Nowe przepisy dotyczące cookies (ciasteczek) Opcje

[in5ane]

Witajcie, z dniem dzisiejszym (22.03.2013r.) weszła w życie nowa dyrektywa, która ma na celu wzmocnienie ochrony prywatności użytkowników. UE uznała, że śledzenie użytkowników za pomocą plików cookies jest zagrożeniem dla ich prywatności.

My programiści dostaliśmy malutkiego kopniaczka, dodali nam troszkę roboty. Musimy teraz wyświetlać, informować użytkownika o plikach cookies. Użytkownik musi zaakceptować politykę plików cookies. Użytkownika należy również poinformować, w jaki sposób można blokować i kasować pliki cookies.

Osobiście dnia dzisiejszego spotkałem się już z kilkoma stronami z odpowiednia adnotacją.

Co sądzicie na ten temat?

[!*!]

Serio, toś Nas zaskoczył... Przejrzyj tematy w różnych działach ;]

Poza tym, nikt nic nie musi. Informacje o cookie wsadzasz do polityki prywatności, ta z kolei powiązana jest z regulaminem, a ten wymusza akceptację samego siebie podczas korzystania ze strony. Sprawa zamknięta.

[Adi32]

Sądzę, że te przepisy to przesada i idiotyzm. Ciasteczka nie wyciągają danych z komputera. Ciasteczka nie komunikują się mięczy sobą. Są to jedynie pamiętajki które zresztą można wyłączyć.

[r4xz]

...która ma na celu wzmocnienie ochrony prywatności użytkowników...

Prywatność? Ludzie dobrowolnie autobiografie piszą na portalach społecznościowych, a ciasteczek się czepiają... szkoda gadać

[athabus]

Serio, toś Nas zaskoczył... Przejrzyj tematy w różnych działach ;]

Poza tym, nikt nic nie musi. Informacje o cookie wsadzasz do polityki prywatności, ta z kolei powiązana jest z regulaminem, a ten wymusza akceptację samego siebie podczas korzystania ze strony. Sprawa zamknięta.

No niestety, ale najprawdopodobniej nie masz racji. Cały problem polega na tym, że prawnicy nie są zgodni co do tego, czy takie rzeczy jak teraz robi np. onet.pl są legalne.
Przepis, o którym mowa wymaga uzyskania zgody PRZED wrzuceniem treści do komputera użytkownika, tak więc użytkownik powinien wyrazić zgodę na przechowywanie cookies zanim zostanie ono wgrane do jego komputera. Czytałem te przepisy i dokładnie taki sam wniosek z nich wyciągnąłem. To co robią serwis typu gazeta.pl/onet.pl (czyli poinformowanie użytkownika o używaniu cookies po ich wgraniu) jest niezgodne z tymi przepisami w mojej opinii.

Same przepisy:

Art. 173. (494) 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

a) (..)

(...)

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;

Na bank dodanie wpisu do regulaminu nie załatwia sprawy. Co do wyrażenia zgody... ja rozumuje tak, że skoro mogę korzystać bez wyrażania zgody, to znaczy, że obowiązek uzyskania zgody nie został wykonany. W prawie jest coś takiego jak oświadczenie woli - nie wiem czy można domniemać, że zostało ono złożone przez to, że użytkownik zaniechał jakiegoś działania (w tym przypadku nie opuścił strony), skoro mógł po prostu nie zauważyć tego ostrzeżenia. Ja np. na onecie bardzo dlugo nie zauważałem, bo było zrobione w formie graficznej i ciągle je ignorowałem jako baner reklamowy ;-)

Co do samego tematu to na razie czekam na rozwój wypadków - na szczęście w pierwszej kolejności polecą do UOKiK duże serwisy i wtedy się wyjaśni jak się w tej sprawie należy zachować.
Natomiast sama sytuacja jest absurdalna, bo przecież trudno dzisiaj znaleźć serwis, który nie korzysta z ciasteczek. Nawet statyczne stronki często mają jakieś statystyki itp, które wrzucają userom ciasteczka. Ktoś nieźle zapił pisząc te przepisy.

[Spawnm]

Kto dziś nie ma analytic czy innych statystyk na stronie? Wszyscy mają. Więc z tego co pisze athabus wynika, że każda strona powinna się ładować jak te z porno. Tylko tutaj nie pytamy o 18 lat, a o zgodę na ciasteczka. Ta ustawa zostanie zbojkotowana.

[konys]

http://www.lingscars.com/images/pdf/icoletter.pdf

[athabus]

No właśnie z tego wszystkiego to jest najbardziej przezabawne, że:
- 90% ludzi nie wie co to jest ciasteczko
- ludzie tylko się będą wkurzać (oczywiście na właścicieli stron), że im jakieś głupie popupy wyskakują i to na każdym urządzeniu osobno
- teoretycznie taki komunikat powinien pojawić się na 95% stron - ciekawe jak zamierzają to egzekwować
- jaki cel ma ten przepis? Przecież nawet jeśli ktoś wykorzystuje ciasteczka w celach "nieczystych" to i tak się do tego nie przyzna w takim popupie
- ludzie za miesiąc będą tak machinalnie klikać, że zaczną zatwierdzać wszystko "zgadzam się na ciasteczka i opłatę 90zł miesięcznie za korzystanie z tego serwisu" - potem będzie zdziwienie, a taki "pobieraczek" powie "przecież był popup i użytkownik świadomie wyraził zgodę na tą opłatę.

Ogólnie przepis porażka i nie służy zarówno właścicielom stron jak i użytkownikom. Może jeszcze należałoby informować, że strona używa javaScript (to też niesie ze sobą zagrożenia), technologii skryptowych (w końcu można zapisać np. ip użytkownika) i w ogóle najlepiej napisać, że uruchomienie komputera grozi utratą prywatności ;-)

[sazian]

znowu politycy chcieli pokazać jacy to oni są nowocześni, a tymczasem ponownie udowodnili że nie mają pojęcia rzeczywistości.
Czy naprawdę tak trudno było zapytać jakiegoś informatyka z przed ery mojżesza co o tym myśli ?

[Pilsener]

Czy naprawdę tak trudno było zapytać jakiegoś informatyka z przed ery mojżesza co o tym myśli ?

- a co by niby robili w partii informatycy? A "zwykłych" ludzi nikt się o zdanie nie będzie pytał To samo było z obowiązkiem rejestracji w sądzie blogów etc. Przepis, który każe wypełniać specjalne oświadczenie przy kupnie kleju bodaj do dziś obowiązuje. Inicjatyw by poprawiać prawo nie widać praktycznie żadnych - za to nowych ustaw setki a urzędników tysiące. To tak jakbyś klepał ciągle nowe i nowe serwisy a nie utrzymywał w ogóle już istniejących

Ten kraj po prostu od wielu już lat trapi legislacyjna biegunka, która mniej lub bardziej każdego w końcu przyciśnie. Teraz akurat nas przyszpiliło

[memory]

Ta ustawa zostanie zbojkotowana.

Przez kogo? Agencje tylko zacierają ręce. Wszystkie duże serwisy wprowadziły zmiany.

[sazian]

@Pilsener:
no fakt, jak to mówi mój wykładowca od fizyki "w tym sejmie to tylko same historyki i filozofy, a fizyka to k... żadnego niema".
Ale zawsze było można poprosić o zaopiniowanie chociażby zwykłego biegłego sądowego czy uczelnie z wydziałem informatyki. Wysłanie jednego listu z pytanie chyba nie jest za trudne nawet dla posła filozofa

[Spawnm]

http://phpguru.pl/Media/Images/ue.png

[!*!]

athabus - zgodziłbym się, gdyby nie jeden szczegół. W tej całej ustawie, nie ma wzmianki o tym JAK masz informować użytkownika. A samo określenie

abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały

Daje mi pole manewru z regulaminem i polityką prywatności, bo nie od dziś wiadomo że jak ktoś wejdzie na stronę, ma obowiązek przeczytać regulamin i jego akceptacja jest równoznaczna z przebywaniem na niej (co nie oznacza że muszę wyświetlić informację inwazyjną). W końcu nie tylko ja to wymyśliłem, ale i większość serwisów, dlatego mówienie teraz że trzeba pieprznąć div z tekstem o ciasteczkach jest absurdalne, żeby nie napisać żałosne.
Myślę że ktoś spanikował, a dużo osób to powieliło. W poniedziałek będę miał więcej informacji od prawnika.

Nie wiem czy zauważyliście, ale większość serwisów ma komunikaty na zasadzie kopiuj/wklej, to już chyba świadczy o tym że coś tu nie gra

ps. gdzie informacja na forum? W końcu szpiegujecie Nas!

edycja:

allegro, swistak - mają linki w stopkach, jest info? Jest. Bez śmiecenia strony bannerem.

Ten post edytował !*! 23.03.2013, 11:56:36

[athabus]

!*! musisz zrozumieć jedną rzecz - to, że ktoś robi coś w określony sposób, nie oznacza, że tak można robić.
Zresztą nawet jeśli jakimś cudem ktoś uznałby, że wyczerpujesz punkt pierwszy (choć umieszczenie czegoś w regulaminie/polityce prywatności imo nie jest informacją bezpośrednią) to nadal pozostaje główny problem, czyli oświadczenie woli użytkownika/zgoda na wrzucenie czegokolwiek na jego komputer. Według mnie same przepisy są dość jednoznaczne w tej kwestii.

Mam akurat znajomego, który siedzi w tym temacie bo pracuje dla dużej agencji interaktywnej i właśnie sami zastanawiają się jak podejść do tego problemu - ich prawnicy interpretują właśnie ten zapis tak jak i ja. I teraz jest problem czy zrobić jebitnego popupa z koniecznością wyrażenia zgody (czyli pośrednio pewnie stracić 30% ruchu, bo się ludzie będą bali kliknąć "ok") czy też robić takie nagięcia w stylu wspomnianych serwisów. Zapewne na razie wszyscy robią tak jak robią i liczą na rozsądek/życiowe podejście UKE/UOKiK w tej sprawie.

