Od 22 marca 2013 roku obowiązują nowe przepisy w zakresie zarządzania tzw. ciasteczkami, czyli małymi plikami tekstowymi, które umieszczane są na naszych komputerach. Serwisy robią to w celu zapamiętania naszej ostatniej wizyty, monitorowania statystyk itp. Właściciele serwisów www, mają jednak wiele wątpliwości i pytań – ten poradnik, powinien wyjaśnić wiele kwestii.

Jaki fragment przepisów mówi o zasadach dotyczących cookies?

– Prawo Telekomunikacyjne

Art. 173. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Gdzie znajdę całe nowe przepisy?

– Ustawa z dnia 16 listopada 2012 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw jest do pobrania w oryginalne stronie www.dziennikustaw.gov.pl/DU/2012/1445

Czy o każdym cookies trzeba informować?

– NIE. Informacja dotyczy tylko tych ciasteczek, które nie są serwisowi niezbędne do zrealizowania usługi. Dla przykładu bank, który używa cookies do zapamiętania jakiego koloru chcemy mieć serwis transakcyjny, nie musi o tym dodatkowo informować. Jeżeli jednak użyje cookies w celach reklamowych (lub statystycznych np. Google Analytics) to wtedy ma już taki obowiązek.

Nic jednak nie stoi na przeszkodzie, abyśmy wypisali wszystkie ciasteczka jakich używamy – tak dla porządku ;)

To czym się różni ciastko o, którym trzeba informować, od cookie, o którym nie trzeba?

– Różnica polega na tym, że jeżeli internauta żąda jakiejś usługi i bez ciastka nie da się jej zrealizować, to wtedy o takim pliku cookie, nie trzeba go informować dodatkowo. Przykładowo internauta wypełniając formularz jest świadomy, że to robi i bez cookie wpisane dane się nie zachowają w przypadku jakiegoś błędu.

Czy na cookies trzeba wyrażać zgodę specjalnym kliknięciem?

– NIE. Przepisy są w tym wypadku ogólne i nie jest wymagane, aby serwis uzyskiwał od nas zgodę, wystarczy, że poinformuje że używa takich plików oraz w jakich aspektach. Niektórzy prawnicy piszą o tym, że zgoda nie może być domniemana – jednak internauta, który wchodzi do serwisu i ma ustawioną przeglądarkę tak, że zgadza się na cookies – sam już wyraził na to zgodę. To właśnie ten absurd we wprowadzonych przepisach.

Czy zgodę należy pozyskać zanim użytkownik wejdzie na stronę?

– NIE. W praktyce jest to trudne do wykonania. Użytkownik zwykle otwiera stronę i już ma załadowane ciastka ;) To właśnie kolejny absurd zaproponowanych przepisów. Ustawodawca nie wyjaśnił kwestii technicznych i stąd problem w interpretacji metody wdrożenia.

Czy serwis musi wymienić wszystkie „ciasteczka”, które tworzy?

– NIE. Wystarczy, że wymieni te, które nie są niezbędne do zrealizowania danej usługi.

Jak sprawdzić, czy dany serwis używa ciasteczek?

– Polecam wejść na webcookies.info – wpisać adres danego serwisu www i zobaczyć tabelkę z analizą, czy jakieś ciasteczka zostały wykryte, jakiego typu oraz od kogo pochodzą.

Poniżej przykład jak wiele ciastek ładuje nam np. Wirtualna Polska

Czy o cookies musi informować każda strona, nawet prywatna np. blog?

– NIE. O ciasteczkach bezwzględnie muszą informować przedsiębiorcy czy instytucje tj. sklepy internetowe, portale, gazety itp. Strony prywatne mogą, ale nie muszą. Jeżeli jednak prowadzisz prywatną stronę i zarabiasz na niej pieniądze np. w systemach partnerskich, reklamowych to o cookies (tzw. zewnętrznych) należy poinformować.

