Wszystko co musisz wiedzieć o cookies

Cookies - co to jest?

Cookie (wym. kuki, polskie tłumaczenie - "ciasteczko") - to mały plik tekstowy, który przeglądarka internetowa zapisuje na Twoim urządzeniu na życzenie autora strony. W tym pliku może zostać zapisana dowolna informacja, która posłuży do późniejszego wykorzystania.

Przykładowy plik cookie wygląda tak: pobierz cookie

Najczęstsze zastosowania plików cookie to:

• identyfikacja/oznaczenie urządzenia,
• tworzenie sesji,
• przenoszenie danych pomiędzy podstronami.

Bez wykorzystania ciasteczek nie było by możliwe przeprowadzenie takich operacji jak logowanie do Twojego konta pocztowego, rozdzielenie dostępu do Twoich informacji w sieci i informacji, których nie chcesz udostępniać, zapamiętanie preferencji takich jak język czy wszystkich innych personalnych ustawień.

Warto wspomnieć, że pliki cookie nie są jedynymi plikami zapisywanymi na Twoim urządzeniu podczas przeglądania stron. Przeglądarka automatycznie zapisuje setki innych plików, które są potrzebne do wyświetlenia strony: teksty, obrazki i inne komponenty składowe, a cookie są tylko jedną z nich.

Zobacz więcej: cache przeglądarki

Domyślne ustawienia przeglądarek

Domyślne ustawienia wszystkich przeglądarek pozwalają na zapisywanie plików cookie bez ograniczeń. Można je zmienić tak, aby pliki cookie były zapisywane tylko na żądanie lub w ogóle zabronić ich zapisywania.

Przeglądanie internetu bez zapisywania cookies było by strasznie uciążliwe, stąd takie ustawienia domyślne.

Co się zmieniło?

Nowe prawo telekomunikacyjne (Ustawa o Zmianie Ustawy Prawo Telekomunikacyjne 16.11.2012 DzU 1445 z 2012 r.) reguluje między innymi przepisy związane technikami pozyskiwania informacji o użytkowniku, w tym także plików cookies.

Głowne zmiany dotyczą przede wszystkim operatorów, ale ten artykuł opisuje regulacje dotyczące plików cookies, które weszły w życie 22 marca 2013.

Autorem zmian jest Ministerstwo Administracji i Cyfryzacji (MAC), nad wdrożeniem czuwa Urząd Komunikacji Elektronicznej (UKE).

Zmiany wynikają z dyrektyw unijnych

Regulacje prawne, które wprowadza ta nowelizacja ustawy Prawo Telekomunikacyjne są implementacją unijnej dyrektywy nr 2009/136/EC.

Cytat z unijnej dyrektywy nr 2009/136/EC:

(66) Third parties may wish to store information on the equip­ment of a user, or gain access to information already stored, for a number of purposes, ranging from the legiti­mate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spy­ware or viruses). It is therefore of paramount importance that users be provided with clear and comprehensive information when engaging in any activity which could result in such storage or gaining of access. The methods of pro­viding information and offering the right to refuse should be as user-friendly as possible. Exceptions to the obligation to provide information and offer the right to refuse should be limited to those situations where the technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user. Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application. The enforcement of these require­ments should be made more effective by way of enhanced powers granted to the relevant national authorities.

Polska implementacja

W polskiej wersji wygląda to tak:

Ustawa o Zmianie Ustawy Prawo Telekomunikacyjne 16.11.2012 DzU 1445 z 2012 r.

„Art. 173. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:
1) przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
2) zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
3) przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.”;

Co było intencją ustawodawcy?

Zdaje się, że intencją ustawodawcy była przejrzystość procesu, czyli uświadomienie użytkownika co oprogramowanie robi w tle i ukrócenie praktyk sprzedawania kota w worku.

Niejasne zapisy

Cookies vs spyware vs wirusy

W cytowanej powyżej unijnej dyrektywie, cookie są wymienione w jednej linii z spyware i wirusami. Przy czym cookies są nazwane słusznymi/legalnymi (legitimate).

Uzyskanie prawa dostępu

Nie jest jasno sprecyzowane, czy komunikat o fakcie zapisu jest informacją wystarczającą. Czy należy przed faktem zapisania uzyskać zgodę na zapis?

Jeśli zgodę trzeba wcześniej uzyskać, wyświetlanie komunikatu to musztarda po obiedzie - cookie jest już i tak zapisane.

Jeśli zgody nie trzeba uzyskiwać przed, czy można zainstalować wirusa i wyświetlić komunikat "właśnie zainstalowano wirusa, który wysłał wszystkie pliki sąsiadowi"?

Przed czy po?

W dyrektywie unijnej:

when engaging in any activity

W nowelizacji:

uprzednio bezpośrednio

Czy mi się zdaje, czy angielska wersja dopuszcza informację w trakcie, czyli po zapisaniu cookie? Zapis w polskiej ustawie mówi o informacji przed zapisaniem cookie, czyli cookie nie powinno być zapisane, dopóki użytkownik nie wyrazi zgody.

Third party

Kto to jest Third parties z unijnej dyrektywy? Czy chodzi o producenta przeglądarki, bo to przeglądarka zapisuje cookies?

Jeśli tak, obowiązek informowania o zbieraniu informacji o użytkowniku spadł by na przeglądarki.

Jak to tylko możliwe

Informacja (komunikat) powinna być as user-friendly as possible . Kwestia zdefiniowania, co znaczy przyjazny użytkownikowi...

Czy komunikat zasłaniający pół strony jest przyjazny użytkownikowi?
W szczególności, jeśli widzi go na każdej stronie?

Czy może lepszym rozwiązaniem będzie wyczerpująca informacja, dostępna dla użytkownika w każdym momencie na jego żądanie?

Co mnie zaskoczyło

Zaskoczyło mnie, jak łatwo i bezkrytycznie przyjęto jako standard umieszczanie informacji o cookies jako wielki banner na stronie...
Moje zdanie jest takie, że to nie jest najlepsza forma informowania użytkowników...

Być może banner przyklejony na 17 monitorze nie razi aż tak bardzo (zresztą i tak go wszyscy ignorują), ale ten sam banner na ekranie komórki?

Zdecydowanie, To nie jest najlepsza forma informowania użytkowników

Przykłady

Na niektórych z tych stron możesz nie widzieć tych bannerów (np. jeśli używasz Adblocka)

UKE

uke.gov.pl: Pierwszy polski banner z polityką cookies...
Który przysłania najważniejsze części witryny...

MAC

mac.gov.pl: Mała informacja po fakcie...

Google

google.pl: Dyskretna informacja o konieczności i wspomienie o usługach...

Allegro

allegro.pl: Duży banner na stronie...

Onet

onet.pl: Wielka reklama = banner blindness, zamknę to raz na zawsze... (oczywiście łapie ją Adblock)

Financial Times

ft.com: Jeden z nielicznych - Wielka informacja - nie zobaczysz strony, dopóki się nie zgodzisz na zapisanie cookie. Czy to wszędzie tak powinno wyglądać?

Ale przynajmniej sprytnie wykorzystali automatyczny odruch zamykania wszystkich reklam overlay.

Wyjątki

Ustawa przewiduje dwa wyjątki od konieczności umieszczania informacji:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

Czyli powyższy przypadek dotyczy wszelkich plików, które wchodzą w treść komunikatu strony (komponenty j.w.)

dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Kwestia definicji co jest usługą żądana przez użytkownika końcowego. Jeśli taką usługą jest np. dostarczenie wartościowej informacji nt. danego produktu, cookie pozwalają dostarczenie takiej informacji w jak najlepszej jakości.

I w moim przekonaniu większość strony świadczy takie usługi = taki komunikat nie jest konieczny.

Co innego w przypadku, w którym oprócz usługi głównej (tzn. żądanej), użytkownik otrzymuje coś jeszcze, np. Przy instalacji Adobe Reader automatycznie instalowany jest program antywirusowy czy inny toolbar. W takim przypadku wyjątek nie powinien być zastosowany i

Co jest jasne

1. Jesteś zobowiązany (zgodnie z ustawą, dyrektywą i zdrowym rozsądkiem) umieścić na swojej stronie jasną informację co strona robi w tle, oprócz dostarczania zasadniczej informacji. W jasny, zrozumiały sposób przedstaw wyczerpujące informacje. Najlepszym rozwiązaniem jest podstrona pt. Polityka prywatności.

2. Jeśli zapisujesz pliki cookie, powinieneś o tym poinformować użytkownika (wybór sposobu należy do Ciebie), oraz dać mu możliwość zrezygnowania z przechowywania plików cookie.

Inne zobowiązania

Jeśli używasz usług online, takich jak Google Analytics, Adwords, stat4u lub podobnych - przeczytaj dokładnie umowy, które akceptujesz przy zakładaniu konta.

Te umowy wymagają umieszczenia na stronie odpowiedniej informacji.

Przykładowa polityka prywatności

Każda strona jest inna i w inny sposób gromadzi informacje o swoich użytkownikach. Dlatego nie ma też uniwersalnej treści podstrony polityka cookies.

Przykładową politykę prywatności uwzględniającą warunki Google Analytics, Adwords i remarketingu można zobaczyć na stronie www.wiktorczyk.com.pl (link w stopce)

Polityka Prywatności - wzór

Jeśli używasz TAAT CMS, który standardowo używa statystyk Google, Twoja strona Polityka Prywatności powinna zawierać takie informacje:

Pliki cookie to niewielkie pliki tek­stowe, zapisy­wane lokalnie w pamięci podręcznej przeglą­darki inter­ne­towej użytkown­ika strony, w celu zapewnienia najlepszej jakości usługi.

Na niek­tórych pod­stronach sto­suje się pliki cookie, nie infor­mu­jąc o tym fak­cie użytkown­ika. Więk­szość przeglą­darek jest skon­fig­urowana tak, by automaty­cznie akcep­tować pliki cookie. Zapisy­wanie plików cookie można jed­nak w każdej chwili wyłączyć, bądź też ustawić przeglą­darkę tak, by infor­mowała ona o nadsyła­niu takich plików.

W celach mar­ketingowych a także w celu opty­mal­iza­cji usług na niniejszej stronie inter­ne­towej przy uży­ciu tech­nologii firmy Google zapisy­wane są dane o odwiedz­i­nach strony. Infor­ma­cje prze­chowywane w wygen­erowanych cookie na temat korzys­ta­nia z wit­ryny przez użytkown­ika (włącznie z jego adresem IP) będą przekazy­wane spółce Google i prze­chowywane przez nią na ser­w­er­ach w Stanach Zjednoczonych.

Dane zebrane przy uży­ciu tech­nologii firmy Google nie są wyko­rzysty­wane, bez wyraźnie udzielonej zgody osoby zain­tere­sowanej, do oso­bis­tej iden­ty­fikacji użytkown­ika niniejszej strony inter­ne­towej, ani nie są kojar­zone z danymi osobowymi posi­adacza danego loginu. W każdej chwili można się sprze­ci­wić przyszłemu gro­madze­niu i zapisy­wa­niu danych osobowych.

Mikroformat - Proponowane rozwiązanie dla webmasterów

Z racji tego, że wszyscy umieszczają na stronach link do polityki prywatności, proponuję następujący mikroformat:

<div class="privacy_policy">
   <p>Informative text ... according to our <a href="/privacy_policy" class="privacy_policy_link" title="Our privacy policy">Privacy policy</a></p>
<div>

Ikonka

Najfajniejsze z powyższych rozwiązań to chyba to ze strony MAC - czyli mały tekst + link.

Jeśli chodzi o mnie - tekst niepotrzebnie tak długi i nie prezentuje się zbyt dobrze.
Ale niezależnie od wyglądu, z racji tego, że to się wszędzie pojawia, dobrze by było to ustandaryzować.

Fajnie by było, żeby Polityka Prywatności miała swoją standardową ikonkę, np. tak jak kanały informacyjne.

Propozycje ikonek:

• A) TODO: ugryzione ciasteczko pieguska
• B) TODO: amerykańskie ciasteczko świąteczne (chłopek)
• C) TODO: Złodziej w opasce (zorro)

Adblock

Adblock blokuje reklamy. Oraz wszystkie inne elementy, które mają atrybut "banner", "ad" lub podobny.
Tę informację można wykorzystać do ukrycia informacji o cookies, które wkurzają tak samo jak reklamy...

Moje zdanie

Dla większości stron www można zastosować wyjątki opisane w ustawie, więc taki komunikat nie jest konieczny.

Wyświetlanie dużego bannera na pewno nie jest najlepszą metodą.

Ale na pewno warto poinformować użytkowników. Dyskretnie, ale wyczerpująco jeśli sobie tego życzą.

Najważniejsze, żeby nie działać na ich szkodę

Powiązane przepisy

• Prawo telekomunikacyjne
• 2009/136/EC (dyrektywa o cookies)
• 95/46/EC (dyrektywa o danych osobowych)
• 2000/31/EC (Electronic commerce directive)
• 2002/58/EC - e-privacy Directive (Directive on privacy and electronic communications)

Przydatne linki

• isap.sejm.gov.pl
• dziennikustaw.gov.pl
• vagla.pl

disclaimer: I Am Not A Lawyer, (so I might be wrong)

więcej artykułów...