Kwestia obowiązkowego informowania o cookies została dosyć jasno opisana w rozporządzeniu z dnia 22 marca 2013 r., które zostało nałożone przez ustawę z dnia 16 listopada 2012 r. o zmianie ustawy Prawo telekomunikacyjne[1] (dokładniej art. 173), która odzwierciedla dyrektywę Unii Europejskiej 2009/136/WE[2] zmieniającą dyrektywę 2002/58/WE (art. 5 ust. 3).

Art. 173

1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
   
   1)   abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
   a)  celu przechowywania i uzyskiwania dostępu do tej informacji,
   b)  możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
   2)   abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
   3)   przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
    
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
    
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
   1)   wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej,
   2)   dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Jak widać, jeszcze zanim zaczęła się w Parlamencie Europejskim dyskusja o RODO, prawnicy oraz organizacje dbające o przestrzeganie prywatności zauważyły ryzyko utraty kontroli nad danymi użytkowników i wspólnie orzekły, że potrzebna jest zgoda użytkownika na pliki cookies. Mechanizm, który obowiązuje od wielu lat w przypadku plików cookies wyświetlanych na urządzeniach końcowych, można sprowadzić do następujących dwóch opcji:

• wyskakujący pop-up,
• pasek na dole lub górze strony.

Pop-up ma tę zaletę, że trudno go zignorować, bo nie pozwala w ogóle korzystać ze strony – cała strona jest nieaktywna, dopóki nie zareagujemy na niego, ale jest jednak bardziej uciążliwy dla użytkownika, przez co też mniej UX friendly. Pasek natomiast jest mniej inwazyjny, ale istnieje większe ryzyko, że ktoś go zignoruje, nie wyrazi zgody i żadne cookies nie zostaną załadowane. Ze względów na kwestie użytecznościowe większość serwisów decyduje się na zastosowanie paska.

Cały proces wyrażenia zgody na zapisywanie cookies można podzielić na następujące kroki:

1. Zakładamy, że pliki cookies są domyślnie zablokowane przez przeglądarkę.
2. Użytkownikowi wyświetla się pasek z informacją o cookies i pytaniem o zgodę.
3. Użytkownik może wyrazić zgodę na wszystkie cookies albo przejść do ustawień przeglądarki, aplikacji.
4. Zbiorcza zgoda wymaga kliknięcia w przycisk „rozumiem i akceptuję”.
5. W ramach ustawień użytkownik może wyłączyć okreś­lone pliki cookies.
6. Pliki cookies ładowane są dopiero po wyrażeniu zgody.
7. Brak zgody powoduje, że np. nie są ładowane wtyczki społecznościowe, system komentarzy, odtwarzacz podcastów i inne funkcje, które wykorzystują ciasteczka.

Taki sposób wyrażenia zgody znalazł się również w projekcie rozporządzenia ePrivacy. Niemniej jednak prawnicy są podzieleni odnośnie do możliwości posługiwania się taką zgodą. Dyskusje na ten temat trwają już długo, ale nasiliły się od czasu wprowadzenia RODO w 2018 roku, choć to rozporządzenie nie ma za bardzo związku z plikami cookies.

W moim odczuciu dopuszczenie zgody przez ustawienia przeglądarki nie jest rozwiązaniem optymalnym. Dlaczego? Wynika to z faktu, że takie ustawienia wykonuje się globalnie w stosunku do wszystkich witryn, a potem się o nich zapomina. W efekcie zgoda staje się iluzoryczna, bo użytkownicy wyrazili zgodę globalnie, a nie o to chodzi w całym działaniu świadomego wyrażenia zgody na cel. Użytkownik musi otrzymać wyczerpujące informacje odnośnie do stosowanych w ramach danej witryny plików cookies i dopiero na tej podstawie może podjąć decyzję, na jakie elementy działania witryny chce się zgodzić, a na co nie. Jeżeli decydujemy się w ramach Unii Europejskiej na lepszą ochronę prywatności użytkownika i zapewniamy mu prawo do swobodnej decyzji, to warto podążać za tą myślą i dawać mu realne możliwości ustawiania cookies, a nie takie trochę sterowane z „tylnego siedzenia” i robienie globalnych ustawień. W związku z tym opcje są dwie: albo za każdym razem dokładnie studiować treść zgód (pytanie: kto ma na to czas i realnie zrozumie zapisy), albo wykorzystywać do tego ustawienia przeglądarki lub aplikacji.

Chciałbym w tym momencie wrócić do kwestii świadomej zgody użytkownika na cookies, które można podzielić na dwie grupy, w zależności od stopnia szczegółowości informacji, czyli:

• informacje wstępne,
• informacje szczegółowe[1].

Informacje wstępne – to takie, które użytkownik widzi zaraz po wejściu na stronę, zanim wyrazi zgodę. Nie są one najczęściej bardzo szczegółowe, ale muszą dawać użytkownikowi podstawową wiedzę pozwalającą na podjęcie świadomej decyzji. Poniżej przykład informacji wstępnej, którą można zamieścić np. w ramach paska informacyjnego.
 

Tak przedstawiona informacja jest w moim odczuciu na tyle szczegółowa, że użytkownik może już na tym etapie dowiedzieć się, do czego będą wykorzystywane pliki cookies.

Drugi krok – to informacje szczegółowe. Te informacje powinny znaleźć się w polityce prywatności, czyli dokumencie opisującym m.in. zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w ramach strony internetowej lub aplikacji mobilnej. Nie ma jednego uniwersalnego wzoru, jak takie informacje powinny zostać zaprezentowane. Poniżej przykład części polityki prywatności dotyczący Google Analytics:
 ...