Rzeczpospolita
Publicystyka

Pliki cookies w nowym rozporządzeniu ePrivacy – ciasteczkowy potwór czy strachy na Lachy?

W sieci potrzebna jest większa transparentność. Dlatego zamiast pytać użytkowników internetu o kolejne zgody na przetwarzanie danych, lepiej przekazać im już na samym początku precyzyjne informacje, a potem umożliwić im podjęcie decyzji, czy godzą się z zaprezentowanymi zasadami i chcą korzystać z serwisu – pisze prawniczka Magdalena Kogut-Czarkowska.

Publikacja: 12.12.2018 06:58

Pliki cookies w nowym rozporządzeniu ePrivacy – ciasteczkowy potwór czy strachy na Lachy?

Foto: Adobe Stock

Magdalena Kogut-Czarkowska

Dyskusja na temat marketingu w internecie, a w szczególności wykorzystywanych do niego plików cookies, jest coraz gorętsza. Wszystko dlatego, że Unia Europejska pracuje nad nowymi regułami dotyczącymi ciasteczek, a kolejna wersja rozporządzenia ePrivacy, które będzie mieć wpływ na to, jak będzie funkcjonować internet już w niedalekiej przyszłości, została opublikowana pod koniec października. Wiele wątpliwości budzi możliwość oferowania użytkownikom nieodpłatnych treści w zamian za analizowanie ich danych zebranych przez cookies w celach reklamowych.

Dane osobowe to nie tylko RODO

Rozporządzenie ogólne o ochronie danych osobowych, czyli RODO, o którym wiele słyszeliśmy w tym roku, nie jest jedynym unijnym aktem prawnym, który będzie regulować zasady ochrony danych w Unii Europejskiej. Organy wspólnotowe przygotowują obecnie rozporządzenie ePrivacy, którego celem jest ustalenie w sposób jednolity dla wszystkich krajów UE zasad przetwarzania danych osobowych w łączności elektronicznej. Rozporządzenie ePrivacy ma zawierać przepisy komplementarne do RODO, a w niektórych przypadkach wyjątki od jego zasad, wynikające ze specyfiki internetu i usług w nim dostępnych.

Nowe rozporządzenie ma zastąpić dotychczasowe przepisy wynikające z dyrektyw, które są fragmentaryczne i różnie funkcjonują w państwach członkowskich. Chodzi na przykład o uregulowanie działania komunikatorów internetowych, prowadzenia reklamy bezpośredniej w internecie oraz zbierania i wykorzystywania plików cookies.

Czytaj też:

RODO a narzędzia Google: obowiązki dla administratorów i właścicieli stron internetowych

Cookies – nie ma obowiązku ich zamieszczania

Cookies: Jak zjeść to ciastko?

Śledzą czy pomagają?

Początkowo zakładano, że rozporządzenie ePrivacy wejdzie w życie w tym samym czasie co RODO. Jednak przygotowanie jego tekstu, a nawet dogadanie się co do jego założeń, okazało się bardzo skomplikowane. Jedną z najbardziej kontrowersyjnych kwestii są pliki cookies, potocznie: ciasteczka. Upraszczając, są to wysyłane przez stronę internetową fragmenty tekstu, które zostają na przeglądarce w komputerze lub telefonie użytkownika i zapisują dane o działaniach użytkownika. W wielu przypadkach takie pliki służą do tego, by strona dobrze funkcjonowała i korzystanie z niej było przyjemne dla użytkownika – ciasteczka zapamiętują na przykład wybrany język strony czy zawartość koszyka. Właściciel strony może też korzystać z ciasteczek, aby analizować działanie strony.

Ciasteczka mogą też służyć celom marketingowym, pomagając reklamodawcom dowiedzieć się czegoś więcej o użytkowniku, żeby łatwiej trafić do niego z właściwym przekazem. Przykładowo ciasteczka mogą zapisywać strony, które osoba otwierała, żeby podpowiedzieć właścicielowi ciasteczka, jakimi treściami może być zainteresowana.

