A skoro już w sobotę wchodzi w życie ustawa „wdrażająca” RODO (Dz.U. z 2019 r. poz. 730), to dziś chyba ostatnia chwila, by przypomnieć, że już od soboty zgoda użytkownika na instalowanie i dostęp do cookies w jego urządzeniu (komputerze, sprytfonie) musi odpowiadać warunkom RODO.
Jest to konsekwencją nowelizacji prawa telekomunikacyjnego, które, jak przystało na porządny akt normatywny, zajmuje się nie tylko tym, co wynika z tytułu, ale także pobocznościami („chlebak, jak sama nazwa wskazuje, służy do przenoszenia granatów” — St. Grzesiuk). Pobocznością taką jest przepis określający zasady przechowywania i uzyskiwania dostępu do ciasteczek serwowanych przeglądarkom przez serwisy internetowe (art. 173 pt, zwłaszcza po nowelizacji z marca 2013 r.) — clou obecnej nowelizacji zawiera się jednak w przepisie, w myśl którego zgoda abonenta lub użytkownika końcowego (por. definicja w art. 2 pkt 50 pt) powinna spełniać warunki określone przepisami o ochronie danych osobowych (czytaj: RODO).
art. 174 ustawy — prawo telekomunikacyjne (w brzmieniu od 4 maja 2019 r.)
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
A mianowicie, czytając motyw 32, art. 4 pkt 11 i art. 7 RODO:
- każda zgoda musi być wyrażona „w drodze jednoznacznej, potwierdzającej czynności”usługobiorcy — nie jest zatem zgodą działanie, które może być interpretowane w sposób wieloznaczny (w szczególności nie może być interpretowane jako zgoda);
- oświadczenie, które ma oznaczać zgodę użytkownika, musi odnosić się do określonej sytuacji — wynikać z kontekstu zapytania (treść zgody nie może być interpretowana w inny, zwłaszcza rozszerzający sposób) — zaś zapytanie takie musi być „jasne i zwięzłe”;
- każde przyzwolenie musi być „dobrowolne, świadome i jednoznaczne” — wykluczone są fabryczne pre-kliknięte ptaszki, nie jest dopuszczalne także stosowanie technik wykluczających dobrowolność udzielonej zgody (automagicznie zaklikujące się ptaszki; zgody „nieprzepuszczające”, zwłaszcza blokujące dostęp do strony są wykluczone wskutek art. 7 ust. 4 RODO);
- zgoda wyrażona przez usługobiorcę nadal może mieć formę kliknięcia („polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej”), może też polegać na „wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego”;
art. 173 ust. 1 ustawy — prawo telekomunikacyjne (w brzmieniu od marca 2013 r.)
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:
1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.
- i tu znów czas na dylematy, podobne do tych, które naszły mnie przy omówce zgody na listelingi (por. „Zgoda na wysyłanie mejlingów musi być „kompatybilna” z RODO”): prawodawca nie zdecydował się na nowelizację samego „prawa o cookies„, przeto mamy przepis konkurencyjny: iż zgoda może być w pewnym stopniu domniemana, bo wynikająca z ustawień oprogramowania (przeglądarki) lub usługi (art. 173 ust. 2 pt), zaś pod pewnymi warunkami zgoda w ogóle nie jest wymagana (czyż przeglądanie strony internetowej nie jest korzystaniem z dostarczanej usługi świadczonej drogą elektroniczną, jak w art. 173 ust. 3 pkt 2 pt? jest — co oznacza, że dopóki cookies mają związek wyłącznie z samą usługą, a nie np. z analizą ruchu, żadne zgody nie są niezbędne; nb. jestem coraz bliższy wyrzucenia skryptu Google Analytics);
- nie ma natomiast wątpliwości, że nowa zgoda w stylu RODO dotyczy także telefonów marketingowych (art. 172 pt).
Tak czy inaczej jest nowelizacja, a jak nowelizacja jest, to nie można jej olać; dla przypomnienia — ustawa dostosowująca mnóstwo ustaw do RODO wchodzi w życie już 4 maja 2019 r.