Techniki śledzenia w Internecie – czy nadchodzi ich kres?

Pliki cookie w początkowej fazie były umieszczane na stronach internetowych bez informowania użytkowników. Wraz ze wzrostem świadomości technologicznej użytkowników oraz coraz szerszego regulowania kwestii związanych z prywatnością, korzystanie przez witryny z plików cookie zostało poddane w wątpliwość.

Pliki cookie można skategoryzować wielowymiarowo. Jednak z punktu widzenia prywatności, kluczowy podział to podział plików cookie według ich właściciela:

• Pliki własne witryny (first party cookie files) – pliki tworzone i zarządzane przez właściciela witryny, zazwyczaj do zarządzania pojedynczą sesją. Zadaniem plików własnych może być zapamiętywanie preferencji i produktów użytkownika (np. elementy umieszczone w koszyku) czy informacje analityczne (np. identyfikowanie, które sekcje witryny odwiedzane są najczęściej, w celu optymalizacji treści).

• Pliki podmiotów trzecich (third-party cookie files) – pliki należące do podmiotu trzeciego, innego niż właściciel witryny (np. platformy reklamowe). Ten rodzaj plików pozwala na szerokie śledzenie użytkownika. Dane gromadzone za pośrednictwem plików podmiotów trzecich umożliwiają reklamodawcom śledzenie aktywności użytkownika w Internecie i kierowanie reklam tam, gdzie użytkownik obecnie przebywa.

Rodzaje plików cookies

1. - Bezpośrednie pliki cookie - pliki zapisywane bezpośrednio przez odwiedzaną witrynę.
   - Pliki cookies podmiotów trzecich - pliki zapisywane przez zewnętrznych dostawców poprzez odwiedzaną witrynę.
2. - Nizbędne - pliki konieczne do prawidłowego działania witryny.
   - Funcjonalne - umożliwiające witrynie zapamiętanie dokonanych przez użytkownika wyborów, jak preferencje językowe czy region.
   - Analityczne - pozwalające na analizowanie wizyty użytkownika m.in. w celu zwiększenia funkcjonalności witryny oraz personalizacji prezentowanej oferty.
   - Społecznościowe - niezbędne do obsługi wtyczek serwisów społecznościowych.
   - Marketingowe - pozwalające na prezentowanie w witrynie reklam zewnętrznych reklamodawców
3.  - Sesyjne pliki cookie - pliki tymczasowe, przedawniające się po opuszczeniu strony
   - Trwałe pliki cookie - pliki pozostające na dysku długo po zakończeniu trwania sesji, przez określony z góry czas.

Pliki podmiotów trzecich są szczególnie interesujące dla podmiotów o mniejszych zasięgach, które nie mają możliwości zbudowania szerokiej wiedzy o swoich użytkownikach. Poprzez współpracę z większymi podmiotami są w stanie uzyskać znacznie lepsze wyniki z marketingu swoich produktów przy niewielkim nakładzie. Lecz to właśnie pliki cookie podmiotów trzecich budzą największe kontrowersje. Przy ich stosowaniu, użytkownik zachowuje znikomą kontrolę nad tym, kto zbiera dane i do kogo są one przekazywane. W takiej sytuacji wykonywanie praw przysługujących na gruncie RODO[1] (w tym prawa dostępu do danych) jest praktycznie niemożliwe. Ponadto, wiele witryn w dalszym ciągu – pomimo jasnych wytycznych organów europejskich w tym zakresie[2] – nie zapewnia użytkownikom możliwości rezygnacji ze śledzenia. Do wykorzystania plików cookies, w tym plików podmiotów trzecich, niezbędna jest aktywna zgoda użytkownika (a nie np. domyślnie zaznaczone okienko – patrz wyrok TSUE w sprawie Planet49 C-673/17), zaś bannery cookies zawierające wyłącznie zgodę i nierozdzielone na cele zgody na poszczególne cookies są stopniowo piętnowane przez NGOs i organy nadzorcze.

