Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Rafał Stasikowski Sędziowie: sędzia NSA Zbigniew Ślusarczyk (spr.) sędzia del. WSA Arkadiusz Windak Protokolant: starszy asystent sędziego Łukasz Sielanko po rozpoznaniu w dniu 16 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 lipca 2022 r. sygn. akt II SA/Wa 3993/21 w sprawie ze skargi […] sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 29 września 2021 r. nr DS.523.3908.2021.PR.KM.141473 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 11 lipca 2022 r. sygn. akt II SA/Wa 3993/21 wydanym po rozpoznaniu skargi […] sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 29 września 2021 r. nr DS.523.3908.2021.PR.KM.141473 w przedmiocie przetwarzania danych osobowych, na podstawie art. 145 § 1 pkt 1 lit. c oraz art. 200 w zw. z art. 205 § 2 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm., dalej zwanej “p.p.s.a.”) uchylił zaskarżoną decyzję (pkt 1) oraz zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej kwotę 697 zł tytułem zwrotu kosztów postępowania sądowego (pkt 2).

W uzasadnieniu wyroku Sąd I instancji wskazał, że zaskarżona decyzja została wydana na skutek skargi wniesionej przez J. O. (dalej również jako “uczestnik postępowania”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] sp. z o.o. z siedzibą w W. (dalej również “Spółka” lub “[…]”).

Zaskarżoną decyzją, wydaną na podstawie art. 104 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, art. 6 ust. 1, art. 15 ust. 1 lit. c, art. 15 ust. 3, art. 17 ust. 1, art. 19 i art. 58 ust. 2 lit. b i lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej “RODO”), organ:

1. nakazał […] usunięcie danych osobowych J. O., w zakresie jego adresu IP oraz sztucznie nadanego ID z cookies;

2. nakazał […] poinformować podmioty, którym udostępniła dane osobowe J. O., w zakresie jego adresu IP oraz sztucznie nadanego ID z cookies, o ich usunięciu;

3. udzielił […] upomnienia za naruszenie art. 15 ust. 1 lit. c RODO polegającego na niespełnieniu żądania J. O., w zakresie wskazania mu informacji dotyczących właściciela domeny dobleclick.net oraz czater.pl, którym udostępnione zostały jego dane osobowe;

4. udzielił […] upomnienia za naruszenie art. 6 ust. 1 RODO, polegającego na udostępnieniu podmiotom trzecim bez podstawy prawnej danych osobowych J. O., w zakresie adresu IP oraz sztucznie nadanego ID z cookies;

5. udzielił […] upomnienia za naruszenie art. 15 ust. 3 RODO, polegającego na niespełnieniu żądania J. O. w zakresie udostępnienia kopii jego danych osobowych.

Uwzględniając skargę Sąd I instancji uznał, że zaskarżona decyzja została wydana z naruszeniem przepisów k.p.a. mogących mieć istotny wpływ na wynik sprawy. Organ stwierdził, że skarżąca przetwarzała bez podstawy prawnej dane osobowe J. O.. Zdaniem Sądu ustalenie to nie zostało jednak poprzedzone weryfikacją, czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies, w istocie stanowią dane osobowe uczestnika postępowania. Także uzasadnienie zaskarżonej decyzji, jakkolwiek formalnie poprawne, nie pozwala Sądowi na zweryfikowanie w realiach rozpoznanej sprawy poprawności kwalifikacji wymienionych identyfikatorów internetowych jako danych osobowych.

Sąd zwrócił uwagę, że identyfikatory internetowe, takie jak adres IP czy pliki cookie, mogą zostać przypisane osobom fizycznym i użyte do identyfikacji tych osób. Niemniej organ nadzorczy nie wyjaśnił, na jakiej podstawie ustalił, że istnieje “uzasadnione prawdopodobieństwo zidentyfikowania” J. O. w powiązaniu z tymi danymi, tj. adresem IP oraz ID plików cookies. Odwołując się do orzecznictwa Naczelnego Sądu Administracyjnego Sąd wskazał, że adres IP nie zawsze może być traktowany jako dane osobowe, bowiem uznanie adresu IP za dane osobowe determinowane jest przypisaniem go na dłuższy okres lub na stałe do konkretnego urządzenia. Uzasadnienie decyzji organu odnoszące się do kwalifikacji adresu IP jako danej osobowej odnosi się do stałego (statycznego) adresu IP, a nie zmiennego (dynamicznego) adresu. Tylko bowiem pierwszy z wymienionych jest niezmienny i umożliwia stałą identyfikację urządzenia podłączonego do sieci. Adresy dynamiczne są natomiast tymczasowe, przydzielane każdemu połączeniu z Internetem i zastępowane podczas kolejnych połączeń. Nie może zatem być mowy o ich przypisaniu na dłuższy czas lub na stałe do konkretnego urządzenia.

