące zachowanie użytkowników internetu, w tym np. kupujących online w e-sklepach to dziś powszechność i standard funkcjonowania internetu. Bazujące na wykorzystywaniu cookies narzędzia marketingowe takie jak Google Analytics, Matomo, Google AdSense czy piksel Facebooka i wiele innych są stosowane przez niemal każdy sklep internetowy. W niniejszym artykule opisujemy jak kwestia plików cookies jest uregulowana w obecnym stanie prawnym oraz co może się zmienić w niedalekiej przyszłości.

ePrivacy

Pliki cookies – wprowadzenie

Pliki cookies to małe pliki tekstowe wysyłane np. przez sklep internetowy i przechowywane na urządzeniu końcowym (np. komputerze lub smartfonie) użytkownika internetu zawierające informacje związane z korzystaniem przez niego ze strony sklepu internetowego. Wykorzystywane są one w różnych celach – m.in. w celu obsługi i poprawnego wyświetlania strony sklepu internetowego (np. zapamiętywanie dokonanych przez klientów ustawień i preferencji), w celach analitycznych lub w celach reklamowych. Pliki cookies maja charakter tymczasowy (tzw. „session-cookies”) lub trwały („persistant cookie”) i mogą zostać umieszczone na stronach sklepu przez właściciela serwisu (tzw. „własne cookies” lub „first party cookies”) lub przez podmioty trzecie (tzw. „zewnętrzne cookies” lub „third party cookies”).

Na gruncie prawnym kluczowe regulacje dotyczące wykorzystywania plików cookies znajdują się nie w sławnym RODO, lecz w art. 173 prawa telekomunikacyjnego i istniały już na długo przed rozpoczęciem stosowania przepisów RODO. Chociaż również na gruncie RODO część przetwarzanych w ten sposób informacji może stanowić dane osobowe, kluczową regulacją na dzień dzisiejszy jest określony w prawie telekomunikacyjnym wymóg pozyskania zgody na wykorzystywanie plików cookies.

Pliki cookies i prawo telekomunikacyjne

Obecnie warunki wykorzystywania plików cookies reguluje wspomniany art. 173 prawa telekomunikacyjnego. Odnosi się on do każdej technologii wiążącej się z przechowywaniem lub uzyskiwaniem informacji znajdującej się na urządzeniu końcowym użytkownika. Zgodnie z jego treścią działanie takie jest dopuszczalne pod warunkiem, że:

  1. Użytkownik końcowy został uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do tej informacji, a także możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień przeglądarki internetowej;
  2. Użytkownik końcowy, po otrzymaniu powyższych informacji, wyrazi na to zgodę;
  3. Przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w urządzeniu końcowym lub jego oprogramowaniu.

Zatem zastosowanie plików cookies i podobnych technologii powinno poprzedzić wyrażenie zgody przez użytkownika przy jednoczesnym uprzednim przekazaniu mu np. za pomocą banneru wyświetlanego na dole lub u góry strony informacji o celu stosowania plików cookies (funkcjonowanie strony, reklamy, statystyki, ustawienia, itd.).

Po bardziej szczegółowe i opisowe wyjaśnienie celu można odesłać w formie linku do polityki prywatności lub innego dokumentu obszerniej wyjaśniającego to zagadnienie – należy to uczynić w sposób „łatwy i zrozumiały” dla użytkownika. W banerze informującym o wykorzystywaniu plików cookies musi znaleźć się również pouczenie o tym, że użytkownik za pomocą ustawień przeglądarki internetowej może określić warunki przechowywania cookies.

Sam sposób udzielenia zgody nie został przez ustawodawcę szczegółowo określony. Przyjmuje się wobec tego, że odpowiednio skonstruowany baner cookies zawierający wszelkie niezbędne informacje, umożliwia odebranie zgody w dowolnej formie. Może ona zostać wyrażona w formie elektronicznej poprzez zaznaczenie stosownych pól, kliknięcie w przycisk lub poprzez wykonanie określonego działania na stronie albo przybrać postać tzw. zgody domyślnej. Pewne ułatwienie wprowadza w tym zakresie art. 173 ust. 2 stanowiący, iż użytkownik końcowy może wyrazić zgodę za pomocą ustawień swojej przeglądarki („za pomocą oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”).

Zatem obecnie nie ma jasno sprecyzowanego wymogu odbierania aktywnej zgody użytkownika na wykorzystywanie plików cookies i podobnych technologii. Ważne jednak, aby baner z informacją o stosowaniu plików cookies wskazywał rodzaj i cel stosowanych plików cookies oraz zawierał informacje o możliwości ich zablokowania za pomocą konfiguracji ustawień przeglądarki internetowej.

Projekt rozporządzenia ePrivacy

Obecnie prowadzone są prace nad nowym unijnym rozporządzeniem ePrivacy, które stanowiłoby uzupełnienie RODO.  Rozporządzenia ePrivacy będzie określać ogólnoeuropejskie wymogi prawne dotyczące łączności elektronicznej i zastąpi istniejące w tym zakresie obecne regulacje, w tym wspominany i opisany powyżej przepis art. 173 prawa telekomunikacyjnego. Tym samym rozporządzanie może wprowadzić bardzo istotne zmiany w zakresie wykorzystywania plików cookies i podobnych technologii.

Na ten moment projekt rozporządzenia przewiduje bardziej restrykcyjne niż obecnie rozwiązania w zakresie marketingowego wykorzystywania urządzeń końcowych użytkowników i stosowania plików cookies oraz podobnych technologii.

Podobnie jak obecnie, działania takie miałyby być dopuszczalne za zgodą użytkownika, przy czym inaczej niż aktualnie – projekt rozporządzenia wyraźnie wskazuje jak ta zgoda miałaby wyglądać – zastosowanie znalazłyby definicja i warunki zgody przewidziane w RODO. Oznaczałoby to znaczące zaostrzenie przepisów – zgoda na cookies i podobne technologie nie mogłaby wówczas być dorozumiana i wynikać np. z braku aktywności użytkownika. Musiałaby przejawiać się w dobrowolnym i aktywnym działaniu użytkownika dokładnie poinformowanego o celu wykorzystania danej technologii.

Mimo wyraźnego zaostrzenia kursu, rozporządzanie wprowadza jednocześnie pewną furtkę w zakresie udzielania zgody dopuszczając tzw. „paywalle” polegające na uzależnianie dostępu do strony od wyrażenia zgody na wykorzystanie cookies i podobnych technologii (głównie w celach reklamowych), jeśli użytkownik ma jednocześnie możliwość niewyrażenia zgody i korzystania z serwisu w formule odpłatnej – bez cookies.

Projekt rozporządzenia ePrivacy był już wielokrotnie zmieniany, a pracami nad nim interesuje się wiele grup, środowisk i ośrodków lobbystycznych. Obecny kształt rozporządzenia może się oczywiście jeszcze zmienić i nie zanosi się na szybkie zakończenie prac nad jego finalną treścią. Debata i prace nad nowym rozporządzeniem są skomplikowana ze względu na konieczność pogodzenia różnych stanowisk i sprzecznych interesów – część zainteresowanych uważa, że stosowna zgoda powinna być możliwa do wyrażenia za pomocą wykorzystania ustawień przeglądarki internetowej, inni z kolei, że użytkownik powinien mieć możliwość wyrażenia zgody z poziomu każdej strony osobno.

RODO

0 komentarzy