Od kiedy reklama zagościła w Internecie zachowania użytkowników są systematycznie monitorowane, a zabrane informacje pozwalają na precyzyjne dobieranie przeznaczonych dla nich treści reklamowych. O ile profilowanie użytkowników zwiększa efektywność działań reklamowych i umożliwia dostarczanie użytkownikom oczekiwanych przez nich informacji, to odbywa się ono często bez wiedzy tych ostatnich. Cookies, bo o nich mowa, to pliki tekstowe przechowywane na komputerze użytkownika lub innym urządzeniu umożliwiającym przeglądanie stron internetowych. Cookies, potocznie zwane "ciasteczkami", generowane są najczęściej przez rozbudowane serwisy internetowe (wyszukiwarki, portale społecznościowe, e-sklepy). W plikach cookies zapisywane są różnego rodzaju informacje dotyczące zachowań użytkowników, w tym ich upodobania.

Sprzeciw ustępuje zgodzie użytkownika

Dziś podmiot świadczący usługi drogą elektroniczną miał obowiązek poinformować użytkownika o przysługującym mu prawie sprzeciwu, a po otrzymaniu takiego sprzeciwu zaprzestać stosowania cookies na urządzeniu końcowym użytkownika. Zasada sprzeciwu użytkownika, uznana za wkraczającą w sferę prawa do poszanowania prywatności jednostki, ustąpiła miejsca zasadzie "zgody użytkownika" wraz z nowelizacją unijnego pakietu telekomunikacyjnego. Mimo, że państwa członkowskie powinny były wdrożyć nową zasadę do przepisów krajowych do dnia 25 czerwca 2011 r., to udało się to zaledwie Duńczykom, Anglikom i Holendrom.

Zobacz również:

• Rząd Ghany pracuje nad regulacjami dotyczącymi AI

Zgodnie z zasadą zgody, przechowywanie i korzystanie z cookies wymaga poinformowania użytkownika o celu przetwarzania zebranych informacji oraz uzyskania zgody użytkownika na takie działania. Informacja skierowana do użytkownika powinna być zrozumiała i wyczerpująca, a zgoda jednoznaczna. Tym samym, nie ma miejsca na zgodę dorozumianą, czy wynikającą z innego oświadczenia woli.

Kiedy cookies są dozwolone

Już teraz pojawiają się jednak wątpliwości. Czy zgoda powinna być udzielona przed wysłaniem cookies, czy później? Jak często użytkownik powinien być informowany o cookies? Każdorazowo czy w odstępach czasu? Ostatecznie zaś, kto powinien informować użytkownika - czy wyłącznie dostawca usług, który korzysta z cookies, czy może również zarządzający stroną internetową?

Kwestią otwartą dla regulacji krajowych pozostanie sposób udzielenia zgody oraz jej zakres. Przepisy mówią jedynie o odpowiednich metodach umożliwiających swobodne wyrażenie woli przez użytkownika. Tak więc możemy mieć do czynienia z ustawieniami wyszukiwarki, wyskakującymi okienkami (pop-ups), ogólnymi warunkami świadczenia usług, czy informacjami zamieszczonymi na stronie internetowej.

Należy podkreślić, że utrzymane zostały wcześniejsze postanowienia, zgodnie z którymi zasada zgody, czy wcześniej zasada sprzeciwu, nie mają zastosowania do tych cookies, które są konieczne do wykonywania lub transmisji danych lub są niezbędne w celu dostarczenia usługi świadczonej drogą elektroniczną na żądanie użytkownika. Przykładowo, zgoda nie jest potrzebna na tzw. cookies sesyjne, które są usuwane po zamknięciu przeglądarki.

Implementacja przepisów unijnych

Ministerstwo Infrastruktury pracuje obecnie nad nowelizacją ustawy prawo telekomunikacyjne, która ma wdrożyć przepisy dotyczące cookies. Na razie wiadomo tylko tyle, że zgoda na cookies będzie konieczna oraz, że zostanie wyraźnie wskazane, że cookies mogą przechowywać zarówno podmioty świadczące usługi drogą elektroniczną, jak i przedsiębiorcy telekomunikacyjni.

Przykładowo, w ustawodawstwie angielskim zostały wprowadzone następujące zmiany: zgoda użytkownika na cookies zastąpiła prawo do wyrażenia sprzeciwu, a sposób wyrażenia zgody polega albo na odpowiednich ustawieniach wyszukiwarki albo użyciu odpowiednich aplikacji (np. pop-ups). Podejście anglików już zyskało sobie miano "miękkiego lądowania" ("soft landing"), ze względu na dość elastyczne zapisy.

Interesująca zatem będzie obserwacja dalszych prac legislacyjnych nad nowelizacją polskiego Prawa telekomunikacyjnego, analiza uwag zgłoszonych przez zainteresowane środowiska oraz ostateczny kształt projektu zmian do przepisów o ochronie danych użytkowników końcowych. Dopiero następnym krokiem będzie wytworzenie się praktyki rynkowej, w szczególności sposobu udzielania zgody oraz wpływ nowych przepisów na strategię działań reklamowych.

Julia Bonder-Le Berre jest aplikantem radcowskim w kancelarii Baker&McKenzie.