Paweł Litwiński: Regulacje dotyczące ciasteczek przestały przystawać do rzeczywistości
Francuski organ ochrony danych (CNIL) nałożył w minionym tygodniu rekordowe kary: 100 mln euro na Google i 35 mln euro na Amazona. Czym zawiniły?
Obydwie kary zostały nałożone za nieprzekazywanie informacji, które są wymagane na podstawie francuskiego prawa w związku z posługiwaniem się ciasteczkami (cookies), a także za zapisywanie tych ciasteczek bez uprzedniej zgody użytkowników. Wystarczyło samo wejście na stronę, by na komputerze użytkownika, bez jego wiedzy, instalowały się ciasteczka. Dodatkowo Google został ukarany za nierespektowanie prawa do sprzeciwu. Jak ustalił CNIL, mimo rezygnacji z personalizacji reklam jedno z ciasteczek nadal pozostawało w systemie użytkownika.
Czym są ciasteczka i dlaczego są tak niebezpieczne, że nakłada się za nie tak gigantyczne kary?
Dobre pytanie. Łatwiej powiedzieć, czym są – jest to technologia identyfikowania konkretnych systemów informatycznych, czyli mówiąc wprost, komputera podpiętego do internetu. Żeby taka identyfikacja mogła nastąpić, w komputerze jest zapisywany niewielki plik, czyli właśnie to ciasteczko. Dostęp do niego ma następnie ten, kto je zapisał. Ciasteczka mają dobrą i złą stronę – dobrą, bo ułatwiają logowanie do stron (strony nas „pamiętają”), a złą, bo umożliwiają śledzenie nas. Czasem ciasteczko jest anonimowe, czyli ten, kto się nim posługuje, zupełnie nie wie, kto jest po drugiej stronie, a czasem wręcz przeciwnie, można zidentyfikować użytkownika np. portalu informacyjnego, ba, można zidentyfikować jego preferencje, poglądy, zachowania… Czasem też dostęp do ciasteczka ma nie tylko ten, kto je zapisał, a nawet zapisywane są ciasteczka pochodzące od zupełnie obcych podmiotów, które chcą nas śledzić. Technologia cookies bez wątpienia stanowi poważne zagrożenie dla naszej prywatności.
Oprócz kar już nałożonych CNIL zapowiedział, że dołoży kolejne – po 100 tys. euro dziennie, jeśli firmy nie zmienią treści swych ostrzeżeń o cookies. O czym powinny informować, a o czym nie informują?
Dobrym przykładem może być Amazon – CNIL zarzucił, że czytając informację o ciasteczkach, użytkownik nie zdaje sobie sprawy z tego, że głównym celem posługiwania się nimi jest personalizacja reklam. Co więcej, czasem użytkownicy w ogóle nie byli informowani o tym, że zapisywane są ciasteczka. Powinni również mieć świadomość tego, że mogą odmówić zgody na ich używanie.
Czy takie zagrożenie dodatkowymi karami nie jest swoistym szantażem? Jeśli się nie dostosujecie – dostaniecie kary, jeśli dostosujecie, to poniekąd potwierdzicie swą winę i będziecie mieć problem z podważeniem decyzji?
Cóż, to jedyny skuteczny sposób przymuszenia do wykonania decyzji, znany chyba wszędzie na świecie, także w Polsce. Moim zdaniem nie jest to kontrowersyjne rozwiązanie, przynajmniej co do zasady.
Kary nałożono na podstawie francuskich przepisów odwołujących się do dyrektywy ePrivacy, a nie do RODO. Na czym polega różnica?
Różnica jest zasadnicza – dyrektywa 2002/58, określana też jako dyrektywa ePrivacy (w odróżnieniu od rozporządzenia ePrivacy, które ją zastąpi, a nad którym prace trwają od lat), to akt prawny, który ma już prawie 20 lat i który reguluje właśnie takie kwestie, jak zasady posługiwania się ciasteczkami. Te 20 lat widać w filozofii regulacji, np. obowiązkach podawania informacji dotyczących ciasteczek. Jest ich za dużo, przez co mało kto je czyta. Inaczej jest to rozwiązane pod rządami RODO, które pozwala na warstwowe informowanie – przekazujemy tylko najważniejsze informacje z nadzieją, że ktoś je przeczyta, i odsyłamy do bardziej szczegółowych, np. na stronie internetowej. Dyrektywa ePrivacy ma jeszcze jedną cechę – jak to dyrektywa, podlegała implementacji, czyli państwa członkowskie Unii Europejskiej musiały uchwalić przepisy przenoszące jej regulacje do swych systemów prawnych, czego przy rozporządzeniu się nie robi. Jak łatwo się domyśleć, każde z państw zrobiło to troszkę inaczej.
