Unia Europejska zmierza do uproszczenia prawa, które od lat irytuje wszystkich użytkowników internetu w UE. Chodzi o wszechobecne okienka z prośbą o zgodę na śledzenie, ciasteczka. Każdy je zna, bo zwykle wymagają wielu kliknięć i marnują czas.
Analiza opiera się na wycieku propozycji zmian GDPR/RODO/ePrivacy. Uwaga: treść może się zmienić.
[To druga cżęść wpisu z analizą sytuacyjną, tutaj poprzednia]
Od lat działam w tej działce. Doradzałem przy wcześniejszej, nieudanej próbie reformy rozporządzenia ePrivacy. Projekt realizuje rekomendację, które wysuwałem lata temu: to przeglądarka internetowa, jako zaufane narzędzie użytkownika, powinna pośredniczyć w udzielaniu zgody.
Hot take: wygląda to obiecująco!
Zamknięta lista sytuacji, w których identyfikatory są dopuszczalne
Projekt przenosi przepisy dotyczące przetwarzanieadanych osobowych na urządzeniu końcowym lub z niego (czyli w przeglądarce) do GDPR poprzez cztery ściśle określone cele (artykuł 88a). jeżeli działanie dokładnie mieści się w jednym z nich, proszenie o zgodę na cookie lub inne identyfikatory nie jest wprost wymagane. Nie ma potrzeby przesadnej ostrożności ani ulegania błędnym interpretacjom GDPR. Tekst dopuszcza przetwarzanie wyłącznie w następujących celach:
- Transmisja.
- Świadczenie usługi wyraźnie zażądanej przez osobę, której dane dotyczą.
- Tworzenie zagregowanych informacji do pomiaru audytorium usługi online, wykonywane wyłącznie przez administratora i wyłącznie na jego własny użytek.
- Utrzymanie lub przywrócenie bezpieczeństwa usługi administratora albo urządzenia końcowego używanego do świadczenia tej usługi.
Projekt stawia też wyraźną granicę dalszego wykorzystania: dane zebrane wyłącznie w powyższych celach nie mogą służyć żadnemu innemu celowi.
Komunikaty o zgodzie na cookie i identyfikatory
Obowiązujący dziś artykuł 5 dyrektywy ePrivacy nie miałby zastosowania tam, gdzie dane osobowe są przetwarzane na urządzeniu końcowym lub z niego, zgodnie z nowym artykułem 88a GDPR. Zgoda przez cały czas jest potrzebna, jeżeli informacja nie stanowi i nie prowadzi do przetwarzania danych osobowych.
Ale: aktualizacje bezpieczeństwa nie wymagają zgody.
Jeśli przetwarzane są dane osobowe, a cel nie mieści się w 88a, zgoda może być jednak wymagana.
Kiedy zgoda jest potrzebna
• przechowywanie lub dostęp na urządzeniu końcowym, czyli w przeglądarce
• dostęp, który nie obejmuje danych osobowych
• brak ważnego maszynowo odczytywalnego sygnału zgody ustawionego już dla tego samego celu
Kiedy zgoda nie jest potrzebna
• działanie ściśle ograniczone do transmisji
• świadczenie usługi wyraźnie zażądanej przez użytkownika
• własny, zagregowany pomiar audytorium przez administratora
• bezpieczeństwo, bez dalszego wykorzystywania
• gdy zgodny sygnał maszynowy obejmuje już dany cel
Koniec absurdalnego doświadczenia użytkownika przy zgodach
Czy koszmar klikania 100 razy każdego dnia się skończy? Gdy zgoda jest konieczna, projekt nakłada dwa wymogi i to techniczne. Użytkownik musi móc udzielić lub odmówić zgody jednym kliknięciem albo równoważnym środkiem, w prosty i zrozumiały sposób. Administrator musi respektować ten wybór przez co najmniej sześć miesięcy i nie może ponownie prosić o zgodę na ten sam cel w tym okresie (kilka lat temu niektórzy polscy prawnicy dziwili się, iż radziłem "odświeżać" zgodę co jakiś czas ;-) ).