Czy zgoda na ciastka ma jakiś szablon, wzór itp.?

– NIE. Ale podglądając znane witryny mamy takie przykład, które można sobie dopasować na własne potrzeby:

Z Gazeta.pl

Ważne: nasze strony wykorzystują pliki cookies.

Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujący z nami reklamodawcy, firmy badawcze oraz dostawcy aplikacji multimedialnych. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies.

Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji można znaleźć w naszej Polityce prywatności

Z Dziennik.pl

Na serwisach internetowych INFOR PL S.A i jej spółek zależnych są wykorzystywane pliki cookies. Stosujemy je w celach zapewnienia maksymalnej wygody użytkowników przy korzystaniu z naszych serwisów (zapamiętywanie preferencji i ustawień na naszych stronach, zbieranie anonimowych danych dla celów reklamowych i statystycznych).

Użytkownik ma możliwość samodzielnej zmiany ustawień dotyczących cookies w swojej przeglądarce internetowej.

Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij w Zamknij.
Jeżeli nie wyrażasz zgody – zmień ustawienia swojej przeglądarki.
Przeczytaj naszą Politykę Prywatności.

Czy komunikat musi być rzeczywiście taki długi?

– NIE. Sam Główny Inspektor Danych Osobowych, dokonuje tego w prosty sposób – jednym zdaniem: Nowa polityka prywatności i plików Cookies dla serwisów GIODO.

Jakie warunki ma więc spełniać komunikat?

– Jest kilka cech, które należy spełnić:

* bezpośredniej informacji o wykorzystaniu plików cookies przez dany serwis
* powiadomienie sformułowane w sposób jednoznaczny, łatwy i zrozumiały dla użytkownika końcowego
* powiadomienie o możliwości wyrażenia zgody lub sprzeciwu
* cel przechowywania i uzyskania informacji zapisanych w plikach cookie
* możliwości określenia warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w zapisanych plikach cookie

Czy muszę osobo napisać tzw. Politykę prywatności?

– NIE. Ale dobrze jakby jedna ze stron serwisu była poświęcona zebranym w jeden dokument, wszelkim zapisom normującym zasady korzystania z danej witryny. Powinien tam znaleźć się paragraf z tzw. polityce cookies.

Czy powiadomienie ma mieć postać tekstu, banera, pop-up’a, paska?

– Forma powiadomienia jest dowolna. Chodzi wyłącznie o jej skuteczność w powiadamianiu użytkownika. Jeżeli jest to góra strony, to zarówno belka z komunikatem, baner czy wyskakujący popup będą poprawne.

Co oznacza zapis „bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały”?

– W standardowym rozumieniu chodzi o to, aby użytkownik zawsze otrzymał komunikat o ciasteczkach, niezależnie od tego jaką ma przeglądarkę czy (i tu ważne) rozdzielczość ekranu.

Czy komunikat ma być wyświetlany zawsze, przy każdym wejściu do serwisu?

– NIE. Powinien pojawiać się tylko przy pierwszej wizycie. Po jego zamknięciu może znów pojawić się – paradoksalnie, dzięki ciasteczku… za 365 dni ;)

Czy mogę wyświetlić komunikat w stopce po przewinięciu strony?

– TAK. Przepisy nie są jasne, mówią tylko o „bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały”. Stopka serwisu (np. bardzo krótkiego, gdzie nie trzeba przewijać stron) i wyraźny komunikat w niej, spełni to zadanie nawet, gdy wymaga niewielkiego przewinięcia. Często już po wejściu na stronę, internauta ma zapisywane automatycznie pliki cookies, tak więc przeglądarkę miał w zasadzie ustawioną na tzw. zgodę.

Samo prawo europejskie mówi w tym zakresie (w tzw. preambule) tak: „The methods of providing information and offering the right to refuse should be as user-friendly as possible.”

Czy komunikat musi zawierać pole „akceptuję” i przycisk ZGODA?

