Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam.
W związku z tym, że o ciasteczkach mówi się bardzo dużo, ale bez większych konkretów, z uwagi na to, że brak jest wyraźnych przepisów prawnych, a nade wszystko zaleceń ze strony takich urzędów jak UKE czy UODO, większość właścicieli stron www stara się realizować wymóg akceptacji plików w lepszy lub gorszy sposób. My jako iSecure, czyli podmiot specjalizujący się między innymi w tej dziedzinie, poradziliśmy sobie z tym w całkiem nienajgorszy sposób (baner był czytelny i napisany jasnym językiem, analogicznie polityka prywatności, która zawierała w tym zakresie wszystkie niezbędne informacje) 🙂 Co jednak jednemu wydaje się oczywiste, innemu może nie odpowiadać. Dlaczego tak jest, wskazałam nieco wyżej (w skrócie: brak jasności przepisów / wytycznych). I jak się finalnie okazało – nie odpowiadało to na tyle mocno, że została skierowana na nas skarga do UODO 🙂 Mimo bardzo szczegółowych wyjaśnień z naszej strony, Urząd miał w tej sprawie inne zdanie (w naszym przekonaniu co najmniej nie przystające do realiów praktycznego podejścia do problemu). Otrzymaliśmy nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies, których nijak nie byliśmy w stanie powiązać z osobą, która złożyła skargę do UODO, a także poinformować o konieczności usunięcia tych danych inne podmioty, którym te informacje zostały udostępnione. Warto wspomnieć, że materiał dowodowy, który przedstawiliśmy, zawierał konkretne informacje, że dla iSecure adres IP i ID cookies, o których mowa powyżej, w żaden sposób nie dają możliwości identyfikacji skarżącego, że podmiot wskazany przez skarżącego jako podmiot, który mógł uzyskać (ale ostatecznie nie uzyskał) dostęp do adresu IP skarżącego, jest naszym procesorem i współpracujemy z nim na podstawie umowy powierzenia, itd.
Mogliśmy tę sprawę po prostu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy kto posiada firmową stronę internetową. W tej sytuacji zarząd iSecure podjął decyzję, że owe niedokładne zbadanie sprawy, decydowanie przez UODO w kwestiach, o których mowa w przepisach prawa telekomunikacyjnego (czy aby na pewno UODO jest właściwy w zakresie oceny zgodności naszego działania z wymogami określonymi w ustawie Prawo telekomunikacyjne?), nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google), nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają naszej interwencji na poziomie wyższej instancji. W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej Spółki, ale i każdej innej firmy obecnej w Internecie.
W związku z powyższym postanowiliśmy złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie ww. Sądu będzie mogło służyć Wam wszystkim w przyszłości.
Już dziś ujawniamy ww. decyzję UODO (link do decyzji poniżej), bo wierzymy, że może być ona pomocna każdemu, kto prowadzi biznes w Polsce, a jednocześnie liczymy na poważną, bo podpartą konkretem, dyskusję prawników specjalizujących się w ochronie danych osobowych w interesującym nas (i zapewne Was) temacie.
Zapraszamy do śledzenia naszej sprawy, ponieważ to dopiero początek 🙂