Mając powyższe na uwadze, w ocenie Sądu I instancji niewyjaśnienie ww. istotnej okoliczności stanowiło naruszenie przepisów postępowania mogące mieć istotny wpływ na wynik sprawy. Brak jest bowiem podstaw do tego, aby adres IP, niezależnie od tego, czy jest adresem stałym (statycznym), czy zmiennym (dynamicznym) oraz niezależnie od tego, kto jest jego dysponentem i jakie istnieją możliwości wykorzystania go w celu identyfikacji osoby fizycznej, zawsze traktować jako daną osobową. Organ winien podjąć czynności mające na celu ustalenie, czy w okolicznościach przedmiotowej sprawy informacje objęte rozstrzygnięciem zaskarżonej decyzji w istocie stanowią dane osobowe uczestnika, tj. dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Organ winien był wziąć pod uwagę, iż przepisy RODO nie rozstrzygają, że identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, oraz że w świetle RODO należy wziąć pod uwagę “wszelkie obiektywne czynniki”, jak np. koszt i czas potrzebne do zidentyfikowania, dostępne środki techniczne, czy możliwości prawne.

Skargę kasacyjną wniósł organ, zaskarżając powyższy wyrok w całości. Zarzucił naruszenie przepisów prawa procesowego, tj.:

1) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 11 oraz art. 107 § 1 pkt 6 ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2021 r, poz. 735 ze zm., dalej jako: “k.p.a.”) przez błędne uznanie, że Prezes Urzędu Ochrony Danych Osobowych nienależycie umotywował podjęte rozstrzygnięcie, podczas gdy wskazał i wyjaśnił w sposób wyczerpujący okoliczności faktyczne i prawne a także przepisy prawa, którymi kierował się przy podejmowaniu rozstrzygnięcia, wyjaśniając motywy ich zastosowania,

2) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. przez błędne uznanie, że Prezes UODO nie wyjaśnił należycie okoliczności zasadniczej dla rozstrzygnięcia sprawy, tj. kwalifikacji adresu IP interfejsu sieciowego urządzenia, z którego korzystał J. O., oraz identyfikatorów plików cookie, które zostały zapisane na urządzeniu z którego korzystał, jako jego danych osobowych, podczas gdy organ nadzorczy ustalił i wyjaśnił wszystkie fakty istotne uznając je za udowodnione, zgodnie z przysługującymi mu kompetencjami, co miało istotny wpływ na wynik sprawy.

W oparciu o tak sformułowane zarzuty organ wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie. Ponadto wniósł o zasądzenie zwrotu kosztów postępowania na rzecz organu według norm prawem przepisanych.

W uzasadnieniu skargi kasacyjnej podkreślił, że skoro ID plików cookies będąc przypisanym do konkretnego urządzenia służy identyfikacji jego (unikalnego) użytkownika, to stanowi on dane osobowe. Do tego samego urządzenia przypisany jest także numer IP (jeśli jest on stały) lub numery IP (jeśli jest on zmienny). Numer ten (IP) stanowi zatem informację o już zidentyfikowanej (w środowisku cyfrowym) osobie, o tym właśnie konkretnym użytkowniku. Dlatego, w świetle art. 4 pkt 1 RODO, zarówno numer IP (niezależnie czy jest zmienny, czy nie), jak i ID plików cookies należy uznać w tej sprawie za dane osobowe uczestnika.

Organ zwrócił uwagę, że w powołanym przez Sąd I instancji orzeczeniu NSA sąd analizował jedynie adres IP, podczas gdy w niniejszej sprawie Spółka przetwarzała także identyfikator cookies urządzenia uczestnika wraz z informacjami o czasie odwiedzin strony. Informacje o czasie odwiedzin strony zostawiają ślady, o których mowa w motywie 30 RODO, w myśl którego w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób. Oznacza to, że Spółka przed ich usunięciem mogła powiązać nr IP z ID plików cookies użytkownika w oparciu o informację o czasie odwiedzin strony internetowej. Dodatkowo dowodzi to, że bez znaczenia jest, czy adres IP ma charakter stały czy zmienny.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.

Sąd I instancji uwzględnił skargę Spółki ponieważ Prezes UODO nie wyjaśnił należycie zasadniczej okoliczności dla jej rozstrzygnięcia, tj. kwalifikacji adresu IP interfejsu sieciowego urządzenia, z którego korzystał uczestnik oraz identyfikatorów ID plików cookies, które zostały zapisane w urządzeniu, z którego korzystał uczestnik, jako jego danych osobowych.

Uchybienie to zdaniem Sądu I instancji jest naruszeniem art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a., które mogło mieć istotny wpływ na wynik sprawy, bowiem prawidłowe ustalenie, czy adres IP i ID plików cookies są danymi osobowymi uczestnika determinuje dopuszczalność udzielania Spółce upomnień i nałożenia na nią obowiązków określonych w zaskarżonej decyzji.

W skardze kasacyjnej podniesiono dwa zarzuty naruszenia przepisów postępowania art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 11, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a., kwestionując to stanowisko Sądu I instancji. Prezes UODO twierdzi, że wyjaśnił należycie te zasadnicze dla sprawy okoliczności i należycie umotywował podjęte rozstrzygnięcie, wskazując i wyjaśniając w sposób wyczerpujący okoliczności faktyczne i prawne a także przepisy prawa, którymi kierował się przy podejmowaniu rozstrzygnięcia i wyjaśniając motywy ich zastosowania. Taka sytuacja umożliwia łączne rozpoznanie obydwu podniesionych w skardze kasacyjnej zarzutów. Zdaniem Naczelnego Sądu Administracyjnego obydwa zarzuty nie są zasadne.

W ocenie Naczelnego Sądu Administracyjnego przedstawiona w skardze kasacyjnej argumentacja nie podważyła skutecznie stanowiska Sądu I instancji, przedstawionego bardzo obszernie w uzasadnieniu zaskarżonego wyroku i opartego na dotychczasowych ustaleniach organu i wykładni przepisów prawa materialnego przyjętej w doktrynie i orzecznictwie Naczelnego Sądu Administracyjnego i TSUE.

Dlatego Naczelny Sąd Administracyjny podziela w całości stanowisko Sądu I instancji. Należy tu przypomnieć, że kontroli sądu administracyjnego podlega decyzja Prezesa UODO, a jej uchybień nie mogą konwalidować okoliczności i argumentacja podniesione dopiero w odpowiedzi na skargę i w skardze kasacyjnej. W tej ostatniej powołano się nawet na okoliczności mające miejsce już po wydaniu zaskarżonej decyzji (patrz pismo Spółki z 2 grudnia 2021 r.) i fakt usunięcia przez Spółkę przetwarzanych adresów IP i ID cookies użytkowników w konkretnym dniu.

