iSecure logo
Blog

Ciasteczka nie zawsze smakują najlepiej…

Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam.

W związku z tym, że o ciasteczkach mówi się bardzo dużo, ale bez większych konkretów, z uwagi na to, że brak jest wyraźnych przepisów prawnych, a nade wszystko zaleceń ze strony takich urzędów jak UKE czy UODO, większość właścicieli stron www stara się realizować wymóg akceptacji plików w lepszy lub gorszy sposób. My jako iSecure, czyli podmiot specjalizujący się między innymi w tej dziedzinie, poradziliśmy sobie z tym w całkiem nienajgorszy sposób (baner był czytelny i napisany jasnym językiem, analogicznie polityka prywatności, która zawierała w tym zakresie wszystkie niezbędne informacje) 🙂 Co jednak jednemu wydaje się oczywiste, innemu może nie odpowiadać. Dlaczego tak jest, wskazałam nieco wyżej (w skrócie: brak jasności przepisów / wytycznych). I jak się finalnie okazało – nie odpowiadało to na tyle mocno, że została skierowana na nas skarga do UODO 🙂 Mimo bardzo szczegółowych wyjaśnień z naszej strony, Urząd miał w tej sprawie inne zdanie (w naszym przekonaniu co najmniej nie przystające do realiów praktycznego podejścia do problemu). Otrzymaliśmy nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies, których nijak nie byliśmy w stanie powiązać z osobą, która złożyła skargę do UODO, a także poinformować o konieczności usunięcia tych danych inne podmioty, którym te informacje zostały udostępnione. Warto wspomnieć, że materiał dowodowy, który przedstawiliśmy, zawierał konkretne informacje, że dla iSecure adres IP i ID cookies, o których mowa powyżej, w żaden sposób nie dają możliwości identyfikacji skarżącego, że podmiot wskazany przez skarżącego jako podmiot, który mógł uzyskać (ale ostatecznie nie uzyskał) dostęp do adresu IP skarżącego, jest naszym procesorem i współpracujemy z nim na podstawie umowy powierzenia, itd.

Mogliśmy tę sprawę po prostu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy kto posiada firmową stronę internetową. W tej sytuacji zarząd iSecure podjął decyzję, że owe niedokładne zbadanie sprawy, decydowanie przez UODO w kwestiach, o których mowa w przepisach prawa telekomunikacyjnego (czy aby na pewno UODO jest właściwy w zakresie oceny zgodności naszego działania z wymogami określonymi w ustawie Prawo telekomunikacyjne?), nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google), nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają naszej interwencji na poziomie wyższej instancji. W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej Spółki, ale i każdej innej firmy obecnej w Internecie.

W związku z powyższym postanowiliśmy złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie ww. Sądu będzie mogło służyć Wam wszystkim w przyszłości.

Już dziś ujawniamy ww. decyzję UODO (link do decyzji poniżej), bo wierzymy, że może być ona pomocna każdemu, kto prowadzi biznes w Polsce, a jednocześnie liczymy na poważną, bo podpartą konkretem, dyskusję prawników specjalizujących się w ochronie danych osobowych w interesującym nas (i zapewne Was) temacie.

Zapraszamy do śledzenia naszej sprawy, ponieważ to dopiero początek 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

Zakres danych w umowach o świadczenie usług telekomunikacyjnych

Zewnętrzny Inspektor Ochrony Danych (IOD) – wady i zalety

Jako iSecure od dawna świadczymy usługi w zakresie outsourcingu – przed 25 maja 2018 r. była to funkcja zewnętrznego administratora bezpieczeństwa informacji (ABI), a od momentu obowiązywania RODO, zewnętrznego inspektora ochrony danych (IOD). A że działamy na rynku od 2010 r. spokojnie możemy pokusić się o próbę pokazania tak zalet jak i wad takiego outsourcingu. […]

Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

Skuteczne informowanie klientów o przetwarzaniu ich danych osobowych w celach marketingowych

Newsletter, zapis do subskrypcji SMS, a może akcja promocyjna? Formularz na firmowej stronie internetowej, papierowy druczek przystąpienia do programu lojalnościowego, czy wtyczka typu „zostaw wiadomość, a oddzwonimy z ofertą”? Zbieranie danych osobowych w celach marketingowych ma różne formy, ale zawsze w takich przypadkach trzeba pamiętać o tym, żeby prawidłowo poinformować osobę, która podaje swoje dane […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki