Cookiesy w projekcie noweli Prawa telekomunikacyjnego z 17 maja

Zachęcam Państwa do rzucenia okiem na ostatnią wersję projektu ustawy nowelizującej Prawo telekomunikacyjne. Tu chodzi o ten proces legislacyjny, o którym wcześniej pisałem w tekście Nowa wersja projektu noweli Prawa telekomunikacyjnego zasługuje na uwagę również branży internetowej, a potem komentowałem zamieszanie związane z pracami nad tym projektem w tekście Nowego projektu jeszcze nie ma, ale pojawiło się zaniepokojenie o regulację ciasteczek.

Chociaż cały projekt zasługuje na uważną lekturę, to jednak odnotuję tu jedynie ten proponowany przepis dostępnego w BIP MAiC Projektu ustawy z dn.17.05.2012 o zmianie ustawy - Prawo Telekomunikacyjne, który dotyczy cookiesów:

118) w art. 173:

a) w ust. 1 wprowadzenie do wyliczenia oraz pkt 1-2 otrzymują brzmienie:
„1. Podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług oraz uzyskiwać dostęp do tych przechowywanych danych, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio jednoznacznie i bezpośrednio poinformowany, w sposób łatwy i zrozumiały, o:

a) celu przechowywania danych,
b) sposobach korzystania z ich zawartości,
c) możliwości określenia przez abonenta lub użytkownika końcowego warunków przetwarzania danych za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu końcowym lub konfiguracji usługi;

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt. 1, wyrazi na to zgodę;”,

b) po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:

„1a. Dokonanie przez abonenta lub użytkownika końcowego stosownych ustawień w oprogramowaniu zainstalowanym w wykorzystywanym przez niego urządzeniu końcowym lub konfiguracji usługi, które prowadzi do umożliwienia podmiotom, o którym mowa w ust. 1, przetwarzania danych, o których mowa w ust. 1, równoznaczne jest z wyrażeniem przez niego zgody na przetwarzanie danych.
1b. W przypadku gdy domyślne ustawienia oprogramowania zainstalowanego w urządzeniu końcowym abonenta lub użytkownika końcowego lub konfiguracja usługi, umożliwiają przetwarzanie danych, o których mowa w ust. 1, przyjmuje się, że wyraził on zgodę o ile:

a) podmiot, o którym mowa w ust. 1 wykaże, że dopełnił obowiązków informacyjnych, o których mowa w ust. 1 pkt 1 lit. a-c oraz b) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w ust. 1 pkt 1 lit. a-c, nie dokonał zmian w ustawieniach oprogramowania lub konfiguracji usługi prowadzących do usunięcia danych z urządzenia końcowego i uniemożliwienia przechowywania ich w przyszłości.”,

c) w ust. 2:
- wprowadzenie do wyliczenia otrzymuje brzmienie:

„Warunków, o których mowa w ust. 1-1b, nie stosuje się, jeżeli:”,

- w pkt 1 po wyrazach „publicznej sieci” dodaje się wyraz „telekomunikacyjnej”,

- pkt 2 otrzymuje brzmienie:

„2) przechowywanie oraz dostęp do danych, o których mowa w ust. 1, są niezbędne w celu dostarczania usługi, żądanej przez abonenta lub użytkownika końcowego.”,

d) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:

„Podmioty, o których mowa w ust. 1, mogą instalować oprogramowanie w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:”;

Jak widać art. 173 rozbudowuje się wraz z dyskusja na temat plików cookies...

A przywołam jeszcze fragment uzasadnienia, by można go było porównać z poprzednimi wersjami (przy okazji wytłuściłem fragment):

Art. 173
Zmiany wprowadzone w art. 173 wynikają ze zmiany wprowadzonej w art. 5 ust. 3 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, w zakresie przechowywania danych informatycznych, w szczególności plików tekstowych, w urządzeniach końcowych abonentów lub użytkowników końcowych (tzw. „cookies”).

Po pierwsze, należy zauważyć, iż przepis dyrektywy odnosi się do przechowywania i uzyskiwania dostępu do tych danych, w związku z czym konieczne jest uzupełnienie art. 173 ust. 1 o legitymację do „uzyskiwania dostępu do przechowywanych danych”.

