Nowe prawo UE: Twoja strona musi od teraz pytać użytkowników o zgodę na wykorzystywanie „ciasteczek”.
22 marca 2013 wchodzi w Polsce w życie prawo, wg którego każda strona internetowa musi uzyskać od każdego użytkownika zgodę na wykorzystanie plików typu cookie.
Jakie ciasteczka?
„Cookies” to małe pliki tekstowe zapisywane za pośrednictwem przeglądarki na dyskach użytkowników w czasie ich wizyt na stronach internetowych. Służą rozmaitym celom – rozpoznawaniu powracających użytkowników, zapamiętywaniu ich ustawień, przetrzymywaniu parametrów sesji.
Jednym z ich popularnych zastosowań jest śledzenie aktywności użytkowników (analityka internetowa) – głównie w celu optymalizacji działań komercyjnych poprzez lepsze dopasowanie do użytkowników. Ale właśnie to zastosowanie zdaniem prawodawców UE narusza prywatność użytkowników.
Autor zdjęcia: Matthias Rhomberg
Ustawa
Dyrektywa UE nr 2009/136/EC została przegłosowana w 2009 roku i wtedy zaczęło się jej powolne implementowanie w krajach członkowskich. Pierwsze były Dania i Estonia (w 2011 roku). Wielka Brytania wdrożyła nowe przepisy w maju 2012 roku.
W Polsce nowe prawo zostało przyjęte w listopadzie 2012 roku w ramach nowelizacji ustawy z dnia 16 lipca 2004 r. „Prawo telekomunikacyjne”, która w interesującym nas zakresie wchodzi w życie 22 marca 2013.
Wyjątki i ciastka sporne
Prawo pozwala na stosowanie niektórych plików cookie bez konieczności uzyskiwania zgody ani nawet informowania użytkowników. Chodzi o te „ciasteczka”, które są niezbędne do dostarczenia usługi świadczonej drogą elektroniczną, zamówionej przez użytkownika.
Takie sformułowanie pozwala na dość szeroką interpretację – przykładowo, można pod to podciągnąć pliki cookie służące do przetrzymywania zawartości koszyka w sklepie internetowym.
Największym problemem są „third party cookies”, czyli pliki zapisywane przez „stronę trzecią” – na przykład systemy śledzenia ruchu w serwisie – w tym popularne Google Analytics.
To ewidentnie są te ciastka, których UE nie lubi (śledzące użytkowników) – ale nie są one zapisywane przez dany serwis, tylko zewnętrzną aplikację. Niemniej, żeby być w zgodzie z prawem, należałoby pytać również o zapisywanie tych plików – czyli w praktyce wyłączać statystyki jeżeli użytkownik nie wyrazi zgody.
Warto wspomnieć, że „ciasteczka” – wprawdzie najbardziej rozpowszechnione – ale nie są jedynymi plikami, których dotyczy nowe prawo. Odnosi się ono do wszystkich rodzajów plików zapisywanych w ten sposób – czyli również m.in. do HTML5 Local Storage.
Rozwiązania
Na tą chwilę mogę sobie wyobrazić trzy różne podejścia do tej sprawy:
1. Zapytanie.
Prawdopodobnie zauważyliście, że jakiś czas temu w popularnych serwisach internetowych z różnych krajów Unii (np. BBC) zaczęły pojawiać się elementy (ramki, belki, okienka) zawierające komunikat dotyczący stosowania cookies.
Komunikat zawiera pytanie o zgodę na zapisywanie „ciasteczek” na dysku użytkownika. W przypadku odmowy serwis funkcjonuje nadal, ale bez wykorzystywania plików typu cookie.
Nie mogąc zapisać pliku cookie na dysku użytkownika serwis nie jest w stanie rozpoznać go przy kolejnej wizycie ani zapamiętać jego decyzji – czyli w praktyce widzi on ten sam komunikat za każdym razem.
2. Informowanie.
Jak się okazuje, polskie prawo jest nieco bardziej liberalne od unijnego, ponieważ dopuszcza wyrażenie (lub nie) zgody na zapisywanie cookies za pomocą ustawień przeglądarki.
Pozwala to uniknąć skomplikowanych modyfikacji serwisu i ograniczenie się do wyświetlenia komunikatu informującego o stosowaniu „ciasteczek” oraz sugestii, że w przypadku sprzeciwu należy opuścić stronę lub zablokować możliwość zapisywania plików cookie w ustawieniach swojej przeglądarki.
Zamknięcie okna z takim komunikatem od razu powoduje zapisanie „ciasteczka” u użytkownika – żeby można go było później rozpoznać i nie wyświetlać mu komunikatu ponownie.
3. Ignorowanie.
Pomijając wszystkich nieświadomych webmasterów, emarketerów i właścicieli stron internetowych (a jak wiadomo nieznajomość prawa nie zwalnia od odpowiedzialności), na pewno w wielu przypadkach nowe prawo zostanie po prostu zignorowane.
Trudno przewidzieć, czy i jak bardzo będzie egzekwowane. Wiemy za to, że za naruszenie nowego przepisu Prezes UKE może nałożyć karę pieniężną w wysokości do 3% przychodu za poprzedni rok kalendarzowy.
Podsumowanie
„Dura lex, sed lex” czyli „twarde prawo, ale prawo”. Niezależnie od tego, jak niewygodny (zarówno dla operatorów serwisów jak i samych użytkowników) i pozbawiony sensu jest nowy przepis, sugeruję dostosowanie stron do niego – najlepiej poprzez opisane wyżej „Informowanie” użytkowników.
P.S. W ramach tej samej nowelizacji zmianie uległa definicja SPAMu – od teraz w świetle prawa SPAMem jest tylko wysyłanie niezamówionej informacji handlowej odbiorcy będącemu osobą fizyczną.
W praktyce oznacza to przyzwolenie na zasypywanie ofertami firmowych skrzynek email…
Komentarze 2 komentarze
Myrad 10-06-2013 napisał(a):
Mój przyjacial jest Rosjaninem i ma stronę na rosyjskim serwerze. Napisałem mu, że te pzdurne dyrektywy odnośnie cookies dotyczą „niewolników” UE. Czy miałem rację?
Brandon Line 10-06-2013 napisał(a):
Tak, polski przepis jest implementacją prawa unijnego.
Nie słyszałem, żeby jakieś kraje spoza UE miały podobne „pomysły”.