Nowego projektu jeszcze nie ma, ale pojawiło się zaniepokojenie o regulację ciasteczek

No tak. Zastanawiam się, czy ktoś z dziś oburzonych pogłoskami o tym, że w kolejnej odsłonie projektu nowelizacji ustawy Prawo telekomunikacyjne będą regulacje opt-in w stosunku do plików cookies, był łaskaw wysłać swoje stanowisko/uwagi w niedawnych konsultacjach tego tematu, organizowanych przez MAiC. Zakładam, że nie. Zakładam również, że wiele osób dziś rwących sobie włosy z głowy na myśl o tym, że przed "zasadzeniem ciasteczka" trzeba będzie (być może, bo przecież projektu z takimi regulacjami jeszcze nie widziałem w BIP ministerstwa) prosić o uprzednią zgodę użytkowników, nie czytało nawet projektów poddanych konsultacjom. Cookiesy i pomysły na opt-in związane są z wcześniejszymi przepisami europejskimi (pisałem o tym w serwisie, gdy relacjonowałem prace nad Pakietem telekomunikacyjnym). No cóż. Ale przecież nie ma obowiązku czytania wszystkiego, co dotyczy przyszłych regulacji internetu. Tylko błagam: nie miejcie potem pretensji do innych, że nie wiedzieliście, nie zauważyliście, było nudne, albo było za długie, więc nie przeczytaliście, a nawet jak przeczytaliście, to nie chciało wam się wysłać opinii.

Sprawa cookiesów, która w tym serwisie pojawia się regularnie (ostatnio w takich tekstach, jak Dodatkowe konsultacje projektu nowelizacji Prawa Telekomunikacyjnego, Nowa wersja projektu noweli Prawa telekomunikacyjnego zasługuje na uwagę również branży internetowej, czy Grupa robocza art. 29 krytycznie o kodeksie dobrych praktyk w zakresie reklamy behawioralnej) wywołała dziś pewne zamieszanie. Mnie temat interesuje głównie jako webmastera. Interesuje mnie również dlatego, że jeśli ktoś wprowadza regulacje dotyczące serwisów internetowych, to może nie zdaje sobie sprawy z tego, że w zastawiane sidła będą musiały siłą rzeczy wejść również serwisy administracji publicznej.

Ostatnio, przyglądając się temu, w którym kierunku może zmierzać dyskusja, opublikowałem na Facebooku następującą grafikę - screenshot:

Screenshot serwisu brytyjskiego The Information Commissioner’s Office z długim komunikatem oraz prośbą o akceptację ciasteczka. Ten zrzut ekranu zrobiłem 19 marca. Kiedy przygotowywałem ten zrzut ekranu zastanawiałem się: czy z czasem wszystkie serwisy (niezależnie od tego, czy administracji publicznej, czy "hobbystyczne" lub komercyjne) będą musiały mieć takie coś w nagłówku strony, jak www.ico.gov.uk - chodzi oczywiście o zgodę na zasadzenie ciasteczka. Kiedy dzieliłem się swoim zadumaniem na Facebooku - Paweł Krawczyk podzielił się swoim: Głupie cookie. I tak sobie pogadaliśmy.

Dziś serwis The Information Commissioner’s Office wygląda nieco inaczej - skrócono delikatnie prośbę o akceptację ciasteczka, ale nadal ta prośba tam jest:

A dlaczego o tym piszę? Ano dlatego, że świadomość problemu ciasteczek stopniowo przebija się do świadomości niektórych internautów, co widać po właśnie opublikowanych tekstach i komentarzach do nich: Więcej prywatności w sieci, ale także więcej klikania i reakcji - Naprawdę znowu rząd grzebie przy internecie? Pytania o Cookies? Litości ile można… oraz Rewolucja w ochronie prywatności?

Oczywiście komunikat o dodatkowych konsultacjach prawa telekomunikacyjnego MAiC zniknął z BIP ministerstwa. Jest za to nadal na stronie innej niż BIP. Na tej ostatniej dopisano 21 lutego:

W wyniku konsultacji otrzymaliśmy 25 opinii za pośrednictwem portalu konsultacyjnego mamzdanie.org.pl i 19 opinii za pośrednictwem strony mac.gov.pl. Dziękujemy!

Pomijam na razie, że "portal konsultacyjny mamzdanie.org.pl" nie jest portalem rządowym, nie jest nawet serwisem administracji publicznej. To teraz mniej istotne. Istotniejsze jest coś innego: gdzie znajdę treść opinii, które do ministerstwa zostały przesłane, a konkretnie przesłane w wyniku dodatkowych konsultacji publicznych?

Jedno z pytań w tych dodatkowych konsultacjach brzmiało:

6. Jakie są Państwa poglądy na zasady opt-in i opt-out w Prawie Telekomunikacyjnym?

Chodzi o przepisy Art. 173 w ust. 1, że „podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług oraz uzyskiwać dostęp do tych przechowywanych danych, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały o:
a) celu przechowywania danych,
b) sposobach korzystania z ich zawartości,
c) okresie przechowywania i uzyskiwania do nich dostępu,
d) nazwie podmiotu przetwarzającego przechowywane dane;

2) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym abonenta lub użytkownika końcowego”.

