To już ponoć pewne. Po świętach w projekcie nowelizacji Prawa telekomunikacyjnego art. 173 będzie wskazywał na konieczność uzyskiwania uprzedniej zgody użytkownika (opt-in) na stosowanie przez daną stronę cookies (i analizowanie informacji o użytkowniku z ich wykorzystaniem). W dotychczasowym projekcie były tylko rozszerzone obowiązki informacyjne i możliwość sprzeciwu następczego, czyli opt-out. Teraz zgoda będzie musiała być udzielona z góry.

Rzecz się rozbija o interpretację nowej treści art. 5. ust. 3 Dyrektywy 2002/58/WE (dyrektywa o prywatności i  łączności elektronicznej określana także jako "dyrektywa e-privacy"), jaką ustanawia Artykuł 2 punkt 5) Dyrektywy Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r.:

5)  art. 5 ust. 3 (Dyrektywy 2002/58/WE – RC) otrzymuje brzmienie:

„3. Państwa członkowskie zapewniają, aby przechowywa­nie informacji lub uzyskanie dostępu do informacji już prze­chowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dy­rektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. (...)"

Implementacja tego zapisu do krajowego ustawodawstwa ma się odbyć przez nowelizację m.in. artykułu 173 Prawa telekomunikacyjnego. Dotychczasowy projekt ustawy o zmianie ustawy Prawo telekomunikacyjne, przygotowywany przez Ministerstwo Infrastruktury, zakładał - tak jak to było do tej pory - wymóg umożliwienia użytkownikowi następczego złożenia sprzeciwu na przetwarzanie cookies (zatem model opt-out). Projekt wzbogacał jedynie art. 173 o dodatkowe obowiązki informacyjne w związku z przetwarzaniem cookies, które powinny być spełnione już w momencie odwiedzania strony (chodzi m.in. o to, kto będzie przetwarzał o nas informacje i w jakim celu - dotyczy to np. analizy behawioralnej z wykorzystaniem cookies w związku z reklamą behawioralną, tzw. OBA).

Po zlikwidowaniu Ministerstwa Infrastruktury projekt przejęło Ministerstwo Administracji i Cyfryzacji (MAiC), które chce do nowelizacji podejść bardziej radykalnie, powołując się na ścisłą wykładnię zacytowanego wcześniej art. 5 ust. 3 dyrektywy e-privacy i wynikającą z niej zasadę prior consent. Innymi przesłankami są ponoć "dbanie o prywatność użytkowników" i wynik "konsultacji społecznych" (cudzysłowy użyte celowo) przeprowadzonych m. in. TUTAJ.

KOMENTARZ BARDZO SUBIEKTYWNY

Prywatnie, jako tzw. "internauta" (cokolwiek to znaczy), cieszę się, że MAiC chce zadbać o moją prywatność. Problem w tym, że cookies potrafię sobie wyłączyć sam, a jak każde pierwsze wejście na dany serwis będzie mnie witać radosnym pytaniem o zgodę, to podejrzewam, że szlag mnie trafi (pewnie powstaną jakieś wtyczki automatyzujące to). Natomiast sam nie mogę wyłączyć sobie totalnej inwigilacji, jakie serwuje nam właśnie to tak bardzo "dbające o moją prywatność" państwo. Mam tu na myśli choćby ostatnie informacje na temat skali niekontrolowanego korzystania przez organy ścigania w Polsce z retencji danych.

Podobnie owo "dbające o moją prywatność państwo" daje się wykorzystywać w dość nieładny sposób prywatnym podmiotom, odwalając za nie robotę (wnioskowe postępowania karne są prowadzone z urzędu na koszt podatnika - de facto celem wspomagania dochodzenia roszczeń cywilnych!) i przekazując im na dodatek nasze prywatne dane w celu realizacji ich prywatnych interesów. A wszystko to "Pro Bono" - nie mylić z pro publico bono, jeśli wiecie, co mam na myśli ;)

I to państwo dba o moją prywatność? Śmiem wątpić. Szczerze.

Rafał Cisek, radca prawny, współpracownik Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), twórca serwisu prawa nowych technologii NoweMEDIA.org.pl, ekspert w zakresie prawnych aspektów komunikacji elektronicznej.

Czytaj także: UE i ciasteczka - jak spełnić "głupie" zasady?