Skorzystaj z niewykorzystanego budżetu na 2024 rok z Judykatura.pl!
Prezes UODO naruszył przepisy k.p.a. uznając pliki cookies za dane osobowe
Wszystkim, w branży ochrony danych osobowych, znana jest doskonale sprawa dotycząca postępowania Prezesa Urzędu Ochrony Danych Osobowych w zakresie przetwarzania przez administratora danych zbieranych za pomocą plików cookies czy też w zakresie informacji, jakie ten administrator pozyskiwał z powodu wyświetlania strony internetowej tj. numer IP. Teraz mamy dostęp do uzasadnienia orzeczenia WSA w Warszawie w przedmiotowej sprawie.
Organ nadzorczy zakończył swoje rozważania dotyczące zbierania danych osobowych na odesłaniu do orzeczeń Trybunału Sprawiedliwości UE w sprawie p. Breyer (C-582/14) oraz w sprawie Planet 49 (C-673/17).
I jak łatwo się domyślić było to zdecydowanie za mało dla WSA w Warszawie.
Sąd ten wskazał, że z lektury akt postępowania administracyjnego jasno wynika naruszenie, przez Prezesa UODO, m.in. art. 107 § 3 k.p.a.:
Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa
Naruszenie to mogło, zdaniem Sądu, mieć istotny wpływ na wynik sprawy. Sąd administracyjny wskazał swoje wątpliwości, co do stwierdzenia, że w przedmiotowej sprawie doszło do przetwarzania danych osobowych:
Organ nadzorczy stwierdził bowiem, że skarżąca przetwarzała bez podstawy prawnej dane osobowe J. O.. Nie ustalił jednak uprzednio – z poszanowaniem obowiązków płynących dlań z powołanych przepisów postępowania – czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe uczestnika postępowania.
Także uzasadnienie zaskarżonej decyzji, jakkolwiek formalnie poprawne, nie pozwala Sądowi na zweryfikowanie w realiach rozpoznanej sprawy poprawności kwalifikacji wymienionych identyfikatorów internetowych jako danych osobowych.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Według Sądu organ nadzorczy nie wyjaśnił, na jakiej podstawie ustalił, że istnieje “uzasadnione prawdopodobieństwo zidentyfikowania” J. O. w powiązaniu z tymi danymi, tj. adresem IP oraz ID plików cookies:
zaprezentowana natomiast przezeń odwołująca się do wyroku Naczelnego Sądu Administracyjnego z 19 maja 2011 r. sygn. akt I OSK 1079/10 – ocena prawna, po pierwsze jednoznacznie wskazuje na to, że adres IP nie zawsze może być traktowany jako dane osobowe. Taka konstatacja pominięta w zacytowanym przez PUODO fragmencie powołanego wyroku – została wprost wyrażona przez Naczelny Sąd Administracyjne (“[…] Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy […]”).
Po drugie, zgodnie z przyjętym w tym wyroku stanowiskiem, uznanie adresu IP za dane osobowe determinowane jest przypisaniem go na dłuższy okres lub na stałe do konkretnego urządzenia.
wywiedziona przez PUODO w uzasadnieniu zaskarżonej decyzji kwalifikacja adresu IP jako danej osobowej odnosi się więc do tzw. stałego (statycznego) adresu IP, a nie zmiennego (dynamicznego) adresu IP. Tylko bowiem pierwszy z wymienionych jest niezmienny i umożliwia stałą identyfikację urządzenia podłączonego do sieci. Adresy dynamiczne są natomiast tymczasowe, przydzielane każdemu połączeniu z Internetem i zastępowane podczas kolejnych połączeń. Nie może zatem być mowy o ich przypisaniu – jak stwierdzono w powołanym przez PUODO wyroku Naczelnego Sądu Administracyjnego – na dłuższy czas lub na stałe do konkretnego urządzenia [zob. wyrok Trybunału Sprawiedliwości z 19 października 2016 r. w sprawie C-582/14 Breyer (pkt 36), opinia rzecznika generalnego w tej sprawie (punkty 1 – 4)].
oraz
trzeba zatem zastrzec (o czym szerzej w dalszej części uzasadnienia), że niewątpliwie także zmienny (dynamiczny) adres IP może (ale nie w każdej sytuacji) stanowić daną osobową.
w uzasadnieniu zaskarżonej decyzji brak jednak ustaleń tak co do przyjętego w niej przez PUODO kryterium kwalifikacji adresu IP jako danej osobowej (tj. przypisania go na dłuższy czas lub na stałe do konkretnego urządzenia), jak i co do określonych w art. 4 pkt 1 w powiązaniu z motywami 26 i 30 RODO warunków uznania tego identyfikatora za daną osobową. Także z akt sprawy nie wynika, by w tym zakresie prowadzono postępowanie wyjaśniające. Na ich podstawie można stwierdzić, że już w pierwszym piśmie (z 7 lipca 2021 r.) wystosowanym do skarżącej w trybie art. 58 ust. 1 lit. a i lit. e RODO z żądaniem udzielania informacji i złożenia wyjaśnień, organ nadzorczy niejako “z góry” założył, że zarówno adres IP, jak i sztucznie nadany ID z cookies stanowią dane osobowe J. O.. Spółka w odpowiedzi z 13 sierpnia 2021 r. wyraziła stanowisko, że numer IP/ID użytkownika nie daje jej możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową, a co za tym idzie, że nie przetwarzała danych osobowych uczestnika postępowania w tym zakresie, bowiem informacje te nie stanowią dla niej danych osobowych.