Po drugie, w ust. 1 konieczne jest uzupełnienie katalogu podmiotów uprawnionych do przechowywania i uzyskiwania dostępu do przechowywanych danych o przedsiębiorców telekomunikacyjnych, którzy coraz częściej są jednocześnie usługodawcami w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, a oprócz tego, ewolucji ulega rynek świadczonych przez nich usług telekomunikacyjnych. W związku z powyższym, stosownych zmian, niezależnie od proponowanych w nowych jednostkach redakcyjnych ust. 1a i 1b, dokonano we wprowadzeniu do wyliczenia w ust. 1, w ust. 2 pkt 2 oraz we wprowadzeniu do wyliczenia w ust. 3. Zmiana taka oraz odniesienie się w proponowanych przepisach nie tylko do ustawień oprogramowania zainstalowanego na urządzeniu końcowym, ale także do możliwości konfiguracji samej usługi, jest tym bardziej uzasadniona w związku z coraz bardziej powszechnym przetwarzaniem danych w chmurze obliczeniowej (tzw. „cloud computing”), czyli modelu opartym na korzystaniu z różnego rodzaju aplikacji lub usług świadczonych nie tylko przez usługodawców w rozumieniu ustawy o świadczeniu usług drogą elektroniczną (dalej „uśude”), które nie wymagają instalacji na urządzeniach końcowych.

W wyniku wprowadzenia przepisów ust. 1a i 1b, niezbędne jest również dokonanie zmiany w ust. 2 polegającej na wyłączeniu, obok już dzisiaj wskazanych w ust. 1, również warunków dotyczących zgody, o których mowa w nowododanych ust. 1a i 1b w przypadkach, w których przechowywanie i uzyskiwanie dostępu niezbędne jest dla transmisji komunikatu lub świadczenia usługi zażądanej przez abonenta lub użytkownika końcowego.

Jednocześnie, w celu zachowania spójności siatki pojęciowej w ramach ustawy, niezbędne jest dokonanie stosownej zmiany w ust. 2 pkt 1, polegającej na dodaniu po wyrazach „publicznej sieci” wyrazu „telekomunikacyjnej.

Po trzecie, w związku z faktem dokonania w dyrektywie zmiany w przedmiocie sposobu wyrażania przez abonenta lub użytkownika końcowego jego woli (z tzw. opcji opt-out na opcję opt-in), a zatem zastąpienie dotychczasowej możliwości wyrażenia sprzeciwu – obowiązkiem uzyskania uprzedniej zgody, w celu zapewnienia spójności brzmienia art. 173 z art. 174 pkt. 1, zgodnie z którym zgoda nie może być domniemana lub dorozumiana z oświadczenia woli innej treści, proponuje się wprowadzenie kompleksowej zmiany regulującej możliwość wyrażenia zgody przez abonenta lub użytkownika końcowego za pomocą ustawień oprogramowania zainstalowanego w urządzeniu końcowym lub konfiguracji usługi. W związku z powyższym, proponuje się doprecyzowanie obowiązków informacyjnych w ust. 1 pkt 1, w szczególności poprzez obowiązek informowania abonenta lub użytkownika końcowego m.in. o celach przechowywania danych, sposobach korzystania z ich zawartości oraz w szczególności o możliwości określenia przez abonenta lub użytkownika końcowego warunków przetwarzania danych za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu końcowym lub za pomocą konfiguracji samej usługi. Zaprezentowane w sposób łatwy i przejrzysty informacje, pozwolą abonentowi lub użytkownikowi końcowemu na podjęcie decyzji co do możliwości wprowadzenia, przechowywania i przetwarzania przez usługodawcę danych. Zwiększenie obowiązków informacyjnych jest niezbędne, z uwagi na fakt, iż w chwili obecnej brak jest na rynku przeglądarek internetowych produktów, których konfiguracja gwarantuje pełną kontrolę warunków przetwarzanych przez usługodawców danych. Z tego powodu, oprócz możliwości konfiguracji zainstalowanego oprogramowania (przeglądarki), podmioty o których mowa w ust. 1 powinny poinformować o możliwości określenia warunków przetwarzania danych za pomocą konfiguracji usługi (czyli np. za pomocą funkcjonalności oferowanej przez stronę internetową usługodawcy). Jednocześnie należy podkreślić, iż rekomendowana jest implementacja i oferowanie przez usługodawców abonentom lub użytkownikom końcowym właśnie takich rozwiązań, które umożliwią po pierwsze łatwą, przyjazną, zrozumiałą i pełną prezentację informacji, o których mowa w ust. 1 pkt 1, a po drugie – możliwie najpełniejszą kontrolę nad warunkami przetwarzania danych.

