Nowego projektu jeszcze nie ma, ale pojawiło się zaniepokojenie o regulację ciasteczek

No tak. Zastanawiam się, czy ktoś z dziś oburzonych pogłoskami o tym, że w kolejnej odsłonie projektu nowelizacji ustawy Prawo telekomunikacyjne będą regulacje opt-in w stosunku do plików cookies, był łaskaw wysłać swoje stanowisko/uwagi w niedawnych konsultacjach tego tematu, organizowanych przez MAiC. Zakładam, że nie. Zakładam również, że wiele osób dziś rwących sobie włosy z głowy na myśl o tym, że przed "zasadzeniem ciasteczka" trzeba będzie (być może, bo przecież projektu z takimi regulacjami jeszcze nie widziałem w BIP ministerstwa) prosić o uprzednią zgodę użytkowników, nie czytało nawet projektów poddanych konsultacjom. Cookiesy i pomysły na opt-in związane są z wcześniejszymi przepisami europejskimi (pisałem o tym w serwisie, gdy relacjonowałem prace nad Pakietem telekomunikacyjnym). No cóż. Ale przecież nie ma obowiązku czytania wszystkiego, co dotyczy przyszłych regulacji internetu. Tylko błagam: nie miejcie potem pretensji do innych, że nie wiedzieliście, nie zauważyliście, było nudne, albo było za długie, więc nie przeczytaliście, a nawet jak przeczytaliście, to nie chciało wam się wysłać opinii.

Sprawa cookiesów, która w tym serwisie pojawia się regularnie (ostatnio w takich tekstach, jak Dodatkowe konsultacje projektu nowelizacji Prawa Telekomunikacyjnego, Nowa wersja projektu noweli Prawa telekomunikacyjnego zasługuje na uwagę również branży internetowej, czy Grupa robocza art. 29 krytycznie o kodeksie dobrych praktyk w zakresie reklamy behawioralnej) wywołała dziś pewne zamieszanie. Mnie temat interesuje głównie jako webmastera. Interesuje mnie również dlatego, że jeśli ktoś wprowadza regulacje dotyczące serwisów internetowych, to może nie zdaje sobie sprawy z tego, że w zastawiane sidła będą musiały siłą rzeczy wejść również serwisy administracji publicznej.

Ostatnio, przyglądając się temu, w którym kierunku może zmierzać dyskusja, opublikowałem na Facebooku następującą grafikę - screenshot:

Screenshot serwisu brytyjskiego The Information Commissioner’s Office

Screenshot serwisu brytyjskiego The Information Commissioner’s Office z długim komunikatem oraz prośbą o akceptację ciasteczka. Ten zrzut ekranu zrobiłem 19 marca. Kiedy przygotowywałem ten zrzut ekranu zastanawiałem się: czy z czasem wszystkie serwisy (niezależnie od tego, czy administracji publicznej, czy "hobbystyczne" lub komercyjne) będą musiały mieć takie coś w nagłówku strony, jak www.ico.gov.uk - chodzi oczywiście o zgodę na zasadzenie ciasteczka. Kiedy dzieliłem się swoim zadumaniem na Facebooku - Paweł Krawczyk podzielił się swoim: Głupie cookie. I tak sobie pogadaliśmy.

Dziś serwis The Information Commissioner’s Office wygląda nieco inaczej - skrócono delikatnie prośbę o akceptację ciasteczka, ale nadal ta prośba tam jest:

Drugi, późniejszy screenshot serwisu brytyjskiego The Information Commissioner’s Office

A dlaczego o tym piszę? Ano dlatego, że świadomość problemu ciasteczek stopniowo przebija się do świadomości niektórych internautów, co widać po właśnie opublikowanych tekstach i komentarzach do nich: Więcej prywatności w sieci, ale także więcej klikania i reakcji - Naprawdę znowu rząd grzebie przy internecie? Pytania o Cookies? Litości ile można… oraz Rewolucja w ochronie prywatności?

