W ubiegły piątek weszło w życie nowe prawo telekomunikacyjne, w którym nasz szanowny ustawodawca pochylił się nad naszą prywatnością w sieci (http://www.dziennikustaw.gov.pl/DU/2012/1445).
Znalazł się w nich między innymi zapis regulujący (przynajmniej w przekonaniu twórców tego cuda) zasady dotyczące używania na stronach plików cookies.
Ustawa nakłada na właścicieli stron, które korzystają z mechanizmu cookies obowiązek poinformowania o tym fakcie użytkowników strony. Ponadto należy ich poinformować o możliwości zablokowania cookies w przeglądarce i skutkach, jakie to wywoła .
Informacja ta ma być umieszczona w widocznym miejscu, ma być czytelna i zrozumiała. Jeżeli użytkownik nie zablokuje ciasteczek z takiej strony przyjmuje się, że wyraził zgodę na zapis cookies. To pierwszy absurd, bo nie ma pewności, czy ktoś zwrócił na to uwagę, poza tym większość stron zapisze ciasteczka zaraz po wejściu na stronę, na której znajduje się wspomniana informacja, nie czekając na reakcję użytkownika. Najczęściej stronę główną, na pozycjonowanie której właściciel wyłożył ciężkie pieniądze, działa więc na niej googleAnalitics.
Większość użytkowników internetu wie chyba co to takiego pliki cookies. W telegraficznym skrócie to małe pliki tekstowe zapisywane przez przeglądarkę na dysku lub w pamięci urządzenia, na którym została ona uruchomiona. Przeglądarka jest tylko pośrednikiem, o tym jakie pliki zostaną zapisane i co się w nich znajduje decyduje strona www, z którą łączy się przeglądarka.
W plikach tych przechowywane są na przykład dane dotyczące logowania, różne zmienne ustawione przez użytkownika, decydujące o wyglądzie i działaniu strony. Można też w nich zapisać informacje dotyczące wcześniejszego zachowania użytkownika na danej stronie. Informacji tych używa się aby przygotować mu ofertę którą może być zainteresowany lub w celu analizy zachowań internautów w sieci (na przykład googleAnalitics)
Ciasteczka same w sobie nie są niebezpieczne, nie można za ich pośrednictwem uzyskać dostępu do innych danych zapisanych na dysku. Wymyślono je po to, żeby korzystanie z internetu było łatwiejsze i wygodniejsze.
Niestety, urzędnicy dopatrzyli się w nich zagrożenia, dlatego wymyślili przepisy, których głównym celem jest utrudnienie życia internautom i programistom.
Internautom, ponieważ praktycznie na każdej stronie będzie ich atakowała informacja o tym, że strona korzysta z plików cookies. Informacja zbędna i niepotrzebna, równie przydatna użytkownikowi jak informacja o tym, czy strona została napisana w czystym html-u, php, czy asp albo informacja o rodzaju serwera, na którym została umieszczona.
Dla twórcom stron, ponieważ muszą oni spełnić kolejne niejasne wymagania i to pod groźbą kary- za złamanie przepisów urząd może ukarać właściciela strony karą w wysokości 0,3% rocznego przychodu.
Twórcy stron muszą w widocznym miejscu umieścić informację o tym, że strona korzysta z plików cookies, że użytkownik może je zablokować oraz informację o tym jak taka blokada wpłynie na działanie całej strony.
I tu od razu zaczynają się schody. Wymaganą informację umieścić drobnym druczkiem gdzieś na samym dole strony głównej, jednak w opinii niektórych prawników to nie spełnia wymogów ustawy. Dla świętego spokoju należało by więc umieścić taką informację gdzieś na górze, wielkimi literami. Tylko do czego to prowadzi? Do tego, że wszystkie strony będą jednakowe, a główną treścią strony będzie informacja zbędna zarówno z punktu widzenia użytkownika, jak i twórcy strony. Zadowolony będzie chyba tylko autor bzdurnego przepisu.
Na niektórych stronach programiści zastosowali wyskakujące okienka, które pojawiają się przy pierwszym wejściu na stronę. Takie rozwiązanie może się okazać pułapką, bo wyskakujące okienka, podobnie jak java script można zablokować. Użytkownik po prostu nie zauważy takiej informacji, bo ta mu się nie wyświetli, a twórcy strony można będzie zarzucić łamanie przepisów.
Pewien spec od danych osobowych, a w ostatnich dniach od plików cookies zapytał z rozbrajającą szczerością po co ktoś miał by blokować skrypty i okienka... No cóż, znam wiele osób używających mechanizmów takich jak adblock czy noscript (sam od lat używam tego ostatniego), wątpię jednak, żeby którejkolwiek z tych osób przyszło do głowy blokowanie ciasteczek. Bo blokowanie skryptów ma sens- strony wyświetlają się szybko a użytkownik nie musi ganać się po ekranie z niechcianą reklamą, blokowanie ciasteczek nie. Tak więc wyskakujące okienko z informacją o cookies to nie najlepszy pomysł.
Kolejny problem, to polityka prywatności- dokument, którego stworzenie wymusza tak naprawdę ustawa. Brak konkretów daje pole do popisu różnym specom od prawa i ochrony danych osobowych. Niektórzy preferują krótką, jasną informację tekstową wyjaśniającą czym są pliki cookies i po co się je stosuje inni brną dalej i zalecają na przykład wzorowanie się na stronie GIODO http://www.giodo.gov.pl/169/id_art/1026/j/pl/
Tu urzędnicy dali popis swojej twórczości i stworzyli obszerny dokument, którego nikt poza nimi chyba nie dał rady przeczytać. Są tu między innymi takie absurdy jak tabelki z nazwami plików cookies i przeznaczeniem typem. O co w tym chodzi wiedzą chyba tylko twórcy tego dokumentu. Ustawa nie wspomina słowem o takich wykazach, jednak część speców od ochrony danych osobowych upiera się, że tak właśnie powinna wyglądać polityka prywatności.
Jest tylko jeden problem- w przypadku mechanizmów takich jak googleAnalitics nie mamy wpływu na to jak nazywają się pliki cookies i co jest w nich zapisane, bo o tym decyduje google. Tworzenie takich wykazów jest więc nie tylko bezsensowne ale i ryzykowne.
Na fali ciasteczkowego szaleństwa uruchomiłem programik, który na bieżąco pokazywał mi pliki cookies w mojej przeglądarce. Na stronie z dziennikiem ustaw zaatakowało mnie kilka ciasteczek. Zacząłem więc szukać informacji o nich- bez rezultatu...
http://www.dziennikustaw.gov.pl/Stronaglowna.aspx
Na innych stronach rządowych w piątek nie było śladu takiej informacji, dzisiaj jest nieco lepiej. Na stronie Sejmu i Prezydenta pojawiła się informacja o cookies.
Fragment ustawy dotyczący między innymi plików cookies:
Art. 173.
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w tele- komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w tele- komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalo- wanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do infor- macji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
