Jakiś czas temu rząd zaczął grzebać w Prawie Telekomunikacyjnym w zakresie ochrony prywatności użytkowników. Chodzi o proponowane w projekcie nowelizacji zmiany, które będą się odnosić do cookies i de facto do profilowania i reklamy behawioralnej (tzw. OBA). Wczoraj odbyło się kolejne posiedzenie podkomisji w tej sprawie. Wbrew zastrzeżeniom IAB Polska, rządowy projekt nowelizacji art. 173 PT odnoszący się do cookies został spetryfikowany.

Obecne ar. 173 w projekcie nowelizacji Prawa Telekomunikacyjnego, w zakresie, który może się odnosić m. in. do cookies, ma następujące brzmienie:

Art. 173. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

a) celu przechowywania i uzyskiwania dostępu do tej informacji;

b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;

3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomuni­kacyjnym urządzeniu końcowym lub konfiguracji usługi.

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

2) dostarczania usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

O sprawie cookies w związku z projektem nowelizacji pisałem już wcześniej w tekście pt. „Rewolucja w ochronie prywatności?„. Chodzi o interpretację i implementację tzw. „dyrektywy e-privacy”. Konkretnie chodzi o następujący zapis dyrektywy: „Państwa członkowskie zapewniają, aby przechowywa­nie informacji lub uzyskanie dostępu do informacji już prze­chowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dy­rektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. (…)”

Do tej pory w obecnie obowiązującym art. 173 PT istnieją wyłącznie obowiązki informacyjne co do tego czy dany usługodawca używa cookies i w jakim celu oraz wymaga się by była możliwość złożenia sprzeciwu (czyli przy spełnieniu warunków informacyjnych, sama zgoda jest domyślna i możliwe jest wycofanie jej poprzez sprzeciw czyli na zasadzie opt-out).

Tymczasem autorzy projektu rządowego, powołując się na wymogi dyrektywy „e-privacy” wprowadzili zapis, iż zgoda musi być uprzednia (opt-in). Take podejście krytykuje bardzo IAB Polska, która generalnie promuje samoregulacje (kodeks dobrych praktyk, szerzenie świadomości wśród użytkowników co do dbania o prywatność i świadome stosowanie odpowiednich ustawień w sprzęcie i oprogramowaniu) i ograniczenie omnipotencji państwa w regulacji Internetu (co ja osobiście – z pewnymi zastrzeżeniami) popieram.

Na obecnym etapie, w stosunku do poprzedniej propozycji rządowych projektodawców, dużym postępem jest wypracowanie kompromisu, który polega m. in. na tym, iż wprowadzono zapis, zgodnie z którym „abonent lub użytkownik końcowy może wyrazić zgodę, (…) za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomuni­kacyjnym urządzeniu końcowym lub konfiguracji usługi”.

Oznacza to, że wbrew wcześniejszym obawom, usługodawcy nie będą musieli pytać tego samego użytkownika za każdym razem o zgodę, gdy ten będzie np. wchodził na daną stronę, która wykorzystuje cookies. Wystarczy raz wyrażona zgoda, która zostanie utrwalona poprzez odpowiednią konfigurację urządzenia, oprogramowania lub usługi.

Niemniej zapis o uprzedniości zgody wciąż wzbudza kontrowersję, np. w środowisku IAB. W szczególności jak się podkreśla, z dyrektywy nie wynika wcale expressis verbis wymóg „uprzedniości” (prior), a wystarczą natomiast same wymogi informacyjne i sam fakt wyrażenia zgody (np. poprzez odpowiednią konfigurację oprogramowania lub usługi), zwłaszcza, że pozyskiwanie informacji i wyrażenie zgody może nastąpić niejako równocześnie.

Wbrew powyższym zastrzeżeniom, na wczorajszym posiedzeniu strona rządowa poinformowała, iż nie zamierza dokonywać dalszych zmian. Podparła się przy tym stwierdzeniem, iż obecne brzmienie projektowanego art. 173 stanowi rezultat kompromisu.

Tak naprawdę rzecz się rozbija o tzw. OBA czyli o to na ile użytkownik powinien być świadomy, że jest „śledzony” poprzez cookies i na podstawie tego może dojść do profilowania i serwowania mu reklam dostosowanych do jego preferencji ustalonych na podstawie rejestrowanych zachowań w sieci (marketing behawioralny, reklama behawioralna, profilowanie behawioralne). Zauważmy bowiem, że obowiązek informacyjny oraz konieczność wyrażenia uprzedniej zgody nie jest wymagany w stosunku do tzw. „cookies o charakterze technicznym” (czyli nie służącym profilowaniu, a np. po prostu wygodzie użytkownika lub służącym celom czysto technicznym) – art. 173 ust. 3 projektu PT.

Pytanie jednak na ile Państwo powinno ingerować „na sztywno” (poprzez prawodawstwo) w te kwestie, a na ile być może wystarczyłoby po prostu szerzenie świadomości na te tematy w społeczeństwie (np. po przez odpowiednie kampanie informacyjne). Uważam, bowiem, że obecne rozwiązania mogą być technicznie uciążliwe dla użytkowników, a i tak większość użytkowników, którzy wyrażą tą uprzednią zgodę tak do końca być może nadal nie będzie świadomych „o co chodzi”. Dlatego tak ważne jest informacja, dobre praktyki i samoregulacja, które tak bardzo promuje IAB (oczywiście, że ma w tym duży interes, ale uważam, że takie podejście może też być dużo bardziej korzystne dla użytkowników).

Równocześnie znów zadaję pytanie, czemu tak bardzo Państwo dba o moją prywatność względem podmiotów prywatnych, a nie dba o moją prywatność względem swoich własnych organów? Osobiście mnie to bulwersuje. Mam tu na myśli choćby informacje na temat skali niekontrolowanego korzystania przez organy ścigania w Polsce z retencji danych.

Oto bowiem cookies potrafię sobie prywatnie wyłączyć sam. Permanentnie nadużywanej inwigilacji ze strony wielu organów państwa niestety nie da się już samemu wyłączyć. Dlatego bardzo bym chciał, żeby w tym zakresie rząd również wzmógł swoją działalność ustawodawczą, jeżeli chodzi o ochronę mojej prywatności. Bo przed podmiotami prywatnymi się jakość obronię. Gorzej jest z państwem, które chce być coraz bardziej omnipotentne.

Komentarze