Nie budzi wątpliwości, że organ wydając zaskarżoną decyzję miał obowiązek stosowania przepisów Kodeksu postępowania admnistracyjnego. Oznacza to, że w postępowaniu poprzedzającym wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO zobowiązany był kierować się określonymi w k.p.a. ogólnymi zasadami postępowania oraz przepisami określającymi jego obowiązki w postępowaniu dowodowym. Stosownie do treści art. 7 k.p.a. w toku postępowania powinnością PUODO jest stanie na straży praworządności i podejmowanie z urzędu lub na wniosek stron wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, z uwzględnieniem interesu społecznego i słusznego interesu obywateli. Przepis art. 77 § 1 k.p.a. obliguje zaś do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Zebrane przez organ administracji dowody podlegają ocenie zgodnie z zasadą swobodnej oceny dowodów, która nakazuje jako dowód dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem (art. 75 § 1 zd. 1 k.p.a.) oraz ocenić na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 k.p.a.). Z kolei art. 11 oraz art. 107 § 1 pkt 6 i § 3 k.p.a. nakazują należycie umotywować podjęte rozstrzygnięcie. Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Wynikającą z art. 107 § 3 k.p.a. rolą uzasadnienia jest objaśnienie toku myślenia, który doprowadził organ administracji do zastosowania lub niezastosowania przepisu prawa w konkretnej sprawie. W sferze faktów (uzasadnienia faktycznego) chodzi o wyjaśnienie okoliczności wskazujących na potrzebę lub konieczność wydania decyzji w danej sprawie i wobec określonych podmiotów oraz wpływu tych okoliczności na treść rozstrzygnięcia. W sferze prawa (uzasadnienia prawnego) chodzi zaś o wskazanie obowiązującej normy i jej znaczenia ustalonego w drodze wykładni. Do naruszenia art. 107 § 3 k.p.a. dochodzi wtedy, gdy uzasadnienie decyzji nie zawiera wszystkich elementów wymienionych w tym przepisie, albo gdy mimo formalnej poprawności jego treść nie pozwala na skontrolowanie poprawności rozstrzygnięcia sprawy, a tym samym czyni w stopniu istotnym i wątpliwym poprawność przeprowadzenia postępowania wyjaśniającego w sprawie.

Organ nadzorczy stwierdził, że Spółka przetwarzała bez podstawy prawnej dane osobowe uczestnika. Jak to zasadnie uznał Sąd I instancji, nie ustalił jednak uprzednio – z poszanowaniem obowiązków płynących dlań z przywołanych wyżej przepisów postępowania – czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe uczestnika postępowania. Uzasadnienie zaskarżonej decyzji, jakkolwiek formalnie poprawne, nie pozwala na zweryfikowanie w realiach rozpoznanej sprawy poprawności kwalifikacji wymienionych identyfikatorów internetowych jako danych osobowych.

W skardze kasacyjnej nie dostrzega się, że wyjaśnieniu tej kluczowej dla rozstrzygnięcia sprawy kwestii poświęcono jedynie ostatni akapit szóstej strony oraz pierwszy akapit siódmej strony zaskarżonej decyzji.

Dlatego ponownie należy wskazać, że na początku tego wywodu PUODO prawidłowo przywołał treść art. 4 pkt 1 RODO. Zgodnie z nim, “dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Następnie organ nadzorczy trafnie odwołał się do motywu 30 RODO, w którym stwierdza się, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Dalej Prezes UODO odwołał się do wyroku Naczelnego Sądu Administracyjnego z 19 maja 2011 r. sygn. akt I OSK 1079/10, stwierdzając, że “[…] informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale przez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP (Internet Protocol Address) jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotycząca komputera, a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużytkowanie jednego adresu IP przez wielu użytkowników w ramach sieci lokalnej. Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej […]”.

Po przywołaniu zacytowanego fragmentu wyroku Naczelnego Sądu Administracyjnego organ nadzorczy skonstatował, że “[…] w związku z powyższym w ocenie Prezesa UODO stwierdzić należy, że zarówno adres IP uczestnika, jak również ID plików cookies, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania uczestnika w powiązaniu z tymi danymi, stanowią jego dane osobowe […]”.

Mając na uwadze tą przytoczoną wypowiedź organu zawartą w uzasadnieniu zaskarżonej decyzji, Naczelny Sąd Administracyjny stwierdza, że prawidłowo przyjął Sąd I instancji, że organ nadzorczy nie wyjaśnił, na jakiej podstawie ustalił, że istnieje “uzasadnione prawdopodobieństwo zidentyfikowania” uczestnika w powiązaniu z tymi danymi, tj. adresem IP oraz ID plików cookies. W skardze kasacyjnej nie przedstawiono argumentacji zmierzającej do podważenia argumentów Sądu I instancji, że zaprezentowana przez organ – odwołująca się do wyroku NSA z 19 maja 2011 r. sygn. akt I OSK 1079/10 – ocena prawna, po pierwsze jednoznacznie wskazuje na to, że adres IP nie zawsze może być traktowany jako dane osobowe. Taka konstatacja – pominięta w zacytowanym przez PUODO fragmencie powołanego wyroku – została wprost wyrażona przez NSA (“[…] Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy […]”). Po drugie, zgodnie z przyjętym w tym wyroku stanowiskiem, uznanie adresu IP za dane osobowe determinowane jest przypisaniem go na dłuższy okres lub na stałe do konkretnego urządzenia.

