Dyrektywa: podstawy

Akt prawny regulujący cookies to dyrektywa 2009/136/WE (“Nowa Dyrektywa”), wprowadzająca pewne zmiany do starej dyrektywy 2002/58/WE. Dyrektywa to dość nietypowy rodzaj aktu prawnego, który na kraje członkowskie UE nakłada obowiązek wprowadzenia określonych przezeń przepisów prawnych.

Dyrektywa najczęściej nie dotyczy więc w żaden sposób osób fizycznych lub prawnych, a jedynie nadaje kierunek reformom wewnątrz poszczególnych państw. Co istotne, państwa członkowskie nie muszą “przepisywać” słów dyrektywy, a jedynie oddać ich intencję we własnych regulacjach. Przepisy wynikające z Nowej Dyrektywy muszą być wprowadzone do praw krajowych do 25 maja 2011 roku.

Artykuł 2 ust. 5 pkt. 3 rzeczonej dyrektywy brzmi następująco: „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.

Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.”

Cookies do dane osobowe?

Warto zaznaczyć, iż artykuł 5 ust. 3 zawiera odniesienie do innej głośnej unijnej dyrektywy – tej dotyczącej ochrony danych osobowych (95/46/WE). Jest to kolejny sygnał, iż pewne informacje przechowywane w niektórych plikach cookies traktowane być mogą przez prawo Unii Europejskiej jako dane osobowe, a więc wymagające szczególnej ochrony.

Interpretacja taka niesie ze sobą pewne bardzo istotne skutki. Jako że informacje pochodzące z plików cookies wędrują najczęściej do reklamodawców (np. firmy Google w przypadku reklam AdWords), stają się oni administratorami danych osobowych w rozumieniu dyrektywy 95/46/WE oraz polskiej ustawy o ochronie danych osobowych z 1998 roku. Nakłada to na nich liczne obowiązki wymienione w tej ustawie, oraz utrudnia przekazywanie tych danych poza granicę Unii Europejskiej (dla własnego bezpieczeństwa reklamodawcy powinni założyć, iż wszystkie zbierane przez nich pliki cookies zawierają dane osobowe).

Odniesienie do dyrektywy 95/46/WE logicznie łączy się nie tylko z wymogiem wyrażenia zgody na otrzymywanie plików cookies przez użytkownika, lecz także z wymogiem otrzymania przez niego informacji o celach przetwarzania. Administrator danych osobowych musi bowiem poinformować właściciela tych danych o celach ich przetwarzania zanim tego przetwarzania dokona. Należy tu zaznaczyć, iż wymóg ten stawiany przez Nową Dyrektywę odnosi się do wszystkich plików cookies (nie tylko tych zawierających dane osobowe), a więc w pewnym sensie rozszerza on typowy jak na razie dla danych osobowych wysoki poziom ochrony na inne “poufne” dane.

Grupa Robocza Artykułu 29 ds. Ochrony Danych, unijne ciało doradcze, opublikowała w czerwcu 2010 roku opinię na ten temat, w której stwierdzono, iż „[j]ako że reklamy behawioralne opierają się na wykorzystaniu identyfikatorów umożliwiających tworzenie bardzo szczegółowych profili użytkowników, w większości przypadków uznawanych za dane osobowe, (…) świadoma zgoda może zostać uzyskana jedynie po podaniu użytkownikowi informacji o wysyłaniu plików cookie i jego celach.” Wprawdzie opinie Grupy Roboczej nie są prawnie wiążące, stanowią istotną wskazówkę interpretacyjną dla państw członkowskich.

OPT in OPT out

Mówiąc językiem laika, artykuł 5 ust. 3 nakłada na państwa członkowskie obowiązek wprowadzenia przepisów, które wymagać będą od m.in. internetowych reklamodawców uzyskania od użytkowników stron www wyraźnej, uprzedniej zgody na przesyłanie im plików cookies. Podobny obowiązek istniał już do tej pory w formie “opt out” – użytkownicy musieli mieć możliwość wyłączenia w swoich przeglądarkach opcji odbierania plików cookies.

Nowa Dyrektywa wprowadziła jednak zamęt, gdyż interpretować ją można jako zmianę w kierunku modelu “opt-in”, według którego użytkownik musiałby za każdym razem wydać zgodę na otrzymywanie cookies. Potwierdziła to opinia Grupy Roboczej Artykułu 29, w której  stwierdzono, iż „mechanizmy opt-in, wymagające działania użytkownika w celu wykazania zgody przed przesłaniem mu pliku cookie, lepiej spełniają wymogi art. 5(3).” Początkowo, obawiano się, iż oznaczałoby to powstanie np. “wyskakujących okienek”, przeciw którym wypowiedziała się jednak nawet Neeli Kroes, unijny komisarz do spraw prywatności w sieci.

