iSecure logo
Blog

Ciasteczka nie zawsze smakują najlepiej…

Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam.

W związku z tym, że o ciasteczkach mówi się bardzo dużo, ale bez większych konkretów, z uwagi na to, że brak jest wyraźnych przepisów prawnych, a nade wszystko zaleceń ze strony takich urzędów jak UKE czy UODO, większość właścicieli stron www stara się realizować wymóg akceptacji plików w lepszy lub gorszy sposób. My jako iSecure, czyli podmiot specjalizujący się między innymi w tej dziedzinie, poradziliśmy sobie z tym w całkiem nienajgorszy sposób (baner był czytelny i napisany jasnym językiem, analogicznie polityka prywatności, która zawierała w tym zakresie wszystkie niezbędne informacje) 🙂 Co jednak jednemu wydaje się oczywiste, innemu może nie odpowiadać. Dlaczego tak jest, wskazałam nieco wyżej (w skrócie: brak jasności przepisów / wytycznych). I jak się finalnie okazało – nie odpowiadało to na tyle mocno, że została skierowana na nas skarga do UODO 🙂 Mimo bardzo szczegółowych wyjaśnień z naszej strony, Urząd miał w tej sprawie inne zdanie (w naszym przekonaniu co najmniej nie przystające do realiów praktycznego podejścia do problemu). Otrzymaliśmy nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies, których nijak nie byliśmy w stanie powiązać z osobą, która złożyła skargę do UODO, a także poinformować o konieczności usunięcia tych danych inne podmioty, którym te informacje zostały udostępnione. Warto wspomnieć, że materiał dowodowy, który przedstawiliśmy, zawierał konkretne informacje, że dla iSecure adres IP i ID cookies, o których mowa powyżej, w żaden sposób nie dają możliwości identyfikacji skarżącego, że podmiot wskazany przez skarżącego jako podmiot, który mógł uzyskać (ale ostatecznie nie uzyskał) dostęp do adresu IP skarżącego, jest naszym procesorem i współpracujemy z nim na podstawie umowy powierzenia, itd.

Mogliśmy tę sprawę po prostu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy kto posiada firmową stronę internetową. W tej sytuacji zarząd iSecure podjął decyzję, że owe niedokładne zbadanie sprawy, decydowanie przez UODO w kwestiach, o których mowa w przepisach prawa telekomunikacyjnego (czy aby na pewno UODO jest właściwy w zakresie oceny zgodności naszego działania z wymogami określonymi w ustawie Prawo telekomunikacyjne?), nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google), nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają naszej interwencji na poziomie wyższej instancji. W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej Spółki, ale i każdej innej firmy obecnej w Internecie.

W związku z powyższym postanowiliśmy złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie ww. Sądu będzie mogło służyć Wam wszystkim w przyszłości.

Już dziś ujawniamy ww. decyzję UODO (link do decyzji poniżej), bo wierzymy, że może być ona pomocna każdemu, kto prowadzi biznes w Polsce, a jednocześnie liczymy na poważną, bo podpartą konkretem, dyskusję prawników specjalizujących się w ochronie danych osobowych w interesującym nas (i zapewne Was) temacie.

Zapraszamy do śledzenia naszej sprawy, ponieważ to dopiero początek 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

Podsumowanie funkcjonowania Privacy Shield

Podsumowanie funkcjonowania Privacy Shield

Po wyroku TSUE z 6 października 2015 r. w sprawie Schrems (C-362/14) bezpieczna przystań nie okazała się być wcale tak bezpieczna i to, co praktycy wiedzieli od lat, nareszcie uzyskało oparcie w orzeczeniu Trybunału Sprawiedliwości. Jednak prawo tak jak i natura nie toleruje pustki i transfer danych osobowych między Unią Europejską a Stanami Zjednoczonymi znalazł się pod opieką nowego pakietu ochronnego tj. Tarczy Prywatności, zatwierdzonej przez Komisję Europejską 12 lipca 2016 r.

Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych

Niebezpieczeństwa usług internetowych

Internet zrewolucjonizował nasze życie, pozwolił nam na wyrażanie naszego zdania oraz szybkie pozyskiwanie informacji na interesujące nas tematy. Jednym z dobrodziejstw Internetu jest rozszerzenie zakresu i ilości usług świadczonych drogą elektroniczną oraz łatwiejszy dostęp do internetowych aplikacji.  W Internecie na użytkownika czyha wiele ryzyk, które mogą naruszyć jego prywatność lub spowodować straty materialne, dlatego bardzo […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki