iSecure logo
Blog

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na pisemne uzasadnienie z ww. Sądu. Zanim jednak o nim, dla tych co w ogóle nie pamiętają o jaką sprawę chodzi – odsyłam do lektury innego tekstu z bloga, gdzie Maria Lothamer, Wiceprezes iSecure Sp. z o.o., wyjaśniała powody, dla których zdecydowaliśmy się zaskarżyć decyzję PUODO (najkrócej rzecz ujmując – chodzi o pliki cookies vs. dane osobowe). We wpisie tym znajdziecie również samą decyzję w formacie PDF, którą możecie sobie pobrać i zapoznać się z detalami.

Wracając do uzasadnienia – pod koniec zeszłego tygodnia wreszcie je otrzymaliśmy – i jako się rzekło – udostępniamy je wszystkim zainteresowanym.

Poniżej zaś krótkie podsumowanie kilku ważniejszych tez i wniosków z powyższego:

  • przede wszystkim WSA jednoznacznie wskazał, że PUODO naruszył kluczowe dla postępowania administracyjnego przepisy kpa, które dotyczą braku należytego wyjaśnienia okoliczności sprawy tj. art. 7, art. 77 §1, art. 80 oraz art. 107 §3,
  • organ nadzorczy nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z adresem IP oraz ID plików cookies – przywołany przez PUODO wyrok NSA (z 19 maja 2011 r. sygn. akt I OSK 1079/10) wyraźnie wskazuje, że adres IP nie zawsze może być traktowany jako dana osobowa; ponadto w wyroku tym wskazane są warunki kwalifikacji adresu IP jako danej osobowej, jednak PUODO nie wyjaśnił, czy w przedmiotowej sprawie są one spełnione,
  • w przedmiotowej sprawie organ nadzorczy nie wskazał kryterium kwalifikacji adresu IP jako danej osobowej – czy adres ten przypisany był na dłuższy czas lub na stałe do konkretnego urządzenia – z akt sprawy wynika, że nie było w tym zakresie prowadzone postępowanie wyjaśniające,
  • WSA ustalił, że z korespondencji prowadzonej przez PUODO z iSecure Sp. z o.o. wynika, że organ nadzorczy niejako „z góry” założył, że adres IP jak i sztucznie nadany ID z plików cookies stanowią dane osobowe,
  • Sąd wskazał, że RODO nie rozstrzyga czy same identyfikatory plików cookies powinny być zawsze traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej – w motywie 30 użyte jest zdanie „może (…) skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystane do tworzenia profili i identyfikacji tych osób”,
  • WSA potwierdził, że adres IP nie zawsze jest daną osobową – analogicznie wygląda to z plikami cookies (trzeba brać pod uwagę motyw 26 RODO, żeby móc to stwierdzić),
  • skarżący iSecure Sp. z o.o. do PUODO nie wypełniał żadnego formularza rejestracyjnego, co wiązałoby się z gromadzeniem danych z formularza w plikach cookies (vide sprawa C-673/17), więc nie można stwierdzić, że instalowanie plików cookies wiąże się z przetwarzaniem danych, co z kolei prowadzi do wniosku, że PUODO nie wyjaśnił w sposób prawidłowy w jaki sposób ID plików cookies zostały zakwalifikowane jako dane osobowe.

Całą resztę możecie sobie doczytać w uzasadnieniu. Lektura jest dość zajmująca i zajmuje 29 stron, także nie pozostaje mi nic innego jak życzyć miłej lektury i wyciągania odpowiednich wniosków.

Warto oczywiście dodać, że PUODO może skorzystać ze skargi kasacyjnej i wówczas sprawą zajmie się Naczelny Sąd Administracyjny. Jeśli tak się stanie – oczywiście możecie na nas liczyć i jak tylko sprawa będzie wyjaśniona, otrzymacie wszystko z pierwszej ręki.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Kradzież danych z portali społecznościowych oraz jak chronić się przed zagrożeniami w świecie online

Wstęp W dzisiejszym świecie internetu, gdzie portale społecznościowe są integralną częścią życia codziennego, ochrona danych osobowych staje się coraz ważniejsza. Facebook, LinkedIn, Instagram – to tylko niektóre z platform, na których dzielimy się swoimi danymi. Na portalach społecznościowych często udostępniamy szeroki zakres danych osobowych, w różnych formach. Na przykład, podczas rejestracji na Facebooku, Instagramie czy […]

Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

Co słychać na zielonej wyspie? Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem. Skąd administrator […]

iSecure prywatnie :-)

Jedna z naszych specjalistek ds. ochrony danych osobowych, nie tylko kieruje naszym Oddziałem w Bydgoszczy, ale również jako harcmistrz, od kilku dni kieruje Hufcem ZHP Pałuki pełniąc rolę jego Komendanta, a może Komendantki :-). Mowa oczywiście o Oldze Skotnickiej, która w wyborach na Komendanta Hufca uzyskała maksymalne poparcie, co potwierdza tylko fakt, że Olga nie […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki