Pewnie chcesz kupić toster! Słowo o przyszłości „third party cookies” w kontekście RODO/GDPR

Table of contents

Wyobraź sobie sobotni poranek. Budzi Cię dziwnie drażniący dźwięk czołówki „Teleekspresu”. Przecierasz dłonią twarz, w miarę, jak uruchamiają się wspomnienia. Proporcje kraftowego piwa i Netflixa w piątkowy wieczór mogły nie być optymalne. Sięgasz po telefon, by przejrzeć Facebooka. Te same zdjęcia z Tajlandii, dzióbki i crossfity. A między nimi – reklama odważnej fototapety z Daenerys Targaryen. W czasie przeglądu newsów co drugi akapit napotykasz propozycje nabycia repliki Żelaznego Tronu w skali 1:1. Zaniepokojony sprawdzasz SMSy. Wisząca na wierzchu wiadomość z kodem autoryzacji przelewu wyjaśnia sprawę. Najpóźniej we wtorek możesz spodziewać się kuriera z kolekcjonerskim wydaniem „Tańca ze Smokami”. I bluzą z napisem „You know nothing, Jon Snow”.

Powyższa, rzecz jasna całkowicie fikcyjna anegdota, ilustruje powszechne dziś zjawisko współdzielenia internetowej przestrzeni reklamowej przez wiele podmiotów, konkurujących o nasze względy i zasoby portfela. Coraz więcej osób zdaje sobie sprawę z tego, że to nie właściciel strony internetowej oferuje nam swoje towary na sprzedaż. Faktycznie jest tylko wydzierżawiającym „MIEJSCE NA TWOJĄ REKLAMĘ!”. Podobne do tych przy trasie przez Łomianki, tylko sprytniejsze, bo spacerujące za Tobą po całej sieci, jak natarczywy komiwojażer. Kupiłeś wrotki? Może kupisz do nich kask? Chciałeś kupić maczetę, ale się rozmyśliłeś? Może skusisz się chociaż na scyzoryk? Albo kominiarkę? Zamówiłeś chleb? Pewnie chcesz kupić toster!

Tego rodzaju zbieranie danych o aktywności internauty jest możliwe dzięki plikom cookies, małym plikom tekstowym, które instalują się na naszych urządzeniach, kiedy odwiedzamy strony internetowe, i pozwalają hostującym je serwerom rozpoznać nasze urządzenie. Tak, chodzi o te pliki, o których informują nas rozmaite belki, kafelki i okienka, które bezmyślnie zamykamy, bo są nieciekawe i zasłaniają ekran.

W istocie, cookies są bardzo przydatnym narzędziem, wykorzystywanym do wielu zbożnych celów. Niezbędne do logowania w serwisach oferujących konta użytkowników, dokonywania zakupów (zapamiętują, co włożyliśmy do koszyka), zapamiętywania preferencji użytkownika, czy, dajmy na to, liczące ruch na stronie i oferujące różne pożyteczne statystyki dla administratorów serwisów. To o tzw. first-party cookies, czyli ciasteczkach instalowanych przez serwis, który odwiedziłeś.

Istnieją również third-party cookies, które są dostarczane i instalowane przez inne serwisy, niż ten, który odwiedzamy. Ich rolą jest – podobnie jak w przypadku first-party cookies – rozpoznawanie naszego urządzenia. Przy czym nie służą one do dostarczania nam określonej funkcjonalności, a administratorowi danych związanych z funkcjonowaniem jego strony. Third-party cookies analizują nasze zachowanie poza serwisem ich właściciela, po to, żeby stworzyć nasz internetowy profil i dostarczać nam spersonalizowaną treść, opartą o szeroki zasób danych na temat naszych preferencji, zainteresowań i aktywności.

Co w tym złego?

Absolutnie nic, zwłaszcza w przypadku, kiedy cieszą nas dopasowane do naszych potrzeb, może nawet przewidujące je, reklamy i wygoda, np. trafne podpowiedzi haseł w wyszukiwarce internetowej. Gorzej, kiedy staramy się dbać o resztki naszej prywatności w dobie big data i nie chcemy, żeby nasz każdy ruch był śledzony i rejestrowany w bazach danych podmiotów, o których istnieniu ani intencjach nic nam nie wiadomo.

RODO i third-party cookies

Nowe regulacje prawne, opracowywane przez Unię Europejską, celują w to, żeby dać internautom prawo decydowania o tym, z kim dzielą się informacjami o sobie. Ich celem jest stworzenie możliwości wyboru, a ten, żeby był świadomy, musi być oparty na wiedzy. Rozporządzenie ogólne o ochronie danych osobowych (RODO) daje osobom, których dotyczą dane, szereg uprawnień, począwszy od prawa dostępu do danych, przez możliwość żądania zaprzestania ich przetwarzania („prawo do bycia zapomnianym”), przeniesienia ich do innego administratora, a skończywszy na możliwości zaskarżenia bezprawnego przetwarzania danych do organu nadzorczego. Podmiotom przetwarzającym dane osobowe RODO nakazuje z kolei informować osoby, których dotyczą te dane, m.in. o celu ich przetwarzania, źródle pochodzenia, podmiotach, którym je udostępniają, i planowanym terminie ich usunięcia, a także o przysługujących tym osobom prawach.

Te, i inne informacje, administrator danych osobowych powinien podać:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dotyczą dane– najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

W jaki sposób będzie to dokonywane? Zależy to wyłącznie od kreatywności administratora danych. Informacja musi być jednak zwięzła, łatwo dostępna i zrozumiała. I nie powinna przeszkadzać w normalnym użytkowaniu Internetu.

