iSecure logo
Blog

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na pisemne uzasadnienie z ww. Sądu. Zanim jednak o nim, dla tych co w ogóle nie pamiętają o jaką sprawę chodzi – odsyłam do lektury innego tekstu z bloga, gdzie Maria Lothamer, Wiceprezes iSecure Sp. z o.o., wyjaśniała powody, dla których zdecydowaliśmy się zaskarżyć decyzję PUODO (najkrócej rzecz ujmując – chodzi o pliki cookies vs. dane osobowe). We wpisie tym znajdziecie również samą decyzję w formacie PDF, którą możecie sobie pobrać i zapoznać się z detalami.

Wracając do uzasadnienia – pod koniec zeszłego tygodnia wreszcie je otrzymaliśmy – i jako się rzekło – udostępniamy je wszystkim zainteresowanym.

Poniżej zaś krótkie podsumowanie kilku ważniejszych tez i wniosków z powyższego:

  • przede wszystkim WSA jednoznacznie wskazał, że PUODO naruszył kluczowe dla postępowania administracyjnego przepisy kpa, które dotyczą braku należytego wyjaśnienia okoliczności sprawy tj. art. 7, art. 77 §1, art. 80 oraz art. 107 §3,
  • organ nadzorczy nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z adresem IP oraz ID plików cookies – przywołany przez PUODO wyrok NSA (z 19 maja 2011 r. sygn. akt I OSK 1079/10) wyraźnie wskazuje, że adres IP nie zawsze może być traktowany jako dana osobowa; ponadto w wyroku tym wskazane są warunki kwalifikacji adresu IP jako danej osobowej, jednak PUODO nie wyjaśnił, czy w przedmiotowej sprawie są one spełnione,
  • w przedmiotowej sprawie organ nadzorczy nie wskazał kryterium kwalifikacji adresu IP jako danej osobowej – czy adres ten przypisany był na dłuższy czas lub na stałe do konkretnego urządzenia – z akt sprawy wynika, że nie było w tym zakresie prowadzone postępowanie wyjaśniające,
  • WSA ustalił, że z korespondencji prowadzonej przez PUODO z iSecure Sp. z o.o. wynika, że organ nadzorczy niejako “z góry” założył, że adres IP jak i sztucznie nadany ID z plików cookies stanowią dane osobowe,
  • Sąd wskazał, że RODO nie rozstrzyga czy same identyfikatory plików cookies powinny być zawsze traktowane jako dane osobowe, czy jako jeden z czynników (“śladów”), które mogą pozwolić na identyfikację osoby fizycznej – w motywie 30 użyte jest zdanie “może (…) skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystane do tworzenia profili i identyfikacji tych osób”,
  • WSA potwierdził, że adres IP nie zawsze jest daną osobową – analogicznie wygląda to z plikami cookies (trzeba brać pod uwagę motyw 26 RODO, żeby móc to stwierdzić),
  • skarżący iSecure Sp. z o.o. do PUODO nie wypełniał żadnego formularza rejestracyjnego, co wiązałoby się z gromadzeniem danych z formularza w plikach cookies (vide sprawa C-673/17), więc nie można stwierdzić, że instalowanie plików cookies wiąże się z przetwarzaniem danych, co z kolei prowadzi do wniosku, że PUODO nie wyjaśnił w sposób prawidłowy w jaki sposób ID plików cookies zostały zakwalifikowane jako dane osobowe.

Całą resztę możecie sobie doczytać w uzasadnieniu. Lektura jest dość zajmująca i zajmuje 29 stron, także nie pozostaje mi nic innego jak życzyć miłej lektury i wyciągania odpowiednich wniosków.

Warto oczywiście dodać, że PUODO może skorzystać ze skargi kasacyjnej i wówczas sprawą zajmie się Naczelny Sąd Administracyjny. Jeśli tak się stanie – oczywiście możecie na nas liczyć i jak tylko sprawa będzie wyjaśniona, otrzymacie wszystko z pierwszej ręki.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Zanim znajdziemy wykonawcę aplikacji

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze […]

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie […]

Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki