Kontakt


NewTechLaw.eu sp. z o.o.
 
Adres:
ul. Telimeny 38/5
30-838 Kraków
Polska
KRS 0001059923
NIP/VAT PL6793277655
REGON 52646618000000
Email:
biuro@newtechlaw.eu
Zarząd:
Szczepan WATRAS - członek zarządu
Tomasz IZYDORCZYK - członek zarządu

Contact


NewTechLaw.eu sp. z o.o.
 
Address:
ul. Telimeny 38/5
30-838 Kraków
Poland
KRS 0001059923
NIP/VAT PL6793277655
REGON 52646618000000
Email:
biuro@newtechlaw.eu
Management:
Szczepan WATRAS - Member of the Board
Tomasz IZYDORCZYK - Member of the Board

W dniu 11 lipca 2022 Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w sprawie dotyczącej identyfikatorów z plików cookies (sygn. II SA/Wa 3993/21). Jest to pierwsze orzeczenie w Polsce na gruncie RODO kwestii śledzenia w internecie przy wykorzystaniu plików cookies.
W przedmiotowej sprawie skargę sporządził i reprezentował spółkę iSecure (adresat decyzji UODO) r. pr. dr Mirosław Gumularz. Sprawa była szeroko komentowana w mediach:

Rzeczpospolita:

Dziennik Gazeta Prawna:

Prawo.pl

Poniżej najważniejsze tezy orzeczenia (orzeczenie nieprawomocne):

Teza 1

Organ nadzorczy stwierdził, że skarżąca przetwarzała bez podstawy prawnej dane osobowe X. Nie ustalił jednak uprzednio czy informacje objęte rozstrzygnięciem zaskarżonej decyzji tj. IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe (s. 12). 

Teza 2

Organ nie wyjaśnił na jakiej podstawie ustalił, że istnieje uzasadnione prawdopodobieństwo identyfikacji X (którego dotyczyła sprawa) w powiązaniu z danymi takimi jak nr IP czy sztucznie nadany ID cookies (s. 14). 

Teza 3

IP nie zawsze jest daną osobową – uznanie IP za dane osobowe determinowane jest przypisaniem go na dłuższy okres lub stale do konkretnego urządzenia (s. 14). 

Teza 4 

Organ „z góry” założył, że IP/ID cookies stanowią dane osobowe X, mimo, że Prezes UODO nie prowadził w toku postępowania jakichkolwiek czynności w celu ustalenia czy te informacje w istocie są informacjami, które dotyczą możliwej do identyfikacji osoby fizycznej (s. 15). 

Teza 5 

W przypadku IP i identyfikatora z cookies należy uwzględnić motyw 26 RODO tj. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny (s. 16-17). 

Teza 6

Nie ma podstaw, by uznać, że adres IP – niezależnie od tego, czy jest adresem stałym (statycznym), czy zmiennym (dynamicznym) oraz niezależnie od tego, kto jest jego dysponentem i jakie istnieją możliwości wykorzystania go w celu identyfikacji osoby fizycznej, należy zawsze traktować jako daną osobową. Ten sam wniosek dotyczy identyfikatorów plików cookies. Możliwość dokonania samoidentyfikacji, przez osobę której dane dotyczą nie ma rozstrzygającego znaczenia (s. 17). 

Teza 7

Sąd wyraźnie podkreślił, że to, że TSUE w jednej ze spraw (C-528/14) przyjął, że istnieje rozsądne prawdopodobieństwo identyfikacji osoby fizycznej (w kontekście zmiennego IP) nie oznacza, że w każdej sytuacji tak jest (należy uwzględnić m.in. kto dysponuje tymi informacjami a także „obiektywnie istniejące czynniki” m.in. dopuszczalność zaangażowania dostawcy dostępu do Internetu w proces identyfikacji) (s. 20). 

“(…) fakt, że w wyroku w sprawie C-584/14 Trybunał przyjął tzw. obiektywne podejście do przesłanki identyfikowalności osoby fizycznej nie oznacza, iż stwierdził, że dynamiczny adres IP, niezależnie od okoliczności konkretnej sprawy, zawsze stanowi wobec dostawcy usług medialnych (np. prowadzącego stronę internetową) dane osobowe. Z wyroku tego jednoznacznie wynika, że Trybunał, odpowiadając na pytanie sądu odsyłającego, oparł się na założeniu tego sądu, zgodnie z którym, dane obejmujące dynamiczny adres IP oraz datę i godzinę przeglądania strony internetowej z tego adresu IP, zarejestrowane przez dostawcę usług medialnych online, nie dają same w sobie temu dostawcy możliwości zidentyfikowania użytkownika, który przeglądał tę stronę internetową w trakcie danej sesji, a z drugiej strony dostawca dostępu do Internetu dysponuje dodatkowymi informacjami, które w połączeniu z tym adresem IP umożliwiają identyfikację danego użytkownika. Trybunał oparł się jednak także na założeniu (z zastrzeżeniem konieczności zweryfikowania tego przez sąd krajowy), że w prawie niemieckim istnieją środki prawne umożliwiające dostawcy usług medialnych online (w tej sprawie był do Rząd Republiki Federalnej Niemiec) zwrócenia się do właściwego organu, aby podjął on konieczne działania w celu uzyskania dodatkowych informacji od dostawcy dostępu do Internetu oraz w celu wszczęcia ścigania karnego. Jak wynika z wyroku (pkt 13 i pkt 14), aby chronić się przed atakami i umożliwić ściganie na drodze karnej “piratów”, w przypadku stron internetowych niemieckich służb federalnych, każde wejście na stronę jest rejestrowane w pliku logów. Po zakończeniu danej sesji w danych tych przechowuje się nazwę konsultowanych danych lub strony, pojęcia wpisane w polach wyszukiwania, dzień i godzinę konsultacji, ilość przesłanych danych, informację, czy konsultacja się powiodła, oraz adres IP komputera, za pomocą którego przeglądano określone dane lub strony”.

Teza 8

Sąd podkreślił, że miał na uwadze, że identyfikacja osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska. Zdaniem sądu identyfikacja wymaga jednak znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych. Dają możliwość wyodrębnienia jej spośród innych osób (s. 22). 

Teza 9

Sąd podziela stanowisko EROD (opinia 5/2019), że organy ochrony danych (np. Prezes UODO) posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegającym przepisom implementującym dyrektywę e-privacy (art. 173 dotyczący cookies) tylko gdy prawo krajowe stanowi, że należy to do ich właściwości. Nie mniej sąd stwierdził, że sam fakt, że podzbiór przetwarzania wchodzi w zakres dyrektywy jeszcze nie ogranicza oceny w zakresie przetwarzania danych na podstawie RODO. W związku z tym Sąd stwierdza: 

– zapewnienie zgodności z prawem przechowywania informacji na urządzeniu końcowym lub korzystanie z tych informacji należy do właściwości Prezesa UKE (s. 24.).

– Nie mniej PUODO pozostaje właściwy do oceny operacji (innych niż przechowywanie informacji na urządzeniu końcowym / dostęp do nich) dokonywanych w następnie przechowywania informacji lub uzyskiwania do nich dostęp (na urządzeniu końcowym) (s. 26). 

Teza 10

W przypadku korzystania z mechanizmów śledzących na stronach www okoliczność, że sam operator witryny nie ma dostępu do danych gromadzonych przez dostawcę tego oprogramowania nie wyklucza przypisania operatorowi strony statusu na gruncie RODO (administratora danych). Nie mniej odpowiedzialność operatora witryny w tym przypadku ogranicza się do operacji w ramach, których rzeczywiście określa cele i środki przetwarzania danych (zebranie i ujawnienie do dostawcy oprogramowania, którego kod wstawiono na www) (s. 26). 

31 października 2022 r .
Mirek