iSecure logo
Blog

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na pisemne uzasadnienie z ww. Sądu. Zanim jednak o nim, dla tych co w ogóle nie pamiętają o jaką sprawę chodzi – odsyłam do lektury innego tekstu z bloga, gdzie Maria Lothamer, Wiceprezes iSecure Sp. z o.o., wyjaśniała powody, dla których zdecydowaliśmy się zaskarżyć decyzję PUODO (najkrócej rzecz ujmując – chodzi o pliki cookies vs. dane osobowe). We wpisie tym znajdziecie również samą decyzję w formacie PDF, którą możecie sobie pobrać i zapoznać się z detalami.

Wracając do uzasadnienia – pod koniec zeszłego tygodnia wreszcie je otrzymaliśmy – i jako się rzekło – udostępniamy je wszystkim zainteresowanym.

Poniżej zaś krótkie podsumowanie kilku ważniejszych tez i wniosków z powyższego:

  • przede wszystkim WSA jednoznacznie wskazał, że PUODO naruszył kluczowe dla postępowania administracyjnego przepisy kpa, które dotyczą braku należytego wyjaśnienia okoliczności sprawy tj. art. 7, art. 77 §1, art. 80 oraz art. 107 §3,
  • organ nadzorczy nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z adresem IP oraz ID plików cookies – przywołany przez PUODO wyrok NSA (z 19 maja 2011 r. sygn. akt I OSK 1079/10) wyraźnie wskazuje, że adres IP nie zawsze może być traktowany jako dana osobowa; ponadto w wyroku tym wskazane są warunki kwalifikacji adresu IP jako danej osobowej, jednak PUODO nie wyjaśnił, czy w przedmiotowej sprawie są one spełnione,
  • w przedmiotowej sprawie organ nadzorczy nie wskazał kryterium kwalifikacji adresu IP jako danej osobowej – czy adres ten przypisany był na dłuższy czas lub na stałe do konkretnego urządzenia – z akt sprawy wynika, że nie było w tym zakresie prowadzone postępowanie wyjaśniające,
  • WSA ustalił, że z korespondencji prowadzonej przez PUODO z iSecure Sp. z o.o. wynika, że organ nadzorczy niejako „z góry” założył, że adres IP jak i sztucznie nadany ID z plików cookies stanowią dane osobowe,
  • Sąd wskazał, że RODO nie rozstrzyga czy same identyfikatory plików cookies powinny być zawsze traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej – w motywie 30 użyte jest zdanie „może (…) skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystane do tworzenia profili i identyfikacji tych osób”,
  • WSA potwierdził, że adres IP nie zawsze jest daną osobową – analogicznie wygląda to z plikami cookies (trzeba brać pod uwagę motyw 26 RODO, żeby móc to stwierdzić),
  • skarżący iSecure Sp. z o.o. do PUODO nie wypełniał żadnego formularza rejestracyjnego, co wiązałoby się z gromadzeniem danych z formularza w plikach cookies (vide sprawa C-673/17), więc nie można stwierdzić, że instalowanie plików cookies wiąże się z przetwarzaniem danych, co z kolei prowadzi do wniosku, że PUODO nie wyjaśnił w sposób prawidłowy w jaki sposób ID plików cookies zostały zakwalifikowane jako dane osobowe.

Całą resztę możecie sobie doczytać w uzasadnieniu. Lektura jest dość zajmująca i zajmuje 29 stron, także nie pozostaje mi nic innego jak życzyć miłej lektury i wyciągania odpowiednich wniosków.

Warto oczywiście dodać, że PUODO może skorzystać ze skargi kasacyjnej i wówczas sprawą zajmie się Naczelny Sąd Administracyjny. Jeśli tak się stanie – oczywiście możecie na nas liczyć i jak tylko sprawa będzie wyjaśniona, otrzymacie wszystko z pierwszej ręki.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Ciasteczka nie zawsze smakują najlepiej…

Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam. W związku z […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Kiedy procesor staje się administratorem?

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

Wymiana doświadczenia

Pośrednictwo, leady i RODO, czyli jak to możliwe, że procesor jest jednocześnie administratorem?

W celu maksymalizacji zysków, a także zapewnienia wysokiej jakości usług, outsourcing jest coraz częstszym zjawiskiem w świecie biznesu. Gdy słyszymy “outsourcing usług” najczęściej przychodzą nam do głowy usługi prawne lub księgowe. Nie możemy jednak zapominać, że coraz częstszą formą outsourcingu jest szeroko pojęte pośrednictwo. Jedną z najpopularniejszych form pośrednictwa jest poszukiwanie klientów, zwanych przez biznes […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki