Postanowiłem zweryfikować swoją hipotezę, zgodnie z którą polskie prawo IT jest w nikłym stopniu przestrzegane w Polsce, przynajmniej w aspekcie ciasteczek. W tym celu przejrzałem kilka stron renomowanych instytucji.
- MKiDN – „Używamy plików cookies, by ułatwić korzystanie z naszych serwisów. Jeśli nie chcesz, by pliki cookies były zapisywane na Twoim dysku zmień ustawienia swojej przeglądarki. Kliknij „Zamknij” aby zaakceptować naszą politykę.”
„Polityka prywatności” wydaje się był utrwalonym związkiem frazeologicznym, ale komunikat jest i tak naturalnie zrozumiały. Obowiązek informacyjny obejmuje cel przechowywania i uzyskiwania dostępu do danej informacji za pomocą ciasteczek oraz możliwości określenia przez użytkownika warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, tj. z reguły za pomocą przeglądarki komputerowej.
Te informacje są podane, jednak informacje o ciasteczkach są intrygujące.
Czy potrzebna jest informacja o ciasteczkach sesyjnych, skoro istotna część z nich nie jest objęta obowiązkiem uzyskania zgody? Czy istotnie MKiDN wykorzystuje ciasteczka w działalności reklamowej? Skąd się wziął Google jako osoba trzecia umieszczająca ciasteczka, podczas gdy pobieżne sprawdzenie nie wskazuje na jakiekolwiek ciasteczka osoby trzeciej na stronie MKiDN? Google tym bardziej trochę niepokoi, że na stronie przy formularzu kontaktowym brak informacji dotyczącej danych osobowych.
OCENA w skali 2-5: 3+. Niby wszystko jest, a przy tym informacja jest uprzednia, bezpośrednia, jednoznaczna, łatwa i zrozumiała, ale… czy trafna? Jak dobra jest komunikacja między sferą „operacyjną” a sferą IT w MKiDN? Czy w ogóle jest? A może prawo zamówień publicznych nie służy takim projektom?
2. GIODO – polityka prywatności.
Informacja poszerzona o „zapytania HTTP kierowane do naszego serwera”. Obejmuje szczegółowe wyliczenie ciasteczek na poszczególnych podstronach z przystępnym opisem ich funkcji. Wygląda na to, że wszystkie opisane ciasteczka mieszczą się w sferze, w której GIODO nie musi uzyskiwać zgody. Odrębnie omówiona „platforma GIODO” zbierająca więcej informacji i w dalej idących celach niż olbrzymia większość standardowych sesyjnych ciasteczek, ale wygląda na to, że też i te informacje mieszczą się w sferze wyłączonej z obowiązku uzyskiwania zgody. Informacja o osobach trzecich i ich serwisach jest czytelna i nie prowokuje do stawiania dodatkowych pytań.
Wygląda na to, że GIODO prezentuje wzorcową stronę administracji publicznej, jeśli chodzi o politykę prywatności, przy założeniu, że w istocie nie musi uzyskiwać zgody na swoje ciasteczka.
Ocena w skali 2-5: 5. Jak to jest możliwe? 🙂
3. Dziennik „Rzeczpospolita„, obecnie własność koncernu Gremi Media – „Ta strona używa plików cookies i podobnych technologii. Jeżeli nie zmienisz ustawień, cookies będą zapisywane w pamięci Twojego urządzenia. Więcej w Polityce prywatności.”
Formuła „może umieszczać” ciasteczka kojarzy mi się natychmiast z prof. Bralczykiem i jego wykładem nt. słowa „może”. „Może umieszczać”, ale „może nie umieszczać”, a chciałoby się wiedzieć, czy – umieszcza. Te ciasteczka, które zbierałyby o nas więcej informacji, tj. te, które są objęte wymuszoną komunikatem na dole głównej strony zgodą, byłyby umieszczane „w celu monitorowania ruchu Usługobiorców w Serwisie”. W efekcie nie dowiadujemy się, co to są za ciasteczka, ani jakie informacje, a zatem też – po co? – są zbierane. Za to jest informacja o możliwości zmiany ustawień przeglądarki.
Sfera prywatna zawodzi. Ocena w skali 2-5: 3. Informacja niby jest, ale nie jest m.zd. zrozumiała.
4. Pekaes – „Ta strona używa plików cookies które są zapisywane na Twoim urządzeniu. Korzystanie z tej strony oznacza akceptację plików cookies.
Informacje zapisywane w plikach cookies używane są w celach statystycznych, a także w celu ułatwienia nawigacji i dostosowania serwisu do preferencji użytkownika. Dowiedz się więcej o polityce cookies.”
Od razu mówię, że znowu sfera prywatna zawodzi. Odesłanie do Związku Pracodawców Branży Internetowej IAB wskazuje na zaczerpnięcie wzoru informacji o ciasteczkach ze strony informacyjnej tej organizacji. Tymczasem od początku nie o to chodziło, tylko o to, żeby biznes w współpracy z informatykami poinformował nas jako użytkowników Internetu o tym, z jakich ciasteczek ta konkretna strona korzysta, co przecież zależy od jej konkretnej zawartości, funkcji, serwerów, na jakich jest zlokalizowana, usług zewnętrznych, jakie integruje itd. itp.
Naturalnie przejmując wzór Pekaes nie zapomniał o informacji o możliwości dokonania zmiany ustawień przeglądarki.
Ocena w skali 2-5: 3+. Niby wszystko jest, a przy tym informacja jest uprzednia, bezpośrednia, jednoznaczna, łatwa i zrozumiała, ale… czy trafna?
PODSUMOWANIE
Jest lepiej niż myślałem, ale dobrze nie jest. Wziąłem na warsztat duże instytucje i firmy, a mimo to informacje nie satysfakcjonują i świadczą o niskim poziomie zainteresowania tematem. Tymczasem temat jest ważki. „Ciasteczka” to potencjalnie mali szpiedzy. Ich stosowanie umożliwia profilowanie, reklamę kontekstową, jest elementem Big Data. Nie przypadkiem unijny legislator zwrócił na nie uwagę. Niektórymi ciasteczkami jest naruszana nasza prywatność. Mamy prawo odmówić na to zgody.
Średnia ocena w skali 2-5 – zawyżona przez GIODO – 3,75, czyli 4- w sferze dużych, renomowanych instytucji. Znacznie gorzej jest w sektorze MŚP. Ten sektor w wielu przypadkach zdaje się nie wiedzieć, że istnieje prawna regulacja ciasteczek, jaki ona ma sens, i jak ją stosować. Spojrzałem na kilka stron znanych mi firm niebędących moimi klientami. Polskie MŚP czekając na prawo IT i Internetu śpią snem zimowym. Tymczasem budzik dzwoni już od czterech lat.
Aktualizacja 23 stycznia 2018 r. – znakomita informacja o ciasteczkach: https://www.prestashop.com/pl/informacja-prawna . Firma jest holenderska, także tak się prawa IT przestrzega, ale w Holandii. I jeszcze 30 stycznia 2018 – bardzo dobra informacja zwykłej jednoosobowej na pierwszy rzut oka działalności gospodarczej z Niemiec – niemiecki fotograf może więcej niż polska duża spółka transportowa lub medialna – trochę wstyd (opis ciasteczek pod linkiem u góry strony).