Poza RODO, o możliwość naszego decydowania o naszej prywatności zatroszczy się rozporządzenie w sprawie prywatności i łączności elektronicznej (tzw. rozporządzenie ePrivacy). Jego treść jest na dzień pisania tego tekstu przedmiotem burzliwych dyskusji między organami Unii. Projekt autorstwa Komisji Europejskiej zakłada, że dane pochodzące z łączności elektronicznej powinny być traktowane jako poufne. Zabronione miałoby być przechwytywanie takich danych przez podmioty inne niż zamierzony adresat. Ma to miejsce na przykład wtedy, gdy osoby trzecie bez zgody danego użytkownika monitorują odwiedzane przez niego strony internetowe, godziny wizyt, interakcje użytkownika z innymi itp. Brzmi znajomo? Owszem, third-party cookies podpadają pod sformułowany w projekcie zakaz.

Co więcej, projekt rozporządzenia ePrivacy odnosi się bezpośrednio do third-party cookies, wskazując, że jakakolwiek ingerencja w urządzenie końcowe użytkownika (np. instalowanie na jego laptopie lub telefonie plików śledzących) powinna być dozwolona jedynie za jego zgodą oraz w konkretnych i przejrzystych celach. Wyjątki od obowiązku uzyskania zgody na korzystanie z możliwości przetwarzania i przechowywania, jakie daje urządzenie końcowe, lub dostępu do informacji przechowywanych w urządzeniu końcowym powinny ograniczać się do sytuacji, które nie wiążą się z żadną ingerencją w prywatność lub ingerencja ta jest bardzo ograniczona. Nie powinno się na przykład żądać zgody na zezwolenie na techniczne przechowywanie lub dostęp, gdy jest to absolutnie niezbędne i proporcjonalne w prawnie uzasadnionym celu umożliwienia korzystania z konkretnej usługi żądanej przez użytkownika końcowego.

Jak użytkownik miałby wyrazić taką zgodę? Według projektu rozporządzenia ePrivacy przystępną możliwość wyboru miałby mu zapewnić dostawca używanej przez niego przeglądarki internetowej. Przy instalacji oprogramowania (lub jego aktualizacji) użytkownik miałby być informowany o ustawieniach prywatności, i aby kontynuować instalację musiałby wyrazić zgodę na ustawienia.

Warto wspomnieć w tym miejscu o istotnej zasadzie wprowadzonej przez RODO, która miałaby stosować się również do obowiązków wynikających z rozporządzenia ePrivacy, a mianowicie o zasadzie domyślnej ochrony prywatności (privacy by default). Zgodnie z jej założeniami wyjściowe ustawienia przeglądarki, występujące w momencie instalacji oprogramowania, powinny zapewniać najszerszą możliwą ochronę przed śledzeniem, a więc m.in. blokować third-party cookies. To wszystko w celu zabezpieczenia interesów osób, które nie są świadome zagrożeń wynikających ze śledzenia ich działań w Internecie, jak również osób leniwych, które nie zmieniają ustawień domyślnych i niewiele je obchodzi cała afera z prywatnością. Przepisy rozporządzenia ePrivacy zapewnią im wyraźny komunikat na ten temat, a możliwość ich własnej ingerencji w ustawienia prywatności, jeśli zmienią zdanie, będzie – w założeniu –  jak najprostsza.

Dostawcy wielu wiodących przeglądarek internetowych od pewnego czasu czynią już kroki w celu wysunięcia informacji o plikach cookies bardziej na wierzch, bliżej oczu użytkowników. Podobnie jest z możliwością modyfikacji ustawień przeglądarki w tym zakresie. Jednak wydaje się, że droga do wejścia w życie rozporządzenia ePrivacy jest jeszcze długa i wyboista. Nie ulega wątpliwości, że nie wejdzie ono w życie – tak, jak zakładano w projekcie – razem z początkiem obowiązywania RODO, czyli 25 maja tego roku.

Jaka więc przyszłość czeka third-party cookies? Czy skończy się rumakowanie internetowych sprzedawców, przewidujących nasze potrzeby lub łamiących naszą silną wolę, która objawiła się w ostatnim momencie przed kliknięciem „Kup Teraz” przy zestawie piłek golfowych z herbami rodów Westeros (nie gramy w golfa)?

Nietrudno sobie wyobrazić, że część użytkowników sieci nie zmieni domyślnych, restrykcyjnych ustawień prywatności w przeglądarce internetowej, co w dużej mierze uniemożliwi reklamodawcom personalizację wyświetlanych im reklam. Z drugiej strony osoby, które zdecydują się udostępnić swoje urządzenia na śledzące pliki cookies, zrobią to z premedytacją, wskazując tym samym, że są zainteresowane korzystaniem z tych dobrodziejstw technologii. Być może będą w związku z tym chętniej korzystały z przedstawianych im propozycji. I w jeszcze większym stopniu wypełnią swoje domy i mieszkania mniej lub bardziej udanymi kolekcjonerskimi bibelotami z „Gry o Tron”. Ostatecznie trudno przewidzieć, jak zachowają się konsumenci-internauci. Natomiast zwiększenie świadomości społeczeństwa o tym, że śledzenie i profilowanie w sieci istnieje, na czym polega, i udostępnienie mu narzędzi do kontrolowania tego procesu według indywidualnych przekonań użytkowników sieci z całą pewnością opiera się na godnych pochwały założeniach. W dobie dynamicznych zmian społecznych i technologicznych tylko czas może pokazać, jak nowe regulacje zmienią znany nam Internet. Tak pełny pokus i interesujących gadżetów.


Chcesz dobrze przygotować swój biznes na nadejście RODO? Czytaj nasz cykl poradnikowy