Obecnie art. 173 w projekcie nowelizacji Prawa Telekomunikacyjnego, w zakresie, który może się odnosić m. in. do cookies, ma następujące brzmienie:

Art. 173

1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w  telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1. abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w  sposób jednoznaczny, łatwy i zrozumiały, o:
   a) celu przechowywania i uzyskiwania dostępu do tej informacji;
   b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2. abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3. przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w  wykorzystywanym przez niego telekomuni­kacyjnym urządzeniu końcowym lub konfiguracji usługi.

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2. dostarczania usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

O sprawie cookies w związku z projektem nowelizacji pisałem już wcześniej w tekście pt. "Rewolucja w ochronie prywatności?". Chodzi o interpretację i implementację tzw. "dyrektywy e-privacy". Konkretnie chodzi o następujący zapis dyrektywy:

Państwa członkowskie zapewniają, aby przechowywa­nie informacji lub uzyskanie dostępu do informacji już prze­chowywanych w  urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę  zgodnie z dy­rektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o  celach przetwarzania. (...)

Do tej pory w obecnie obowiązującym art. 173 PT istnieją wyłącznie obowiązki informacyjne co do tego, czy dany usługodawca używa cookies i w jakim celu, oraz wymaga się, by była możliwość złożenia sprzeciwu (czyli przy spełnieniu warunków informacyjnych sama zgoda jest domyślna i możliwe jest wycofanie jej poprzez sprzeciw, czyli na zasadzie opt-out).

Tymczasem autorzy projektu rządowego, powołując się na wymogi dyrektywy "e-privacy", wprowadzili zapis, iż zgoda musi być uprzednia (opt-in). Takie podejście krytykuje bardzo IAB Polska, która generalnie promuje samoregulację (kodeks dobrych praktyk, szerzenie świadomości wśród użytkowników co do dbania o prywatność i świadome stosowanie odpowiednich ustawień w sprzęcie i oprogramowaniu) i ograniczenie omnipotencji państwa w regulacji internetu (co ja osobiście - z pewnymi zastrzeżeniami - popieram).

Czytaj: Mniej inwigilacji i ciasteczka - Prawo telekomunikacyjne na finiszu

Na obecnym etapie, w stosunku do poprzedniej propozycji rządowych projektodawców, dużym postępem jest wypracowanie kompromisu, który polega m.in. na tym, iż wprowadzono zapis, zgodnie z którym "abonent lub użytkownik końcowy może wyrazić zgodę, (...) za pomocą ustawień oprogramowania zainstalowanego w  wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi".

Oznacza to, że wbrew wcześniejszym obawom, usługodawcy nie będą musieli pytać tego samego użytkownika za każdym razem o zgodę, gdy ten będzie np. wchodził na daną stronę, która wykorzystuje cookies. Wystarczy raz wyrażona zgoda, która zostanie utrwalona poprzez odpowiednią konfigurację urządzenia, oprogramowania lub usługi.

Niemniej zapis o uprzedniości zgody wciąż wzbudza kontrowersje, np. w środowisku IAB. W szczególności, jak się podkreśla, z dyrektywy nie wynika wcale expressis verbis wymóg "uprzedniości" (prior), wystarczą natomiast same wymogi informacyjne i sam fakt wyrażenia zgody (np. poprzez odpowiednią konfigurację oprogramowania lub usługi), zwłaszcza że pozyskiwanie informacji i wyrażenie zgody może nastąpić niejako równocześnie.

Wbrew powyższym zastrzeżeniom na wczorajszym posiedzeniu strona rządowa poinformowała, iż nie zamierza dokonywać dalszych zmian. Podparła się przy tym stwierdzeniem, iż obecne brzmienie projektowanego art. 173 stanowi rezultat kompromisu.

Czytaj: No Cookie Law - akcja przeciwko unijnym przepisom ws. ciasteczek

Tak naprawdę rzecz się rozbija o tzw. OBA, czyli o to, na ile użytkownik powinien być świadomy, że jest "śledzony" poprzez cookies i na podstawie tego może dojść do profilowania i serwowania mu reklam dostosowanych do jego preferencji ustalonych na podstawie rejestrowanych zachowań w sieci (marketing behawioralny, reklama behawioralna, profilowanie behawioralne). Zauważmy bowiem, że obowiązek informacyjny oraz konieczność wyrażenia uprzedniej zgody nie są wymagane w stosunku do tzw. "cookies o charakterze technicznym" (czyli nie służącym profilowaniu, a np. po prostu wygodzie użytkownika lub służącym celom czysto technicznym) - art. 173 ust. 3 projektu PT.

Pytanie jednak, na ile Państwo powinno ingerować "na sztywno" (poprzez prawodawstwo) w te kwestie, a na ile być może wystarczyłoby po prostu szerzenie świadomości na te tematy w społeczeństwie (np. poprzez odpowiednie kampanie informacyjne). Uważam, bowiem, że obecne rozwiązania mogą być technicznie uciążliwe dla użytkowników, a i tak większość użytkowników, którzy wyrażą tę uprzednią zgodę, tak do końca być może nadal nie będzie świadomych "o co chodzi". Dlatego tak ważne są informacja, dobre praktyki i samoregulacja, które tak bardzo promuje IAB (oczywiście, że ma w tym duży interes, ale uważam, że takie podejście może też być dużo bardziej korzystne dla użytkowników).

Równocześnie znów zadaję pytanie, czemu tak bardzo Państwo dba o moją prywatność względem podmiotów prywatnych, a nie dba o moją prywatność względem swoich własnych organów? Osobiście mnie to bulwersuje. Mam tu na myśli choćby informacje na temat skali niekontrolowanego korzystania przez organy ścigania w Polsce z retencji danych.

Oto bowiem cookies potrafię sobie prywatnie wyłączyć sam. Permanentnie nadużywanej inwigilacji ze strony wielu organów państwa niestety nie da się już samemu wyłączyć. Dlatego bardzo bym chciał, żeby w tym zakresie rząd również wzmógł swoją działalność ustawodawczą, jeżeli chodzi o ochronę mojej prywatności. Bo przed podmiotami prywatnymi się jakoś obronię. Gorzej jest z Państwem, które chce być coraz bardziej omnipotentne.

Rafał Cisek, radca prawny, współpracownik Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), twórca serwisu prawa nowych technologii NoweMEDIA.org.pl, ekspert w zakresie prawnych aspektów komunikacji elektronicznej.