Z uwagi na powyższe,  największe podmioty na rynku podjęły decyzję o stopniowym wycofaniu się ze stosowania zewnętrznych plików cookie. Chrome, najpopularniejsza przeglądarka (ponad 56% rynku przeglądarek[3]) w 2021 znacząco ograniczyła wykorzystanie cookies podmiotów trzecich poprzez wymóg wykorzystania protokołu https dla cookies bez SameSite label. Firefox nie obsługuje plików cookie podmiotów trzecich od 2013, podobnie jak Microsoft i Safari[4].   W pierwszych kwartale 2024  Chrome wyłączy używanie plików cookie stron trzecich u 1% użytkowników aby przeprowadzić testy. Następnie, w trzecim kwartale 2024 Chrome planuje całkowicie wyłączyć użycie cookies stron trzecich[5], co będzie oznaczało praktycznie zakończenie stosowania tej techniki śledzenia użytkowników internetu. 

Inne formy śledzenia w Internecie – co w zamian?

Korzystając z różnych metod śledzenia użytkownika, można pozyskać istotne informacje, obejmujące m.in. czas spędzany w poszczególnych witrynach i ich podstronach, które elementy były wybierane przez użytkownika, które z plików zostały pobrane przez użytkownika, a nawet jak wyglądała dokładna ścieżka kursora poruszanego przez użytkownika. Wszystkie te informacje mogą przełożyć się na dość dokładny profil użytkownika.

Marketing online dotychczas opierał się w dużej mierze na plikach cookie. Choć jest to atrakcyjny i kompletny sposób poznania preferencji użytkownika – nie jest jedyny. Podobne rozwiązania to m.in.

• Śledzenie URL oraz pixel (technologia wykorzystująca śledzący element witryny, np. obraz, zawierający hiperłącze do innej strony np. do weryfikacji, czy użytkownik otworzył przesłana wiadomość, lub do identyfikacji miejsca, z którego użytkownik został przekierowany),

• Przetwarzanie lokalne (rozwiązanie opierające się na lokalnym przetwarzaniu instruowanym przez oprogramowanie następnie udostępnia wybranym podmiotom za pośrednictwem interfejsu API wygenerowane lokalnie wyniki),

• Śledzenie bazujące wyłącznie na adresie IP (technologia pozwalająca na śledzenie nawigacji użytkownika – często przez wiele witryn),

• Sporadyczne i pośrednie raportowanie dotyczące Internetu Rzeczy (IoT) (w wielu przypadkach technologia wykorzystywana w urządzeniach IoT pozwala na lokalne generowanie wyników, które następnie udostępniane są zdalnemu serwerowi),

• Unikalny identyfikator (rozwiązanie bazujące na identyfikatorach pochodzących z danych osobowych, które są zaszyfrowane na urządzeniu użytkownika, a następnie gromadzone i udostępniane różnym podmiotom w celu jednoznacznej identyfikacji osoby – np. w kontekście uwierzytelniania).

W praktyce stosowane są także mniej inwazyjne metody, takie jak zbieranie preferencji w oparciu o kwestionariusze (gdy dane podaje bezpośrednio użytkownik) lub poprzez uczestnictwo w programach lojalnościowych.

Ramy prawne dla technik śledzących w Internecie – o czym należy pamiętać?

Śledzenie użytkownika w Internecie to nie tylko kwestie związane z ochroną danych osobowych. To także szerzej rozumiana ochrona prywatności w sieci, która obejmuje ochronę poufności i integralności informacji przechowywanych na urządzeniach użytkowników.

Dyrektywa o prywatności i łączności elektronicznej (tzw. dyrektywa ePrivacy)[6] z 2002 roku jako pierwsza wprowadziła obowiązek dla witryn regulujący kwestię informowania użytkowników o tym, jakie dane są śledzone i umożliwienia im rezygnacji ze śledzenia. Nie była ona jednak całkowicie skuteczna.

Dopiero jej zmiana[7] podjęta w 2009 roku wprowadziła konkretne rozwiązania, uniemożliwiające umieszczanie plików podmiotów trzecich na urządzeniu użytkownika bez jego wcześniejszej zgody. Szczególne znaczenie w tym kontekście ma art. 5 ust. 3 dyrektywy ePrivacy, który dopuszcza takie działanie wyłącznie w określonych okolicznościach.