Tymczasem wywiedziona przez PUODO w uzasadnieniu zaskarżonej decyzji kwalifikacja adresu IP jako danej osobowej odnosi się więc do tzw. stałego (statycznego) adresu IP, a nie zmiennego (dynamicznego) adresu IP.

Tylko bowiem pierwszy z wymienionych jest niezmienny i umożliwia stałą identyfikację urządzenia podłączonego do sieci. Adresy dynamiczne są natomiast tymczasowe, przydzielane każdemu połączeniu z Internetem i zastępowane podczas kolejnych połączeń. Nie może zatem być mowy o ich przypisaniu – jak stwierdzono w powołanym przez PUODO wyroku Naczelnego Sądu Administracyjnego – na dłuższy czas lub na stałe do konkretnego urządzenia [zob. wyrok Trybunału Sprawiedliwości z 19 października 2016 r. w sprawie C-582/14 Breyer (pkt 36), opinia rzecznika generalnego w tej sprawie (punkty 1 – 4)]. Dynamiczne adresy IP są najczęściej przydzielane przez dostawców dostępu do sieci (co do zasady firmy telekomunikacyjne), którzy dysponując mniejszą liczbą adresów IP niż całkowita liczba użytkowników, przydzielają na bieżąco z posiadanej puli adresy wyłącznie zakończeniom sieci korzystającym w danym momencie z połączenia, natomiast logi operatora umożliwiają stwierdzenie, kto i kiedy posługiwał się określonym adresem IP (zob. też M. Mostowik, Ochrona danych osobowych w Internecie rzeczy w prawie UE, Warszawa 2022 r., str. 88, przypis. 186). Trzeba zatem zastrzec (o czym szerzej w dalszej części uzasadnienia), że niewątpliwie także zmienny (dynamiczny) adres IP może (ale nie w każdej sytuacji) stanowić daną osobową.

W uzasadnieniu zaskarżonej decyzji brak jednak ustaleń tak co do przyjętego w niej przez PUODO kryterium kwalifikacji adresu IP jako danej osobowej (tj. przypisania go na dłuższy czas lub na stałe do konkretnego urządzenia), jak i co do określonych w art. 4 pkt 1 w powiązaniu z motywami 26 i 30 RODO warunków uznania tego identyfikatora za daną osobową. Nawet z akt sprawy nie wynika, by w tym zakresie prowadzono postępowanie wyjaśniające. Jak to trafnie zauważył Sąd I instancji, na ich podstawie można stwierdzić, że już w pierwszym piśmie (z 7 lipca 2021 r.) wystosowanym do Spółki w trybie art. 58 ust. 1 lit. a i lit. e RODO z żądaniem udzielania informacji i złożenia wyjaśnień, organ nadzorczy niejako “z góry” założył, że zarówno adres IP, jak i sztucznie nadany ID z cookies stanowią dane osobowe uczestnika.

Spółka w odpowiedzi z 13 sierpnia 2021 r. wyraziła stanowisko, że numer IP/ID użytkownika nie daje jej możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową, a co za tym idzie, że nie przetwarzała danych osobowych uczestnika postępowania w tym zakresie, bowiem informacje te nie stanowią dla niej danych osobowych. Złożyła także do akt sprawy dokumenty mające jej zdaniem potwierdzać brak możliwości identyfikacji użytkownika strony. Mimo to, PUODO nie prowadził w toku postępowania jakichkolwiek czynności w celu ustalenia, czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie są informacjami o możliwej do zidentyfikowania osobie fizycznej, tj. takiej którą można bezpośrednio lub pośrednio zidentyfikować (art. 4 pkt 1 RODO). W uzasadnieniu zaskarżonej decyzji odwołał się natomiast do wywiedzionych w wyroku NSA z 19 maja 2011 r. sygn. akt I OSK 1079/10 warunków kwalifikacji adresu IP jako danej osobowej, jednak nie wyjaśnił, czy w realiach przedmiotowej sprawy są one spełnione. Z akt sprawy nie wynika, czy adres IP przypisany do interfejsu sieciowego urządzenia, za pomocą którego uczestnik nawiązał połączenie w celu odwiedzenia strony internetowej Spółki, był adresem stałym, czy zmiennym.

