2013-03-25   Komu ciasteczka (cookies)? Czyli o nowelizacji Prawa Telekomunikacyjnego

W piątek 25 marca 2013 r. weszła w życie nowelizacja ustawy Prawo Telekomunikacyjne w zakresie dotyczącym możliwości instalowania plików cookies oraz innego oprogramowania w urządzeniach abonentów oraz użytkowników końcowych. Zmiana jest efektem implementacji nowej treści art. 5 ust. 3 Dyrektywy 2002/58/WE (Dyrektywa o  prywatności i  łączności elektronicznej) („Dyrektywa”), jaką ustanawia Artykuł 2 punkt 5) Dyrektywy Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r.

Cookies (lub inaczej „ciasteczka”), są to niewielkie informacje tekstowe, wysyłane przez serwer WWW i zapisywane w urządzeniu końcowym użytkownika. Ciasteczka mogą zawierać rozmaite rodzaje informacji o użytkowniku witryny internetowej oraz o historii jego połączeń z danym serwerem. Są wykorzystywane do różnych celów, m.in. dzięki cookies możliwe jest tworzenie spersonalizowanych serwisów internetowych, obsługi logowania czy powszechnie znanych koszyków zakupowych w sklepach internetowych. Stanowią również kluczowy element analizy behawioralnej w związku z reklamą behawioralną, czyli tzw. OBA. Jak pokazuje dotychczasowa praktyka cookies stanowią integralną część ruchu sieciowego, w wielu przypadkach są wręcz niezbędne do jego normalnego funkcjonowania.
 
Przed nowelizacją, użytkownik miał prawo wyrażenia sprzeciwu (tzw. system opt-out), w celu uniemożliwienia dalszego przechowywania plików cookies usługodawcy w urządzeniu końcowym użytkownika. Obecnie znowelizowany artykuł 173 Prawa Telekomunikacyjnego zobowiązuje usługodawców do uzyskania zgody użytkowników na przechowywanie i stosowanie cookies (system opt-in). Sposób uzyskiwania zgody użytkownika na przechowywanie i stosowanie cookies, budził największe wątpliwości w trakcie praw nad nowelizacją ustawy. Dotyczyły one problemu czy zgoda może być dorozumiana, czy też musi być złożona na piśmie albo co najmniej wymagać musi kliknięcia „Tak”. Ostatecznie Ministerstwo Administracji i Cyfryzacji (MAiC) zdecydowało się na kompromisowe rozwiązanie, że zgoda na stosowanie ciasteczek może być wyrażona za pomocą ustawień przeglądarki. Spotkało się ono z krytyką ze strony niektórych podmiotów m.in. Fundacji Panoptykon, która uważa, że wobec brzmienia przepisów Dyrektywy nie jest możliwe przyjęcie konstrukcji zgody dorozumianej. Wydaje się, że możliwość wyrażenia zgody na przechowywanie oraz stosowanie plików cookies za pomocą ustawień przeglądarki odpowiada potrzebom Internetu oraz będzie mniej uciążliwe dla samych internautów. Wymóg wyraźnej akceptacji  polityki prywatności witryn internetowych oraz zgody na przechowywanie i stosowanie plików cookies był przez pewien czas stosowany w Wielkiej Brytanii, lecz obecnie Information Commisioner's Office (ICO) wycofało się z tego pomysłu i przyjęło rozwiązanie analogiczne do polskiego.
 
Przed wyrażeniem zgody niezbędne jest jednak wypełnienie przez usługodawcę odpowiednich obowiązków informacyjnych. Użytkownik musi zostać poinformowany o celu przechowywania i prawie uzyskiwania dostępu do tej informacji, a także o możliwości określenia przez użytkownika warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu lub konfiguracji usługi. Informacja taka musi przy tym zostać przekazana w sposób jednoznaczny, łatwy i zrozumiały.
 
W praktyce opisane wyżej wymogi są realizowane w ten sposób, że przy pierwszym wejściem użytkownika wyświetlana jest informacja o stosowaniu przez daną witrynę plików cookies zawierająca jest odesłanie do polityki prywatności zawierającej odpowiednie wyjaśnienia.
 
Dla usługodawców internetowych nowelizacja będzie się wiązać z weryfikacją treści regulaminów świadczenia usług drogą elektroniczną oraz polityk prywatności. Ponadto, wymaga wdrożenia rozwiązania pozwalającego na bezpośrednie poinformowanie użytkownika, przed rozpoczęciem przechowywania lub uzyskaniem dostępu do informacji już przechowywanej w urządzeniu końcowym użytkownika, o celu przechowywania oraz możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania.
 
Naruszenie obowiązków w zakresie cookies może wiązać się z  sankcjami w postaci kar pieniężnych nakładanych przez Prezesa Urzędu Komunikacji Elektronicznej (UKE). Może ona wynieść nawet do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Prezes UKE może nałożyć również karę pieniężną na kierującego przedsiębiorstwem telekomunikacyjnym, w wysokości do 300 % jego miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.
 
Marcin Kroll