22 marca 2013 r. została zmieniona ustawa prawo telekomunikacyjne, która zgodnie z dyrektywą 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej dodała stosowne zapisy o plikach cookies stosowanych na portalach internetowych.
Art. 173 p.t. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:
1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.
Wygląd informacji o ciasteczkach
Z chwilą wejścia nowych przepisów na stronach zaczęły pojawiać się informacje o używaniu plików cookies. W polskiej sieci trend narzuciły duże portale medialne m.in. grupa Agora, InforBiznes itp., które na swoich portalach zaczęły używać popupów i pasków informujących o stosowaniu cookies. Niekiedy te informacje były tak obszerne, że potrafiły przysłonić 1/4 strony. W ślad za tym trendem poszli inni webmasterzy. Czy takie ostrzeganie o ciasteczkach jest uzasadnione?
Otóż nie. Po pierwsze należy wskazać, że ustawa w żaden sposób nie precyzuje jak ma wyglądać komunikat informujący o plikach cookies. Ustawa precyzuje natomiast coś innego. Jasne jest w niej zapisane, że użytkowników musi wyrazić zgodę na cookies przed ich „instalacją”. Tym samym można stwierdzić, że 99% stron w Europie nie realizuje przepisów prawa.
Trudności techniczne z wdrożeniem prawa w życie
Cookies instalują się z chwilą wejścia na daną stronę. W związku z tym po załadowaniu danej strony pomimo wyświetlenia informacji o ciasteczkach, niezależnie od wyrażonej zgody ciasteczko już dawno zostało umieszczone na komputerze użytkownika.
Jedynym sposobem na realizację postanowień dyrektywy europejskiej byłoby tworzenie praktycznie pustych stron wejściowych, które dopiero po wyrażeniu zgody na ciasteczka wpuszczałyby użytkownika do serwisu. Takie rozwiązanie oczywiście nie wchodzi w grę z punktu widzenia SEO, marketingu oraz ogólnego usability.
Warto również wskazać na drugi paradoks – jeżeli ktoś nie wyraża zgody na cookies to jedyny możliwy sposób na oznaczenie takiego delikwenta jest poprzez…. cookies.
Wyraźnie, więc widać, że mamy do czynienia z niesamowitym bublem prawnym, uchwalonym przez osoby, które nie miały większego pojęcia o działaniu sieci.
Tym bardziej, że ciasteczka można samemu zablokować w każdej przeglądarce i informacje na ten temat powinny być ewentualnie wyświetlane przez twórców przeglądarek podczas ich instalacji lub pierwszego uruchomienia. W chwili obecnej większość stron korzysta z ciasteczek, czy to swoich czy podmiotów trzecich (np. z systemów reklamodawców), więc nałożony obowiązek jest mało rozsądny.
Wracając do kwestii wyglądu informacji o ciasteczkach w chwili obecnej sytuacji w miarę się ustabilizowała i większość stron zmniejszyła informację do minimum. Wciąż jednak na polskim rynku prym wiodą paski wyświetlane na górze lub dole ekranu lub popupy, co w znaczący sposób zaśmieca stronę i utrudnia korzystanie z niej na urządzeniach mobilnych. Taki sposób prezentacji ostrzeżeń nie jest niczym uzasadniony i może być dokonany w postaci normalnego zapisu w treści strony (jak na tym blogu). Wystarczy popatrzeć na inne kraje np. Anglię. Tam prawie nikt nie stosuje tak nachalnych powiadomień – większość jest umieszczona gdzieś w tekście na portalu. Zresztą można także brać przykład z naszego podwórka i to od samej władz – strona Sejmu – informacja o cookies znajduje się w treści pod zdjęciem, nie ma żadnych wielkich banerów i innych głupot.
Kara za naruszenie przepisów o cookies
Na koniec w ramach ciekawostki (ciekawostki, bo nikt jeszcze nie został ukarany za brak informacji o ciasteczkach), informacja o grożących karach. Kary do niskich nie należą:
Art. 209 p.t. 1. Kto:
27) niezgodnie z przepisami art. 173 przechowuje informacje w urządzeniach końcowych abonenta lub użytkownika końcowego lub korzysta z informacji zgromadzonych w tych urządzeniach,
– podlega karze pieniężnej.
1a. Kara, o której mowa w ust. 1, może zostać nałożona także w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes UKE uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.Art. 210. 1. Karę pieniężną, o której mowa w art. 209 ust. 1, nakłada Prezes UKE, w drodze decyzji, w wysokości do 3 % przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Decyzji o nałożeniu kary pieniężnej nie nadaje się rygoru natychmiastowej wykonalności.
2. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
3. Podmiot jest obowiązany do dostarczenia Prezesowi UKE, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej. W przypadku niedostarczenia danych, lub gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru kary, Prezes UKE może ustalić podstawę wymiaru kary pieniężnej w sposób szacunkowy, nie mniejszą jednak niż:
1) wysokość wynagrodzenia, o której mowa w art. 196 ust. 5 – w przypadku kary, o której mowa w art. 209 ust. 2;
2) kwota 500 tysięcy złotych – w pozostałych przypadkach.
4. Jeżeli okres działania podmiotu jest krótszy niż rok kalendarzowy, za podstawę wymiaru kary przyjmuje się kwotę 500.000 złotych, a w przypadku czynów, o których mowa w art. 209 ust. 1 pkt 22a, jeżeli podmiot nie osiągnął w poprzednim roku kalendarzowym przychodu, za podstawę wymiaru kary przyjmuje się kwotę 10.000 złotych.
Kwestią interesującą wiele osób jest art. 210 ust. 4 – czyli kara za brak informacji na portalu hobbistycznym, który nie zarabia. Jest to 3% z 10 000 zł, czyli 300 zł. W zasadzie niejasne jest, czy może być taką karą ukarana osoba fizyczna nie prowadząca działalności gospodarczej. Z całego tekstu ustawy wynika, że jest ona kierowana w znacznej mierze do przedsiębiorców telekomunikacyjnych. Kolejny problem jest też taki, że w art. 210 mowa jedynie o przychodzie podmiotu – nie jest wskazane, że chodzi o przychód z danej działalności naruszającej przepisy. Tym samym możliwe jest takie rozwiązanie, że osoba prowadząca hobbistycznie blog np. o podróżowaniu dostanie karę w wysokości 3% przychodów jakie osiągnęła w danym roku ze swojej pracy zawodowej.
28 marca 2014
Wywaliłem ostatnio powiadomienie, umieszczę podobny komunikat do Twojego.
Wkurzający obowiązek – od dawna uważam, że mógłby zostać przerzucony na twórców przeglądarek, albo w ogóle powinniśmy podejść inaczej do egzekwowania.