Zmiany w prawie telekomunikacyjnym – problem z ciasteczkami?

Nowelizacja ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne z listopada ubiegłego roku wprowadziła kilka nowości, z których część weszła w życie w przeciągu ostatniego miesiąca, a część zacznie obowiązywać w niedalekiej przyszłości. Wszyscy przedsiębiorcy niezależnie od branży, zarówno posiadający zwykłą stronę www jak i rozbudowane portale czy w-sklepy, powinni uważać na omówione poniżej zmiany dotyczące tzw. plików cookies.

Ustawodawca nowelizacją, poza nowymi obowiązkami dla przedsiębiorców obecnych w Internecie, wprowadził także zmiany stricte związane z usługami telekomunikacyjnymi. Przykładowo od 21 stycznia 2013 r. zaszły istotne zmiany dotyczące zawierania przez operatorów umów o świadczenie usług telekomunikacyjnych z użytkownikami. Przepisy wprost wymagają, aby:

- umowy te były bardziej zrozumiałe;

- pierwsza umowa nie była podpisywana na okres dłuższy niż dwa lata,

- użytkownik mógł podpisać umowę również na okres krótszy niż 1 rok.

Kolejna zmiana dotyczy użytkowników Internetu mobilnego, którzy od 22 czerwca 2013 r. będą mogli żądać by ich operator powiadomił ich o wykorzystaniu limitu transferu danych – w zamyśle Ustawodawcy powinno to skutecznie zapobiegać nieoczekiwanym, wyższym rachunkom.

Wydaje się jednak, że zmianą wzbudzającą najwięcej dyskusji, szczególnie w środowisku e-commerce, są zmiany dotyczące tzw. „ciasteczek” (z ang. „cookies”), czyli w uproszczeniu małych plików tekstowych umieszczanych w komputerach użytkowników końcowych za pośrednictwem przeglądarek internetowych. Ciasteczka co do zasady pozwalają na przechowywanie określonych informacji na komputerze użytkownika i ich odczytanie przez serwis/portal, który te ciasteczka stworzył. Są powszechnie wykorzystywane praktycznie we wszystkich serwisach i stronach internetowych.

Cookies z jednej strony usprawniają naszą pracę w sieci – zapamiętują ustawienia stron (nasze preferencje, aktywne logowania, umożliwiają działanie sond/ankiet/liczników/statystyk). Z drugiej strony, mogą zapamiętywać także jakie artykuły w ramach serwisu odwiedzaliśmy, jakie treści zostały nam wyświetlone. To z kolei pozwala np. na tzw. targetowanie behawioralne chociażby dla celów marketingowych, czyli dobieranie wyświetlanych reklam w taki sposób, aby maksymalnie odpowiadały one zainteresowaniom użytkownika serwisu. Przykładowo, jeśli w ramach serwisu najczęściej odwiedzam podstrony dotyczące sportu, prezentowane mi reklamy będą dotyczyć np. biletów na mecz albo gier komputerowych o tematyce sportowej.

Takie „śledzenie” użytkownika, choć zwykle nie umożliwia jego jednoznacznej identyfikacji jako osoby fizycznej, w zależności od osobistego nastawienia, może być odbierane zarówno jako użyteczna usługa (widzimy reklamy rzeczy, które nas interesują) jak i potencjalne naruszenie prywatności.

Od strony prawnej, w uproszczeniu, dotychczas co do zasady przechowywanie plików tekstowych na urządzeniach użytkowników końcowych (np. komputerach) przez podmioty świadczące usługi drogą elektroniczną (np. portal) wymagało od usługodawcy głównie spełnienia obowiązków informacyjnych (cel przechowywania danych, sposób sprzeciwienia się) oraz zapewnienia by cookies’y nie powodowały zmian konfiguracyjnych lub w oprogramowaniu.

Od 22 marca 2013 r. powyższe zasady ulegną istotnej zmianie. Użytkownik nie tylko będzie musiał zostać bezpośrednio, jednoznacznie, w sposób łatwy i zrozumiały poinformowany o celu przechowywania cookies oraz możliwości modyfikowania ustawień dot. ciasteczek w przeglądarce lub świadczonej przez dany portal usłudze, ale będzie musiał (po uzyskaniu powyższych informacji) wyrazić na to zgodę. Co ważne, zgoda taka nie może być domniemana lub dorozumiana z innego oświadczenia woli.