– NIE. Tę kwestię wyjaśniano już w samej Unii Europejskiej. Warto zajrzeć do artykułu ICO Adopts own Cookie Guidance. Wystarczy tylko okienko, lub belka informująca o tym, że strona używa cookies i ewentualnie link do polityki prywatności, który szerzej opisuje tę kwestię. W UE często używa się komunikatu:

Cookie Compliance – We use cookies to improve your experience of this website. Learn More…

Jeżeli umieszczę na stronie szczegółowe informacje o ciasteczkach, jakie serwuję użytkownikowi, to co powinno się w nich znaleźć?

– Tu głównie chodzi o cel przechowywania i uzyskania informacji zapisywanych w plikach cookie tzw.: podtrzymywanie sesji (session cookies), które są przyznawane użytkownikowi na czas wizyty na stronie oraz tzw. oznaczenia stałe (permanent cookies), które są używane po prostu do szerszych celów np. logowania, preferencji reklam itp.

Przyjmuje się, że ciasteczka są opisywane w trzech kolumnach:

1. Nazwa Cookie
2. Rodzaj
3. Cel i zawartość

W opisie powinien więc znaleźć się typ ciasteczka, okres jego ważności oraz cel jego utworzenia na komputerze użytkownika.

Czy w komunikacie trzeba informować też o ciasteczkach od innych dostawców np. wpiętych reklam, kodów statystyk itp.?

– W zasadzie wypadałoby ;) Ciasteczka od innych tzw. 3rd party cookies, zwykle pochodzą od Facebooka, Googla itp. Nie trzeba jednak aż tak szczegółowo ich opisywać, wystarczy wymienić.

Czy jak mam wpięte tylko same statystki np. Google Analytics – to też mam informować o ciasteczkach?

– To nie do końca zostało określone. Jednak prawnicy radzą, by mimo wszystko dodać stosowną informację. Do tego zachęca zresztą Ministerstwo Administracji i Cyfryzacji. Chodzi o to, aby użytkownik wiedział, że jest monitorowany, a to nie jest elementem koniecznym do zrealizowania tzw. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Jeżeli używasz tylko Google Analytics, a nie chcesz umieszczać komunikatu – zrezygnuj z nich np. przechodząc na statystyki podawane przez sam serwer (wiele firm hostingowych udostępnia tzw. webstats nie wymagające wpinania kodów i generowania ciastek).

Co zrobić, jak użytkownik nie wyraża zgody na ciasteczka?

– Tu się wiele zrobić nie da. Wyłączenie ciasteczek po stronie serwisu, jest często niemożliwe. Ustawodawca na szczęście przerzucił to zadanie na użytkownika: nie zgadzasz się? zmień swoje ustawienia w przeglądarce. Tak więc, serwis nie musi robić w zasadzie nic.

Czy jak umieszczę na stronie linki do witryn producentów przeglądarek – jak korzystać z cookies, to załatwię temat?

– W większości TAK. Można zrealizować to poprzez wskazanie użytkownikowi strony z instrukcjami odpowiedniego ustawienia przeglądarek internetowych, pod kątem obsługi plików cookies. Gotowe linki poniżej ;)

* Blokada w Firefox
http://support.mozilla.org/pl/kb/W%C5%82%C4%85czanie%20i%20wy%C5%82%C4%85czanie%20obs%C5%82ugi%20ciasteczek
* Blokada w Chrome
http://support.google.com/chrome/bin/answer.py?hl=pl&answer=95647

Jakie są kary za brak stosownego komunikatu?

– To 3% przychodu (z poprzedniego roku) ukaranego podmiotu. Dodatkowo, Prezes UKE może nałożyć dodatkową karę pieniężną na osobę prowadzącą przedsiębiorstwo w wysokości 300% jej miesięcznego wynagrodzenia.

Dodajmy, że od kary można się odwołać – ostateczną decyzję zawsze podejmuje Sąd.

Czy ewentualna kara zawsze jest w stałej wysokości czy może być negocjowana?