Niezależnie od powyższego, należy zwrócić uwagę na fakt, iż informacje oraz uzyskanie zgody, o których mowa w ust. 1, powinno nastąpić przed wprowadzeniem i rozpoczęciem przetwarzania danych. Celem zapewnienia abonentom lub użytkownikom końcowym stałej dostępności takich informacji, uwagę zwrócić należy na uzupełniający przepis art. 6 pkt 2 uśude, w świetle którego usługodawca jest obowiązany zapewnić usługobiorcy stały dostęp do aktualnej informacji o funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawców do systemu teleinformatycznego, którym posługuje się usługobiorca. Wyjaśniając, należy stwierdzić, iż w świetle powyższego, pożądanym jest stworzenie takiej sytuacji, w której abonent lub użytkownik końcowy korzystający z usługi, ma możliwość z jednej strony ciągłego i łatwego dostępu do informacji wymaganych przepisem art. 173 ust. 1 pkt 1 oraz art. 6 pkt 2 uśude, a z drugiej – stałej możliwości wpływu na warunki przetwarzania danych, nie tylko za pomocą ustawień przeglądarki, ale również konfiguracji samej usługi.

Biorąc pod uwagę fakt, że zgodnie z art. 174 pkt 1 zgoda osoby nie może być domniemana lub dorozumiana z oświadczenia woli innej treści, należy wprowadzić przepis ust. 1a, który rozstrzygnie wątpliwości interpretacyjne co do świadomości i woli abonenta lub użytkownika końcowego. W związku z powyższym, proponuje się wprowadzenie przepisu, zgodnie z którym za zgodę na wprowadzenie, przechowywanie i przetwarzanie danych należy uznać takie działanie uprzednio poinformowanego, zgodnie z ust. 1, abonenta lub użytkownika końcowego, które prowadzi do konfiguracji oprogramowania lub usługi w sposób umożliwiający usługodawcom dokonywanie takich operacji.

Dostrzegając jednocześnie fakt, iż gros dostępnych na rynku przeglądarek jest domyślnie skonfigurowana w sposób umożliwiający przetwarzanie danych przez usługodawców, należy również wprowadzić przepis (ust. 1b), zgodnie z którym, w przypadku gdy właściwie poinformowany abonent lub użytkownik końcowy zachowa się w taki sposób, iż nie dokona zmian domyślnych ustawień tak skonfigurowanej przeglądarki lub innej aplikacji (również usługi) o podobnej funkcjonalności, które uniemożliwią przetwarzanie danych, takie jego zachowanie po otrzymaniu informacji, o których mowa w ust. 1 pkt 1, rozumiane będzie jako zgoda na pozostawienie ustawień domyślnych, a tym samym na wprowadzenie, przechowywanie i przetwarzanie danych przez usługodawców.

Uzupełniając powyższe, należy zwrócić uwagę na treść przepisu art. 174, który określa warunki prawidłowo uzyskanej zgody abonenta lub użytkownika końcowego, w szczególności na treść pkt 1, w świetle którego zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Konieczność implementacji definicji zgody wynika z art. 2 lit. f dyrektywy 2002/58/WE o prywatności, która z kolei odsyła do zgody podmiotu, o której mowa w art. 2 lit. h dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zgodnie z którym „zgoda osoby, której dane dotyczą” oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych. Przepis dyrektywy 95/46/WE implementowany jest w art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U z 2002, Nr 101, poz. 926). Zgodnie z ww. przepisem, ilekroć w ustawie o ochronie danych osobowych jest mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Jednocześnie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. W tym miejscu należy zatem zwrócić uwagę na fakt, iż przepis ustawy Prawo telekomunikacyjne jest w zakresie art. 174 pkt 1 spójny z przepisem art. 7 pkt 5 implementującym przepis dyrektywy 95/46/WE, do którego z kolei odnosi się przepis art. 2 lit. f dyrektywy o prywatności. Oznacza to, iż zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla wyrażającego w momencie jej wyrażania. Zgoda nie może być wyrażona per facta concludentia, w sposób „milczący” lub inne pasywne działanie. W związku z powyższym należy uznać, iż właściwie poinformowany abonent lub użytkownik końcowy może podjąć świadomą decyzję co do wyrażenia zgody (poprzez dokonanie odpowiednich ustawień lub pozostawieniu ich na domyślnym, umożliwiającym przetwarzanie danych poziomie) lub jej braku, za pomocą ustawień przeglądarki, aplikacji o podobnej funkcjonalności lub konfiguracji samej usługi.

