10.02.2019 Dziennik Gazeta Prawna opublikował artykuł autorstwa Artura Piechockiego i Daniela Sicińskiego „Cookies i podobne technologie w rozporządzeniu ePrivacy„.
Praktyka wykorzystywania plików cookies i podobnych technologii uległa istotnym zmianom po wejściu w życie RODO, część bowiem z przetwarzanych w ten sposób informacji może stanowić dane osobowe. Nadal jednak należy obserwować rozwój prac nad rozporządzeniem ePrivacy, które może wejść w życie jeszcze w 2019 roku, wprowadzając istotne zmiany w korzystaniu z cookies i podobnych technologii.
Ostateczna treść rozporządzenia nadal może ulec zmianie, jednak już teraz można stwierdzić, że rozporządzenie wyraźnie rozszerza zakres technologii oraz formułuje bardziej rygorystyczne wymogi wiążące się z ich wykorzystywaniem. Jest to wyraz tendencji zmierzającej do ograniczenia praktyki niekontrolowanego przetwarzania danych użytkowników Internetu, które często skutkuje znaczną ingerencją w ich prywatność.
Wstęp
Zapisywanie różnorodnych informacji na urządzeniach końcowych oraz wykorzystywanie przesyłanych przez te urządzenia informacji jest standardem funkcjonowania Internetu. Technologia ta pełni wielorakie funkcje, począwszy od zapamiętywania przedmiotów umieszczonych w koszyku sklepu internetowego, przez wykrywanie nadużyć, po umożliwienie śledzenia aktywności użytkowników w serwisach internetowych. W tym celu wykorzystywane są przede wszystkim tzw. pliki cookies, ale także inne zbliżone technologie. Należy jednak pamiętać, że wykorzystywanie wszelkich technologii umożliwiających zapisywanie lub odczytywanie informacji na telekomunikacyjnych urządzeniach końcowych podlega regulacjom prawnym. Jeśli informacje takie mogą stanowić dane osobowe, zastosowanie znajdą przepisy RODO . Niezależnie jednak od charakteru danych, wykorzystanie cookies lub podobnej technologii będzie wymagało zapewnienia zgodności z przepisami Prawa telekomunikacyjnego . Co istotne, obecnie prowadzone są prace nad nowym rozporządzeniem unijnym (tzw. rozporządzenie ePrivacy ), które już niedługo może wprowadzić istotne zmiany w zakresie korzystania z tej technologii.
Obecna regulacja cookies i podobnych technologii na gruncie Prawa telekomunikacyjnego
Przepisy Prawa telekomunikacyjnego formułują warunki jakie powinny zostać spełnione w przypadku stosowania technologii pozwalających na przechowywanie lub uzyskiwanie dostępu do informacji przechowywanych na telekomunikacyjnym urządzeniu końcowym (np. komputerze lub smartfonie). Zgodnie z treścią art. 173 Prawa telekomunikacyjnego działania takie są dopuszczalne:
1. po uprzednim poinformowaniu użytkownika urządzenia o celu wykorzystania technologii oraz możliwości określenia warunków działania technologii (np. poprzez wyłączenie obsługi cookies w ustawieniach przeglądarki),
2. wyłącznie po uzyskaniu od użytkownika końcowego zgody na wykorzystanie tej technologii,
3. jeśli przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w urządzeniu końcowym lub jego oprogramowaniu.
Wspomniany przepis odnosi się do każdej technologii wiążącej się z przechowywaniem lub uzyskiwaniem informacji znajdującej się na urządzeniu końcowym. Przede wszystkim będą to więc cookies, a więc niewielkie pliki tekstowe z danymi, zapisywane w urządzeniach końcowych. Chociaż przepis nie określa wyraźnie nazw technologii jakie będą objęte jego zakresem, można stwierdzić, że obejmuje on także inne technologie, które mogą być wykorzystywane w podobnych celach, co cookies, np. flash cookies (LSO) ETagi, local storage lub fingerprinting. Cechą wspólną tych technologii jest to, że pozwalają one na unikalne zidentyfikowanie urządzenia w czasie korzystania z serwisu internetowego.
