Skutecznym argumentem przeciwko uznaniu zawartości cookies za dane osobowe pozostaje to, iż z reguły ciasteczka nie są powiązane z poszczególnymi użytkownika, lecz z komputerem. W rezultacie rozpoznawany pozostaje nie tyle konkretny internauta, ile maszyna, z której połączył się z serwisem internetowym obsługującym cookies. Czy rozróżnienie to ma praktyczne konsekwencje? Okazuje się, że nie ma kategorii tzw. danych zbiorowych, dotyczących pewnej zbiorowości. W przypadku komputera, z którego korzystają wszyscy pracownicy firmy, nie będzie więc możliwe uznanie zawartości cookies jako danych osobowych. Wyjątkiem byłyby raczej sporadyczne sytuacje, w których pliki cookies.txt zawierałyby dane, takie jak imię i nazwisko pracownika. Warto dodać, że podobne wątpliwości towarzyszą sporom o możliwość uznania adresów e-mailowych jako danych osobowych. W konsekwencji w przypadku poczty elektronicznej należy z reguły przyjąć, iż takimi danymi nie są adresy konstruowane w postaci [email protected] itp. Nie wskazują one bowiem na konkretną osobę.

UE o cookies

Regulacje prawne mające zastosowanie do funkcjonowania cookies znalazły się we wspomnianej już Dyrektywie o ochronie prywatności i komunikacji elektronicznej. Nie zakazuje ona stosowania cookies. Wprowadza jednak pewne zasady, których powinni przestrzegać webmasterzy i firmy marketingowe. Podstawą funkcjonowania cookies będzie wskazanie użytkownikom, iż strona obsługuje te rozwiązanie. Internauta musi liczyć się z zapisywaniem w plikach cookies informacji o jego sieciowej aktywności. Można przy tym rozważać, czy sam komunikat przeglądarki o stosowaniu cookies jest równoznaczny z wyraźnym poinformowaniem użytkownika o obsługiwaniu przez witrynę ciasteczek? Wydaje się, iż na to pytanie należy udzielić odpowiedzi przeczącej. Ostrzeżenie przeglądarki będzie miało miejsce jedynie po jej odpowiednim skonfigurowaniu przez użytkownika. Osoba stosująca cookies nie ma żadnego wpływu na tego typu komunikaty. Bez wątpienia warunek poinformowania internautów będzie spełniony w przypadku zawarcia odpowiednich informacji w "polityce prywatności" serwisu.

Wiele kłopotów może sprawiać w praktyce niejasne sformułowanie zawarte w dyrektywie, które nakłada obowiązek umożliwienia wyrażenia sprzeciwu wobec stosowania cookies. Czy oznacza to potrzebę tworzenia wersji witryn, które nie obsługują ciasteczek? Kierowanie się taką interpretacją doprowadziłoby do nałożenia dodatkowych obowiązków i kosztów na ISP.

Alternatywna interpretacja przepisu pozwala na przyjęcie, iż wskazanie technicznych możliwości blokowania cookies, np. przeglądarki, wypełni wspomniany obowiązek. Bazując na rodzimym tłumaczeniu dyrektywy, można odnieść wrażenie, iż obowiązkiem usługodawcy pozostaje jedynie informacja o prawie sprzeciwu wobec stosowania cookies. Nie byłoby to równoznaczne z potrzebą umożliwienia działania usługi bez ciasteczek. Niemniej oryginalna wersja dyrektywy i dotychczasowe opracowania na ten temat wskazują, że to użytkownik powinien mieć możliwość zdecydowania przed korzystaniem z usługi, czy zgadza się na tworzenie i przetwarzanie danych zawartych w plikach cookies. Niestety, pojawia się kolejna wątpliwość. Jak już wspomniano, cookies w wielu sytuacjach pozostają konieczne do prawidłowego funkcjonowania usługi. Bez nich internauta po prostu nie będzie mógł skorzystać z usługi. Dyrektywa przynosi rozwiązanie tej kwestii. W sytuacji, gdy ciasteczka są konieczne do funkcjonowania usługi, nie ma obowiązku zapewnienia prawa do sprzeciwu ich funkcjonowanu. Ściślej mówiąc, przepisy wskazują na dwie sytuacje, a mianowicie obsługę cookies w celu ułatwienia transmisji komunikatu i konieczność wykorzystania ich do dostarczenia usługi, której żąda użytkownik. Przykładowo, mogą to być cookies obsługujące transakcje elektroniczne. Rzecz jasna, przypadki te nie wyłączają jednak potrzeby poinformowania użytkowników o stosowaniu cookies. Uwagę zwraca fakt, że zasadniczym celem dyrektywy pozostaje ochrona prywatności w środowisku elektronicznym. W konsekwencji może prowadzić to do wniosku, iż wskazane obowiązki dotyczą tylko takich ciasteczek, które będą zawierać dane osobowe.

Przy tym może się pojawić skomplikowany problem oceny, w jaki sposób europejskie regulacje mogą "pośrednio" oddziaływać na praktyki amerykańskich usługodawców. Nie można zapominać, iż pliki cookies są fizycznie przechowywane na dyskach twardych użytkowników. Z drugiej jednak strony, urządzenia obsługujące ciasteczka znajdują się na terytorium USA. Wątpliwości w tej kwestii rozstrzygnie z pewnością praktyka.

Co dalej?

Bez wątpienia wiele osób nie wyobraża sobie możliwości wyeliminowania cookies przy konstruowaniu zasobów internetowych. Pojawia się przekonanie, że ciasteczka mają zbyt wiele zalet, by odrzucić ten sposób personalizacji usług, a zarazem możliwość gromadzenia informacji o preferencjach użytkowników. Nie można zapominać o tym, że zawartość cookies może być uznana za dane osobowe. Użytkownik powinien wiedzieć, kiedy i w jakim celu ciasteczka są stosowane.

Polskie tłumaczenie dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (Dyrektywa o ochronie prywatności i komunikacji elektronicznej) można znaleźć na stronie:http://www.giodo.gov.pl/plik/id_p/342/j/pl/