iSecure logo
Blog

Ciasteczka nie zawsze smakują najlepiej…

Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam.

W związku z tym, że o ciasteczkach mówi się bardzo dużo, ale bez większych konkretów, z uwagi na to, że brak jest wyraźnych przepisów prawnych, a nade wszystko zaleceń ze strony takich urzędów jak UKE czy UODO, większość właścicieli stron www stara się realizować wymóg akceptacji plików w lepszy lub gorszy sposób. My jako iSecure, czyli podmiot specjalizujący się między innymi w tej dziedzinie, poradziliśmy sobie z tym w całkiem nienajgorszy sposób (baner był czytelny i napisany jasnym językiem, analogicznie polityka prywatności, która zawierała w tym zakresie wszystkie niezbędne informacje) 🙂 Co jednak jednemu wydaje się oczywiste, innemu może nie odpowiadać. Dlaczego tak jest, wskazałam nieco wyżej (w skrócie: brak jasności przepisów / wytycznych). I jak się finalnie okazało – nie odpowiadało to na tyle mocno, że została skierowana na nas skarga do UODO 🙂 Mimo bardzo szczegółowych wyjaśnień z naszej strony, Urząd miał w tej sprawie inne zdanie (w naszym przekonaniu co najmniej nie przystające do realiów praktycznego podejścia do problemu). Otrzymaliśmy nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies, których nijak nie byliśmy w stanie powiązać z osobą, która złożyła skargę do UODO, a także poinformować o konieczności usunięcia tych danych inne podmioty, którym te informacje zostały udostępnione. Warto wspomnieć, że materiał dowodowy, który przedstawiliśmy, zawierał konkretne informacje, że dla iSecure adres IP i ID cookies, o których mowa powyżej, w żaden sposób nie dają możliwości identyfikacji skarżącego, że podmiot wskazany przez skarżącego jako podmiot, który mógł uzyskać (ale ostatecznie nie uzyskał) dostęp do adresu IP skarżącego, jest naszym procesorem i współpracujemy z nim na podstawie umowy powierzenia, itd.

Mogliśmy tę sprawę po prostu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy kto posiada firmową stronę internetową. W tej sytuacji zarząd iSecure podjął decyzję, że owe niedokładne zbadanie sprawy, decydowanie przez UODO w kwestiach, o których mowa w przepisach prawa telekomunikacyjnego (czy aby na pewno UODO jest właściwy w zakresie oceny zgodności naszego działania z wymogami określonymi w ustawie Prawo telekomunikacyjne?), nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google), nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają naszej interwencji na poziomie wyższej instancji. W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej Spółki, ale i każdej innej firmy obecnej w Internecie.

W związku z powyższym postanowiliśmy złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie ww. Sądu będzie mogło służyć Wam wszystkim w przyszłości.

Już dziś ujawniamy ww. decyzję UODO (link do decyzji poniżej), bo wierzymy, że może być ona pomocna każdemu, kto prowadzi biznes w Polsce, a jednocześnie liczymy na poważną, bo podpartą konkretem, dyskusję prawników specjalizujących się w ochronie danych osobowych w interesującym nas (i zapewne Was) temacie.

Zapraszamy do śledzenia naszej sprawy, ponieważ to dopiero początek 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

Wstęp Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej. Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Czy musimy mieć zgodę na ciasteczka? Wskazówek irlandzkiego organu ciąg dalszy

Kontynuujemy wpis z ubiegłego miesiąca. Opisałem w nim wnioski z dokonanego przez Irlandzki Organ Ochrony Danych Osobowych (IDPC – Irish Data Protection Commision) audytu stron internetowych 38 administratorów danych. Teraz nadszedł czas na przedstawienie wskazówek, jakie zaprezentował wspomniany organ. Wstępne rozważania organu o plikach śledzących Na wstępie IDPC zaznacza, że nie tylko ciasteczkami człowiek żyje. […]

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki