Artykuł

Kłopotliwe ciasteczka

Streszczenie:Automatyczne instalowanie plików cookie na komputerze użytkownika odwiedzającego daną stronę internetową może naruszać prawo do prywatności. Kwestię tę miała uregulować dyrektywa o e-Prywatności. Sęk w tym, jak ją implementować do prawa polskiego, tak by i wilk był syty, i owca cała.

Pojęcie „danych osobowych” podlegających ochronie na mocy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych zostało zdefiniowane w tejże ustawie jako wszelkie informacje dotyczące osoby fizycznej, która jest zidentyfikowana lub możliwa do zidentyfikowania bez nadmiernych kosztów, czasu lub działań. Przez osobę możliwą do zidentyfikowania ustawa rozumie osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Rygorom ustawy podlega przetwarzanie danych osobowych, które są lub mogą być przetwarzane w zbiorach danych. Z kolei „przetwarzaniem” są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza w systemach informatycznych.

Ponieważ znaczną, o ile nie dominującą częścią przetwarzania danych osobowych jest ich przetwarzanie w związku z korzystaniem usług świadczonych drogą elektroniczną (w tym w internecie), należało rozstrzygnąć, w jakim zakresie przepisom o ochronie danych osobowych podlega adres IP oraz znajdujący się w komputerze użytkownika plik cookie.

Adresem IP określa się numer przyporządkowany do urządzenia (komputera, drukarki) włączonego do sieci komputerowej, która używa do komunikacji protokołu IP (the Internet Protocol). Adres IP służy identyfikacji urządzenia w sieci oraz poza nią.

Adres IP nie jest jednak „numerem rejestracyjnym” komputera – nie identyfikuje jednoznacznie fizycznego urządzenia i może się zmieniać w trakcie jego użytkowania. Kilka urządzeń może też dzielić jeden publiczny adres IP. Można powiedzieć, że adres IP jest dla komputera tym, czym numer telefonu dla telefonu.

Zestawiając powyższe definicje, należy odpowiedzieć na pytanie, czy adres IP jest informacją dotyczącą osoby fizycznej, poprzez którą osoba fizyczna jest zidentyfikowana lub możliwa do zidentyfikowania bez nadmiernych kosztów, czasu lub działań – a więc czy przetwarzanie adresów IP podlega rygorom przepisów mających na celu ochronę danych osobowych.

Przede wszystkim należy zwrócić uwagę, że danymi osobowymi będą informacje, które pozwolą na bezpośrednie lub pośrednie zidentyfikowanie tożsamości osoby.

Analizą tego problemu zajęła się Grupa Robocza ds. ochrony danych powołana na mocy art. 29 dyrektywy 95/46/WE (tzw. Grupa Robocza art. 29). Jest to zespół zrzeszający organy regulacyjne w zakresie ochrony danych osobowych ze wszystkich krajów Unii Europejskiej. W wystosowanej przezeń Opinii 4/2007 w sprawie pojęcia danych osobowych wskazuje się na zjawisko „niepowtarzalnej kombinacji”, które może prowadzić do „pośredniej identyfikacji”. Nawet jeśli dostępne czynniki identyfikujące nie pozwalają prima facie na wyodrębnienie konkretnej osoby, osoba ta może być „możliwa do zidentyfikowania”, jeśli informacje te, w połączeniu z innymi informacjami (którymi administrator danych dysponuje lub nie), pozwalają na odróżnienie tej osoby od innych.

Tak będzie na przykład w sytuacji, gdy użytkownik komputera posługuje się adresem e-mailowym zawierającym dane osobowe lub gdy powiążemy adres IP z danymi osobowymi udostępnionymi w e-sklepie.

Z tego względu zarówno Grupa Robocza art. 29, jak i Europejski Inspektor Ochrony Danych (European Union Data Protection Supervisor) uznają adresy IP za dane osobowe. Podobnie polski Generalny Inspektor Ochrony Danych Osobowych stanął na stanowisku, że adresy IP są danymi osobowymi w przypadkach, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Uzyskanie takich danych może być efektem zainstalowania na komputerze tzw. ciasteczek, czyli plików cookie.

Plik cookie to plik, który jest instalowany na komputerze użytkownika podczas jego wizyty na danej stronie internetowej. Instalacja ta umożliwia rozpoznanie użytkownika podczas jego następnej wizyty na danej stronie. Rozpoznanie użytkownika może służyć różnym celom – z cookies korzystają np. niektóre serwisy bankowości elektronicznej. Najczęściej jednak cookies służą celom reklamy i promocji. Umożliwiają monitorowanie zachowań użytkownika sieci, zaliczenie go do określonego profilu użytkowników i zaserwowanie mu reklam dopasowanych do jego profilu. Takie działanie nazywane jest w świecie reklamowym reklamą behawioralną.