– Karę ustala każdorazowo UKE na podstawie materiałów jakie uzyska, każda sprawa jest więc indywidualnie rozpatrywana.

Kto przeprowadza kontrolę i nakłada kary?

– Dokonuje tego Urząd Komunikacji Elektronicznej (UKE), a dokładniej pod postępowaniem podpisze się Prezes Urzędu. To ten Urząd odpowiada w Polsce za Prawo Telekomunikacyjne.

Gzie znajdę informacje o tym, jak z ciastkami radzą sobie w Europie?

– Warto zajrzeć na New EU cookie law (e-Privacy Directive) i pobrać poradnik Guidance on the EU cookie law / e-Privacy Directive … V3

Czy te przepisy obowiązują tylko w Polsce?

– NIE. Obowiązują w całej Unii Europejskiej – Polska właśnie się dopasowała.

Czy jak mam stronę na serwerze w USA, to nie muszę mieć zgody na ciasteczka?

– NIE. Decyduje tu miejsce działania, a nie miejsce publikacji strony WWW. Jeżeli jesteś na terenie UE i tu prowadzisz biznes, to obowiązują lokalne przepisy o ciasteczkach.

Wiele serwisów oferuje gotowe skrypty dla komunikatów cookies – czy warto z nich skorzystać?

– To indywidualna sprawa, trzeba mieć jednak świadomość, że taka pomoc często oznacza, że na naszej www pojawią się dodatkowe reklamy. W ten sposób co sprytniejsze firmy chcą na nowym prawie dodatkowo skorzystać.

Warto więc, samodzielnie wdrożyć skrypt lub opis o ciastkach i dopasować to do rzeczywiście używanych cookies.

Gdzie znajdę gotowe przykłady skryptów do wdrożenia na stronę, aby wyświetlał się stosowny komunikat?

– Poszukaj w Google ;) jest tego naprawdę sporo. Przykład pierwszy z brzegu to: How to make your website EU Cookie compliant with jQuery

Z pewnością pytań jest jeszcze sporo – można je wpisywać do komentarzy. Ciastka wywołują spore zamieszanie, bo gdzie się praktycznie internauta nie ruszy, tam bombarduje go jakieś okienko, czasem z przyciskiem ZGODA itp. Wiele firm nadgorliwie interpretuje przepisy i utrudnia serfowanie po swoich stronach. UE zbyt ogólnie zinterpretowało „ciastkowy problem” i jedyne co ma pozytywny aspekt, to dyskusja o cookies. Użytkownicy zwiększyli swoją świadomość, że odwiedzając strony www pozostawiają po sobie wiele śladów.

AKTUALIZACJA 12-06-2013:

Warto zapoznać się z oświadczeniem prasowym Grupy Roboczej art. 29 ds. ochrony danych, które potwierdza, że nie o wszystkich ciastkach trzeba zawsze informować. Pełny dokument znajdziesz tutaj: www.giodo.gov.pl/plik/id_p/2748/j/pl/‎

Europejskie organy ochrony danych przyjęły opinię w sprawie wyjątków w zakresie pozyskiwania zgody na zapisywanie plików cookie.

W opinii Grupy Roboczej Artykułu 29 przeanalizowano zasadę dotyczącą plików cookie. Podczas posiedzenia plenarnego w dniach 6-7 czerwca 2012 r. europejskie organy ochrony danych przyjęły opinię w sprawie wyjątków w zakresie pozyskiwania zgody na zapisywanie plików cookie. W opinii wyjaśniono, w jaki sposób zrewidowana dyrektywa o prywatności i łączności elektronicznej wpływa na wykorzystywanie plików cookie i podobnych technologii. Dokładniej mówiąc, europejskie organy ochrony danych przeanalizowały w opinii wyjątki od wymogu świadomej zgody w tym kontekście. W opinii omówiono rodzaje plików cookie, które pod określonymi warunkami można umieszczać na urządzeniu końcowym użytkownika bez wymogu uzyskania jego świadomej zgody. Ponadto, opinia zawiera wytyczne w zakresie podejmowania decyzji, czy określony plik cookie jest zwolniony z zasady pozyskania świadomej zgody przed jego umieszczeniem na terminalu użytkownika.