[!*!]

athabus - oczywiście, podałem tylko przykład, aby nie było że wszyscy robią bannery informacyjne. Widzisz, tu właśnie pojawia się magia interpretacji, Twoim zdaniem informacja bezpośrednia to banner na 10% strony z informacją o ciastkach? A co określa to, gdzie on ma się znajdować, w jakim miejscu? Zgoda użytkownika może być zawarta w "polityce ciasteczek", w końcu ktoś kto chce się czegoś dowiedzieć o serwisie i tak musi przejrzeć regulamin, jego polityki itp. A nikt nie wspomniał że tam nie może ukryć się akceptacja. Idąc tym tropem, informacja bezpośrednia ma się pojawić od razu, może być w JS? W jakim odstępie czasowym ma się pojawić, 10, 40 sekund? A może pół godziny?

Jest cyrk, bo przepisy jak zwykle nie są precyzyjne i obawiam się że tak pozostanie, jeden prawnik powie Ci o bannerach, drugi o linku, a to już nie Twój problem, bo będziesz mieć to na piśmie.

[athabus]

Ale ciągle mówimy o pkt.1 - w tym wypadku ważniejszy jest pkt. 2 czyli uzyskanie akceptacji użytkownika na wgranie czegokolwiek do jego komputera - zauważ, że użytkownik wchodząc na stronę allegro z automatu ma wrzucone ciasteczka - nawet nie ma szans odmówić - już w momencie wejścia na politykę prywatności ma zapewne w przeglądarce bzyliard ciasteczek.

To tak jakbyś np. miał stronę, która pobiera opłaty od użytkowników za jej przeglądanie, a informację zawarłbyś w regulaminie, którego użytkownik nie musi zatwierdzić. Potem byś tłumaczył - przecież każdy wie, że trzeba znać regulamin strony + jeszcze użytkownik by płacił za dostęp do Twoej strony w momencie gdy czytałby regulamin (bo w końcu jest na stronie)... Niestety ale tak to wygląda z punktu widzenia prawnego. Pozostaje tylko liczyć, że odpowiednie instytucje nie będą nadgorliwe i wystarczy im polityka prywatności opisująca zagadnienie, a w dalszej perspektywie to prawo zostanie zmienione na bardziej życiowe.

[!*!]

athabus - kilka lat temu allegro za każdą zakończoną aukcję pobierało 20gr, jak uzbierała się ich kupa, wysyłali email z wezwaniem do zapłaty + faktura/rachunek. Myślisz że przy każdej aukcji była informacja że to zrobią? Nie, bo to było w regulaminie, który prędzej czy później trzeba przeczytać.

edycja:
Obaj mamy racje, i tak będzie jeszcze przez dłuższy czas.

Ten post edytował !*! 23.03.2013, 13:36:57

[lord_borsuk]

Czy jeżeli używa się ciasteczek tylko do zapisywania identyfikatora sesji to czy ten komunikat jest potrzebny
Czy jeśli na głównym serwisie klienta, będzie informacja to czy na pod serwisach też ma być

Jeśli użytkownicy zaczną blokować ciasteczka i identyfikator sesji będzie w URL, to nie wydaje się wam że o ile użytkownika nic nie będzie śledzić, to łatwiej będzie przechwycić jego sesje ?

[athabus]

!*! - ale aby coś sprzedać na allegro najpierw musisz zaakceptować regulamin. Tu analogicznie byłoby gdybyś zaczął sprzedawać bez akceptacji regulaminu, a w regulaminie byłaby informacja, że musisz się z nim zapoznać przed rozpoczęciem sprzedaży - czyli rozumiesz - nie widziałeś takiego regulaminu/nie akceptowałeś go swoim oświadczeniem woli, a teraz każą Ci płacić.

@lord_borsuk -
ad1. Tak ustawa nie mówi nic o treści jaką się przechowuje u użytkownika - równie dobrze może to być losowa liczba, którą wgrywasz bez powodu i nie zamierzasz z niej korzystać.
ad2. Dobre pytanie - pewnie jeśli szata graficzna jest spójna i jest to po prostu jeden serwis (np. onet ma swoje różne podserwisy typu sport.onet.pl itp) to wystarczy jedna akceptacja. Jeśli to np. jest coś co funkcjonuje jako odrębne podmioty (na przykład różne domeny główne, inna marka itp) to moim zdaniem tak, musisz za każdym razem pytać o zgodę.
ad3) Jeśli użytkownicy w obecnych czasach masowo blokowali by ciasteczka, to internet jaki znamy przestałby istnieć - np. Google stałoby się nieopłacalne jeśli chodzi o reklamę, wiele stron straciłoby sens, ciągle wszędzie trzeba by się logować itp itd. Ogólnie nie widzę możliwości aby współczesne www działało bez ciasteczek. Wyłącz sobie w przeglądarce na 1 dzień ciasteczka i zobacz jak korzysta się z internetu.