Osoby, które są z nami już jakiś czas, z pewnością wiedzą, że kwestie ochrony danych osobowych nie są nam obojętne – zarówno jeśli chodzi o nas samych, naszych klientów, jak i cały system ochrony danych, który bez regularnej i wzajemnej weryfikacji funkcjonujących w niej podmiotów nie spełniałby swojej roli.
Przepisy RODO to nie tylko teoria. Ich stosowanie w praktyce monitorują wyznaczone organy, m.in. Urząd Ochrony Danych Osobowych wraz z jego Prezesem. System jest tak skonstruowany, aby jego wieloinstancyjność umożliwiała kontrolę każdej decyzji i wyjaśnienie wszelkich wątpliwości, dzięki czemu mamy pewność, że standardy ochrony danych są stosowane prawidłowo i w sposób przejrzysty.
Kilka lat temu osobiście mogliśmy przekonać się, jak przepisy działają w praktyce, stając przed wyzwaniem związanym z plikami cookies wykorzystywanymi na naszej stronie. Decyzja PUODO, która wówczas została wydana od początku budziła nasze zastrzeżenia.
Dlatego też nie pozostawiliśmy jej bez reakcji i złożyliśmy skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Naszym celem było wyjaśnienie sytuacji oraz stworzenie jasności co do interpretacji przepisów i praktycznych standardów dla wszystkich podmiotów prowadzących działalność w przestrzeni internetowej.
Dla przypomnienia, w efekcie naszych działań, w lipcu 2022 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO dotyczącą interpretacji przepisów w zakresie plików cookies i danych osobowych. PUODO uznał, że identyfikatory cookies i adresy IP, które rejestrowaliśmy na naszej stronie, należy traktować jako dane osobowe, co wiązało się z określonymi obowiązkami. My kwestionowaliśmy to stanowisko, argumentując, że w naszej sytuacji ani adres IP, ani identyfikatory cookies nie pozwalały na identyfikację osób fizycznych, a instalacja plików cookies nie była związana z gromadzeniem danych osobowych.
WSA wskazał, że PUODO nie wyjaśnił odpowiednio okoliczności sprawy i przyjął z góry, że adres IP i identyfikatory cookies są danymi osobowymi. Sąd podkreślił również, że samo instalowanie cookies nie musi wiązać się z przetwarzaniem danych osobowych, a kwalifikacja takich informacji wymaga uwzględnienia konkretnego kontekstu.
Dziś możemy podzielić się kolejnym, niezwykle ważnym etapem tej sprawy – wyrokiem Naczelnego Sądu Administracyjnego, który podtrzymał stanowisko WSA i potwierdził poprawność naszego podejścia.
NSA jednoznacznie wskazał, że zarówno adres IP, jak i identyfikatory plików cookies nie są automatycznie danymi osobowymi. Aby je tak zakwalifikować, konieczne jest wykazanie, że mogą posłużyć do identyfikacji konkretnej osoby w danym kontekście. Uznanie adresu IP za daną osobową zależy m.in. od tego, czy jest przypisany na stałe lub przez dłuższy czas do konkretnego użytkownika. Taka sama zasada dotyczy identyfikatorów plików cookies.
To rozstrzygnięcie nie tylko kończy naszą wieloetapową walkę o klarowność interpretacji przepisów, ale także stanowi istotny punkt odniesienia na przyszłość – wskazuje, jak należy podchodzić do kwalifikacji informacji jako danych osobowych i przypomina, że każdy przypadek wymaga indywidualnej analizy.
Osoby zainteresowane bardziej szczegółową historią naszych doświadczeń mogą zapoznać się z artykułami pod poniższymi linkami:
