Cookies: małe ciasteczka – dużo zachodu

Posted on

prawnik internetNowelizacja Prawa telekomunikacyjnego, która weszła w życie w dniu 22 marca 2013 r., nałożyła na osoby prowadzące serwisy i sklepy internetowe (właścicieli stron) nowe obowiązki informacyjne, dotyczące funkcjonowania na ich stronach tzw. ciasteczek („cookies”). Zmiana przepisów wynika z obowiązku dostosowania polskiego prawa do wytycznych Unii Europejskiej (poszczególne kraje UE, w tym Polska, samodzielnie opracowały przepisy szczegółowe).

Niestety nowe zapisy są trudne w interpretacji i praktycznym zastosowaniu, a organy państwowe nie wydały oficjalnych wytycznych ani zaleceń na ten temat. Za naruszenie nowych przepisów właścicielom stron grożą dotkliwe kary.

[hr_shadow]CO TO SĄ CIASTECZKA?

Ciasteczka (cookies) to małe pliki tekstowe, zapisywane przez strony i serwisy internetowe w komputerach osób przeglądających te strony. Służą one najczęściej dostosowaniu ustawień wyświetlania stron do preferencji użytkownika, zapamiętywania i automatyzacji wpisywania loginów i haseł do poczty e-mailowej, zapamiętywania stanu „koszyka” zakupów w sklepach internetowych, automatyzacji wypełniania formularzy, tworzenia statystyki odwiedzin stron, itp.

Większość ciasteczek wprowadza wiele korzyści i ułatwień dla osób odwiedzających strony internetowe, niestety ciasteczka mają też drugie, pejoratywne oblicze. Dzięki nim możliwe jest śledzenie i zbieranie szczegółowych informacji o aktywności internautów w sieci, ich preferencjach dotyczących przeglądania stron o określonej tematyce, częstotliwości odwiedzin serwisów internetowych czy też rodzajach towarów kupowanych w sieci. Informacje te wykorzystywane są m.in. przez branżę reklamową do analizy zachowań i upodobań określonych grup użytkowników, a następnie kierowania do tych osób odpowiednio przygotowanych, spersonalizowanych kampanii marketingowych i reklam. W opinii Komisji Europejskiej oraz wielu użytkowników internetu, funkcjonowanie ciasteczek zbierających takie informacje narusza prywatności osób przeglądających serwisy internetowe.

Likwidacja plików cookies nie jest jednak do końca możliwa, bez plików tego typu wiele stron internetowych nie mogło by poprawnie funkcjonować. Między innymi też z tego względu Komisja Europejska, a następnie polski Ustawodawca wprowadzili regulacje dotyczące obowiązku szczegółowego  informowania oraz uzyskania zgody internautów na każdorazowe, indywidualne  zastosowanie plików cookies.[hr_shadow]OBOWIĄZKI WŁAŚCICIELI STRON PO NOWELIZACJI

Ww. obowiązki właścicieli serwisów i sklepów internetowych zostały w głównej mierze określone w art. 173 znowelizowanej ustawy Prawo telekomunikacyjne. Z powyższego przepisu wynika, że:

– abonent lub użytkownik końcowy (czyli internauta korzystający z danego serwisu lub sklepu internetowego), musi być bezpośrednio i uprzednio powiadomiony o wykorzystaniu plików cookies przez dany serwis lub sklep internetowy. Powiadomienie to powinno być sformułowane w sposób jednoznaczny, łatwy i zrozumiały dla użytkownika końcowego lub abonenta. Internauta musi być powiadomiony o możliwości wyrażenia zgody (lub jej braku) na użycie wobec niego  „ciasteczek” przez daną stronę, co oznacza zgodę na fizyczne zapisania na jego urządzeniu końcowym (np. komputerze, tablecie, telefonie komórkowym) plików cookie.

– w powiadomieniu tym winna być zawarta informacja o celu przechowywania i uzyskania informacji zapisanych w plikach cookie.

– należy również poinformować internautę o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w zapisanych plikach cookie.[hr_shadow]PROWADZĘ STRONĘ INTERNETOWĄ – CO POWINIENEM ZROBIĆ?

1.Powiadomienie i polityka prywatności

Praktyczna realizacja powyższego obowiązku informacyjnego może polegać m.in. na zamieszczeniu przez właściciela danego serwisu lub sklepu internetowego powiadomienia na stronie w postaci np. baneru lub okienka pop-up. Powiadomienie winno być umieszczone w miejscu widocznym dla wszystkich odwiedzających stronę oraz zawierać informację wyrażoną językiem zrozumiałym dla „zwykłego” użytkownika. Z informacji musi wynikać fakt użycia plików cookie na danej stronie oraz pouczenie internauty o możliwości rezygnacji z ich zastosowania poprzez zablokowanie plików cookie w ustawieniach przeglądarki internetowej. Pozostałe obowiązki informacyjne wynikające z art. 173 Prawa telekomunikacyjnego warto zrealizować poprzez odesłanie linkiem z ww. baneru lub pop-up informacyjnego do strony zawierającej szczegółowe informacje dotyczące „polityki prywatności” lub „polityki cookies”.