Zgodzić należy się z Sądem I instancji, że RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników (“śladów”), które mogą pozwolić na identyfikację osoby fizycznej.

W motywie 30 RODO stwierdza się bowiem, że ich wykorzystanie “(…) może (…) skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób […]”. Przepis art. 4 pkt 1 RODO stanowi zaś, że możliwa do zidentyfikowania osoba fizyczna, to taka którą można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatora internetowego.

Swoisty test możliwości identyfikacji osoby fizycznej przewidziano w motywie 26 RODO, który wskazuje, że “[…] aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (ang. wers. jęz.: all the means reasonably likely to be used – przyp. NSA) przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany (ang. wers. jęz.: whether means are reasonably likely to be used – przyp. NSA) do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny […]”.

W świetle powyższego nie ma podstaw, by uznać, że adres IP – niezależnie od tego, czy jest adresem stałym (statycznym), czy zmiennym (dynamicznym) oraz niezależnie od tego, kto jest jego dysponentem i jakie istnieją możliwości wykorzystania go w celu identyfikacji osoby fizycznej, należy zawsze traktować jako daną osobową.

Ten sam wniosek dotyczy identyfikatorów plików cookies. Odpowiadając na pytanie, czy określone identyfikatory internetowe stanowią dane osobowe należy bowiem wziąć pod uwagę “wszelkie rozsądnie prawdopodobne sposoby (…), w stosunku do których istnieje uzasadnione prawdopodobieństwo”, że zostaną wykorzystane przez administratora lub inną osobę w celu zidentyfikowania osoby fizycznej.

Miarą uzasadnionego prawdopodobieństwa wykorzystania danego sposobu identyfikacji (np. z wykorzystaniem adresu IP lub identyfikatora pliku cookie) powinny być zaś “wszelkie obiektywne czynniki”, do których prawodawca unijny w szczególności zalicza “koszt i czas potrzebne do zidentyfikowania” osoby fizycznej, “technologię dostępną w momencie przetwarzania danych” i “postęp technologiczny”.

Nie powinna mieć przy tym rozstrzygającego znaczenia możliwość dokonania samoidentyfikacji przez osobę, której dane dotyczą. Potwierdzenie obowiązku stosowania tzw. “klauzuli rozsądku” w procesie kwalifikacji identyfikatora internetowego w postaci zmiennego adresu IP jako danej osobowej stanowi wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 października 2016 r. w sprawie C-582/14 Breyer.

Trybunał skonstatował w nim, że “(…) dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby […]”.

Trybunał przyjął w nim także tzw. obiektywne rozumienie przesłanki identyfikalności osoby fizycznej uznając, że nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby i w konsekwencji uznając dynamiczny adres IP za dane osobowe. Przy czym, fakt, że w wyroku w sprawie C-582/14 Trybunał przyjął tzw. obiektywne podejście do przesłanki identyfikowalności osoby fizycznej nie oznacza, iż stwierdził, że dynamiczny adres IP, niezależnie od okoliczności konkretnej sprawy, zawsze stanowi wobec dostawcy usług medialnych (np. prowadzącego stronę internetową) dane osobowe.

Jak to zauważył Sąd I instancji, w uzasadnieniu zaskarżonej decyzji organ w ogóle nie odnosił się do kwestii możliwości prawnych zwrócenia się przez Spółkę do właściwego organu w celu uzyskania od dostawcy dostępu do Internetu informacji pozwalających – w połączeniu z adresem IP – na identyfikację osoby, której skarga wszczęła postępowanie przed PUODO. Z akt sprawy wynika, że organ nadzorczy – pomimo podnoszonej w toku postępowania argumentacji Spółki wskazującej na brak możliwości identyfikacji – nie rozważał też tej kwestii w toku postępowania.

Natomiast odnośnie do “sztucznie nadanego ID z cookies” organ w zaskarżonej decyzji stwierdził, że “zarówno adres IP skarżącego, jak również ID plików cookies, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe”.