Jeśli na przykład będę przeglądać katalog księgarni internetowej korzystającej z ciasteczek, jest duża szansa, że banery reklamowe na stronach informacyjnych będą mi potem wyświetlać reklamy tej księgarni. I właśnie o te ciasteczka toczą się w Komisji Europejskiej największe boje. Przeciwnicy ciasteczek uważają, że służą one do śledzenia użytkownika, i proponują różne rozwiązania, które mają utrudnić przedsiębiorcom korzystanie z tych technologii.

Między młotem a kowadłem

Pod ich wpływem w toku prac legislacyjnych pojawiło się stanowisko wspierane przez organizacje pozarządowe oraz zwolenników wzmacniania prawa do prywatności, że zgoda użytkownika na wykorzystywanie danych nie może zostać udzielona w zamian za dostęp do serwisu. Uznają oni, że taka zgoda nie będzie dobrowolna, bo użytkownik musi ją wyrazić, aby korzystać z serwisu, nie ma więc wolnego wyboru. Tymczasem użytkownicy internetu przyzwyczaili się, że popularne serwisy i aplikacje są darmowe i ogólnodostępne – wystarczy wspomnieć serwisy społecznościowe lub portale informacyjne. Użytkownicy nie chcą i nie wyobrażają sobie, że będą musieli za nie płacić. Jeśli zatem odrzucają model odpłatny, a serwis nie może finansować się z wpływów z wyświetlanych reklam opartych na danych z cookies, część branży internetowej znajdzie się między młotem a kowadłem.

Od razu trzeba też wyjaśnić, że obecnie zarówno modele biznesowe wykorzystujące dane do celów reklamowych, jak i korzystanie z ciasteczek są jak najbardziej legalne, choć podlegają zasadom ustalonym w prawie telekomunikacyjnym oraz RODO. Komercjalizacja danych – nawet tych osobowych – jako model biznesowy nie jest zakazana ani przez RODO, ani przez żadne inne przepisy. Co więcej, jednym z celów rozporządzenia ePrivacy wskazywanym już na samym początku prac przez Komisję Europejską jest zapewnienie pewnych reguł określonych w wykorzystywaniu danych, np. umożliwienie przedsiębiorcom telekomunikacyjnym korzystania z metadanych, aby dostarczać dodatkowe usługi i się rozwijać. Czy zatem celem rozporządzenia ePrivacy powinno być rzeczywiście zakazanie darmowych serwisów żyjących z reklam?

Czy zgoda zawsze chroni prywatność

Nie ulega wątpliwości, że prywatność jest szczególną wartością. Jednak podejście nadmierne restrykcyjne, czy też kazuistyczne, bez potrzebnej w prawie elastyczności oraz bez wyważenia i wzięcia pod uwagę innych wartości i potrzeb użytkowników, może bardziej zaszkodzić, niż pomóc.

Prawo, które jest tworzone obecnie, będzie funkcjonowało przez wiele lat i musi być odporne na zmiany technologiczne. Nierozważnie zapisane przepisy wymagające wyraźnej, osobnej zgody użytkowników, bez odwoływania się do innych podstaw prawnych przetwarzania danych, które są przecież przewidziane w RODO, mogą wyeliminować aktywności, które mimo że wiążą się z przetwarzaniem danych osobowych, dostarczają użytkownikom pożądane przez nich usługi.

Przykładowo, użytkownik zapisuje się do serwisu, który ma wysyłać mu e-mailem kupony ze zniżkami na produkty lub usługi, którymi interesuje się użytkownik. W tym celu przetwarzanie danych użytkownika jest po prostu konieczne. Nie da się wysyłać kuponów z dopasowanymi do zainteresowań ofertami, nie zbierając e-maila użytkownika oraz jego preferencji. Jest to przykład usługi, która aby funkcjonować, musi przetwarzać dane. I użytkownik, zapisując się do tej usługi, powinien być poinformowany o tym przetwarzaniu, ale nie powinno się go osobno prosić o zgodę na przetwarzanie danych.

