Od przeszło roku administratorów stron obowiązuje nowelizacja ustawy o prawie telekomunikacyjnym. W Polsce przyjęto model “opt-out”, przez co nie muszą pytać o zgodę na przetwarzanie danych o internaucie, a tylko o tym informować. Kiedy powinni wyświetlać komunikat o ciasteczkach?
Ciasteczka (ang. cookies) to niewielkich rozmiarów fragmenty tekstu, które serwis internetowy wysyła do przeglądarki odwiedzającego daną stronę internetową po to by przy kolejnych odwiedzinach odczytać określone parametry. 22 marca 2013 r. weszła w życie nowelizacja ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (dalej jako „ustawa“), która reguluje kwestie prawne posługiwania się ciasteczkami na stronach internetowych (zmiana przepisów była podyktowana koniecznością dostosowania polskiej regulacji do dyrektywy 2009/136/WE).
Zdjęcie royalty free z Fotolia
W Polsce ostatecznie został przyjęty model „opt-out“ czyli wyrażania zgody na przetwarzanie cookies przez użytkownika za pomocą ustawień jego przeglądarki. W tej sytuacji mówimy tak naprawdę o obowiązku informacyjnym, nie zaś stricte obowiązku uzyskania zgody. Zobaczmy zatem jak informować o cookies.
Cookies, o których trzeba informować
Jeżeli na Twojej stronie przetwarzasz informacje w cookies, inne niż niezbędne do poprawnego (od strony technicznej) działania Twojej strony to powinieneś o nich informować. Przykładowo jeśli korzystasz z plików cookies:
- typu Google Analytics bądź innych o zbliżonym celu,
- pozwalających na śledzenie aktywności użytkownika w witrynie,
- pozwalających na personalizację czy lokalizację użytkownika,
- pozwalających na wyświetlanie reklam bądź badanie użytkownika,
Przykładowe pytania:
1. Czy na stronie wizytówce firmy muszę zamieszczać komunikat dotyczący cookies?
Jeżeli korzystasz z Google Analytics bądź innych zbliżonych narzędzi, o których mowa powyżej, to tak. W przeciwnym wypadku nie musisz zamieszczać komunikatu, czyli wtedy gdy przetwarzasz tzw. cookies techniczne – niezbędne do prawidłowego działania strony WWW.
2. Prowadzę e-sklep. Czy jeżeli chce wiedzieć, w jakie miejsca najczęściej klikają użytkownicy i jacy to użytkownicy, to muszę zamieszczać komunikat o ciasteczkach?
Tak. Tego typu ciasteczka pomagają przecież Tobie w badaniu zachowań konkretnych użytkowników Twojej witryny, dlatego informacja o cookies jest konieczna.
Jak spełnić obowiązek informacyjny?
Zgodnie z art. 173 ust. 1 pkt. 1- 3 ustawy przetwarzanie informacji za pomocą ciasteczek jest możliwe pod warunkiem, że:
- uprzednio, bezpośrednio, poinformujesz w sposób jednoznaczny, łatwy i zrozumiały użytkownika odwiedzającego Twoją stronę internetową o:
a) celu przechowywania i uzyskiwania dostępu do informacji w cookies,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji w cookies za pomocą ustawień jego przeglądarki lub/i konfiguracji Twojej usługi. - użytkownik, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
- przechowywana informacja w plikach cookies lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Warto wiedzieć
Określeń „uprzednio” i „bezpośrednio” nie należy utożsamiać z wyskakującym okienkiem. Wystarczy jeżeli posłużysz się paskiem typ top bar. Najważniejsze jednak by pasek ten był widoczny od razu po wejściu na stronę, a nie ukryty (np. ukazywał się dopiero po wczytaniu określonej strony albo był widoczny na każdej stronie, ale dopiero po jej przewinięciu do dołu).
Przykład 1:
Treść komunikatu:
Nasz serwis wykorzystuje pliki cookies. Korzystanie z witryny oznacza zgodę na ich zapis lub wykorzystanie. Więcej informacji można znaleźć w Polityce prywatności. Akceptuję politykę prywatności i wykorzystywania plików cookies w serwisie.
Źródło: http://www.uke.gov.pl
Przykład 2
Treść komunikatu:
Pliki cookies pomagają ulepszać bloga. Możesz włączyć/wyłączyć obsługę plików cookies w swojej przeglądarce. Więcej informacji na temat Polityki Cookies.
Źródło: http://www.cyberlaw.pl
Przykład 3
Treść komunikatu:
Używamy plików cookies, aby ułatwić Ci korzystanie z naszego serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki.
Źródło: http://www.maic.gov.pl
Udzielanie zgody
Jak zapewne zauważyłeś w pierwszym przykładzie posłużono się przyciskiem „Akceptuję politykę prywatności i wykorzystywania plików cookies w serwisie“. Z prawnego punktu widzenia nie ma jednak obowiązku dodawania go. Dlaczego?
Przecież spoglądając do art. 174 ustawy czytamy, że:
Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;
3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.
Nie daj się wprowadzić w błąd. Sposób wyrażenia zgody na przetwarzanie informacji w cookies został określony przez ustawodawcę w sposób szczególny. Przyjęto bowiem, że użytkownik może wyrazić zgodę za pomocą ustawień swojej przeglądarki lub/i za pomocą właściwej konfiguracji usługi (dotyczy np. aplikacji mobilnych). Zgodnie z art. 173 ust. 2 ustawy nie ma obowiązku zamieszczania dodatkowych komunikatów i zbierania zgód.
Beata Marek
IT&IP Lawyer, cyberlaw.pl
Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa własności intelektualnej, ochrony danych osobowych oraz prawa kontraktowego. Od 4 lat zajmuje się problematyką cyberprzestepczosci, cyberzagrożeń oraz bezpieczeństwem informacji. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, International Cyber Threat Task Force, a także w Fundacji Bezpieczna Cyberprzestrzeń. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”.