Zadam teraz pytanie retoryczne, ale czy bijący dziś na alarm wysłali do ministerstwa swoje uwagi w powyższych konsultacjach? Dowiedziałbym się bez pytania, gdybym mógł poznać te 25 opinii z mamzdanie oraz 19 przesłanych za pośrednictwem strony mac.gov.pl.

Tymczasem przypominam historię.

Grupa Robocza Artykułu 29 przedstawiła dokument: Opinion 2/2010 on online behavioural advertising. W podsumowaniu tej opinii czytamy:

..operatorów sieci reklamowych obowiązuje art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej, zgodnie z którym umieszczanie w urządzeniach końcowych użytkowników plików typu cookie lub podobnych narzędzi bądź pozyskiwanie za ich pomocą informacji jest dopuszczalne tylko za świadomą zgodą użytkowników. W opinii zauważa się, że ustawienia obecnie dostępnych przeglądarek i mechanizmy wycofania się (opt-out) umożliwiają wyrażenie zgody jedynie w ograniczonych przypadkach. W opinii wzywa się operatorów sieci reklamowych do utworzenia mechanizmów uprzedniej zgody (opt-in), wymagających aktywnego potwierdzenia ze strony osób, których dane dotyczą, na przyjęcie plików cookie lub podobnych narzędzi oraz na późniejsze monitorowanie ich zachowania podczas przeglądania Internetu do celów wyświetlania dopasowanych reklam.

Kiedy pojawiły się Założenia do projektu ustawy o zmianie ustawy Prawo telekomunikacyjne można tam było przeczytać:

Art. 173 ust. 1 oraz ust. 1 pkt 1 Ustawy Prawo telekomunikacyjne - Zmiany w art. 173 wynikają z potrzeby właściwej implementacji znowelizowanego art. 5 ust. 3 Dyrektywy 2002/58/WE, w zakresie przechowywania danych informatycznych, w szczególności plików tekstowych, w urządzeniach końcowych abonentów lub użytkowników końcowych (tzw. „cookies”). Zasadnicza zmiana polega na wyraźnym wskazaniu (w art. 173 ust. 1), że dane takie mogą przechowywać zarówno podmioty świadczące usługi drogą elektroniczną, jak również przedsiębiorcy telekomunikacyjni. Ponadto, podkreśla się, że niezbędna jest w takim przypadku zgoda abonenta lub użytkownika końcowego, a nie jak dotychczas jedynie poinformowanie go o takim przechowywaniu danych w jego urządzeniu końcowym (art. 173 ust. 1 pkt 2).

Potem zrzeszeni w europejskie organizacje przedsiębiorcy utworzyli serwis your online choices i zaproponowali kodeks dobrych praktyk w zakresie reklamy behawioralnej oraz korzystania z ciasteczek.

Następnie Grupa robocza art. 29 wydała negatywną opinię na temat proponowanych przez the European Advertising Standards Alliance (EASA) oraz the Internet Advertising Bureau Europe (IAB), kodeksu dobrych praktyk w zakresie internetowej reklamy behawioralnej: Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising, stwierdzając tam:

Aby możliwe było przetwarzanie danych użytkowników (w tym danych pozyskanych z wykorzystaniem cookies) - zgoda użytkowników powinna być oparta na informacji bezpośrednio im przedstawionej przed rozpoczęciem przetwarzania danych

W projekcie ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw z dnia 12 lutego 2012 r. można było przeczytać:

126) w art. 173 w ust. 1:

a) wprowadzenie do wyliczenia otrzymuje brzmienie:

„Podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług oraz uzyskiwać dostęp do tych przechowywanych danych, pod warunkiem że:”,

b) pkt 1 i 2 otrzymują brzmienie:

„1) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o:
a) celu przechowywania danych,
b) sposobach korzystania z ich zawartości,
c) okresie przechowywania i uzyskiwania do nich dostępu,
d) nazwie podmiotu przetwarzającego przechowywane dane;

2) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym abonenta lub użytkownika końcowego;”;

Potem były "dodatkowe konsultacje".

Teraz czekamy na ich efekt.

A dalej już dla tych, którzy dziś niepokojąc się ciasteczkami, może zastanawiają się co nas czeka w przyszłości. Proponuję sięgnąć do Projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (COM(2012) 11 final). Tam m.in. przeczytacie Państwo:

Aby stwierdzić, czy przetwarzanie można uznać za „monitorowanie zachowania” podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać w internecie, korzystając z technik przetwarzania danych, które polegają na przypisaniu „profilu” danej osobie fizycznej, w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania.

Potem zaś:

Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach.

I dalej:

Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy.

Wreszcie:

…każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki okres, jacy odbiorcy otrzymują dane, o zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania, nawet tylko na podstawie profilowania…

Ciekawe? Właśnie dlatego warto czytać długie i nudne materiały. Tych właśnie przepisów dotyczyły ogłoszone w marcu przez MAiC konsultacje, o których pisałem w tekście MAiC konsultuje projekt unijnych przepisów dotyczących ochrony danych osobowych. Oczywiście to akurat rozporządzenie to pieśń przyszłości. Ruszyły dopiero prace. Ale przywołuję je tu, przy tekście o cookiesach, by pokazać kontekst prac w Europie.

I aby było wszystko jasne: jako webmaster uważam, że pomysły opt-in na cookiesy są przeregulowaniem problemu. Ale ja przynajmniej nie jestem nimi zaskoczony.