Oczywiście komunikat o dodatkowych konsultacjach prawa telekomunikacyjnego MAiC zniknął z BIP ministerstwa. Jest za to nadal na stronie innej niż BIP. Na tej ostatniej dopisano 21 lutego:

W wyniku konsultacji otrzymaliśmy 25 opinii za pośrednictwem portalu konsultacyjnego mamzdanie.org.pl i 19 opinii za pośrednictwem strony mac.gov.pl. Dziękujemy!

Pomijam na razie, że "portal konsultacyjny mamzdanie.org.pl" nie jest portalem rządowym, nie jest nawet serwisem administracji publicznej. To teraz mniej istotne. Istotniejsze jest coś innego: gdzie znajdę treść opinii, które do ministerstwa zostały przesłane, a konkretnie przesłane w wyniku dodatkowych konsultacji publicznych?

Jedno z pytań w tych dodatkowych konsultacjach brzmiało:

6. Jakie są Państwa poglądy na zasady opt-in i opt-out w Prawie Telekomunikacyjnym?

Chodzi o przepisy Art. 173 w ust. 1, że „podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług oraz uzyskiwać dostęp do tych przechowywanych danych, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały o:
a) celu przechowywania danych,
b) sposobach korzystania z ich zawartości,
c) okresie przechowywania i uzyskiwania do nich dostępu,
d) nazwie podmiotu przetwarzającego przechowywane dane;

2) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym abonenta lub użytkownika końcowego”.

Zadam teraz pytanie retoryczne, ale czy bijący dziś na alarm wysłali do ministerstwa swoje uwagi w powyższych konsultacjach? Dowiedziałbym się bez pytania, gdybym mógł poznać te 25 opinii z mamzdanie oraz 19 przesłanych za pośrednictwem strony mac.gov.pl.

Tymczasem przypominam historię.

Grupa Robocza Artykułu 29 przedstawiła dokument: Opinion 2/2010 on online behavioural advertising. W podsumowaniu tej opinii czytamy:

..operatorów sieci reklamowych obowiązuje art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej, zgodnie z którym umieszczanie w urządzeniach końcowych użytkowników plików typu cookie lub podobnych narzędzi bądź pozyskiwanie za ich pomocą informacji jest dopuszczalne tylko za świadomą zgodą użytkowników. W opinii zauważa się, że ustawienia obecnie dostępnych przeglądarek i mechanizmy wycofania się (opt-out) umożliwiają wyrażenie zgody jedynie w ograniczonych przypadkach. W opinii wzywa się operatorów sieci reklamowych do utworzenia mechanizmów uprzedniej zgody (opt-in), wymagających aktywnego potwierdzenia ze strony osób, których dane dotyczą, na przyjęcie plików cookie lub podobnych narzędzi oraz na późniejsze monitorowanie ich zachowania podczas przeglądania Internetu do celów wyświetlania dopasowanych reklam.

Kiedy pojawiły się Założenia do projektu ustawy o zmianie ustawy Prawo telekomunikacyjne można tam było przeczytać:

Art. 173 ust. 1 oraz ust. 1 pkt 1 Ustawy Prawo telekomunikacyjne - Zmiany w art. 173 wynikają z potrzeby właściwej implementacji znowelizowanego art. 5 ust. 3 Dyrektywy 2002/58/WE, w zakresie przechowywania danych informatycznych, w szczególności plików tekstowych, w urządzeniach końcowych abonentów lub użytkowników końcowych (tzw. „cookies”). Zasadnicza zmiana polega na wyraźnym wskazaniu (w art. 173 ust. 1), że dane takie mogą przechowywać zarówno podmioty świadczące usługi drogą elektroniczną, jak również przedsiębiorcy telekomunikacyjni. Ponadto, podkreśla się, że niezbędna jest w takim przypadku zgoda abonenta lub użytkownika końcowego, a nie jak dotychczas jedynie poinformowanie go o takim przechowywaniu danych w jego urządzeniu końcowym (art. 173 ust. 1 pkt 2).

