Artykuł 26.04.2011 6 min. czytania Tekst Ministerstwo Infrastruktury zorganizowało debatę na temat tego, jak uregulować w prawie problem plików „cookies” (tzw. ciasteczek) – czyli informacji, które są w sposób automatyczny zapisywane w pamięci urządzeń, za pomocą których korzystamy z Internetu. Zasadniczym zadaniem ciasteczek jest identyfikacja użytkownika (tj. jego profilu i ustawień przeglądarki - nie tożsamości!), kiedy wchodzi do sieci. Bez ciasteczek bylibyśmy tylko przypadkowym numerem IP, a więc „Internet” nie mógłby nam zaoferować żadnych udogodnień ani spersonalizowanych usług (zapamiętywania haseł, koszyków zakupowych, sprofilowanej reklamy czy wyników wyszukiwania). Coraz częściej ciasteczka są konieczne nawet dla prawidłowego wyświetlenia strony internetowej. Cały problem polega na tym, żeby dobrze określić granicę między „koniecznością” czy „udogodnieniem” a nieuzasadnionym naruszeniem prywatności. Na tym zasadniczo utknęła dzisiejsza debata. Ministerstwo Infrastruktury zaprosiło ponad 30 ekspertów z różnych środowisk (przedstawicieli branży reklamowej i biznesu internetowego, Generalnego Inspektora Ochrony Danych Osobowych, Prezesa Urzędu Ochrony Konkurencji i Konsumentów i organizacji działających na rzecz ochrony praw człowieka – czyli nas), żeby umożliwić wymianę poglądów i wspólnie zastanowić się nad wdrożeniem do polskiego porządku prawnego europejskich przepisów dotyczących plików "cookies". Mamy przed sobą, i to trybie pilnym, implementację art. 5 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. I Komisja Europejska, i – jak wynika z dzisiejszej dyskusji – Ministerstwo Infrastruktury dostrzegają to, o czym pisaliśmy i mówiliśmy wielokrotnie: wszędobylstwo ciasteczek w Internecie stwarza nie tylko doskonałe środowisko dla świadczenia spersonalizowanych usług i reklamy behawioralnej, ale także konkretne zagrożenia dla prywatności. Na ich podstawie firmy internetowe są w stanie budować szczegółowe profile użytkowników i rejestrować naszą codzienną aktywność w sieci. Ciasteczko to cyfrowy ślad, który zostawiamy dosłownie na każdym kroku. Ślad, który jest rejestrowany i analizowany – głównie na użytek branży reklamowej. Nasze profile, wygenerowane na podstawie tysięcy ciasteczek, jakie nam towarzyszą na co dzień, są kluczowym towarem w biznesie opartym na reklamie behawioralnej – do nich, za pomocą specjalnego oprogramowania i giełd reklam (ad exchange), dopasowuje się informację handlową, którą ostatecznie zobaczymy na odwiedzanej stronie. Stąd też wniosek, dla nas bardzo oczywisty, że korzystanie z ciasteczek powinno zostać poddane podobnej regulacji, jak korzystanie z danych osobowych (mimo, że same pliki cookie zwykle naszych danych nie zawierają). Zgodnie z tą filozofią, art. 5.3. wspomnianej dyrektywy stanowi, że „państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę". Taka zgoda musi być wyrażona dobrowolnie, po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Ten przepis ma zostać implementowany w ustawie Prawo telekomunikacyjne (nowelizacja art. 173). Co bardzo istotne, dyrektywa pozostawia do decyzji poszczególnych państw, czy zgoda musi być wyraźna (np. zatwierdzenie „kliknięciem” odpowiedniej klauzuli), czy wystarczy tzw. zgoda dorozumiana (np. wywnioskowana z braku sprzeciwu użytkownika, który nie zablokował ciasteczek za pomocą odpowiednich opcji w przeglądarce). Wokół tego, jak taką zgodę ukształtować zarysowała się oś sporu pomiędzy obrońcami prywatności (GIODO, Panoptykon) i biznesem internetowym (IAB, Google). Naszym zdaniem, zgoda domniemana z