Zatem wyłom w bezwzględnym proszeniu o zgodę jest konieczny. Także w wytycznych dotyczących zgody wydanych w odniesieniu do RODO przez działające wspólnie organy nadzorcze (jako Grupa Robocza art. 29), wskazane jest, że jeśli przetwarzanie danych jest potrzebne do wykonania jakiejś usługi, to nie powinno się prosić o zgodę na to wykorzystanie.

Informacje w zamian za darmowy serwis

Dodatkowo w praktyce często nie jest łatwo oddzielić przetwarzanie danych, które jest konieczne do funkcjonowania usługi, od danych zbieranych w celu reklamowym – to nierzadko mogą być te same informacje. Użytkownicy mogą na przykład zapisać się do serwisu, który na podstawie ich aktywności podpowiada im miejsca, które mogą chcieć odwiedzić, lub polecić sukienkę, która im się spodoba. Mimo że polecenie ma cel reklamowy, jednocześnie związane jest z dostarczeniem usługi, której użytkownik żąda.

I tu dochodzimy do jeszcze dalej idącego pytania: czy użytkownik w ogóle może się zgodzić na korzystanie z serwisu, który dostarcza mu za darmo np. rozrywkę, ale w zamian chce zbierać dane w celach reklamowych.

Początkowo na gruncie RODO wypowiedzi organów były dosyć restrykcyjne – taka zgoda nie będzie ważna, bo nie jest dobrowolna. Jednak zauważmy, że już w kolejnych wytycznych organy nadzorcze złagodziły początkowo kategoryczne stanowisko na ten temat. Wspomniane wcześniej wytyczne Grupy Roboczej art. 29 umożliwiają administratorom danych pozostawienie użytkownikom wyboru – serwis odpłatny lub darmowy, ale wiążący się ze zgodą na dodatkowe wykorzystanie danych. Umożliwia to na przykład funkcjonowanie programów kart lojalnościowych, gdzie w zamian za zniżkę na zakup towarów godzimy się na analizę naszych preferencji zakupowych. Jeśli zatem taka wymiana może być w określonych przypadkach dopuszczalna, nie do końca przekonuje postulat, aby nie była możliwa dla usług internetowych.

Żeby sytuację skomplikować jeszcze bardziej, użytkownicy internetu poniekąd głosują nogami – nie chcąc płacić za dostęp do pewnych usług lub portali. Dlatego postawienie ich przed alternatywą – płać za dostęp lub oglądaj reklamy – nie oddaje oczekiwań internautów.

Zresztą zwolennicy zaostrzenia prawa do prywatności tego nie negują, po prostu wskazują, że niedopuszczalne jest, aby użytkownik w pakiecie z darmowym serwisem otrzymywał pliki cookies. Nie dają jednak recepty, jak powinien finansować się taki darmowy serwis. Tymczasem jeśli obecne portale nie będą mogły się utrzymywać z reklam, zmienią zasady działalności, a użytkownicy nie będą mogli korzystać z usług, do jakich są przyzwyczajeni. Nie mówiąc już o ryzyku, że o ile europejscy dostawcy może przestraszą się ryzyka wielomilionowych kar i przerzucą na inną działalność, to powstałą lukę w zaspokajaniu potrzeb użytkowników przejmie szara strefa lub dostawcy z państw trzecich, którzy mniej się boją europejskich organów ochrony danych osobowych lub nie wierzą, że kary będą możliwe do wyegzekwowania poza granicami UE.

Prawo do bycia zapomnianym

Dodatkowo pamiętajmy, że RODO stwarza cały parasol zasad, które mają za zadanie chronić prywatność użytkowników i rozporządzenie ePrivacy ich zasadniczo nie zmienia. Wśród nich jest możliwość zarówno sprzeciwienia się dalszemu przetwarzaniu danych do celów marketingowych (jeśli przetwarzanie odbywa się w oparciu o uzasadniony interes), jak i wycofania zgody (jeśli wcześniej była wyrażona).