Projekt wprowadza też obowiązek rozpoznawania ustandaryzowanych sygnałów, które kodują zgodę lub odmowę oraz umożliwiają sprzeciw wobec marketingu bezpośredniego. Osoba, której dane dotyczą, ma móc udzielić zgody lub odmówić jej oraz skorzystać z prawa sprzeciwu w sposób zautomatyzowany i maszynowy.
Administratorzy, w tym serwisy internetowe, muszą umieć takie sygnały odczytać i je respektować.
Sygnały takie mogą być ustawione w przeglądarce, w urządzeniu końcowym, które definiuje zasady dla aplikacji zbierających dane osobowe, na przykład w mobilnych systemach operacyjnych, albo w Portfelu Tożsamości Cyfrowej UE. Mogą też być przekazywane innymi odpowiednimi środkami.
Cytat dosłowny: “(39) Data subjects should have the possibility to rely on automated and machine-readable indications of their choice to [consent or] refuse a consent request or object to the processing for direct marketing. Such means should follow the state of the art. They can be implemented in the settings of a web browser, in the terminal equipment where such terminal equipment defines the rules for software applications collecting personal data through the use of that terminal equipment (e.g. mobile phone operating systems) or in the EU Digital Identity Wallet as set out by Regulation (EU) 2024/1183, or any other adequate means.”
To świetny kierunek, choć nie jest jasne, dlaczego w tym miejscu pojawia się Portfel Tożsamości Cyfrowej UE. Trudno wskazać powód, by miał wprost współdziałać na przykład z infrastrukturą reklamową online...
Przewidziano ograniczone wyłączenie: obowiązek nie dotyczy administratorów będących dostawcami usług medialnych (strony informacyjne) w czasie świadczenia usługi medialnej. Być może to cena, którą warto zapłacić, aby resztę sieci dało się przeglądać spokojniej.
Co to oznacza w praktyce
• jeżeli strona ustawia cookie sesyjne lub używa innego identyfikatora wyłącznie po to, by działał koszyk zakupowy, zgoda nie jest potrzebna.
• jeżeli serwis mierzy własne grono użytkowników na zagregowanych danych i używa ich tylko na własny użytek, zgoda nie jest potrzebna.
• jeżeli korzystasz z zewnętrznej analityki albo z technologii reklamowej, która łączy dane między różnymi serwisami, to nie mieści się w 88a. Zgoda może być wymagana. Serwis musi też respektować każdy usstandaryzowany sygnał zgody lub odmowy po opublikowaniu standardów i upływie sześciomiesięcznego okresu przejściowego.
Jak dostarczać maszynowo odczytywalny, automatyczny sygnał zgody
Potrzebne będą rozszerzenia lub implementacje w przeglądarkach, które wysyłają takie sygnały. Będą one miały pełne oparcie w przepisach. To oznacza, iż wyśmiewany kiedyś W3C Do Not Track, a ściślej mówiąc: Tracking Preferences Expression, może znów stać się istotny. Także jego odmiany. Nie wiadomo, czy kalifornijski GPC pasowałby do realiów UE. Najpewniej powstanie europejski standard. Jest tu dużo miejsca na sensowne rozwiązania.
Przykładowy nagłówek HTTP mógłby wyglądać tak
GDPR-Consent: ver=1; action=refuse; purposes=ads,third_party_analytics; scope=global; exp=2026-05-09T00:00:00Z; source=browser; policy=eu-88b-2026; comment=byebye
Zignorowanie ważnego sygnału zgody lub odmowy może skutkować karą do 20 000 000 EUR lub do 4% światowego rocznego obrotu.
Podsumowanie
Projekt ogranicza użycie banerów ze zgodą o ciasteczka do wąskiego, zakresu i zastępuje wiele próśb o zgodę sygnałami na poziomie urządzenia. Zgoda nie znika, ale sposób jej obsługi staje się bardziej racjonalny. Może być udzielana bezpośrednio przez system operacyjny, przeglądarkę, rozszerzenie przeglądarki i podobne narzędzia. Potrzebne będą standardy. Serwisy będą musiały je obsługiwać by działać zgodnie z prawem.
To zadanie dla technologii. Zgoda staje się mniej papierowa, a bardziej związana z interfejsem użytkownika. Oby zostało to wdrożone we adekwatny sposób.
Będę to uważnie śledzić.
Pytania, komentarze, a może oferty? Email: me@lukaszolejnik.com