Potem zrzeszeni w europejskie organizacje przedsiębiorcy utworzyli serwis your online choices i zaproponowali kodeks dobrych praktyk w zakresie reklamy behawioralnej oraz korzystania z ciasteczek.

Następnie Grupa robocza art. 29 wydała negatywną opinię na temat proponowanych przez the European Advertising Standards Alliance (EASA) oraz the Internet Advertising Bureau Europe (IAB), kodeksu dobrych praktyk w zakresie internetowej reklamy behawioralnej: Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising, stwierdzając tam:

Aby możliwe było przetwarzanie danych użytkowników (w tym danych pozyskanych z wykorzystaniem cookies) - zgoda użytkowników powinna być oparta na informacji bezpośrednio im przedstawionej przed rozpoczęciem przetwarzania danych

W projekcie ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw z dnia 12 lutego 2012 r. można było przeczytać:

126) w art. 173 w ust. 1:

a) wprowadzenie do wyliczenia otrzymuje brzmienie:

„Podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług oraz uzyskiwać dostęp do tych przechowywanych danych, pod warunkiem że:”,

b) pkt 1 i 2 otrzymują brzmienie:

„1) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o:
a) celu przechowywania danych,
b) sposobach korzystania z ich zawartości,
c) okresie przechowywania i uzyskiwania do nich dostępu,
d) nazwie podmiotu przetwarzającego przechowywane dane;

2) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie poinformowany, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym abonenta lub użytkownika końcowego;”;

Potem były "dodatkowe konsultacje".

Teraz czekamy na ich efekt.

A dalej już dla tych, którzy dziś niepokojąc się ciasteczkami, może zastanawiają się co nas czeka w przyszłości. Proponuję sięgnąć do Projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (COM(2012) 11 final). Tam m.in. przeczytacie Państwo:

Aby stwierdzić, czy przetwarzanie można uznać za „monitorowanie zachowania” podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać w internecie, korzystając z technik przetwarzania danych, które polegają na przypisaniu „profilu” danej osobie fizycznej, w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania.

Potem zaś:

Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach.

I dalej:

Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy.

Wreszcie:

…każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki okres, jacy odbiorcy otrzymują dane, o zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania, nawet tylko na podstawie profilowania…

Ciekawe? Właśnie dlatego warto czytać długie i nudne materiały. Tych właśnie przepisów dotyczyły ogłoszone w marcu przez MAiC konsultacje, o których pisałem w tekście MAiC konsultuje projekt unijnych przepisów dotyczących ochrony danych osobowych. Oczywiście to akurat rozporządzenie to pieśń przyszłości. Ruszyły dopiero prace. Ale przywołuję je tu, przy tekście o cookiesach, by pokazać kontekst prac w Europie.

I aby było wszystko jasne: jako webmaster uważam, że pomysły opt-in na cookiesy są przeregulowaniem problemu. Ale ja przynajmniej nie jestem nimi zaskoczony.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Wywołujesz uśmiech na twarzy

Mikołaj's picture

Podczas lektury uśmiechałem się często, bowiem uwagi przez Ciebie czynione najchętniej oznaczałbym myszą i komentował przez +1 czy "Like it" ;)

Ale ciut poważniej - piszesz:

Interesuje mnie również dlatego, że jeśli ktoś wprowadza regulacje dotyczące serwisów internetowych, to może nie zdaje sobie sprawy z tego, że w zastawiane sidła będą musiały siłą rzeczy wejść również serwisy administracji publicznej.

Otóż wydaje mi się, że ów wprowadzający sprawy sobie z tego nie zdaje. A po uświadomieniu mu tego faktu doszedł (lub dojdzie) do wniosku, że przecież można wykluczyć serwisy w domenie *.gov.pl oraz serwisy, których właścicielem jest instytucja państwowa, rządowa lub samorządowa. Jedno zdanie i problem z głowy.

--
Piotr "Mikołaj" Mikołajski
Blog | G+ | FB

Z czego wnosisz, że nie

Z czego wnosisz, że nie zdają sobie sprawy ?

