menu
Krylan | Krzysztof Koperkiewicz
Blog

Informacja o Cookies w praktyce

2019-06-10 / Inne / Komentarze (0) / Wyświetleń: 868

Minęło już kilka lat, odkąd wszedł w życie obowiązek komunikowania użytkownikom internetu, że witryna korzysta z tzw. ciasteczek (ang. cookies). Ta zmiana wygenerowała miliardy niepotrzebnych kliknięć użytkowników oraz straty czasu programistów poświęconego na implementacje tych komunikatów. Spójrzmy na to, ile to prawo zmieniło, jakie są jego efekty po tych kilku latach, a także jak (o ile w ogóle) najlepiej taką informację wyświetlić użytkownikowi.

Prawo a ciasteczka

Przyjrzyjmy się najpierw podstawie prawnej, która nakłada na twórców stron internetowych obowiązek informowania o ciasteczkach, ponieważ to pozwoli nam najlepiej zrozumieć, co powinniśmy, a czego nie, robić w tej kwestii. Pomysł ten wziął się z Unii Europejskiej: dyrektywa 2009/136/WE  opisuje zmiany w dyrektywie 2002/58/WE (w której nas interesuje najbardziej art. 5 ust. 3). Dyrektywa jednak tylko wyznacza główne założenia ustawy, ponieważ jej treść i szczegóły są zależne od państw członkowskich. I tak w naszym, polskim prawie, dyrektywę tę wdraża "Ustawa z dnia 16 listopada 2012 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw", która aktualizuje Prawo Telekomunikacyjne z dnia 16 lipca 2004. W tym ostatnim akcie prawnym znajdziemy art. 173, który opisuje interesujące nas rzeczy:

Art. 173.
1. Podmioty świadczące usługi drogą elektroniczną mogą przechowywać dane informatyczne, a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług, pod warunkiem, że:
1) abonent lub użytkownik końcowy zostanie poinformowany jednoznacznie, w sposób łatwy i zrozumiały, o celu przechowywania danych oraz sposobach korzystania z ich zawartości;
2) abonent lub użytkownik końcowy zostanie poinformowany jednoznacznie, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który w przyszłości uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym abonenta lub użytkownika końcowego;
3) przechowywane dane nie powodują zmian konfiguracyjnych w urządzeniu końcowym abonenta lub użytkownika końcowego lub oprogramowaniu zainstalowanym w tym urządzeniu.
2. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli:
1) przechowywanie oraz dostęp do danych, o których mowa w ust. 1, są konieczne do wykonania lub ułatwienia transmisji komunikatu za pośrednictwem publicznej sieci;
2) przechowywanie danych, o których mowa w ust. 1, jest niezbędne w celu dostarczania usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.


Kiedy stosować komunikat o ciasteczkach?

Tu warto zaznaczyć jedną, bardzo ważną rzecz: nie każda strona potrzebuje takiego komunikatu, czasami nawet jeśli z ciasteczek korzysta! Informowanie o tym nie jest konieczne, jeśli ciasteczka wykorzystywane na stronie służą użytkownikowi i bez których nie mógłby wykonywać pożądanych przez niego akcji. Przykładem ciasteczek, o których nie trzeba informować są te, które wykorzystujemy do logowania (i późniejszej identyfikacji) użytkownika. Inaczej ma się sprawa wtedy, kiedy strona korzysta z ciasteczek w innych celach, zbędnych z perspektywy użytkownika, np. analitycznych (Google Analytics, Matomo itd.). Niestety, miałem już okazję widzieć strony, które zamieszczały taki komunikat zapobiegawczo, pomimo tego, że nie korzystały z żadnych (!) ciasteczek.


Jak powinien wyglądać komunikat?

Jeśli chodzi treść komunikatu, to ustawa mówi o tym jasno: musimy poinformować, w jakich celach są wykorzystywane te dane oraz w jaki sposób użytkownik może nie wyrazić na to zgody, czyli wyłączając w swojej przeglądarce obsługę plików cookies (co swoją drogą jest straszną głupotą, bo czyniąc to ciężko mu będzie korzystać z internetu...). 

W przypadku wyglądu i umiejscowienia takiego komunikatu, nie ma jasno sprecyzowane, co programista powinien zrobić. Pozostaje nam jedynie fragment mówiący o tym, że użytkownik ma być poinformowany "jednoznacznie, w sposób łatwy i zrozumiały". 

Co ciekawe, w swojej pierwotnej wersji było jeszcze słówko "uprzednio", jednak ustawodawca widocznie zrozumiał, że jest to zupełnie bez sensu, ponieważ oznaczałoby to przenoszenie każdego nowego użytkownika na pustą stronę z samym komunikatem, zanim wejdzie na witrynę korzystającą z ciastek.

Spójrzmy jednak na kilka przykładów, jak zaimplementowali to inni:


Na sam początek rządowa strona UKE (Urząd Komunikacji Elektronicznej). Mamy wyświetlony komunikat na dole strony, podążający za użytkownikiem. Pomimo przycisku z napisem "Akceptuję", witryna korzysta z cookies (w tym z Google Analytics) już od początku wizyty, ponieważ właściciel witryny zakłada, że korzystając ze strony zgadzamy się na ciasteczka: przycisk po kliknięciu jedynie zapisuje informację, żeby nie wyświetlać komunikatu ponownie. 