Tym niemniej, w kwestii formy mechanizmów opt-in nie osiągnięto konsensusu. Grupa Robocza Art. 29 stwierdziła, iż najlepszym rozwiązaniem będzie umieszczenie w witrynach www wyraźnych przycisków pozwalających na ustosunkowanie się do przyjmowania plików cookies (nie wiadomo na razie, czy obowiązek ten spocznie na właścicielach stron czy dostawcach systemów reklamowych, jak sugerują niektóre organizacje branżowe). Pojawiły się również sugestie, iż to producenci przeglądarek internetowych powinni wprowadzić tę funkcję w swoich produktach.

Nie ustalono także, w jaki sposób użytkownik miałby być informowany o celach przetwarzania jego danych. Grupa Robocza w swojej opinii zaznaczyła, iż „najskuteczniejszym sposobem spełnienia tego wymogu jest podawanie podstawowych informacji bezpośrednio na ekranie, w sposób interaktywny, wyraźnie widoczny i łatwo zrozumiały. Istotne jest, by informacje były łatwo dostępne i wyraźnie widoczne. Najistotniejsze informacje nie mogą być ukryte w ogólnych warunkach świadczenia usług czy polityce prywatności.”

Nowa Dyrektywa wzburzyła sektor reklamowy. Przeciw jej założeniom wypowiedziała się m.in. organizacja Interactive Advertising Bureau, zrzeszająca takie koncerny jak Facebook czy Google. Nowe prawo nie podoba się również wielu użytkownikom sieci, którzy obawiają się, iż przeglądanie zasobów internetu stanie się uciążliwe.

Polska interpretacja

W Polsce nowe przepisy zostaną zawarte w nowelizacji Ustawy prawo telekomunikacyjne. Wprawdzie nie znane jest jeszcze jej brzmienie, Ministerstwo Infrastruktury opublikowało na początku stycznia 2011 dokument przedstawiający jej założenia. Możemy w nim przeczytać następujące odniesienie do kwestii cookies:

Zmiany w art. 173 wynikają z potrzeby właściwej implementacji znowelizowanego art.  5 ust. 3 Dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, w zakresie przechowywania danych informatycznych, w szczególności plików tekstowych, w urządzeniach końcowych abonentów lub użytkowników końcowych (tzw. „cookies”).

Zasadnicza zmiana polega na wyraźnym wskazaniu (w art. 173 ust. 1), że dane takie mogą przechowywać zarówno podmioty świadczące usługi drogą elektroniczną, jak również przedsiębiorcy telekomunikacyjni. Ponadto, podkreśla się, że niezbędna jest w takim przypadku zgoda abonenta lub użytkownika końcowego, a nie jak  obecnie – jedynie poinformowanie go o takim przechowywaniu danych w jego urządzeniu końcowym (art. 173 ust. 1 pkt 2).”

Niestety, wypowiedź ta w niewielki sposób klaryfikuje podejście polskiego ustawodawcy do praktycznych rozwiązań, które będzie należało wprowadzić. Jak wynika z analizy komunikatów wydanych przez odpowiednie instytucje w innych krajach członkowskich, możliwości interpretacyjnych jest bardzo wiele.

Szersza perspektywa

Dyrektywa 2009/136/WE wpisuje się idealnie w politykę prowadzoną przez Unię Europejską, zakładającą zapewnianie bardzo wysokiego poziomu ochrony prywatności w sieci. Odzwierciedla również trend, w ramach którego informacje zawarte w plikach cookies są uznawane za dane osobowe, które powinny być chronione zgodnie z prawem ochrony danych osobowych (także wyjątkowo rozbudowanym w UE).

Tym niemniej, jej treść budzi pewne kontrowersje. Pomijając fakt, iż ze względu na jej ambiwalentne zapisy istnieje małe prawdopodobieństwo harmonizacji prawa w tej dziedzinie na terytorium Unii, przepisy wprowadzane dyrektywą 2009/136/WE mogą naruszyć równowagę pomiędzy ochroną danych osobowych a praktycznością korzystania z Internetu. Dyskusyjnym jest również podejście Unii do kwestii ochrony danych osobowych w czasach, gdy rzesze użytkowników internetu świadomie wyzbywa się swojej prywatności korzystając z serwisów społecznościowych i innych “darów” Web 2.0.

źródło: Ciasteczkowa wojna czyli dyrektywa cookies

<img src="http://www.chip.pl/images/software/microsoftwindows7box.jpg/image_thumb" align="left" hspace="10" />

Microsoft potwierdził informację, że w systemach Windows pojawiła się nowa luka bezpieczeństwa, która pozwala hakerowi na zdalne uruchomienie kodu na komputerze ofiary.

<img src="http://www.chip.pl/images/opera_512×512.png/image_thumb" align="left" hspace="10" />

Wszyscy mają rozszerzenia. Ma je także Opera. Choć wciąż jest ich niewiele, to pośród nich znajduje się kilka rewelacyjnych dodatków, które znacznie ułatwią surfowanie po Internecie. Proszę państwa, oto one!

<img src="http://www.chip.pl/images/logotypy/openbsd.png/image_thumb" align="left" hspace="10" />

Były szef ds. technlogii w firmie NETSEC twierdzi, że agencja FBI zaimplementowała wiele luk bezpieczeństwa typu "backdoor" w systemie operacyjnym OpenBSD.