Na podstawie przytoczonego przepisu Prawa telekomunikacyjnego można stwierdzić, iż stosowanie plików cookies i podobnych technologii powinno poprzedzić wyrażenie zgody przez użytkownika, przy jednoczesnym uprzednim przekazaniu mu informacji o celu ich wykorzystania oraz możliwości określenia warunków ich zapisywania. Obecnie wymóg przekazania informacji jest często realizowany poprzez wyświetlanie różnorodnych banerów informacyjnych przy wejściu na stronę internetową, często odsyłających do odrębnych dokumentów zawierających szersze informacje (np. polityka cookies). Sama zgoda może być wyrażona w dowolnej formie, w tym formie elektronicznej poprzez zaznaczenie stosownych pól wyboru lub wykonanie określonego działania na stronie lub w aplikacji. Tutaj przepis art. 173 ust. 2 Prawa telekomunikacyjnego wprowadza pewne ułatwienie w wykorzystaniu cookies i podobnych technologii, gdyż użytkownik końcowy może także wyrazić wspomnianą zgodę „za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.” Na podstawie tego przepisu nie jest zatem konieczne odbieranie aktywnej zgody przy rozpoczęciu korzystania z serwisu, jeśli użytkownik zastosował ustawienia przeglądarki umożliwiające wykorzystywanie plików cookies i podobnych technologii. W takim przypadku nadal jednak konieczne będzie poinformowanie użytkownika o wykorzystywanej technologii i sposobach jej wyłączenia oraz o celach przetwarzania danych.
Zgoda nie zawsze jest wymagana
Uzyskiwanie zgody na wykorzystanie informacji z urządzenia końcowego nie jest niezbędne w każdym przypadku. Art. 173 ust. 3 Prawa telekomunikacyjnego dopuszcza przechowywanie lub uzyskanie dostępu do informacji bez zgody użytkownika końcowego, jeśli jest to konieczne do wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub dostarczania usługi żądanej użytkownika. Na tej podstawie przyjmuje się, że nie jest wymagana zgoda użytkownika m.in. na identyfikatory sesji, cookies służące uwierzytelnianiu, cookies stosowane do wykrywania nadużyć, czy cookies wykorzystywane do personalizacji interfejsu użytkownika.
Cookies w rozporządzeniu ePrivacy
Regulacja wykorzystania plików cookies i podobnych technologii może w najbliższym czasie ulec istotnej zmianie. Jest tak za sprawą opracowywanego obecnie na poziomie Unii Europejskiej rozporządzenia ePrivacy, które będzie określać ogólnoeuropejskie wymogi prawne dotyczące łączności elektronicznej, zastępując w tym zakresie istniejące regulacje, w tym przepis art. 173 Prawa telekomunikacyjnego. Rozporządzenie ePrivacy pod wieloma względami będzie wykazywało podobieństwa do RODO, a więc również będzie znajdowało bezpośrednie zastosowania w państwach członkowskich, a także będzie przewidywać równie wysokie kary pieniężne za niestosowanie nowych przepisów.
Zgodnie z art. 8 ust. 1 rozporządzenia ePrivacy ograniczeniom będzie podlegało „korzystanie z możliwości urządzenia końcowego do przetwarzania i przechowywania oraz gromadzenie informacji z urządzenia końcowego użytkowników końcowych, w tym informacji o oprogramowaniu i sprzęcie, inne niż dokonywane przez użytkownika końcowego, którego dotyczą”. Podobnie jak obecnie, działania takie będą dopuszczalne za zgodą użytkownika, przy czym rozporządzenie wyraźnie wskazuje, że zgoda taka będzie musiała spełniać wymogi takie same, jakie przewiduje w tym zakresie RODO. Tym samym, zgoda na cookies i podobne technologie nie będzie mogła być dorozumiana i wynikać z braku aktywności użytkownika, będzie musiała wiązać się z rzetelną informacją o celu wykorzystania technologii oraz będzie musiała być dobrowolna oraz możliwa do wycofania w każdym czasie.
Pomimo wymogu dobrowolności, rozporządzenie otwiera pewną furtkę w tym zakresie, dopuszczając tzw. „paywalle”, a więc uzależnianie dostępu do strony od wyrażenia zgody na wykorzystanie cookies i podobnych technologii (głównie w celach reklamowych), jeśli użytkownik ma jednocześnie możliwość niewyrażenia zgody i korzystania z serwisu bez cookies, ale np. w formule odpłatnej.
Co istotne, w ostatniej wersji rozporządzenia zrezygnowano z możliwości uznania za skuteczną zgody wyrażonej poprzez ustawienia przeglądarki. Oznacza to, że w przeciwieństwie do obecnej regulacji na gruncie Prawa telekomunikacyjnego, nawet jeśli ustawienia przeglądarki użytkownika będą dawały techniczną możliwość stosowania plików cookies lub podobnych technologii, nadal będzie konieczne odebranie aktywnej zgody użytkownika na zastosowanie cookies lub podobnej technologii. Co istotne, w przeciwieństwie do obecnej regulacji, rozporządzenie wprost nakłada obowiązek uzyskania zgody na każdy podmiot, który będzie wykorzystywać cookies i podobne technologie, przy czym zgody takie będzie mógł także odbierać inny podmiot w imieniu podmiotu zobowiązanego (np. wydawca strony na rzecz reklamodawców).
Podobnie jak w obecnym stanie prawnym, rozporządzenie ePrivacy będzie przewidywać sytuacje, kiedy wykorzystanie cookies i podobnych technologii będzie uzasadnione nawet bez zgody użytkownika. Wyjątki będą obejmować wszystkie przypadki, kiedy cookies będą konieczne do:
1. dokonania transmisji komunikatu elektronicznego,
2. dostarczenia usługi żądanej przez użytkownika,
3. prowadzenia analityki własnej użytkowników lub analityki przez podmiot trzeci, pod warunkiem zawarcia z nim umowy powierzenia przetwarzania danych zgodnej z RODO,
4. zapewnienia bezpieczeństwa usługi lub przeciwdziałania nadużyciom,
5. dokonania aktualizacji oprogramowania dla celów bezpieczeństwa, po uprzednim poinformowaniu użytkownika o takim zamiarze, oraz zapewnieniu możliwości jej odłożenia w czasie.
Rozporządzenie przewiduje także specjalne reguły korzystania z informacji przesyłanych przez inne urządzenia łączące się z siecią i składające się na tzw. „Internet rzeczy”. Takie informacje będą mogły być wykorzystywane wyłącznie za zgodą użytkownika, lub dla zapewnienia połączenia między urządzeniami lub w celach statystycznych (przy jednoczesnej anonimizacji danych).
Rozporządzenie ePrivacy znacznie szerzej określa zakres technologii których wykorzystanie będzie podlegało ograniczeniom. W preambule do rozporządzenia stwierdza się, że zakresem rozporządzenia nie będą objęte tylko pliki cookies, ale także wszelkie inne technologie (np. tzw. „pixele”, „web beacony”, „spyware”), które pozwalają na identyfikację lub śledzenie użytkownika, monitorowania jego działań lub śledzenia lokalizacji. Wprost wymieniona jest technologia fingerprintingu (tj. znakowania) urządzeń, która umożliwia stworzenie unikalnego identyfikatora urządzenia, bez umieszczania jakichkolwiek informacji na urządzeniu użytkownika, poprzez wykorzystanie unikalnej kombinacji informacji przesyłanych przez urządzenie w czasie odwiedzania serwisów internetowych lub korzystania z aplikacji. Tym samym zakres podmiotów, które będą musiały dostosować się do nowej regulacji może ulec znacznemu rozszerzeniu po wejściu w życie rozporządzenia ePrivacy.