Przypomina mi się ten dowcip, w którym kochająca żona rozbiera pijanego męża po jego powrocie do domu. Interpretuje wszystkie dziwne sytuacje na korzyść męża i wreszcie natrafia na damskie stringi... Mąż kwituje sytuację krótkim "kombinuj".

Problem w tym, że to nieszczęsne prawo unijne w zakresie cookies jest tak skonstruowane, że wszyscy mamy z nim kłopot. Oczywiście możemy sobie powiedzieć, że chociaż nie można interpretować zgody z oświadczenia o innej treści, zatem przyjmijmy, że taką zgodą jest ustawienie przeglądarki, i takie rozwiązanie pozwoli nam jakoś żyć w webowym świecie, ale umówmy się też mrugając okiem, że ustawienie przeglądarki nie jest wcale wyraźnie wyrażoną zgodą. Moim zdaniem prawo unijne w tym zakresie jest po prostu źle, nieżyciowo sformułowane. Uważam, że ustawienie przeglądarki byłoby wystarczające, a takiego ustawienia ktoś "sadzący" cookiesy nie powinien móc ignorować - to wynika z proponowanego przez MAiC rozwiązania i pewnie wielu się z tego ucieszy. Ale czy to jest implementacja Pakietu telekomunikacyjnego? Mam sporo wątpliwości.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

No i mówiłem...

...że posiadaczem cookiesów będzie ten, kto je ustawia, co otwiera drogę do wizyty smutnych panów od GIODO w domu u użytkownika końcowego, boż cookiesy zawierają dane osobowe (a w każdym razie mogą zawierać) a należą do serwera, a nie do klienta. Zgadzałeś się na ustawianie cookiesów, to teraz zgódź się, że Twój komputer przetwarza dane osobowe należące do (dajmy na to) vagla.pl, którego właśnie kontrolujemy. I wątpliwe czy w razie czego będziesz mógł się powołać na brak wiedzy, bo przecież wyświetlił Ci się warning, że cookiesy mają być ustawione. Czy tylko ja odnoszę wrażenie, że to jest dyskusja o sposobie przyrządzania potrawki z żab??

Prawdziwy problem

Ciekawe, czy te regulacje chociaż zahaczą o prawdziwy problem – to, że obecnie wiele firm próbuje omijać ustawienia przeglądarki. Zablokować zwykle „cookies” jest prosto, to coraz częściej używane są „ciasteczka flashowe”, czy jakieś nowe ficzery HTML5. To opt-out nie jest takie proste i może warto by coś z tym zrobić… ale nie jestem pewien, czy jakiekolwiek pokrętne przepisy rozwiążą problem.
Może zamiast w usługodawców uderzyć w dostawców oprogramowania? Gdy flash player nie dawał żadne

Odnoszę wrażenie,

że drwina z autorów projektu jest trochę niezasłużona. Zazwyczaj bardzo dużo dyskutuje się o przykładach błędnej implementacji dyrektyw do krajowego porządku prawnego oraz mądrej prounijnej wykładni jako rozwiązania problemów stwarzanych przez nieudolnego ustawodawcę. A tutaj proszę, mamy sytuację odwrotną - krajowy ustawodawca próbuje rozsądną implementacją zracjonalizować mało praktyczną regulację dyrektywy. Z drugiej strony, twierdzenie, że odpowiednie ustawienie przeglądarki można odczytywać jako wyrażenie zgody, która nie jest udzielana per facta concludentia jest tezą dość karkołomną...