Zrewidowany artykuł 5 ust. 3 (tzw. zasada dotycząca pliku cookie) dyrektywy o prywatności i łączności elektronicznej wzmocnił ochronę użytkowników sieci i usług łączności elektronicznej poprzez wymaganie świadomej zgody przed zapisaniem lub dostępem do informacji na terminalu użytkownika (lub abonenta). Pomimo że wymóg dotyczy wszystkich rodzajów informacji przechowywanych na terminalu użytkownika lub do których realizowany jest dostęp na terminalu użytkownika, to większą część dyskusji skoncentrowano na wykorzystywaniu plików cookie.

Art. 5 ust. 3 pozwala na zwolnienie niektórych plików cookie z wymogu pozyskiwania świadomej zgody przed ich zamieszczeniem na terminalu użytkownika, jeżeli spełniają one jedno z poniższych kryteriów:
– plik cookie jest wykorzystywany „jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej”;
– plik cookie jest „szczególnie niezbędny w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

Grupa Robocza Artykułu 29 skoncentrowała się w opinii na powyższych wyjątkach od zasady pozyskiwania świadomej zgody w kontekście plików cookie i podobnych technologii.

Europejskie organy ochrony danych analizowały wcześniej szczegółowo wymogi świadomej zgody w swoich opiniach w sprawie internetowej reklamy behawioralnej (WP 171) oraz w sprawie zaleceń EASA/IAB dotyczących najlepszych praktyk w internetowej reklamie behawioralnej (WP 188).

Analiza zawarta w niniejszej opinii wskazuje na możliwość zwolnienia z wymogu pozyskiwania świadomej zgody przed zapisaniem niektórych plików cookie pod określonymi warunkami, jeżeli nie są wykorzystywane do dodatkowych celów. Pliki cookie obejmują np. tzw. „user-input cookies” (wykorzystywane do śledzenia treści danych wprowadzanych przez użytkownika przy wypełnianiu formularzy online lub w przypadku kompletowania zamówienia w sklepie internetowym [wypełniania koszyka zakupami]), znane także jako „session-id cookies”; „multimedia player session cookies” oraz „user interface customization cookies” (np. „language preference cookies” w celu zapamiętania języka wybranego przez użytkownika).

Jest mało prawdopodobne, aby pliki cookie administratora danej strony zawierające dane dla celów statystycznych i analitycznych (tzw. „first party analytics cookies”) stwarzały zagrożenie dla prywatności, gdy są ściśle ograniczone do skumulowanych celów statystycznych administratora, oraz gdy są wykorzystywane przez strony internetowe, które już zapewniają jasne informacje na temat tych plików cookie w swojej polityce prywatności oraz odpowiednie zabezpieczenia prywatności. Oczekuje się, że takie zabezpieczenia obejmować będą przyjazny dla użytkownika mechanizm rezygnacji z gromadzenia danych („opt-out”) oraz kompleksowe mechanizmy anonimizacji, które są stosowane w odniesieniu do innych gromadzonych informacji identyfikujących, takich jak adresy IP.

Europejskie organy ochrony danych chciałyby podkreślić, że w celu podjęcia decyzji, czy plik cookie jest zwolniony z zasady pozyskiwania świadomej zgody przed jego zamieszczeniem na terminalu użytkownika, istotne jest dokładne sprawdzenie, czy spełnia jedno z kryteriów wyłączeń określonych w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W przypadku wątpliwości operatorzy strony internetowej mogą oczywiście zawsze poprosić o zgodę użytkownika, unikając w ten sposób jakiejkolwiek niepewności prawnej.

(Ź) wł / UKE