Ciasteczkowa wojna, czyli dyrektywa cookies

Ciasteczkowa wojna, czyli dyrektywa cookies Dominik Gwarek (stock.xchng)

Cookies służą do zapisywania danych osobowych przez dane serwisy w celach marketingowych, np. ustalania profilu odbiorcy. Weszła w życie nowelizacja Ustawy Prawo telekomunikacyjne, która reguluje politykę cookies.

W listopadzie 2009 roku Unia Europejska przyjęła tzw. pakiet telekomunikacyjny, reformujący liczne gałęzie europejskiego prawa telekomunikacyjnego i internetowego. Stał się on sławny przede wszystkim ze względu na kwestię "odcinania użytkowników-piratów od sieci", lecz nie tylko ten jego element zasługiwał na uwagę.
Bardzo interesującą kwestią jest też nowa regulacja dotycząca plików cookies. Podstawową funkcją cookies jest przechowywanie prostych informacji o użytkowniku (np. jego haseł i nazw), lecz pliki te pozwalają również na śledzenie go, np. w celach marketingowych (w tzw. systemach reklamy behawioralnej, takich jak Google Adwords).

Dyrektywa: podstawy

Akt prawny regulujący cookies to dyrektywa 2009/136/WE ("Nowa Dyrektywa"), wprowadzająca pewne zmiany do starej dyrektywy 2002/58/WE. Dyrektywa to dość nietypowy rodzaj aktu prawnego, który na kraje członkowskie UE nakłada obowiązek wprowadzenia określonych przezeń przepisów prawnych.

Podobne artykuły:

Dyrektywa najczęściej nie dotyczy więc w żaden sposób osób fizycznych lub prawnych, a jedynie nadaje kierunek reformom wewnątrz poszczególnych państw. Co istotne, państwa członkowskie nie muszą "przepisywać" słów dyrektywy, a jedynie oddać ich intencję we własnych regulacjach. Przepisy wynikające z Nowej Dyrektywy muszą być wprowadzone do praw krajowych do 25 maja 2011 roku.

Artykuł 2 ust. 5 pkt. 3 rzeczonej dyrektywy brzmi następująco: „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.

Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.”

Cookies do dane osobowe?

Warto zaznaczyć, iż artykuł 5 ust. 3 zawiera odniesienie do innej głośnej unijnej dyrektywy – tej dotyczącej ochrony danych osobowych (95/46/WE). Jest to kolejny sygnał, iż pewne informacje przechowywane w niektórych plikach cookies traktowane być mogą przez prawo Unii Europejskiej jako dane osobowe, a więc wymagające szczególnej ochrony.

Interpretacja taka niesie ze sobą pewne bardzo istotne skutki. Jako że informacje pochodzące z plików cookies wędrują najczęściej do reklamodawców (np. firmy Google w przypadku reklam AdWords), stają się oni administratorami danych osobowych w rozumieniu dyrektywy 95/46/WE oraz polskiej ustawy o ochronie danych osobowych z 1998 roku. Nakłada to na nich liczne obowiązki wymienione w tej ustawie oraz utrudnia przekazywanie tych danych poza granicę Unii Europejskiej (dla własnego bezpieczeństwa reklamodawcy powinni założyć, iż wszystkie zbierane przez nich pliki cookies zawierają dane osobowe).

Podobne artykuły:



Odniesienie do dyrektywy 95/46/WE logicznie łączy się nie tylko z wymogiem wyrażenia zgody na otrzymywanie plików cookies przez użytkownika, lecz także z wymogiem otrzymania przez niego informacji o celach przetwarzania. Administrator danych osobowych musi bowiem poinformować właściciela tych danych o celach ich przetwarzania zanim tego przetwarzania dokona. Należy tu zaznaczyć, iż wymóg ten stawiany przez Nową Dyrektywę odnosi się do wszystkich plików cookies (nie tylko tych zawierających dane osobowe), a więc w pewnym sensie rozszerza on typowy jak na razie dla danych osobowych wysoki poziom ochrony na inne "poufne" dane.

Grupa Robocza Artykułu 29 ds. Ochrony Danych, unijne ciało doradcze, opublikowała w czerwcu 2010 roku opinię na ten temat, w której stwierdzono, iż „[j]ako że reklamy behawioralne opierają się na wykorzystaniu identyfikatorów umożliwiających tworzenie bardzo szczegółowych profili użytkowników, w większości przypadków uznawanych za dane osobowe, (…) świadoma zgoda może zostać uzyskana jedynie po podaniu użytkownikowi informacji o wysyłaniu plików cookie i jego celach.” Wprawdzie opinie Grupy Roboczej nie są prawnie wiążące, stanowią istotną wskazówkę interpretacyjną dla państw członkowskich.

Stefan Cieśla Kancelaria Radcy Prawnego Stefan Cieśla