Umieszczenie na witrynie facebookowego przycisku „lubię to” dla przedsiębiorcy oznacza dodatkowe obowiązki. Konieczne jest m.in. odpowiednie poinformowanie użytkownika.
Jeżeli przedsiębiorca zamieszcza na swej stronie wtyczkę Facebooka, umożliwiającą polubienie jego produktów bądź fanpage’u firmy w tym medium społecznościowym – to powinien o tym odpowiednio poinformować użytkowników. W przeciwnym razie grożą wysokie kary. Ogólna informacja o używaniu ciasteczek jest w tym wypadku niewystarczająca.
Kosztowna nauka
Przekonał się o tym sklep internetowy Peek & Cloppenburg. Niedawno głośno było o orzeczeniu niemieckiego sądu w Duesseldorfie, który nałożył na tę firmę karę 250 tys. euro (zamienną na karę sześciu miesięcy więzienia dla zarządzającego przedsiębiorstwem) za to, że nie informowała ona użytkowników witryny sklepu internetowego, iż ich dane osobowe są zbierane i przetwarzane za pośrednictwem tej popularnej sieci społecznościowej.
Na swojej stronie marka odzieżowa zamieszczała bowiem wiele wtyczek Facebooka pozwalających na polubienie zarówno profilu przedsiębiorstwa, jak i wybranych, promowanych produktów. Nie informowała przy tym, że te popularne (również wśród naszych przedsiębiorców) przyciski zachęcające konsumentów do polubienia danego produktu mają także inną, mniej znaną funkcję: pozwalają śledzić dalszą aktywność użytkownika w sieci, wykorzystując pliki cookies, czyli ciasteczka. [ramka 1] Tak więc wystarczy, że internauta ma włączone podczas przeglądania strony sklepu ustawienie o pobieraniu ciasteczek i odwiedził kiedykolwiek witrynę www.facebook.com. Wtedy portal społecznościowy zaczyna śledzić jego poczynania w internecie i zachowanie na wszystkich zewnętrznych stronach, które mają zainstalowane jego wtyczki. Inaczej mówiąc: Facebook monitoruje aktywność internauty, nawet jeśli nie jest on zarejestrowanym użytkownikiem tego medium.
Co mówią przepisy
Eksperci uważają, że większość polskich witryn internetowych nie tylko niewłaściwie informuje użytkowników o takich wtyczkach, lecz także popełnia błędy w całej swojej polityce informowania o ciasteczkach. [ramka 2]
Jak zatem prawidłowo poinformować o ciasteczkach i wtyczkach?
Zasady polityki cookies zostały ustanowione przez Komisję Europejską w dyrektywie 95/46/EC (Dz.Urz. WE z 1995 r. L281, s. 31). W polskim prawie konieczność informowania o korzystaniu z ciasteczek uprzednio zainstalowanych w urządzeniu internauty została zapisana w art. 173 ust. 1 prawa telekomunikacyjnego (t.j. Dz.U. z 2014 r. poz. 243 ze zm.). Stanowi on, że abonent lub użytkownik końcowy musi być bezpośrednio i w jasny sposób poinformowany o celu przechowywania i uzyskiwania dostępu do informacji z ciasteczek. Zgoda musi być wyrażona, jeszcze zanim witryna rozpocznie śledzenie użytkownika. Internauta musi mieć możliwość określenia przez siebie warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania w wykorzystywanym przez siebie urządzeniu.
Ponadto zgodnie z art. 174 prawa telekomunikacyjnego zgoda nie może być dorozumiana, czyli przedsiębiorca nie może zakładać, że użytkownik akceptuje korzystanie z ciasteczek poprzez brak sprzeciwu.
To nie wszystko. Przedsiębiorcy używający wtyczek Facebooka muszą pamiętać, że zamieszczając je na swojej stronie, biorą na siebie odpowiedzialność za informację, że serwis FB również korzysta z ich ciasteczek. Muszą przy tym uzyskać zgodę użytkownika na taki stan rzeczy.
Dotkliwe sankcje
Sankcje za niewypełnienie obowiązków informacyjnych mogą być dotkliwe. Zgodnie z art. 209 i art. 210 prawa telekomunikacyjnego na przedsiębiorcę może zostać nałożona kara pieniężna w wysokości do 3 proc. przychodu przedsiębiorcy, osiągniętego w roku kalendarzowym poprzedzającym rok, w którym doszło do popełnienia czynu. Jeśli przedsiębiorca nie uzyskał przychodu, to za podstawę wymiaru kary przyjmuje się 10 tys. zł.
Przy ustalaniu wysokości kary uwzględnia się zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
Ponadto prezes Urzędu Komunikacji Elektronicznej może nałożyć dodatkową karę pieniężną na kierującego przedsiębiorstwem w wysokości 300 proc. jego miesięcznego wynagrodzenia. Kara może zostać wyznaczona także w przypadku, gdy przedsiębiorca zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli prezes UKE uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.
Jak prawidłowo informować
Skrypt informacji o polityce cookies powinien być tak napisany, aby komunikat wyświetlał się tylko tym internautom, którzy po raz pierwszy trafili na stronę przedsiębiorcy i nie wyrazili jeszcze zgody na politykę cookies. W innym wypadku powtarzający się komunikat może irytować i zniechęcać go do ponownego korzystania z witryny.
Komunikat z prośbą o wyrażenie zgody powinien się pojawić, zanim internauta będzie mógł swobodnie korzystać ze strony.
Co w treści
W treści komunikatu należy umieścić podstawowe informacje dotyczące polityki cookies. Między innymi informację o tym, że witryna przedsiębiorcy korzysta z ciasteczek.
Warto poinformować internautę, że ma on prawo określić sposób gromadzenia cookies bądź wyłączyć ich śledzenie poprzez używaną przez siebie przeglądarkę internetową.
Ponadto – o czym nie wszyscy wiedzą – jeżeli przedsiębiorca ma zainstalowaną wtyczkę Facebooka bądź innego portalu albo aplikacji korzystającej z ciasteczek, to administrator musi w klauzuli informacyjnej zawrzeć informację, że to medium również przetwarza dane z cookies.
Dobrą praktyką jest zawarcie w informacji linku do pełnego komunikatu na odrębnej, specjalnie przygotowanej podstronie. Warto tam zawrzeć informację, czym są ciasteczka, w jaki sposób działają i że nie wpływają one na działanie urządzenia końcowego internauty.
Ważne jest też, by określić dokładnie cel gromadzenia danych – np. że będą one służyły do sporządzania anonimowych statystyk, przesyłania danych reklamowych itd. Jeżeli przedsiębiorca korzysta z programów zarabiania na reklamach, np. w partnerstwie z usługą Google Adsense bądź AdTaily, należy zawrzeć informację, że ciasteczka będą wykorzystywane do przystosowania treści reklamowych specjalnie dla danego internauty.
Konieczna wyraźna akceptacja
Przedsiębiorca powinien uzyskać od użytkownika potwierdzenie, że zapoznał się on z przekazanym komunikatem na temat polityki cookies. Zgoda użytkownika powinna być wyrażona poprzez zaznaczenie odpowiedniego pola (nie może wyłączać się np. w momencie kliknięcia myszą komputerową poza tym polem). I co najważniejsze – brak zgody na korzystanie z ciasteczek powinien uniemożliwić witrynie zbieranie cookies.
RAMKA 1
Czym są ciasteczka
Cookies to niewielkie pliki, samoinstalujące się na urządzeniu użytkownika końcowego, które służą witrynom do zapamiętywania historii przeglądania użytkownika, dopasowywania potencjalnie pożądanych przez niego reklam oraz gromadzenia anonimowych danych statystycznych. Mogą być one zbierane wyłącznie w celu wykonywania określonych funkcji na rzecz użytkownika, a więc zapamiętania wybranych towarów z koszyka w sklepie internetowym lub zapamiętania logowania do danego serwisu. Dane muszą być zatem zaszyfrowane w sposób uniemożliwiający ich przechwycenie lub odczytanie przez osoby nieuprawnione. Z cookies korzysta obecnie większość stron w internecie, a ich akceptacja przez internautę jest konieczna do prawidłowego działania serwisów internetowych, przede wszystkim tych wymagających autoryzacji (a więc np. w sklepach internetowych czy też skrzynkach pocztowych e-maili). ©?
RAMKA 2
Błędy polskich firm
Zdaniem ekspertów wielu przedsiębiorców na swoich witrynach popełnia podobne błędy. Bywa, że administratorzy witryn umieszczają niejasne lub nawet żartobliwe treści w skrypcie elektronicznym dotyczącym korzystania z ciasteczek. Wiele komunikatów jest źle skonstruowanych, np. w treści zakładają, że brak działań internauty równa się zaakceptowaniu postanowień klauzuli (przykładowo niewłaściwy jest tekst: „korzystając ze strony, wyrażasz zgodę na korzystanie z cookies”). Polskie portale nie informują, w jaki sposób można korzystać z treści witryny bez akceptacji ciasteczek bądź w jaki sposób internauta może cofnąć zgodę na korzystanie z cookies przez stronę.

OPINIA EKSPERTA

Olgierd Rudak, prawnik prowadzący czasopismo „Lege Artis”

Jako prawnik uważam, że najlepiej dokładnie informować o ciasteczkach. Problem w tym, że spełnienie ustawowych wymogów przez przedsiębiorcę z punktu widzenia użytkownika oznacza uciążliwości i utrudnia korzystanie z serwisów internetowych. Zwłaszcza że programistom zdarza się pomijać możliwość zapamiętywania wyboru użytkownika, co w praktyce oznacza, że ilekroć ktoś wchodzi na stronę, musi potwierdzać swoją zgodę.
Obserwuję też, że przekazywane przez skrypty informacje są niejasne, bo do ich pisania nie biorą się prawnicy. W praktyce spotyka się dwa rodzaje komunikatów o cookies: najczęściej są to ogólnikowe sformułowania, zbiorowo traktujące wszystkie przypadki przechowywania danych na urządzeniu użytkownika. Rzadziej spotyka się szczegółowe opisy poszczególnych mechanizmów i ich funkcjonalności. Prawo telekomunikacyjne nie mówi wprost, że należy każdy mechanizm szczegółowo opisywać z osobna.
Ministerstwo Cyfryzacji informuje bardzo precyzyjnie o swojej polityce cookies na stronie www.mc.gov.pl/polityka-prywatnosci. Jednak UKE przyjął, że wystarczy bardziej lakoniczna wersja: www.uke.gov.pl/polityka-prywatnosci.
Warto pamiętać, że odpowiedzialność za brak informacji o korzystaniu Facebooka z ciasteczek spoczywa na właścicielu strony internetowej, to on bowiem podejmuje decyzję o umieszczeniu wtyczki FB na własnej witrynie. Inna sprawa, że ten portal społecznościowy powinien pomóc wydawcom serwisów internetowych, załączając odpowiednie informacje dla administratorów strony przy pobieraniu własnej wtyczki.