niewyjaśnienie tej istotnej, w świetle przyjętych w zaskarżonej decyzji kryteriów uznania adresu IP za daną osobową, okoliczności (stałego lub zmiennego charakteru adresu IP interfejsu sieciowego urządzenia, z którego korzystał J. O.) nie mogłoby mieć istotnego wpływu na wynik sprawy, gdyby dopuszczalne w świetle przepisów RODO było przyjęcie, że adres IP jest daną osobową w rozumieniu art. 4 pkt 1 RODO niezależnie od tego, czy jest adresem stałym, czy zmiennym oraz niezależnie od tego, w czyim znajduje się posiadaniu oraz jakie możliwości posiada dysponent tej informacji w celu dokonania identyfikacji.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
taki wniosek nie znajduje jednak oparcia ani w przepisach RODO, ani w stanowisku Trybunału Sprawiedliwości Unii Europejskiej odnoszącym się wprawdzie do dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE. L. z 1995 r. Nr 281, str. 31 ze zm.), które jednak w istotnej dla przedmiotowej sprawy części zachowuje aktualność na tle przepisów RODO.
oraz istotna jest treść motywu 26 RODO:
przede wszystkim należy zauważyć, że RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników (“śladów”), które mogą pozwolić na identyfikację osoby fizycznej. W powołanym wyżej motywie 30 stwierdza się bowiem, że ich wykorzystanie “(…) może (…) skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób […]”.
w art. 4 pkt 1 RODO stanowi zaś, że możliwa do zidentyfikowania osoba fizyczna, to taka którą można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatora internetowego.
swoisty test możliwości identyfikacji osoby fizycznej przewidziano w motywie 26 RODO, który wskazuje, że “[…] aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (ang. wers. jęz.: all the means reasonably likely to be used – przyp. Sądu) przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej
aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany (ang. wers. jęz.: whether means are reasonably likely to be used – przyp. Sądu) do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny […]”.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Stanowisko Sądu co do uchyleniu przedmiotowej decyzji Prezesa UODO było także spowodowane tym, że:
w uzasadnieniu zaskarżonej decyzji organ w ogóle nie odnosił się do kwestii możliwości prawnych zwrócenia się przez skarżącą do właściwego organu w celu uzyskania od dostawcy dostępu do Internetu informacji pozwalających – w połączeniu z adresem IP – na identyfikację osoby, której skarga wszczęła postępowanie przed PUODO. Z akt sprawy wynika, że organ nadzorczy – pomimo podnoszonej w toku postępowania argumentacji skarżącej wskazującej na brak możliwości identyfikacji – nie rozważał też tej kwestii w toku postępowania.
rozstrzygnięciem zaskarżonej decyzji objęto nie tylko adres IP, ale także “sztucznie nadany ID z cookies”. Konstatację, że “zarówno adres IP Skarżącego, jak również ID plików cookies, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe” poprzedzono jednak wyjaśnieniem podstawy prawnej decyzji w zakresie kwalifikacji jako danej osobowej (w świetle art. 4 pkt 1 i motywu 30 RODO) wyłącznie adresu IP.
zacytowane stwierdzenie zostało jednak oparte na ustaleniach zawartych w punkcie 45 wyroku Trybunału, gdzie stwierdzono, że “(…) pliki cookie, które mogą być instalowane na urządzeniu końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez spółkę Planet49, zawierają numer przypisany do danych rejestracyjnych tego użytkownika, który w formularzu uczestnictwa w tej grze musi wpisać swoje imię i nazwisko oraz adres. Sąd odsyłający dodaje, że skojarzenie tego numeru z tymi danymi powoduje personalizację danych przechowywanych przez pliki cookie, gdy użytkownik korzysta z Internetu, wobec czego zbieranie tych danych za pomocą plików cookie jest przetwarzaniem danych osobowych […]”.
w okolicznościach sprawy zakończonej zaskarżoną decyzją nie doszło do sytuacji, w której J. O. wypełnił jakikolwiek formularz na stronie internetowej skarżącej, a tym bardziej taki, w którym podałby swoje imię, nazwisko lub adres. Skarżąca w piśmie z 13 sierpnia 2021 r. wyjaśniała natomiast, że właściciel domeny […], to dostawca oprogramowania dla Spółki służącego do przesyłania wiadomości on-line podczas wizyty na stronie lub zamówienia rozmowy telefonicznej, oraz że w przypadku, gdy nie zostanie rozpoczęty czat, żadne informacje poza adresem IP odwiedzającego stronę nie są przekazywane temu dostawcy. Ponadto, jak utrzymywała […], wszystkie inne domeny wymienione przez J. O. wynikają z wykorzystywania plików cookies analitycznych na stronie Spółki. Spółka zaznaczała, że wysyłane jest jedynie zapytanie dotyczące cookie ID, a nie historia przeglądania. Wywodziła też, że za pomocą unikalnego identyfikatora, który został przekazany za pomocą cookies analitycznego, nie można dokonać identyfikacji użytkownika końcowego, którym jest uczestnik postępowania.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.