W sposób naturalny rodzi się więc pytanie, czy polskie prawo pozwalałoby na nałożenie tak wysokich kar?
Byłoby to trudne, ponieważ Polska należy do tych właśnie krajów Unii, które stworzyły dość specyficzny system egzekwowania wymagań dotyczących ciasteczek: obowiązki zapisaliśmy w ustawie – Prawo telekomunikacyjne, dla której właściwym regulatorem jest prezes Urzędu Komunikacji Elektronicznej. Jednocześnie wymagania dotyczące zgód – czyli to, za co ukarał CNIL – wynikają z RODO, a tu regulatorem jest prezes Urzędu Ochrony Danych Osobowych. Karę za naruszenia wymogów dotyczących zgód mógłby więc nałożyć prezes UODO, ale w zakresie braku wymaganych informacji musiałby to już zrobić prezes UKE. Takie poszatkowanie regulacji i kompetencji właściwych organów nie sprzyja ani pewności prawa, ani jego egzekwowaniu.
RODO miało ujednolić podejście do prywatności, tymczasem te kary pokazują chyba, że tak nie jest. CNIL wydaje się być dużo bardziej restrykcyjny od organów innych państw.
Wydaje się, że CNIL rzeczywiście ma cięższą rękę. W przypadku ciasteczek widać jak na dłoni brak spójności regulacyjnej, także jeśli chodzi o konkretne obowiązki. Prawo prawem, a choćby CNIL właśnie (ale i słynący w środowisku ze zdrowego rozsądku regulator brytyjski – Information Commissioner’s Office) już od ponad roku rekomendują, by zgoda dotycząca cookies miała zawsze charakter zgody aktywnej, a nie wyrażonej przez sam fakt korzystania ze strony. W skrócie – użytkownik powinien w coś kliknąć, potwierdzając swą zgodę. Samo wejście na stronę, nawet po otrzymaniu informacji o cookies, nie powinno być uznawane za zgodę.
Tymczasem w Polsce podobnej refleksji nie ma u żadnego z regulatorów. To ogromny problem, bo przecież biznes internetowy nie zna granic.
Odejdźmy na chwilę od prawa – czy pana zdaniem te ostrzeżenia o cookies spełniają swą rolę? Ja ich nie czytam i odruchowo klikam na zgodę, a pan?
Również nie i to jest największy problem. Nikt tego nie czyta, może z wyjątkiem garstki pasjonatów. Co więcej, przez większość internautów kolejne wyskakujące okienka z kolejnymi informacjami są postrzegane jako problem, który utrudnia im korzystanie z internetu. Brakuje jednolitego podejścia, które uwzględniałoby coś tak banalnego, jak doświadczenia użytkownika. Nikt tak naprawdę nie myśli, czego on chce. On zaś chce mieć treści, a nie kolejne okienka do zamykania i kolejne zgody do odkliknięcia. Akurat w przypadku cookies rozwiązanie jest banalnie proste – regulacja nie powinna dotyczyć dostawców usług internetowych, tylko przeglądarek. Zgody na cookies powinno się ustawiać raz na zawsze z poziomu przeglądarki, a nie stron, które odwiedzamy. Jak widać, teoria to jedno, a praktyka to drugie.
Jeśli ustawiłbym brak zgody na cookies, to strona, na którą wchodzę, przestałaby zarabiać. A przecież treści w internecie kosztują. Czy serwis internetowy może odmawiać dostępu osobom, które nie godzą się na cookies?
Zdania są podzielone. Francuski i brytyjski organ ochrony danych wydały rekomendacje, w których uznają, że nie można odmawiać dostępu do strony internetowej z powodu braku zgody na cookies. Zgadzam się, że to całkowicie zmieniałoby zasady w internecie. Darmowy, czyli bez płatności w pieniądzu, dostęp do treści opiera się rzeczywiście na spersonalizowanej reklamie, ta zaś wymaga cookies. Inna sprawa, że nikt nie może zabronić stworzenia dwóch wersji portalu. Osoby wyrażające zgodę na cookies miałyby dostęp do rozbudowanych treści, a te, które się na to nie godzą, tylko do okrojonych. Kolejna możliwość to odpłatność w pieniądzu – użytkownik, który nie godzi się na cookies, dostaje taką możliwość, ale musi za to zapłacić.