iSecure logo
Blog

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na pisemne uzasadnienie z ww. Sądu. Zanim jednak o nim, dla tych co w ogóle nie pamiętają o jaką sprawę chodzi – odsyłam do lektury innego tekstu z bloga, gdzie Maria Lothamer, Wiceprezes iSecure Sp. z o.o., wyjaśniała powody, dla których zdecydowaliśmy się zaskarżyć decyzję PUODO (najkrócej rzecz ujmując – chodzi o pliki cookies vs. dane osobowe). We wpisie tym znajdziecie również samą decyzję w formacie PDF, którą możecie sobie pobrać i zapoznać się z detalami.

Wracając do uzasadnienia – pod koniec zeszłego tygodnia wreszcie je otrzymaliśmy – i jako się rzekło – udostępniamy je wszystkim zainteresowanym.

Poniżej zaś krótkie podsumowanie kilku ważniejszych tez i wniosków z powyższego:

  • przede wszystkim WSA jednoznacznie wskazał, że PUODO naruszył kluczowe dla postępowania administracyjnego przepisy kpa, które dotyczą braku należytego wyjaśnienia okoliczności sprawy tj. art. 7, art. 77 §1, art. 80 oraz art. 107 §3,
  • organ nadzorczy nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z adresem IP oraz ID plików cookies – przywołany przez PUODO wyrok NSA (z 19 maja 2011 r. sygn. akt I OSK 1079/10) wyraźnie wskazuje, że adres IP nie zawsze może być traktowany jako dana osobowa; ponadto w wyroku tym wskazane są warunki kwalifikacji adresu IP jako danej osobowej, jednak PUODO nie wyjaśnił, czy w przedmiotowej sprawie są one spełnione,
  • w przedmiotowej sprawie organ nadzorczy nie wskazał kryterium kwalifikacji adresu IP jako danej osobowej – czy adres ten przypisany był na dłuższy czas lub na stałe do konkretnego urządzenia – z akt sprawy wynika, że nie było w tym zakresie prowadzone postępowanie wyjaśniające,
  • WSA ustalił, że z korespondencji prowadzonej przez PUODO z iSecure Sp. z o.o. wynika, że organ nadzorczy niejako „z góry” założył, że adres IP jak i sztucznie nadany ID z plików cookies stanowią dane osobowe,
  • Sąd wskazał, że RODO nie rozstrzyga czy same identyfikatory plików cookies powinny być zawsze traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej – w motywie 30 użyte jest zdanie „może (…) skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystane do tworzenia profili i identyfikacji tych osób”,
  • WSA potwierdził, że adres IP nie zawsze jest daną osobową – analogicznie wygląda to z plikami cookies (trzeba brać pod uwagę motyw 26 RODO, żeby móc to stwierdzić),
  • skarżący iSecure Sp. z o.o. do PUODO nie wypełniał żadnego formularza rejestracyjnego, co wiązałoby się z gromadzeniem danych z formularza w plikach cookies (vide sprawa C-673/17), więc nie można stwierdzić, że instalowanie plików cookies wiąże się z przetwarzaniem danych, co z kolei prowadzi do wniosku, że PUODO nie wyjaśnił w sposób prawidłowy w jaki sposób ID plików cookies zostały zakwalifikowane jako dane osobowe.

Całą resztę możecie sobie doczytać w uzasadnieniu. Lektura jest dość zajmująca i zajmuje 29 stron, także nie pozostaje mi nic innego jak życzyć miłej lektury i wyciągania odpowiednich wniosków.

Warto oczywiście dodać, że PUODO może skorzystać ze skargi kasacyjnej i wówczas sprawą zajmie się Naczelny Sąd Administracyjny. Jeśli tak się stanie – oczywiście możecie na nas liczyć i jak tylko sprawa będzie wyjaśniona, otrzymacie wszystko z pierwszej ręki.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Ustawa o sygnalistach w końcu uchwalona – nowe wyzwania pod kątem ochrony danych osobowych

Wstęp Po bardzo długich miesiącach, licznych zmianach, poprawkach, dyskusjach, głośna medialnie ustawa o ochronie sygnalistów w końcu została podpisana przez Prezydenta oraz opublikowana w Dzienniku Ustaw. Ustawa wejdzie w życie w ciągu 3 miesięcy od dnia jej ogłoszenia, tj. 25 września 2024. Organizacje mają zatem niecałe 3 miesiące na dostosowanie się do wymogów ustawy, a […]

Nowa decyzja o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”

10 lipca 2023 r. Komisja Europejska przyjęła – na podstawie art. 45 RODO – decyzję o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”. To zwieńczenie długiego procesu budowania nowej regulacji do wymiany danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi, który rozpoczął się wkrótce po uchyleniu poprzedniej decyzji o zapewnieniu odpowiedniego poziomu ochrony […]

Które kraje zapewniają odpowiedni stopień ochrony danych?

Inspektorzy Ochrony Danych w codziennej pracy są wyczuleni na pewne sytuacje, przy których należy się zatrzymać i zwrócić na nie szczególną uwagę. Alarmujące jest, gdy hasło do załącznika znajduje się w treści tej samej wiadomości lub jest niezwykle proste (np. „987654”). Jesteśmy wyczuleni na klauzule zgody, zwłaszcza w sytuacjach, gdy zgoda nie jest prawidłową podstawą […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki