Cookies: Umowy o świadczenie usług profilowania w Internecie

Obowiązujące od 22 czerwca 2013 r. regulacje prawne dotyczące korzystania z plików „cookies" mają istotne znaczenie dla usług związanych ze śledzeniem aktywności użytkowników Internetu. Nie oznacza to, iż nowe przepisy wykluczają świadczenie takich usług lub je znacząco utrudniają – wystarczy spełnienie kilku podstawowych obowiązków, by świadczyć takie usługi lub z nich korzystać bez ryzyka prawnego. Koronnym przykładem są usługi tzw. profilowania behawioralnego.

Profilowanie behawioralne – o co chodzi

Jedną z ciekawszych usług świadczonych w branży informatycznej, a jednocześnie mającą przed sobą szerokie perspektywy rozwoju, jest usługa profilowania behawioralnego użytkowników Internetu. Usługa ta, realizowana w oparciu o pliki „cookies", pozwala na stworzenie profilu zainteresowań użytkowników witryn internetowych (z jakich stron korzystają, jakich treści poszukują). Wszystko to odbywa się jednak bez przetwarzania danych identyfikujących daną osobę, lecz opiera się na danych anonimowych, budujących pewne zależności statystyczne – wynikające ze śledzenia aktywności w Internecie wielu osób (na których komputerach instalowane są pliki „cookies"). Usługa taka umożliwia później bardziej precyzyjne dobieranie treści witryny do preferencji użytkowników – w tym również poprzez kierowanie do użytkowników reklamy zbieżnej z ich zainteresowaniami, co zwiększa jej skuteczność.

Korzyści płynące z profilowania behawioralnego powodują, że należy oczekiwać rozwoju zapotrzebowania na tego typu usługi, a w konsekwencji również wzrostu podaży tych usług .

Jakie przepisy dotyczą tych usług

Podstawowymi aktami prawnymi, istotnymi z punktu widzenia świadczenia usług, są:

dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej („Dyrektywa").

ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU nr 171, poz. 1800 ze zm.)( „PT").

ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 2002 nr 101, poz. 926 ze zm.) („UODO").

Dyrektywa, w odniesieniu do plików „cookies", wymaga uzyskania świadomej zgody użytkownika na zgodne z prawem przechowywanie informacji lub uzyskanie dostępu do informacji przechowywanych w urządzeniu końcowym abonenta (art. 5 ust. 3 Dyrektywy). Stosowanie plików „cookies" lub podobnych narzędzi, jak również wszelkie przypadki późniejszego użycia takich plików uprzednio przechowywanych, w celu uzyskania informacji o użytkowniku, jest dozwolone „wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę (...) po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania".

Wspomniana zasada uzyskania zgody na wykorzystywanie plików „cookies" znajduje potwierdzenie w znowelizowanym art. 173 PT. Ta zmiana przepisów, będąca pochodną zmiany art. 5 ust. 3 Dyrektywy, ma przy tym fundamentalne znaczenie, gdyż zastąpiła dotychczas funkcjonujący model „opt-out", bazujący na zasadzie domniemanej zgody na używanie plików „cookies", wymogiem uzyskania zgody użytkownika końcowego na wykorzystywanie plików „cookies" – widocznym efektem wprowadzonych zmian stały się komunikaty dotyczące stosowania plików „cookies" wyświetlane niemal na każdej witrynie internetowej.

W praktyce kwestia zgody użytkowników załatwiana jest w drodze fikcji prawnej wyrażenia zgody na stosowanie plików „cookies" za pomocą ustawień przeglądarki internetowej, co jednak oznacza zgodę dopiero w połączeniu z udzieleniem użytkownikowi odpowiedniej informacji, jak również dostępność dla użytkownika takich funkcjonalności przeglądarki, które umożliwią mu wyrażenie braku zgody na zastosowanie „cookies" w odniesieniu do komputera danego użytkownika. Zgodnie z art. 173 ust. 2 PT użytkownik może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu.

Warto zwrócić uwagę, że uzyskanie zgody użytkownika końcowego powinno nastąpić przed zainstalowaniem pliku i rozpoczęciem przetwarzania danych – co zostało również podkreślone w uzasadnieniu projektu ustawy nowelizującej PT. Co więcej, istotne znaczenie ma kwestia postępowania w przypadku braku zgody na zastosowanie „cookies".

Dwa modele i możliwe problemy prawne

Jakkolwiek w praktyce funkcjonuje wiele różnych rozwiązań, to zazwyczaj świadczenie usług może się wiązać z dwoma rodzajami sytuacji:

Drugi model świadczenia usług ma niepodważalną zaletę – świadczący usługę nie gromadzi i nie przetwarza danych osobowych użytkownika, lecz wyłącznie indywidualny numer nadany przez system dla danego komputera (użytkownika). Na podstawie zebranych danych dotyczących wielu użytkowników możliwe jest zbudowanie pewnego schematu (profilu) zachowań określonych kategorii użytkowników w sieci.

Niestety, takie rozwiązanie pociąga za sobą także pewne problemy prawne – otóż świadczący usługę nie ma kontroli nad procesem instalowania pliku „cookies". Odbywa się to jedynie w relacji użytkownik – wydawca strony, a wszelkie obowiązki związane z zastosowaniem pliku „cookies" spoczywają na wydawcy. Tymczasem od spełnienia obowiązków informacyjnych zależy przecież skuteczność „biernej" zgody użytkownika na stosowanie „cookies".

Co więcej, jednym z problematycznych obszarów jest kwestia stosowania przez wydawcę „cudzych" plików „cookies" na „swojej" stronie internetowej – użytkownik powinien mieć wiedzę o tym, czy, kto i jak będzie śledził jego aktywność w Internecie. Tymczasem zastosowanie prawidłowej informacji w tym zakresie przesądza o dopuszczalności śledzenia aktywności użytkownika sieci.

Ostatecznie bowiem skutkiem wadliwych rozwiązań będzie brak legalności stosowania plików „cookies" i ewentualne skargi lub pozwy ze strony niezadowolonych użytkowników sieci.

Ważne postanowienia

W powyższym kontekście kluczowe znaczenie mają postanowienia umów łączących podmioty świadczące usługi z wydawcami witryn internetowych – to one bowiem określają zakres obowiązków związanych ze stosowaniem „cookies", zasady informowania użytkowników i treść komunikatów, jak również zasady odpowiedzialności w przypadku niedopełnienia obowiązków.