2. Cel używania ciasteczek

W szczegółowych informacjach zawartych na stronie z „polityką prywatności / polityką cookies” należy zamieścić m.in. informacje o celu przechowywania i uzyskania informacji zapisywanych w plikach cookie, np. o tym, czy są to pliki mające na celu:

– podtrzymanie sesji (np. przeglądania strony internetowej) przez tzw. „ciasteczka sesyjne” (ang. session cookies) – są to pliki tymczasowe, które przechowywane są w urządzeniu końcowym internauty aż do czasu wylogowania lub opuszczenia danej strony internetowej;

– spełnienie określonych funkcji przez tzw. „ciasteczka stałe” (ang. persistent cookies) – są to pliki przechowywane są w urządzeniu końcowym internauty przez „stały” czas,  określony ściśle w parametrach technicznych konkretnych plików cookies (np. przez 1 rok), lub do czasu ich usunięcia z komputera przez internautę. Występują „ciasteczka stałe” o różnym przeznaczeniu i funkcjach, np. zapewniające bezpieczeństwo logowania, optymalizujące ustawienia strony do preferencji użytkownika, zbierające informacje statystyczne czy też ciasteczka reklamowe gromadzące informacje marketingowe o użytkownikach stron.

Z punktu widzenia realizacji obowiązku informacyjnego wynikającego ze znowelizowanego Prawa telekomunikacyjnego należy wskazać, jakie pliki cookie są wykorzystywane na danej stronie internetowej oraz jakie funkcje poszczególne pliki cookie realizują.

3. Czyje te ciasteczka?

Warto również wskazać, które ciasteczka pochodzą od tzw. „podmiotów zewnętrznych” czyli osób lub podmiotów trzecich niezależnych od właściciela danej strony. Przykładowo będą to cookie pochodzące od popularnych serwisów internetowych, np. Facebook, Youtube, narzędzia Google Analytics itp.

Na marginesie należy zauważyć, że wykorzystanie plików cookie wyłącznie do celów statystyki, np. za pomocą powszechnie dostępnego Google Analytics, również wymaga poinformowania użytkowników stron o tym fakcie i otrzymania od nich stosownej zgody. Powyższa opinia potwierdzona jest stanowiskiem wyrażonym przez Artura Koziołka, rzecznika Ministerstwa Administracji i Cyfryzacji (MAC): „Administrator strony, który stosuje tylko narzędzia do analizy ruchy również musi umieszczać stosowne komunikaty na swojej witrynie”.

4. Informacja o możliwości wyrażenia lub niewyrażenia zgody na cookies

Zgodnie z obowiązującymi przepisami, użytkownik strony winien być poinformowany o możliwości wyrażenia zgody (lub jej braku) na użycie przez przeglądaną stronę plików cookie. Na podstawie art. 173 ust. 2 Prawa telekomunikacyjnego, zgoda taka może być przez użytkownika strony wyrażona za pomocą odpowiednich ustawień przeglądarki internetowej użytkownika, dopuszczających użycie i zapisanie plików cookie na jego komputerze i gromadzenie na jego temat informacji. Natomiast jeżeli użytkownik nie godzi się na użycie przez przeglądaną stronę plików cookie, to powinien zmienić ustawienia w swojej przeglądarce internetowej  i zablokowywać do nich dostęp.

Obowiązek informacyjny określony w art. 173 ust. 1 pkt 1 lit b) Prawa telekomunikacyjnego dotyczy poinformowania internautów o możliwości określenia przez nich warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w zapisanych plikach cookie za pomocą oprogramowania zainstalowanego w komputerze użytkownika lub poprzez konfigurację usługi. Obowiązek ten można zrealizować poprzez wskazanie użytkownikowi strony sposobów  odpowiedniego ustawienia (skonfigurowania) popularnych przeglądarek internetowych pod kątem obsługi plików cookie, w wyniku których użytkownik będzie mógł np.:
– zaakceptować pełną obsługę cookies,
– zarządzać plikami cookie w zakresie pojedynczych wybranych stron,
– zachować pliki cookie do czasu zamknięcia przeglądarki
– całkowicie blokować pliki cookies oraz dokonać ich usunięcia.

Należy pamiętać, że pliki cookie zamieszczone w serwisie lub sklepie internetowym zgodnie z art. 173 Prawa telekomunikacyjnego nie mogą powodować zmian konfiguracyjnych w urządzeniu końcowym (np. komputerze, tablecie, telefonie komórkowym) użytkownika strony oraz w oprogramowaniu zainstalowanym w tym urządzeniu.[hr_shadow]KARY FINANSOWE ZA NARUSZENIE PRZEPISÓW DOTYCZĄCYCH COOKIES

Organem państwowym uprawnionym do kontroli przestrzegania przepisów, decyzji oraz postanowień z zakresu telekomunikacji jest Prezes Urzędu Komunikacji Elektronicznej (UKE). Tym samym kontrole Prezesa UKE mogą również dotyczyć realizacji obowiązków wynikających z art. 173 Prawa telekomunikacyjnego.

Zgodnie z art. 209 ust. 1 pkt ust. 25) Prawa telekomunikacyjnego na każdego, kto nie wypełnia obowiązków uzyskania zgody abonenta lub użytkownika końcowego, o którym mowa m.in. w art. 173, podlega karze pieniężnej. Karę tą ustala Prezes UKE w drodze decyzji, w wysokości do 3 % przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Podsumowując, naruszenie przepisów Prawa telekomunikacyjnego dotyczących obowiązku uzyskania zgody użytkownika końcowego (internauty) na użycie wobec niego plików typu  cookie (a w praktyce wywiązanie się również z obowiązków informacyjnych), może zostać okupione przez właściciela serwisu lub sklepu internetowego bardzo dotkliwą karą finansową.