W przypadku strony niepodlegla.gov.pl mamy jedynie krzyżyk do zamknięcia komunikatu, a właściciel strony ponownie zakłada, że korzystanie z serwisu bez zmiany ustawień przeglądarki oznacza zgodę na przechowywanie cookies. Dodatkowo, w przeciwieństwie do wielu innych stron, komunikat nie posiada żadnego linku do "polityki prywatności" czy "polityki plików cookies", z którymi niejednokrotnie się spotykałem, nawet na niewielkich stronach. Swoją drogą, nie uwzględnili w komunikacie celu ciasteczek Google Analytics, a one przecież nie służą do "ułatwienia korzystania z serwisu".

Mimo wszystko, wymienione przeze mnie przykłady komunikatów moim zdaniem uprzykrzają życie użytkownikowi. Zasłaniają część ekranu (co jest jeszcze bardziej uciążliwe na telefonach komórkowych) i zmuszają do wyłączenia komunikatu, aby móc przejrzeć treść strony w pełnej okazałości. Oczywiście, można zrobić to gorzej, tak jak np. strona https://ose.gov.pl/ (widoczna poniżej) lub, uwaga, Google, które w swoim silniku blogowym (Blogger) postanowiło umieścić spory komunikat na górze strony, przysłaniając tym samym nagłówek i nawigację bloga, na którym się znajdujemy. Według mnie to jedne z najgorszych sposobów na implementację komunikatu.


A jak by było najmniej inwazyjnie umieścić komunikat? Moim zdaniem, w stopce strony, widoczny na każdej odwiedzanej przez użytkownika podstronie. Informacja wciąż jest "jednoznaczna, w sposób łatwy i zrozumiały" przekazana.


Co grozi za brak komunikatu?

W art. 209 i 210 omawianego dokumentu znajdziemy zapis dotyczący tego, czego możemy się spodziewać, jeśli nasza witryna nie będzie dostosowana do przepisów tej ustawy:

Art. 209.
1. Kto:
[...]
27) niezgodnie z przepisami art. 173 przechowuje informacje w urządzeniach końcowych abonenta lub użytkownika końcowego lub korzysta z informacji zgromadzonych w tych urządzeniach
- podlega karze pieniężnej.
2. Niezależnie od kary pieniężnej, o której mowa w ust. 1, Prezes URTiP może, w przypadkach określonych w ust. 1 pkt 1-8, 12-17, 19-22 i 24-27, nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym karę pieniężną w wysokości do 300% jego miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.
3. Kary pieniężne podlegają egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji w zakresie egzekucji obowiązków o charakterze pieniężnym

Art. 210.
1. Karę pieniężną, o której mowa w art. 209 ust. 1, nakłada Prezes URTiP, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Decyzji o nałożeniu kary pieniężnej nie nadaje się rygoru natychmiastowej wykonalności.
2. Ustalając wysokość kary pieniężnej, Prezes URTiP uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
3. Podmiot jest obowiązany do dostarczenia Prezesowi URTiP, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej. W przypadku niedostarczenia danych, lub gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru kary,
Prezes URTiP może ustalić podstawę wymiaru kary pieniężnej w sposób szacunkowy, nie mniejszą jednak niż:
1) wysokość wynagrodzenia, o której mowa w art. 196 ust. 5 - w przypadku kary, o której mowa w art. 209 ust. 2;
2) kwota 500 tysięcy złotych - w pozostałych przypadkach.
4. W przypadku gdy okres działania podmiotu jest krótszy niż rok kalendarzowy, za podstawę wymiaru kary przyjmuje się kwotę 500 tysięcy złotych.
5. Kara stanowi dochód budżetu państwa

Brzmi to groźnie, jednak wymienione kary dotyczą także wielu innych przypadków w prawie telekomunikacyjnym, które są znacznie bardziej szkodliwe społecznie niż brak komunikatu o ciasteczkach. W praktyce, nikt przez te wszystkie lata funkcjonowania przepisów nie został za to ukarany, choć bez problemu można znaleźć strony, które te przepisy naruszają.


Efekty ustawy

Na sam koniec najciekawsze, czyli co ta ustawa (i pierwotnie dyrektywa UE) tak naprawdę zmieniła. Użytkownicy mają dosyć zamykania komunikatów na każdej odwiedzonej przez nich stronie, ponieważ informacja o ciasteczkach jest im doskonale znana i nikt nie musi ich o tym powiadamiać. Co więcej, niektóre wtyczki blokujące reklamy domyślnie blokują także tego typu komunikaty, aby ułatwić użytkownikom korzystanie ze stron, które odwiedzają. Programiści i właściciele witryn z kolei muszą poświęcić swój czas, żeby dla świętego spokoju spełniać wymogi. Ostatecznie, otrzymaliśmy rozwiązanie problemu, którego nikt wcześniej nie miał. Rozwiązanie, o które nikt nie prosił. Nikogo ono nie obchodzi i jedynie wygenerowało dziesiątki nowych ustaw (przecież każdy kraj członkowski UE musiał to wprowadzić u siebie), a także przeszkadza, zarówno twórcom stron, jak i ich użytkownikom. Wygrała biurokracja i tworzenie niepotrzebnego prawa, które nikomu nie służy.


Poprzedni post
Beztroski kemping #1 – Recenzja mangi
Następny post
Czerwiec. Coś się kończy, coś się zaczyna...

Wygląda na to, że nic tu nie ma
Uszczęśliw kotka i napisz komentarz