Trzeba pamiętać, że dyrektywa podjęta na szczeblu unijnym nie wywołuje skutków wprost w lokalnym porządku prawnym – konieczna jest jej implementacja przez Państwo Członkowskie. Polska dokonała implementacji ww. przepisu w art. 173 Prawa telekomunikacyjnego[8].

Czy zgoda zawsze niezbędna?

Zgodnie z art. 5 ust. 3 dyrektywy ePrivacy, co do zasady przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika jest dozwolone, jeżeli:

• dany abonent lub użytkownik wyraził zgodę, oraz
• zgoda jest wyrażona po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.

Ochrona, o której mowa w ww. przepisie, została przyznana nie tylko osobom fizycznym, ale również osobom prawnym.

Niewątpliwie dyrektywa odniosła swój skutek wobec plików cookie. Jednak w praktyce pojawiły się wątpliwości, czy ma on zastosowanie także do innych technik śledzenia.

Najnowsze wytyczne dotyczące zakresu technicznego art. 5 ust. 3 dyrektywy ePrivacy, wydane przez Europejską Rady Ochrony Danych[9], rozwiewają wątpliwości. W wytycznych został przywołany główny cel regulacji, którym jest przede wszystkim ochrona urządzeń końcowych – jako stanowiących część sfery prywatnej użytkownika. EROD potwierdza, że przepisy dyrektywy ePrivacy nie ograniczają się wyłącznie do plików cookie, ale uwzględniają także inne „podobne technologie”, przy czym na dziś nie istnieje ich wyczerpujący wykaz.

Wyjaśnienie pojęć  z art. 5 ust.3 dyrektywy ePrivacy:

• Informacja - operacje dotyczą "informacji" - pojęcie szersze niż dane osobowe, obejmuje wszelkie informacje dotyczące użytkownika.
• Urządzenie końcowe - operacje prowadzone są przy wykorzystaniu "urządzenia końcowego" użytkownika, które może składać się z pojedynczych elementów lub pełnego urządzenia (np. smartfon, laptop).
• Publicznie dostępne usługi łączności elektronicznej - operacje dokonywane są w kontekście "świadczenia publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności" - niezależnie od technologii transmisji.
• Dostęp lub przechowywanie - operacje polegają na "dostępie"do informacje lub "przechowywaniu" informacji na urządzeniu końcowym

Przykładowo, w niektórych przypadkach śledzenie wyłącznie w oparciu o adres IP również uruchomi zastosowanie art. 5 ust. 3 dyrektywy ePrivacy. Stanie się tak w sytuacji, gdy informacja o adresie IP jest pozyskana z urządzenia końcowego użytkownika. Jeśli podmiot nie może wykazać, że adres IP nie pochodzi z urządzenia końcowego, będzie musiał podjąć kroki wymagane zgodnie z dyrektywą ePrivacy.

Nowe wyzwania przed przedsiębiorcami

Choć pliki cookie dostarczane przez podmioty trzecie mogą niedługo zniknąć – nie zniknie zainteresowanie wymianą danych posiadanych przez różnych graczy na rynku. Tym razem przedsiębiorcy będą musieli dopasować stosowane technologie do daleko idących, precyzyjnych wymogów, coraz częściej nakładanych przez regulatorów nie tylko w Europie. Z uwagi na ryzyko wysokich kar, warto zachować szczególną ostrożność przy podejmowaniu decyzji o zainwestowaniu w nowe rozwiązania. Nie wszystkie bowiem przetrwają próbę sprostania warunkom zapewnienia prywatności użytkowników. 

Podsumowanie

Przez lata podmioty prowadzące działalność online korzystały z różnych metod śledzenia użytkownika (m.in. pliki cookie), aby spersonalizować swoje oferty i w efekcie maksymalizować swoje zyski. Niejednokrotnie technologie śledzące były dostarczane przez zewnętrznych dostawców, którzy aktywnie uczestniczyli i monetyzowali zdobyte informacje. Wraz z postępującą ochroną prawną użytkownika w Internecie zdaje się, że przedsiębiorcy będą musieli zrewidować swoje praktyki.