Wykonanie tego prawa oznacza, że przedsiębiorca nie może już przetwarzać danych. Do tego dochodzi uprawnienie użytkownika do domagania się usunięcia uprzednio zebranych danych – tzw. prawo do bycia zapomnianym. To niezwykle silne prawo, pozwalające żądać wymazania wszelkich danych, jeśli na przykład wycofano zgodę lub wyrażono sprzeciw wobec przetwarzania danych w celach marketingowych.

Zatem użytkownik może przez jakiś czas korzystać z serwisu, nie płacąc za niego, ale pozwalając na to, aby serwis wyświetlał mu reklamy na podstawie analizy danych. Następnie, jeśli użytkownik dojdzie do wniosku, że to mu nie odpowiada, może zawsze zgodę wycofać lub wyrazić sprzeciw. Serwis musi wówczas honorować takie żądanie i przestać zbierać jego dane. Dodatkowo użytkownik może żądać, aby serwis wymazał historię jego danych. Należy rozważyć, w jakim stopniu te uprawnienia pozwalają użytkownikom na zrównoważenie ewentualnego ryzyka, że dane o użytkowniku będą nadmiernie i bez jego woli przechowywane i wykorzystywane.

W którą stronę?

Same organy ochrony danych dostrzegają, że nie jest właściwym kierunkiem ciągłe pytanie o zgodę na przetwarzanie danych. Użytkownicy bombardowani kolejnymi prośbami tracą rozeznanie i nie rozumieją, na co się zgodzili. Na pewno dobrym i potrzebnym działaniem jest położenie nacisku na większą transparentność informacji. I to RODO już wymusza. Również w tym kierunki idzie najnowsza wersja rozporządzenia ePrivacy. Przekazanie użytkownikom precyzyjnych informacji, a potem umożliwienie im podjęcia decyzji, czy godzą się z zaprezentowanymi zasadami i chcą korzystać z serwisu, wydaje się o wiele ważniejsze niż kolejne pytanie o wyrażenie zgody.

Autorka jest Counsel w Kancelarii Baker & McKenzie, ekspertem Grupy Prawnej IAB Polska

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Publicystyka Dane Osobowe Finanse w Firmie

Dyskusja na temat marketingu w internecie, a w szczególności wykorzystywanych do niego plików cookies, jest coraz gorętsza. Wszystko dlatego, że Unia Europejska pracuje nad nowymi regułami dotyczącymi ciasteczek, a kolejna wersja rozporządzenia ePrivacy, które będzie mieć wpływ na to, jak będzie funkcjonować internet już w niedalekiej przyszłości, została opublikowana pod koniec października. Wiele wątpliwości budzi możliwość oferowania użytkownikom nieodpłatnych treści w zamian za analizowanie ich danych zebranych przez cookies w celach reklamowych.

Pozostało 95% artykułu
Marcin J. Menkes: Ryzyka prawne transakcji ze spółkami strategicznymi
Opinie Prawne
Marcin J. Menkes: Ryzyka prawne transakcji ze spółkami strategicznymi
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Polsat i TVN – dostawcy usług medialnych czy strategicznych?
Opinie Prawne
Iwona Gębusia: Polsat i TVN – dostawcy usług medialnych czy strategicznych?
Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka
Opinie Prawne
Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka
Prezydent RP Andrzej Duda (L) podczas uroczystości powołania Bogdana Święczkowskiego (P) na stanowis
Opinie Prawne
Tomasz Pietryga: Święczkowski nie zmieni TK, ale będzie bardziej subtelny niż Przyłębska
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Ewa Szadkowska: Biznes umie liczyć, niech liczy na siebie
Opinie Prawne
Ewa Szadkowska: Biznes umie liczyć, niech liczy na siebie
Jaecoo J7 w leasingu od 1670 zł/mies.
Materiał Promocyjny
Jaecoo J7 w leasingu od 1670 zł/mies.
e-Wydanie