Pliki cookies ułatwiają korzystanie z internetu, ale mogą być także zagrożeniem dla naszej prywatności. Dzięki nim witryny zapamiętują, jak z nich korzystaliśmy i dostosowują się do naszych potrzeb, ale równocześnie uzyskują szczegóły naszego zachowania, które później mogą zostać wykorzystane w celach marketingowych. Jedno jest pewne, w sieci potrzebna jest większa transparentność. Zapewnić to miały wyskakujące komunikaty informujące o „ciasteczkach”. Niestety rzeczywistość jest inna, a wątpliwości interpretacyjne w zakresie obecnie obowiązujących przepisów niczego nie ułatwiają. Czy traktowanie naszych danych jako „opłaty” jest dozwolone i co w tym zakresie zmienia e-Privacy?
Cookies pod lupą prawa
Wyskakujące komunikaty o plikach cookie miały przede wszystkim zapewnić transparentność i być źródłem informacji dla użytkownika odwiedzającego stronę, m.in. w zakresie celu, w jakim są one wykorzystywane i danych, które za ich pomocą są zbierane. Użytkownik powinien także wyrazić zgodę na wykorzystanie plików cookie do innych celów niż te niezbędne do korzystania z danego serwisu. Często pozyskiwanie takiej zgody to fikcja.
Często nie zdajemy sobie sprawy, że odwiedzając różne serwisy i korzystając z oferowanych przez nie usług uiszczamy pewnego rodzaju opłatę. Za te z pozoru darmowe usługi nie płacimy jednak w znany nam sposób, ale w zamian za to zgadzamy się (czasem bardziej świadomie, czasem mniej), aby dane o naszej aktywności w internecie były sprzedawane reklamodawcom. W projekcie e-Privacy na jednym z etapów legislacyjnych pojawiła się regulacja dotycząca płacenia danymi (stosowania tzw. cookie walls) zakładająca, że teoretycznie takie praktyki byłyby dozwolone, co jest niejako odpowiedzią zarówno na potrzeby biznesu, jak i samych użytkowników, którzy nierzadko są chętni do tego typu dzielenia się swoimi danymi. Takie rozwiązanie spotkało się jednak z jednoznaczną krytyką ze strony Europejskiej Rady Ochrony Danych, która wskazała na niespójność z RODO. Zgodnie ze stanowiskiem EROD: „aby zapewnić dobrowolność zgody, jak wymaga tego RODO, dostęp do usług i funkcji nie może być uzależniony od zgody użytkownika na przetwarzanie danych osobowych lub informacji przetwarzanych przez urządzenia końcowe użytkownika bądź związanych z takimi urządzeniami, co oznacza, że należy wyraźnie zabronić stosowania cookie walls”.
Co ciekawe, w rozporządzeniu może znaleźć zapis, który określa, że zgoda na ciasteczka nie jest potrzebna, jeśli działanie portalu jest finansowana wyłącznie lub w przeważającym stopniu z reklamy. Oznacza to, że jeżeli ustawa przejdzie w takiej formie to reklamodawcy będą mieć wolną rękę do śledzenia aktywności użytkowników bez ich zgody, co zdecydowanie również nie jest zgodne z RODO.
Niestety projekt pozostawia wiele do życzenia. Przedsiębiorcy stoją na stanowisku, że szereg dokonanych w nim zmian w niekorzystny sposób wpłynąłby zarówno na obecną sytuację, jak również na rozwój i dalsze perspektywy podmiotów świadczących usługi na drogą elektroniczną – wskazuje Agata Kłodzińska, ODO 24. To, co jest istotne z punktu widzenia ochrony danych osobowych to przede wszystkim zapewnienie spójności pomiędzy e-Privacy a RODO – niestety mimo długotrwałych prób ten stan dalej nie został osiągnięty. Tworzenie w e-Privacy nowych warunków i zasad przetwarzania danych zbieranych m.in. przy pomocy plików cookie, może doprowadzić do chaosu prawnego, a co za tym idzie – zamiast przyczyniać się do poprawy bezpieczeństwa usług cyfrowych i ochrony prywatności użytkowników urządzeń końcowych, spowodować efekt zupełnie odwrotny – dodaje.
Co przyniesie przyszłość
Obecnie e-Privacy spędza sen z powiek cyfrowym gigantom jak np.: jak Google czy Facebook. Jednak nie tylko oni będą mieli problem z odnalezieniem się i zrozumieniem skomplikowanych reguł ochrony danych cyfrowych użytkowników z Unii Europejskiej. Rozporządzenie dotknie także setki mniejszych firm. Dotyczy to także tych podmiotów, które mają siedzibę poza UE, a świadczą usługi obywatelom krajów członkowskich.
Od 2017 roku w parlamencie europejskim trwa debata na temat przepisów UE dotyczących prywatności w łączności elektronicznej. Prawo zwane e-Privacy na obecnym etapie nadal ma mnóstwo luk prawnych, w tym także tych wynikających z RODO. Warto wiedzieć, że rozporządzenie ePrivacy ma zastąpić obecną dyrektywę 2002/58/WE o prywatności. Jej zadaniem jest dostosowanie aktualnych przepisów w zakresie ochrony prywatności i danych w komunikacji elektronicznej do postępu technicznego. Warto wiedzieć, że w wielu kwestiach będzie ono nie tylko zmieniać, ale i zaostrzać reguły RODO w zakresie cyfryzacji.
Dyskusja wokół ePrivacy wciąż trwa, i tak naprawdę nie wiadomo, jaka wersja zostanie przyjęta. Projekt ePrivacy od chwili powstania „przeżył” już pokaźną liczbę prezydencji Rady UE: maltańską, estońską, bułgarską, austriacką, rumuńską, fińską i chorwacką. Obecnie duże nadzieje są pokładane w kadencji niemieckiej – nie jest przecież tajemnicą, że Niemcy przykładają olbrzymią wagę do ochrony danych osobowych, stąd są wobec nich oczekiwania, że „pchną” prace do przodu. Jednak póki nie ma ostatecznego kształtu rozporządzenia – podczas prac nad którym niejednokrotnie dochodziło do znaczących zmian, stąd trudno przewidzieć, co koniec końców się w nim znajdzie. Pozostaje nam starać się zapewnić zgodność z naszymi sektorowymi przepisami (w tym Prawem telekomunikacyjnym), RODO i jednocześnie śledzić poczynania TSUE, którego orzeczenia niejednokrotnie stanowiły punkt wyjścia dla tego, jak korzystać z plików cookie, tak jak chociażby w wyroku ws. Planet49 GmbH (C-673/17) – podkreśla Agata Kłodzińska, ODO 24.