braku reakcji użytkownika to niebezpieczna fikcja. Odsetek użytkowników, którzy mają pojęcie o istnieniu i zagrożeniach związanych z ciasteczkami jest bardzo niewielki. Na to nakłada się problem swoistego „wyścigu zbrojeń”, ponieważ do śledzenia naszej aktywności w sieci tworzone są nowe rodzaje cookies, których nie można zablokować z poziomu przeglądarki (vide raport ENISA). Wreszcie, mało kto ma dziś czas na szukanie odpowiednich ustawień prywatności i zgłębianie problematyki "cookies", kiedy porusza się po sieci. Dlatego prawo musi zagwarantować użytkownikom prawo do naiwnego i pasywnego poruszania się po sieci, a na profesjonalistów (którzy ostatecznie na naszej informacji zarabiają) przerzucić obowiązek informowania o zagrożeniach oraz uzyskiwania zgody. Oczywiście, to nie powinna być zgoda na „każde ciasteczko”, co skutecznie sparaliżowałoby ruch w Internecie. Mówimy raczej o zgodzie na to, że konkretne firmy będą przesyłać nam określony rodzaj ciasteczek w określonym celu. Taki model testują, z powodzeniem, twórcy najbardziej popularnych przeglądarek internetowych (Mozilla i Microsoft). Branża reklamowa nie przyjmuje jednak tej opcji do wiadomości. Dziś usłyszeliśmy przede wszystkim, że bez ciasteczek nie ma Internetu (bo Internet reklamą behawioralną stoi…) i że ludzie wcale nie dbają o swoją prywatność, ponieważ nie zapisują się do rejestrów klientów, którzy nie życzą sobie przesyłania ulotek reklamowych (są takie!). Nie usłyszeliśmy jednak konkretnych propozycji wdrożenia dyrektywy tak, aby zagwarantować udzielenie świadomej i dobrowolnej zgody przez użytkowników. W naszej opinii propozycja pozostawienia obecnego stanu rzeczy - czyli możliwości zablokowania niektórych typów ciasteczek poprzez zmianę ustawień przeglądarki - tego warunku nie spełnia. Zdaniem Ministerstwa Infrastruktury, „właściwa implementacja [dyrektywy] powinna z jednej strony uwzględniać fundamentalne prawa jednostki do ochrony prywatności, natomiast z drugiej strony – brać pod uwagę interesy podmiotów gospodarczych prowadzących działalność w sektorze mediów elektronicznych.” Jak widać po dzisiejszej debacie, to niełatwe zadanie. Teraz Ministerstwo daje sobie czas na opracowanie propozycji przepisów prawnych i obiecuje, że zaprosi nas do konsultacji konkretnych rozwiązań. Będziemy raportować. Polecamy: Bittersweet cookies. Some security and privacy considerations Opinia 2/2010 w sprawie internetowej reklamy behawioralnej przyjętej dnia 22 czerwca 2010 r. przez Grupę Roboczą ds. Ochrony Danych powołanej na mocy art. 29 How Unique Is Your Browser? A research project of the Electronic Frontier Foundation Katarzyna Szymielewicz Autorka Temat Internet prawo Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Na 20. urodziny Google zaprasza do świata, w którym nie trzeba myśleć Ile decyzji, które mają dla nas finansowe, zawodowe czy osobiste konsekwencje, jesteśmy w stanie powierzyć sztucznej inteligencji? 01.10.2018 Tekst Poradnik DSA od soboty w pełni obowiązuje. Co się zmienia dla hostingodawców? [LISTA] 17 lutego 2024 r. w pełni zaczął obowiązywać akt o usługach cyfrowych (DSA). Oznacza to nowe obowiązki m.in. dla mniejszych platform i hostingodawców. Sprawdź, czy cię dotyczą. 21.02.2024 Tekst Artykuł Z Sejmu na gorąco Wczoraj rozpoczęły się w Sejmie prace nad przygotowanym przez Ministerstwo Cyfryzacji projektem ustawy o ochronie danych osobowych. Znienacka dorzucono do niego przepisy regulujące monitoring w szkołach, w pracy oraz na ulicach. Niestety, zgodnie z zarządzeniem Szefowej Kancelarii Sejmu nie… 09.05.2018 Tekst