Dyrektywa o prywatności i łączności elektronicznej w art. 5 ust. 3 zobowiązuje państwa członkowskie, by zagwarantowały w swoich systemach prawnych, iż przechowywanie informacji lub uzyskanie dostępu do tych już przechowywanych w urządzeniu abonenta lub użytkownika było dozwolone, wyłącznie jeśli wyraził on zgodę, i to po otrzymaniu jasnych i wyczerpujących informacji, m.in. o celach przetwarzania tych danych. Akt ten pochodzi z 2002 r. i początkowo odnosił się głównie do tzw. plików cookies (stąd każdorazowa konieczność udzielenia zgody na ich pobieranie) czy rozsyłania maili reklamowych.
Od tego jednak czasu śledzenie za pomocą cookies mocno straciło na znaczeniu (m.in. ze względu na słuszną krytykę ze strony krajowych organów ochrony danych osobowych), pojawiły się zaś nowe modele biznesowe, oparte na nowych sposobach. Dlatego EROD zdecydowała się na stworzenie wytycznych wskazujących, w jakich sytuacjach wspomniany przepis ma być stosowany.
Czytaj więcej
Na uporządkowanie cookies w polskim prawie trzeba jeszcze poczekać.
– Najwięksi gracze rynkowi w branży e-commerce dostrzegli jednak zagrożenia związane ze stosowaniem rozwiązań opartych na cookies, a także ich techniczne ograniczenia (np. brak możliwości stosowania cookies w aplikacjach mobilnych) i zaczęli poszukiwać nowych rozwiązań służących do śledzenia użytkowników – mówi radca prawny Jakub Wezgraj. – Wytyczne EROD mają „ujarzmić” te zapędy i ułatwić projektowanie nowych rozwiązań w zgodzie z przepisami prawa dotyczącymi ochrony prywatności. Wiele bowiem projektowanych obecnie rozwiązań, a nawet już używanych (w tym w Polsce), opiera się na zapewnieniu jak największej efektywności komercyjnej, a to niekoniecznie idzie w parze ze zgodnością z prawem. Inna kwestia, że technologie te niekiedy są tak konstruowane, że trudno zastosować do nich aktualne rozwiązania prawne. Proponowane przez EROD wytyczne uznaję za bardzo istotne dla całej branży e-commerce – dodaje ekspert.
– Technologia się zmienia i pojawiają się nowe metody śledzenia, rodzące ryzyko naruszenia poufności komunikacji, które 20 lat temu po prostu nie istniały – mówi adw. dr Paweł Litwiński. – Dlatego trzeba się pochylić nad techniczną stroną tego przepisu – dodaje.