Aby było to jasne

Aby było to jasne - uważam, że zgoda przez ustawienia przeglądarki w przypadku cookiesów jest lepszym rozwiązaniem, niż wyskakujące okienko w stylu brytyjskim. I nigdzie nie zadrwiłem z autorów projektu.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Drwina często dominuje w

Drwina często dominuje w dyskusjach o prywatności, danych osobowych i ustawie o pisaniu na płocie, czy jakto to było ;-)
A akurat ta implementacja pokazuje, że "da się". Da się rozsądniej, niż prawodawca wspólnotowy. A czy to jest zgodne z dyrektywą, to inna sprawa ;-)

To nie drwina to egzemplifikacja

To nie powołana hiperbola jest kpiną, tylko kazuistyka na poziomie - jak to się kiedyś mówiło - "rabinicznych" (bo już nie akademickich, te są za bardzo konkretne) wywodów, przygotowywana w jakimś mętnym trybie na doraźne zapotrzebowanie jest kpiną z prawodawstwa i państwa. To nie ja tak piszę prawo, że napis "123" wykonany patykiem na piasku kreuje ówże piasek na cyfrowy nośnik danych. To nie ja trzymam przez ponad pół dekady martwe prawo zakazujące nabywania systemów operacyjnych (art 269b kk) to nie ja forsuję ACTA przez jakieś komisje rybołóstwa...

W Wielkiej Brytanii

W Wielkiej Brytanii przepisy dot. ciasteczek weszły w życie 26 maja. Z tej okazji Dziennik Internautów publikuje tekst: Jak unijne ciasteczkowe zasady (nie) działają w UK?
--
[VaGla] Vigilant Android Generated for Logical Assassination

"ustawienie przeglądarki

"ustawienie przeglądarki byłoby wystarczające, a takiego ustawienia ktoś "sadzący" cookiesy nie powinien móc ignorować"

W jaki sposób mógłby zignorować blokadę ciastek w przeglądarce? Przecież ustawienia w przeglądarce to techniczna blokada zapisywania ciastek, a nie opcja przekazywana serwerowi.

Dodatkowo mowa jest ogólnie o danych zapisywanych na komputerze użytkownika, więc nie tylko ciastek, ale też danych HTML5, flasha czy innych wtyczek. W każdym przypadku należy użyć osobnych ustawień w oprogramowaniu. I jak ci biedni userzy sobie z tym poradzą?

A co jeśli jakaś przeglądarka nie będzie miała ustawień dotyczących ciastek?

Zabawne te przepisy - jeśli użytkownik fizycznie nie uniemożliwił zapisania ciastek, to znaczy że wyraził zgodę.

Przepisy są zabawne ale

Przepisy są zabawne ale jeszcze zabawniejsze są pomysły na ich implementację, o czym pisałem w kwietniu (Cookies - niedźwiedzia przysługa).

Prawnicy spytali inżynierów: "czy da się odwrócić bieg rzek syberyjskich", inżynierowie odpowiedzieli, że tak no bo w sumie prawa fizyki tego nie zabraniają. Do tego dochodzi dość wyraźne niezrozumienie co, gdzie i przez kogo jest ustawiane i wysyłane.

Stąd właśnie np. pomysły na uzyskanie compliance przez właścicieli stron za pomocą przeglądarek użytkowników czy fetyszyzacja Do Not Track (którego co prawda nie ma, no ale jakby było to ho ho...).

Przy tym wszystkim dyrektywa bardzo jednoznacznie domaga się poinformowania użytkownika o celu cookie przed jego ustawieniem, a wszelkie rozważania na temat wygody, używalności itd znajdują się w niewiążącej preambule.

--
Paweł Krawczyk | ipsec.pl | echelon.pl | webcookies.info |
facebook | g+ |

Cache

Tak sformułowany przepis wymagałby pytania również o akceptację cache'owania js, css czy plików graficznych po stronie przeglądarki. Jeśli zgoda wyrażona przez konfiguracje programu nie byłaby wystarczająca (ignorowanie zaleceń z nagłówków) to ustawodawca narzuciłby tym samym uzależnianie nagłówków plików statycznych od decyzji użytkownika... Implementacja tego jest oczywiście możliwa ale wątpię aby ktoś się na nią zdecydował.

W takim przypadku można będzie wchodzić na przypadkowe strony internetowe, dokumentować zapis przez stronę danych u użytkownika bez jego zgody i generować pozew (vide sprawa kancelarii pozywającej sklepy za błędy w regulaminie, tylko tutaj cały proces mógłby być niemal automatyczny).

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>