Warto w kontekście spełniania obowiązku informacyjnego rzucić okiem na nową politykę prywatności dot. ciasteczek stosowaną przez GIODO i szczegółowość podanych informacji: http://www.giodo.gov.pl/169/id_art/1026/j/pl/. Podobne, a nawet dalej idące praktyki wdrażają już niektórzy przedsiębiorcy (np. jeden z producentów samochodów), którzy w ramach swoich witryn internetowych umożliwiają internautom ustawiania różnego zakresu wykorzystywania cookies:

- minimalny, wymagany dla prawidłowego działania strony;

- rozszerzony, dla włączenia określonych funkcjonalności ułatwiających przeglądanie stron (np. zapamiętywanie logowania);

- pełny, zezwalający firmom trzecim na korzystanie z danych zebranych w serwisie.

Można nadmienić, że powyższe zasady (konieczność informowania i uzyskania uprzedniej zgody) nie będą musiały być stosowane m. in. jeżeli przechowywanie lub uzyskanie dostępu do cookies jest konieczne do dostarczenia usługi świadczonej drogą elektroniczną, żądanej przez użytkownika końcowego. Choć wydaje się, że w praktyce większość cookies’ów nie jest „konieczna” do świadczenia określonej usługi na żądanie użytkownika to jednak to wyłączenie ustawowe może stwarzać pewne pole manewru dla niektórych portali/usługodawców.

Trzeba pamiętać, że nieuzyskiwanie zgody użytkownika końcowego może wiązać się z poważnymi konsekwencjami – może prowadzić do nałożenia kary pieniężnej w wysokości nawet do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Co istotne, polski Ustawodawca, w przeciwieństwie do unijnego, dopuścił wprost możliwość wyrażenia przez użytkownika zgody, o której mowa powyżej, za pomocą ustawień np. przeglądarki internetowej albo usługi danego usługodawcy, co na marginesie, choć wzbudza kontrowersje bo wydaje się że przepisy unijne sugerują konieczność uzyskiwania zgody każdorazowo, bezpośrednio od świadomego użytkownika, to jest raczej odczytywane jako próba zliberalizowania i „poprawienia” prawa unijnego.

W tym kontekście, patrząc na całą nową regulację z szerszej perspektywy, warto wskazać na przykład brytyjski, gdzie przepisy unijne zostały zaimplementowane już wcześniej. Wielka Brytania wdrożyła „czysty” model unijny, tzn. wymagający każdorazowej, wyraźnej zgody użytkownika na zainstalowanie i wykorzystanie ciasteczek, bez możliwości ustawienia takiej zgody w ustawieniach np. przeglądarki (każdorazowe opt-in). Jak pokazała praktyka, nowe prawo było uciążliwe zarówno dla samych usługodawców jak i użytkowników, wymagało niezliczonej ilości „kliknięć” aby móc korzystać swobodnie z zasobów Internetu. W efekcie można było usłyszeć apele o bojkot nowych przepisów, co jednak, z uwagi na wysokość potencjalnych kar, raczej nie stanowiło rozwiązania problemu. Co interesujące, dnia 31 stycznia 2013 r. swoją politykę w zakresie cookies wyraźnie rozluźnił brytyjski ICO (odpowiednik naszego GIODO; patrz: http://www.ico.gov.uk/news/current_topics/changes-to-cookies-on-our-website.aspx), rezygnując na własnej stronie z początkowo przyjętego sposobu uzyskiwania zgód – aktualnie ICO informuje o fakcie umieszczenia plików cookies na komputerze użytkownika oraz o sposobie zmiany ustawień w tym zakresie. Przez część brytyjskich komentatorów zostało to uznane za „śmierć ciasteczkowego prawa”.

Podsumowując, wprowadzone zmiany są istotne zarówno dla przedsiębiorców jak i konsumentów. Praktyka stosowania przepisów, zwłaszcza przez organy państwowe, pokaże, jakie będą realne skutki nowych regulacji i czy zostanie zachowany właściwy balans pomiędzy prywatnością użytkowników Internetu, ich wygodą oraz prowadzeniem biznesu w sieci. W kontekście ciasteczek, na pewno warto jednak uważnie przyjrzeć się swojemu serwisowi i potwierdzić czy jest on przygotowany na nadchodzące od 22 marca 2013 r. zmiany.

Autor: Grzegorz Leśniewski, Aplikant adwokacki w Kancelarii Olesiński&Wspólnicy, członek zespołu Prawa Mediów Elektronicznych


Tagi: , , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>