ZdającySobieSprawęGIODO

Pewnie dlatego

VaGla's picture

Pewnie dlatego, że nie był na konferencji w UKSW, w czasie której prezentowałem zarówno przed GIODO, jak i przed RPO, zrzuty ekranów stron obu organów z okienkami przedstawiającymi liczbę cookiesów przesyłanych z tych serwisów (a także zrzut ekranu strony głównej BIP, na której poza ciasteczkami z bip.gov.pl są również ciasteczka Google - ponieważ BIP wykorzystuje mapy Google, a zatem przesyła użytkownikowi "cookiesy podmiotów trzecich").
--
[VaGla] Vigilant Android Generated for Logical Assassination

> Zadam teraz pytanie

> Zadam teraz pytanie retoryczne,
> ale czy bijący dziś na alarm
> wysłali do ministerstwa swoje
> uwagi w powyższych konsultacjach?

Sądzisz, że jest sens? Kim trzeba być żeby nie zdawać sobie sprawy z tego, że jeśli user będzie musiał po wejściu NA PRAWIE KAŻDY serwis klikać na komunikat o akceptacji (bądź nie) ciasteczek to się "troszkę" wk...nerwi? Poza tym jako webmaster przecież wiesz, że są bardziej wysublimowane metody na "szpiegowanie" usera niż cookie.

Z tymi ludźmi nie ma sensu rozmawiać.

znowu niekompetencja tworzących prawo

Jarek Żeliński's picture

użycie w jakiejkolwiek ustawie nazwy konkretnej technologii to idiotyzm, prawo powinno mówić czego nie wolno a nie "jak nie wolno" czegoś robić, zapewne szybko powstanie jakaś "nowa technologia" zastępująca zabronione "narzędzie" i ustawodawca będzie gonił w piętkę, znaczy się za nasze pieniądze nowelizował prawo...

może mam z rana kłopot z emocjami ale nie raz odnoszę wrażenie, że "tam" siedzą pospolite bałwany... niestety za moje pieniądze...

--
Jarek Żeliński
http://jarek.zelinski.biz.pl

"Czego nie zabrania prawo, zabrania wstyd" (Seneka Młodszy)

"Największe występki wynikają z nadmiernych pragnień, a nie z konieczności." (Arystoteles)

W sprawie motta

@ Pan Jarosław

Warto sprawdzić kto w "Trojankach" mówi, że "Czego nie zabrania prawo, zabrania wstyd", bo wtedy skojarzy się, to z podejsciem tej osoby do prawa i wstydu. To zas wskazuje, że mamy do czynienia nie z mottem ale z "buzz wordem" :)

WW

hm...

Jarek Żeliński's picture

a tak konkretnie to o co chodzi?

--
Jarek Żeliński
http://jarek.zelinski.biz.pl

"Czego nie zabrania prawo, zabrania wstyd" (Seneka Młodszy)

"Największe występki wynikają z nadmiernych pragnień, a nie z konieczności." (Arystoteles)

Technologia już wyprzedziła proponowane prawo

dexen's picture

użycie w jakiejkolwiek ustawie nazwy konkretnej technologii to idiotyzm, prawo powinno mówić czego nie wolno a nie "jak nie wolno" czegoś robić, zapewne szybko powstanie jakaś "nowa technologia" (...)

Absolutnie. Podejście znane jako `supercookie' opiera się zarówno na starych jak i nowych technologiach; od kilku lat istnieją narzędzia pozwalające w łatwy sposób przechowywać odpowiednik cookie w: Flash Cookie, polu ETag pamięci cache protokołu HTTP i innych sposobach. Inna technologia, ten sam efekt z punktu widzenia konsumenta. Dodatkowo, przeglądarki od niedawna udostępniają Web storage. Co więcej, nawet samo zestawienie informacji o przeglądarce, systemie operacyjnym, zainstalowanych pluginach i kilku innych dość dokładnie identyfikuje użytkownika, często (84%) unikatowo.

