Wielu internautów, chociaż spędza sporo czasu w sieci, nie do końca ma świadomość, że na ich komputerach zapisano setki, jeśli nie tysiące małych plików tekstowych, tzw. cookies. Większość z nich po prostu ułatwia korzystanie z serwisów. Są jednak i takie, które śledzą aktywność danego komputera. Dzięki temu firmy mogą dostosowywać reklamy oglądane przez danego użytkownika do jego zainteresowań.

Zgoda z założenia

Właśnie te ostatnie cookies wywołują kontrowersje związane z ochroną prywatności użytkownika. Dlatego Ministerstwo Administracji i Cyfryzacji planowało wprowadzenie obowiązku uzyskiwania zgody na przechowywanie tych plików. Z najnowszej wersji projektu, do jakiego dotarliśmy, wynika jednak, że chociaż zgoda rzeczywiście ma być wymagana, to wystarczy, że będzie dorozumiana.

– Proponowany przepis, podobnie do rozwiązań przyjętych w kilku państwach UE, przewiduje możliwość wyrażenia zgody przez użytkownika na przetwarzanie cookies za pomocą ustawień przeglądarki lub usługi – wyjaśnia Artur Koziołek, rzecznik prasowy MAiC.

Większość przeglądarek ma domyślnie włączone przetwarzanie cookies, co oznaczałoby automatyczne wyrażenie zgody.

– Branża internetowa odbiera to jako krok w dobrym kierunku. Tym bardziej że wbrew niektórym opiniom dyrektywa o ochronie prywatności przewiduje możliwość zgody dorozumianej. Wprowadzenie obowiązku uzyskiwania zgody wyraźnej byłoby zaś nadmiernie uciążliwe zarówno dla firm, jak i użytkowników – mówi adwokat Xawery Konarski, ekspert Związku Pracodawców Branży Internetowej IAB Polska.

Aktywna decyzja

Dyskusja na temat tego, jak rozumieć obowiązki wyznaczane przez dyrektywę, trwa w wielu krajach.

– My skłaniamy się do interpretacji, zgodnie z którą zgoda nie może być dorozumiana i wymaga aktywnego podjęcia decyzji przez użytkownika, podobnie jak jest to przy wyrażaniu zgody na przetwarzanie danych osobowych. Podobnego zdania jest też Grupa Robocza Art. 29, a więc gremium skupiające odpowiedników polskiego generalnego inspektora ochrony danych osobowych z wszystkich krajów UE – mówi Katarzyna Szymielewicz z Fundacji Panoptykon.

Zdaniem obrońców prywatności zgoda na cookies powinna być wyrażona wprost. Jak mogłoby to wyglądać? Np. tak, że po wejściu na stronę wyświetlałoby się okienko proszące o zgodę na instalację takiego pliku i wyjaśniające, do czego będzie on wykorzystany.

– Wiedza na temat cookies jest mało powszechna. Jeśli więc chcemy dać użytkownikowi rzeczywistą kontrolę nad informacjami zbieranymi na jego temat, to powinniśmy stworzyć mu realną możliwość podejmowania bezpośredniej decyzji – ocenia Szymielewicz.

Obowiązki informacyjne

Projekt MAiC akceptujący zgodę dorozumianą, wynikającą z ustawień przeglądarki, kładzie nacisk na obowiązki informacyjne.

Przedsiębiorcy internetowi będą musieli powiadamiać o celu przechowywania danych, sposobach korzystania z ich zawartości, okresie i nazwie podmiotu przetwarzającego dane oraz o możliwości określenia przez użytkownika warunków, poprzez ustawienia przeglądarki czy też stronę internetową.

Firmy internetowe decydowałyby, w jakiej formie przekazywać te informacje (np. u góry strony internetowej czy w postaci wyskakującego okienka). W razie sporu musiałyby jednak liczyć się z koniecznością wykazania, że dopełniły ciążącego na nich obowiązku.

– Niepokój tych firm budzi obowiązek uprzedniego informowania użytkowników. Początkowo tę uprzedniość przewidywał również projekt dyrektywy, ale celowo słowo to zostało z niej ostatecznie usunięte – mówi Konarski.

Chodzi o to, że odczytując literalnie proponowany przepis, zanim cookies mogłoby zostać zainstalowane, musiałby się wyświetlić komunikat. Tymczasem może to być trudne do zrealizowania w jednej sesji (jednym wejściu na stronę).