Bank PKO BP jest ostatnim wielkim graczem na mapie polskiej bankowości, który nie uruchomił dla swoich najzamożniejszych klientów detalicznych działu bankowości prywatnej. Czy w połączeniu z usługami bankowości inwestycyjnej gigant o takiej pozycji na rynku będzie w stanie przejąć od konkurentów najzamożniejszych klientów?

To oczywiście zależy od dwóch zmiennych – dolnej granicy dochodu klienta lub minimalnej wartości ulokowanych w banku pieniędzy oraz od tego, czy najbogatsi Polacy dadzą się przekonać do tego typu usługi świadczonej przez „bankowy hipermarket”. Dla samego banku oznacza również konieczność rozwinięcia kolejnego działu, dotychczas z PKO BP nie kojarzonego – chodzi o pełną gębą prowadzoną bankowość inwestycyjną. Taką, w której klient znajdzie nie tylko oferty obligacji Skarbu Państwa, ale będzie mógł z doradcą bankowym zabawić się w anioła biznesu, czy poszukać za pośrednictwem banku przy największej, często niewyobrażalnej dyskrecji funduszu private equity o możliwie największej stopie zwrotu przy wysokim bezpieczeństwie inwestycji.

To również kwestia usług concierge, które są – przy rzeczywistym private bankingu, nie zaś jego namiastce oferowanej przez większość bankowych graczy w Polsce – jednym z głównych atutów private bankingu. Czy PKO BP będzie w stanie takie usługi oferować? Zarząd rezolutnie odpowiada, że wszystko zależy od tego, za co i ile będzie chciał płacić klient.

Ale bank stanie także przed koniecznością zaproponowania klientom pełnego pakietu usług finansowych – poza możliwością inwestowania w większość dostępnych w Polsce instrumentów to także sprawa zaproponowania odpowiedniego pakietu ubezpieczeń, w tym również alternatywnego dla sypiącego się w Polsce systemu ubezpieczeń społecznych. I kompleksowej obsługi księgowej całości.

PKO BP jest w polskiej bankowości najdroższą marką – wycenianą dzisiaj na 3,6 mld złotych. I najsilniejszym bankiem w kraju – obsługującym większość klientów detalicznych. Tylko, czy kapryśni klienci private bankingu będą zainteresowani korzystaniem z usług banku kojarzonego przez białe kołnierzyki przede wszystkim z obsługą gminu? Wszystko zależy od wyjątkowości obsługi – jeden pracownik dla jednego klienta. I wyjątkowości oferty – nigdzie indziej tego dnie dostanę.

Doświadczenie ostatnich lat pokazało jednak, że trudno jest na polskim rynku stworzyć taką ofertę, która usatysfakcjonuje tych najzamożniejszych. Są wprawdzie banki specjalizujące się w szczególnym traktowaniu klientów bogatych. Ale ich oferta wciąż wydaje się nie wystarczająca dla tego segmentu klientów bankowości. Skąd to wiadomo? Najwięksi gracze private bankingu Europy wciąż widzą w Polsce rosnący i godny inwestowania rynek. Wciąż przysyłają swoich pracowników, zaś klientom opłacają najdroższe hotele i bilety do szwajcarskich miast tylko po to, żeby mogli z nimi podpisać umowy oświadczenie usług finansowych.

źródło: PKO P(rivate) B(anking)

<img src="http://www.chip.pl/images/ludzie/obl_fb.jpg/image_thumb" align="left" hspace="10" />

Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych potwierdza, że wiele grup terrorystycznych, wliczając w to Al-Kaidę, wykorzystuje serwis społecznościowy Facebook do rekrutacji nowych członków.

<img src="http://www.chip.pl/images/microsoftfacebooklogos.jpg/image_thumb" align="left" hspace="10" />

Podczas konferencji La Web w Paryży, Fritz Lanman, zajmujący się strategią i kupnem w Microsofcie, przyznał, że jego koncern próbował kupić Facebooka ze względu na „łączące obie firmy podobieństwa”.

<img src="http://www.chip.pl/images/software/windowsvistalogo1.jpg/image_thumb" align="left" hspace="10" />

Co miesiąc, w drugi wtorek miesiąca, Microsoft wydaje paczkę aktualizacji dla swoich produktów. W ostatni "Patch Tuesday" w tym roku, załatanych zostanie 40 luk bezpieczeństwa.

<img src="http://www.chip.pl/images/uzytecznastrona.jpg/image_thumb" align="left" hspace="10" />

CHIP Online został wyróżniony Orderem Programu Użyteczna Strona. Oceniane były między innymi poziomu funkcjonalności, bezpieczeństwa oraz jakości serwisu internetowego.

<img src="http://www.chip.pl/images/screenshot20101201at112221am.png/image_thumb" align="left" hspace="10" />

Pamiętacie Predatora? Na pewno! Zwłaszcza zdolność tytułowej postaci do załamywania światła. Śpieszymy donieść, ze wasze marzenie z dzieciństwa stało się łatwe do spełnienia.