Polecamy: Brytyjskie wdrożenie dyrektywy UE dot. prywatności

25 maja upłynął termin wdrożenia dyrektywy UE w sprawie prywatności w sieci, dotyczącej stosowania plików cookie, czyli tzw. dyrektywy cookies. 26 maja 2011 r. Wielka Brytania uchwaliła nowe regulacje o ochronie prywatności w sektorze komunikacji elektronicznej. Podmioty, których te regulacje dotyczą, mają rok na dostosowanie swoich stron internetowych do wymagań UE.

W jaki sposób dyrektywa w sprawie prywatności w sieci została wdrożona w Wielkiej Brytanii?

Na chwilę obecną jedynie osiem z 27 krajów członkowskich Unii Europejskiej wdrożyło dyrektywę regulującą stosowanie plików cookie, mimo że przewidziany na to termin minął już 25 maja 2011 r. Kraje te to Dania, Estonia, Finlandia, Francja, Irlandia, Malta, Szwecja i Wielka Brytania.

Wdrożenie dyrektywy w Wielkiej Brytanii

W czasopiśmie prawniczym poświęconym sprawom ochrony danych osobowych, „Zeitschrift für Datenschutz” (ZD) 2012, 24, Andreas Thürauf opublikował godny polecenia artykuł pt. „Model opt-in w przesyłaniu plików cookie w Wielkiej Brytanii – czy to przyszłość cookies? Przegląd wprowadzonych zmian i ich skutków”.

Artykuł porusza sprawę transpozycji dyrektywy nr 2009/136/WE do prawa brytyjskiego, rozwiązań brytyjskiego Information Commissioner’s Officer (ICO), odpowiednika polskiego Głównego Inspektora Ochrony Danych Osobowych oraz potencjalnego wpływu nowej ustawy na reklamę targetowaną behawioralnie.

Na początku autor przedstawia brytyjską regulację, która obowiązywała do 26 maja 2011 r. W Wielkiej Brytanii do 26.5.2011 r. art. 6 uregulowania pod nazwą Privacy and Electronic Communications (EC-Directive) Regulations 2003 (PECR 2003) przewidywał, że użytkownik strony internetowej ma otrzymywać jasne i wyczerpujące informacje na temat celu, rodzaju i zakresu stosowania plików cookie i należy mu zapewnić możliwość odmowy zapisu plików cookie na jego urządzeniu końcowym. W praktyce wymagane informacje często można było znaleźć w informacjach o witrynie.

Po wdrożeniu dyrektywy cookies, Artykuł 6 PECR 2003 uległ zmianie. W głównej mierze polegała ona na przejęciu brzmienia dyrektywy.

Zgoda na przesyłanie plików cookie

Zgodnie z wymogami dyrektywy, użytkownik strony internetowej musi zasadniczo udzielić swojej zgody na przesyłanie plików cookie, chyba że pliki te są absolutnie niezbędne, jak podaje tekst, w celu umożliwienia świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.

Utrzymany został wymóg przekazywania jasnych i wyczerpujących informacji zawarty w dotychczas obowiązującej regulacji.

Kiedy plik cookie jest niezbędnie konieczny?

Information Commissioner’s Officer (ICO) – niezależny inspektor ochrony danych osobowych mianowany przez króla i rząd Zjednoczonego Królestwa – zaproponował rozwiązania pozwalające na uzyskiwanie skutecznej zgody na otrzymanie plików cookie. W opinii Thüraufa mogłyby one mieć znaczenie także dla innych krajów członkowskich, ponieważ Wielka Brytania chciałaby przejąć  rolę pioniera w kwestii uzyskiwania zgody na przesyłanie plików cookie.

Jako przykład na cookies niewymagających zgody, ICO wymienia pliki cookie identyfikujące zawartość koszyka zakupów. Pisze mianowicie, że ICO podaje jako przykład użycie pliku cookie w sklepie internetowym, gdzie klient zaznacza artykuły, które chciałby dodać do koszyka: w tym przypadku plik cookie niewymagający zgody użytkownika pozwala na to, aby artykuły zaznaczone na poprzedniej stronie pozostawały „w pamięci” tej strony, a przy ponownym wywołaniu nadal pojawiały się jako wybrane.

Również pliki cookie przesyłane po to, aby operator strony internetowej był w stanie stwierdzić, że dany użytkownik nie udzielił zgody na otrzymywanie cookies Thürauf  uznaje za niepodlegające wymogowi uzyskania zgody.

Moment udzielenia zgody

Następnie Thürauf zajmuje się tematem właściwego momentu, w którym będzie wymagane udzielenie zgody i przedstawia różne opinie na ten temat, np. zdanie wyrażone przez Department for Culture Media and Sport (DCMS) oraz Grupę Roboczą Artykuł 29 ds. Ochrony Danych.
ICO nie wypowiedział się jednak jeszcze na temat właściwego momentu udzielenia zgody.

Ustawienie wyszukiwarki równoznaczne ze zgodą?

W Niemczech często pada opinia, że do zablokowania plików cookie powinny wystarczyć określone ustawienia przeglądarki. ICO w Wielkiej Brytanii widzi to nieco inaczej. Thürauf pisze na ten temat, że ponieważ zdaniem ICO ustawienia przeglądarki nie mogą lub tylko w niektórych przypadkach mogą być traktowane jako zgoda na przesłanie plików cookie, ICO ma przygotowany katalog działań mających na celu skuteczne uzyskanie zgody użytkownika.
Następnie Thürauf przedstawia kilka wariantów rozwiązań.

1. Uzyskanie zgody za pomocą wyskakującego okienka.

Według ICO ta opcja jest wprawdzie najbardziej jednoznaczna, lecz niezbyt elegancka.

1. Wyrażenie zgody na warunki korzystania z serwisu.
2. Indywidualne ustawienie strony internetowej.
3. Przesyłanie analitycznych plików cookie.

W nagłówku lub stopce strony internetowej podana jest informacja o wykorzystaniu plików cookie i użytkownik musi w tym miejscu wyrazić na to swoją zgodę. Takie rozwiązanie zastosowano też na stronie internetowej ICO i jest ono uznawane za rozwiązanie wzorcowe.

Podsumowanie

W podsumowaniu swojego artykułu Thürauf uznaje koncepcję ICO za dotychczas najdalej idącą inicjatywę Unii Europejskiej mającą na celu rozwiązanie problemu mechanizmów opt-in, wymagających działania użytkownika w celu wykazania zgody przed przesłaniem mu pliku cookie.

Ponadto uważa wskazówki przekazywane przez ICO, a dotyczące wdrożenia obowiązku uzyskiwania zgody na przesyłanie plików cookie, za nadające się do przeniesienia na grunt pozostałych państw członkowskich UE. Jego zdaniem należy jednak odczekać, by przekonać się, w jaki sposób dyrektywa zostanie wdrożona przez inne państwa. Sumuje, że analizując pogląd brytyjskiego ustawodawcy na ten temat, wdrożenie i dopuszczalność uzyskiwania zgody za pośrednictwem ustawień przeglądarki będą zależału od technicznego rozwoju przeglądarek internetowych.