Prawdę mówiąc, również

Prawdę mówiąc, również to, co znajduje się w projekcie na stronach MAC jest przeregulowaniem. Nie umiem sobie wyobrazić, w jaki sposób użytkownik może zostać poinformowany uprzednio przed wysłaniem przez stronę ciasteczka inaczej niż przez umieszczenie przed wejściem na właściwą stronę (tę wysyłającą ciasteczka) dodatkowej strony ostrzegawczej (jako przedstrona czy wyskakujące okienko). Coś takiego będą musieli zrobić nawet indywidualni blogerzy, tacy jak ja, bo mój oparty na Wordpressie blog wysyła cookies. Podejrzewam, że dla wielu (tych niekorzystających z dużych platform blogerskich) może być to problem. Nie mówiąc już o tym, że będzie to uciążliwość dla samych użytkowników Internetu, którzy przy próbie wejścia na dowolną stronę będą musieli najpierw przejść przez informację o cookies.
Przyznaję się, że mimo iż czytałem projekt i nawet wziąłem udział w tych zorganizowanych naprędce konsultacjach, wysyłając swoje uwagi, to ten fragment projektu jakoś mi umknął. Trudno - nikt nie jest doskonały. Jednak nie uważam, że skoro projekt przeszedł przez fazę oficjalnych konsultacji, to nie powinno się już do niego zgłaszać dalszych uwag. Na to jest i powinien być czas aż do ostatecznego uchwalenia. Konsultacje społeczne powinny być permanentne. Tym bardziej, jeśli zapisy dotyczące cookies mają być jeszcze zmienione (tzn. ma być nie tylko uprzednie informowanie użytkownika, ale i uprzednie wyrażenie przez niego zgody).

Nie umiem sobie wyobrazić,

Nie umiem sobie wyobrazić, w jaki sposób użytkownik może zostać poinformowany uprzednio przed wysłaniem przez stronę ciasteczka

Niech sobie ustawi stosowne ostrzeżenie w przeglądarce, albo niech czyści cache. Przecież nikt go nie zmusza do trzymania tych ciasteczek, na litość boską...

Ale nie każdy sobie coś

Ale nie każdy sobie coś takiego musi ustawić (notabene, np. w Firefoksie 11 czegoś takiego ustawić się chyba nie da). Jeśli sobie nie ustawi, nie zostanie poinformowany, chyba że właściciel strony sam wprowadzi mechanizm typu przedstrona albo skrypt. A ponieważ planowany zapis ustawy mówi o wszystkich użytkownikach, ciężar jego wykonania będzie spoczywał właśnie na właścicielu strony...

Cookies to nie przechowywanie danych

Moja miniprzeglądarka napisana w Javie kilka godzin temu:
- po otrzymaniu nagłówka Set-Cookie od serwera wysyła jego zawartość na drukarkę
- przed każdym wejściem na stronę prosi o przepisanie z kartki wartości cookie
co w żaden sposób nie narusza specyfikacji cookies (RFC 2109). Ponieważ tekst na kartce nie jest danymi informatycznymi, warunki z ustawy nie muszą być spełnione.

Nie mam pojęcia, jak działają przeglądarki użytkowników oglądających moje strony internetowe, ale myślę że podobnie jak moja przeglądarka.

Jeżeli ktoś ma przeglądarkę zapisującą jakieś dane po odebraniu nagłówka Set-Cookie lub np. litery "i" w treści strony, nie jest to mój problem, ponieważ ustawiając Set-Cookie lub pisząc "i" na stronie nie miałem na myśli takiego niesprecyzowanego przez żaden standard zachowania.

Wszystko fajnie, ale jest fragment, który brzmi...

"...oraz uzyskiwać dostęp do tych przechowywanych danych".
Jeśli strona uzyskuje dostęp do danych przechowywanych na komputerach użytkowników w wyniku wysłania im ciasteczek, to jej właściciel nie może się niestety tłumaczyć tym, że zakładał, że przeglądarki będą przesyłały ich wartości na drukarkę zamiast zapisywać na komputerze w postaci przygotowanej do odczytu.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>