Trzeba zaznaczyć, że sam plik cookies nie zawiera danych osobowych. Natomiast dostawca usługi, która zainstalowała plik użytkownikowi, może skojarzyć dany plik z danymi osobowymi użytkownika komputera (jeżeli takie dane posiada), tak jak w przypadku adresu IP. Z tego powodu unijny ustawodawca w 2009 roku zajął się kwestią cookies, zgłaszając propozycję zmiany treści art. 5 (3) dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej: dyrektywa o e-Prywatności). Przed tą zmianą przeglądarki internetowe domyślnie akceptowały cookies, a użytkownik, który nie życzył sobie ich instalacji, musiał dokonać odpowiednich zmian w ustawieniach przeglądarki. Taka zasada, zwana „opt-out”, obowiązywała również w Polsce, ponieważ zezwalał na to przepis art. 173 ust. 1 ustawy z dnia 16 lipca 2004 roku – Prawo telekomunikacyjne. Jednak unijny ustawodawca uznał, że w takiej sytuacji użytkownicy nie są właściwie chronieni i w 2009 roku w treści art. 5 (3) dyrektywy o e-Prywatności został zapisany obowiązek uzyskania zgody abonenta lub użytkownika na instalację plików cookies wyrażonej w sposób przewidziany dyrektywą 95/46/WE dotyczącą ochrony danych osobowych.

Implementacja zmienionego art. 5 (3) dyrektywy o e-Prywatności stanowi jednak problem dla wielu państw członkowskich. Jego brzmienie jest bowiem niejasne, co umożliwia dokonywanie różnych wykładni. Zgodnie z jedną z nich użytkownik powinien wyrażać uprzednią zgodę na zainstalowanie każdego pliku cookies. Ponieważ jednak na niektórych stronach internetowych znajduje się po kilka plików cookies, istnieje ryzyko, iż wprowadzenie wymogu ich uprzedniej akceptacji sprawi, że użytkownicy zamiast czytać informację o kolejnym cookie będą automatycznie klikać w ikonkę „akceptuj”. Nie taki efekt zamierzał osiągnąć unijny ustawodawca. Nie było również jego celem pozostawienie stanu obecnego, w którym zmiana reguł dotyczących cookies wymaga zmiany ustawień przeglądarki internetowej. W praktyce oznacza to bowiem, że większość użytkowników pozostawia te ustawienia bez zmian, zgadzając się na instalację wszystkich cookies.

Propozycję rozwiązania tej sytuacji złożyło Interactive Advertising Bureau Polska (IAB), proponując przyjęcie instrumentu samoregulacyjnego branży internetowej, dotyczącego m.in. kwestii cookies. Zgodnie z postulatem IAB na wszystkich portalach, na których oprócz treści podstawowej znajdują się treści reklamowe zawierające cookies, powinna być umieszczana ikona, po której kliknięciu użytkownik zostałby przekierowany do strony www.youronlinechoices.eu. Strona ta zawiera informacje o plikach cookies i reklamie behawioralnej. Propozycja ta nie spotkała się jednak z uznaniem Grupy Roboczej art. 29. Wskazała ona m.in., że akceptowanie cookies przez użytkowników może następować dopiero po zapoznaniu się przez nich z informacjami, czym są cookies i jakie zagrożenia niosą, co oznacza, że do czasu zapoznania się z informacjami przez użytkownika cookies nie powinny być na jego komputerze instalowane.

Jakkolwiek postanowienia dyrektywy o e-Prywatności miały być transponowane do przepisów państw członkowskich do 25 maja 2011 roku, do 1 września 2011 odpowiednie przepisy zostały uchwalone jedynie w Estonii, Finlandii, Wielkiej Brytanii i Szwecji. W Polsce, jeszcze przed wyborami parlamentarnymi w październiku 2011 roku, Ministerstwo Infrastruktury przygotowało projekt nowelizacji przepisów ustawy Prawo telekomunikacyjne, zawierający również propozycję zmiany jej art. 173 w celu zaimplementowania zmienionego brzmienia postanowień art. 5 (3) dyrektywy o e-Prywatności. Zgodnie z projektem rządowym abonent lub użytkownik końcowy miałby być informowany o celu zainstalowania pliku cookie, o sposobie korzystania z jego zawartości, o czasie przechowywania pliku cookie na urządzeniu abonenta lub użytkownika, jak również o nazwie podmiotu przetwarzającego dane. Co najistotniejsze, wszystkie powyższe informacje abonent musiałby otrzymać przed zainstalowaniem danego pliku cookie. Tego wymogu nie ma w dotychczasowym brzmieniu przepisu art. 173 Prawa telekomunikacyjnego, natomiast istniejący wymóg, aby żądana informacja taka była podana „jednoznacznie, w sposób łatwy i zrozumiały”, został pozostawiony bez zmian.

Należy jednak wskazać, że z takiej regulacji nie będzie jednoznacznie wynikać, że przed zainstalowaniem danego pliku cookie użytkownik musi udzielić zgody na jego instalację. Użytkownik będzie musiał jedynie być poinformowany o takiej instalacji. Propozycja IAB mogłaby zatem czynić zadość nowym wymogom ustawowym – pod warunkiem, że zamieszczenie ikonki wypełniałoby wymóg, że informacja została podana „w sposób łatwy i zrozumiały”. Niezależnie jednak od tego, jaki ostateczny kształt będzie miała implementacja tej części dyrektywy o e-Prywatności, wątpliwości prawne co do cookies pozostaną.

O autorach

Agnieszka Szydlik, adwokat, jest członkiem Zespołu Prawa Ochrony Danych Osobowych, Zespołu Prawa Ochrony Środowiska oraz Grupy Transakcyjnej.

Marek Szydłowski, radca prawny, kieruje zespołem Prawa Ochrony Danych Osobowych oraz zespołem Technologie, Media, Telekomunikacja.

Autor: Agnieszka Szydlik, Marek Szydłowski Data publikacji: 2012-01-11 Ilość stron: 1 Cena: 0