Konstatację tą poprzedzono jednak tylko wyjaśnieniem podstawy prawnej decyzji w zakresie kwalifikacji jako danej osobowej (w świetle art. 4 pkt 1 i motywu 30 RODO) wyłącznie adresu IP.

Jak to prawidłowo zauważył Sąd I instancji, na stronie 7 zaskarżonej decyzji PUODO przywołał wprawdzie pkt 67 wyroku Trybunału Sprawiedliwości Unii Europejskiej z 1 października 2019 r. w sprawie C-673/17 – Planet49, stwierdzając, że Trybunał wskazał, iż “(…) instalowanie plików cookie, o którym mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych […]”. Zacytowane stwierdzenie zostało jednak oparte na ustaleniach zawartych w punkcie 45 wyroku Trybunału, gdzie stwierdzono, że “(…) pliki cookie, które mogą być instalowane na urządzeniu końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez spółkę Planet49, zawierają numer przypisany do danych rejestracyjnych tego użytkownika, który w formularzu uczestnictwa w tej grze musi wpisać swoje imię i nazwisko oraz adres. Sąd odsyłający dodaje, że skojarzenie tego numeru z tymi danymi powoduje personalizację danych przechowywanych przez pliki cookie, gdy użytkownik korzysta z Internetu, wobec czego zbieranie tych danych za pomocą plików cookie jest przetwarzaniem danych osobowych […]”.

Tymczasem w okolicznościach niniejszej sprawy nie doszło do sytuacji, w której uczestnik wypełnił jakikolwiek formularz na stronie internetowej Spółki, a tym bardziej taki, w którym podałby swoje imię, nazwisko lub adres. Spółka w piśmie z 13 sierpnia 2021 r. wyjaśniała natomiast, że właściciel domeny czater[.]pl, to dostawca oprogramowania dla Spółki służącego do przesyłania wiadomości on-line podczas wizyty na stronie lub zamówienia rozmowy telefonicznej, oraz że w przypadku, gdy nie zostanie rozpoczęty czat, żadne informacje poza adresem IP odwiedzającego stronę nie są przekazywane temu dostawcy.

Ponadto, jak utrzymywała Spółka, wszystkie inne domeny wymienione przez uczestnika w skardze do PUODO wynikają z wykorzystywania plików cookies analitycznych na stronie Spółki. Spółka zaznaczała, że wysyłane jest jedynie zapytanie dotyczące cookie ID, a nie historia przeglądania. Wywodziła też, że za pomocą unikalnego identyfikatora, który został przekazany za pomocą cookies analitycznego, nie można dokonać identyfikacji użytkownika końcowego, którym jest uczestnik postępowania. W tych okolicznościach prawidłowo stwierdził Sąd I instancji, że zaczerpnięte z wyroku w sprawie C-673/17 Planet49 stwierdzenie, że “instalowanie plików cookie, o których mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych” nie może być uznane za prawidłowe wyjaśnienie podstawy prawnej decyzji z zakresie, w jakim ID plików cookies zostały zakwalifikowane jako dane osobowe uczestnika.

Przy czym, należy oczywiście zgodzić się ze skarżącym kasacyjnie Prezesem UODO, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska. Konstatacja ta jest szczególnie istotna w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu (zob. D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81).

Identyfikacja osoby nie wymaga zatem znajomości jej imienia lub nazwiska, wymaga natomiast znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych. W ten sposób należy rozumieć zwrot “można zidentyfikować” – nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz jako możliwość wskazania tej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181).

Jak to jednak trafnie stwierdził Sąd I instancji, z uzasadnienia zaskarżonej decyzji nie wynika, by Prezes UODO postrzegał możliwość identyfikacji uczestnika postępowania w środowisku cyfrowym, jako użytkownika Internetu o określonych cechach, a nie jako osobę fizyczną możliwą do zidentyfikowania z imienia i nazwiska.

Świadczy o tym odwołanie się do wyroku NSA z 19 maja 2011 r. sygn. akt I OSK 1079/10 i wyroku TSUE z 1 października 2019 r. w sprawie C-673/17, jak również konstatacja organu nadzorczego, że do zidentyfikowania może dojść “w powiązaniu z tymi danymi”.

W skardze kasacyjnej nie przedstawiono argumentacji zmierzającej do obalenia wskazanych wyżej wniosków Sądu I instancji. W uzasadnieniu podniesionych w skardze kasacyjnej zarzutów w zasadzie nie dostrzega się argumentów Sądu I instancji.

Mając na uwadze przedstawione wyżej stanowisko, nie sposób zgodzić się z twierdzeniem, autora skargi kasacyjnej, że cel jaki Spółka wskazała w swoich wyjaśnieniach, odwołując się do polityki prywatności Gogle, zgodnie z którą “główny plik cookie używany przez Google Analytics (…) jest (…) ważny przez 2 lata i umożliwia usłudze odróżnienie poszczególnych użytkowników”, świadczy o tym, że ID plików cookies będąc przypisanym do konkretnego urządzenia służy identyfikacji jego unikalnego użytkownika, stanowi on dane osobowe.

Nie można też zgodzić się ze skarżącym kasacyjnie organem, że w konsekwencji także numer IP bez względu czy jest stały, czy zmienny stanowi informację o już zidentyfikowanym konkretnym użytkowniku (w środowisku cyfrowym), a w konsekwencji stanowi daną osobową uczestnika. Trudno dociec na czym skarżący kasacyjnie opiera twierdzenie, że skoro Spółka ma możliwość, bez użycia nadmiernych środków, powiązania numerów IP i ID a w rezultacie jednoznacznego zidentyfikowania uczestnika to numery te stanowią jego dane osobowe.

Ponadto organ na potwierdzenie tego, że adres IP i ID cookies stanowią dane osobowe uczestnika, przytacza w uzasadnieniu skargi kasacyjnej okoliczności, na które nie powoływał się w uzasadnieniu zaskarżonej decyzji, w tym na pismo Spółki sporządzone po wydaniu decyzji i dotyczące okoliczności mających miejsce po wydaniu tej decyzji. Tymczasem, jak już wyjaśniono wyżej, takie działanie organu nie może konwalidować uchybień zaskarżonej decyzji wytkniętych przez Sąd I instancji i nie może być przyczyną uwzględnienia skargi kasacyjnej.

Nie sposób zgodzić się także z twierdzeniem organu, że skoro Prezes UODO badając legalność przetwarzania danych osobowych, ma obowiązek ustalenia czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem a Spółka na skutek skargi uczestnika, w dniu wydania decyzji dysponowała już zarówno adresem IP uczestnika i ID cookies powiązanymi z czasem odwiedzin na stronie, jak i znała jego tożsamość, to wówczas bezsprzecznie uczestnik stał się osobą identyfikowaną dodatkowo imieniem i nazwiskiem, to w takiej sytuacji organ nadzorczy mógł przyjąć w zaskarżonej decyzji, że istniała możliwość zidentyfikowania uczestnika.

Zdecydowanie należy podkreślić, że późniejsze ujawnienie danych w postaci nazwiska i imienia ujawnionego we wniosku uczestnika do podmiotu przetwarzającego, którego przetwarzanie danych podlega ocenie, nie ma wpływu na ewentualną kwalifikację adresu IP i ID plików cookies jako danych osobowych tej osoby.

Kwalifikacji tej należy dokonać na podstawie okoliczności mających miejsce w czasie przetwarzania danych (w czasie odwiedzin przez uczestnika strony Spółki). Zatem zachodziła w sprawie konieczność analizy możliwości faktycznych i prawnych Spółki zidentyfikowania uczestnika, w celu ustalenia, czy Spółka przetwarzała jego dane osobowe i konieczność przedstawienia tej analizy w uzasadnieniu podjętej przez organ decyzji.

Podsumowując, Prezes UODO w uzasadnieniu zaskarżonej decyzji nie wykazał dostatecznie, że Spółka w czasie odwiedzin jej strony przez uczestnika, przetwarzała jego dane osobowe. Organ nie ustalił należycie zasadniczych okoliczności istotnych dla rozstrzygnięcia sprawy i nie wykazał należycie, że dane w postaci adresu IP interfejsu sieciowego urządzenia, z którego korzystał uczestnik oraz identyfikator plików cookies, które zostały zapisane na urządzeniu, z którego korzystał uczestnik w tym czasie, jednoznacznie identyfikowały uczestnika jako konkretnego użytkownika co najmniej w środowisku cyfrowym.

Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.