iSecure logo
Blog

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na pisemne uzasadnienie z ww. Sądu. Zanim jednak o nim, dla tych co w ogóle nie pamiętają o jaką sprawę chodzi – odsyłam do lektury innego tekstu z bloga, gdzie Maria Lothamer, Wiceprezes iSecure Sp. z o.o., wyjaśniała powody, dla których zdecydowaliśmy się zaskarżyć decyzję PUODO (najkrócej rzecz ujmując – chodzi o pliki cookies vs. dane osobowe). We wpisie tym znajdziecie również samą decyzję w formacie PDF, którą możecie sobie pobrać i zapoznać się z detalami.

Wracając do uzasadnienia – pod koniec zeszłego tygodnia wreszcie je otrzymaliśmy – i jako się rzekło – udostępniamy je wszystkim zainteresowanym.

Poniżej zaś krótkie podsumowanie kilku ważniejszych tez i wniosków z powyższego:

  • przede wszystkim WSA jednoznacznie wskazał, że PUODO naruszył kluczowe dla postępowania administracyjnego przepisy kpa, które dotyczą braku należytego wyjaśnienia okoliczności sprawy tj. art. 7, art. 77 §1, art. 80 oraz art. 107 §3,
  • organ nadzorczy nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z adresem IP oraz ID plików cookies – przywołany przez PUODO wyrok NSA (z 19 maja 2011 r. sygn. akt I OSK 1079/10) wyraźnie wskazuje, że adres IP nie zawsze może być traktowany jako dana osobowa; ponadto w wyroku tym wskazane są warunki kwalifikacji adresu IP jako danej osobowej, jednak PUODO nie wyjaśnił, czy w przedmiotowej sprawie są one spełnione,
  • w przedmiotowej sprawie organ nadzorczy nie wskazał kryterium kwalifikacji adresu IP jako danej osobowej – czy adres ten przypisany był na dłuższy czas lub na stałe do konkretnego urządzenia – z akt sprawy wynika, że nie było w tym zakresie prowadzone postępowanie wyjaśniające,
  • WSA ustalił, że z korespondencji prowadzonej przez PUODO z iSecure Sp. z o.o. wynika, że organ nadzorczy niejako “z góry” założył, że adres IP jak i sztucznie nadany ID z plików cookies stanowią dane osobowe,
  • Sąd wskazał, że RODO nie rozstrzyga czy same identyfikatory plików cookies powinny być zawsze traktowane jako dane osobowe, czy jako jeden z czynników (“śladów”), które mogą pozwolić na identyfikację osoby fizycznej – w motywie 30 użyte jest zdanie “może (…) skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystane do tworzenia profili i identyfikacji tych osób”,
  • WSA potwierdził, że adres IP nie zawsze jest daną osobową – analogicznie wygląda to z plikami cookies (trzeba brać pod uwagę motyw 26 RODO, żeby móc to stwierdzić),
  • skarżący iSecure Sp. z o.o. do PUODO nie wypełniał żadnego formularza rejestracyjnego, co wiązałoby się z gromadzeniem danych z formularza w plikach cookies (vide sprawa C-673/17), więc nie można stwierdzić, że instalowanie plików cookies wiąże się z przetwarzaniem danych, co z kolei prowadzi do wniosku, że PUODO nie wyjaśnił w sposób prawidłowy w jaki sposób ID plików cookies zostały zakwalifikowane jako dane osobowe.

Całą resztę możecie sobie doczytać w uzasadnieniu. Lektura jest dość zajmująca i zajmuje 29 stron, także nie pozostaje mi nic innego jak życzyć miłej lektury i wyciągania odpowiednich wniosków.

Warto oczywiście dodać, że PUODO może skorzystać ze skargi kasacyjnej i wówczas sprawą zajmie się Naczelny Sąd Administracyjny. Jeśli tak się stanie – oczywiście możecie na nas liczyć i jak tylko sprawa będzie wyjaśniona, otrzymacie wszystko z pierwszej ręki.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Wspomnienia ze Spodka 2.0

Stanowisko iSecure w sprawie realizacji obowiązku informacyjnego wobec osób reprezentujących spółki i inne podmioty prawne

Gorzka pigułka od PUODO leczy najskuteczniej 30 czerwca bieżącego roku na stronie internetowej Urzędu Ochrony Danych Osobowych („UODO”) została opublikowana odpowiedź na pytanie: „Czy należy dopełniać obowiązek informacyjny na mocy art. 13 i 14 RODO w sytuacji, gdy w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji spółek np. członków zarządu […]

Przydatne aplikacje

Program lojalnościowy a przetwarzanie danych osobowych

Program lojalnościowy to nie tylko budowanie trwałych i pozytywnych relacji z klientami, ale również właściwie zabezpieczenie gromadzonych w tym celu danych osobowych. W praktyce zaprojektowanie programu lojalnościowego, bezpiecznego pod kątem przepisów o ochronie danych osobowych jest trudne i skomplikowane, ale pomimo tej niedogodności, przedsiębiorcy bardzo chętnie sięgają po tę formę reklamy i promocji. Jak zatem […]

Sprawozdanie z działalności Prezesa UODO w liczbach

Jak co roku, Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności. Na ponad 308 stronach znajdziemy rozległe informacje o realizacji ustawowych zadań związanych z kontrolą przestrzegania przepisów o ochronie danych osobowych, przyjmowaniem zgłoszeń, naruszeń i rozpatrywaniem skarg, opiniowaniem aktów prawnych, uczestnictwem w pracach międzynarodowych czy działalności edukacyjno-informacyjnej. To szczególnie istotny raport, który pozwala na ocenę […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki