NSA: czy cookies pozwalają zidentyfikować osobę? Organ nadzorczy zbada to ponownie
Pozostawiając na boku nieistotną dyskusję czy mowa jest o plikach cookies czy o treści cookies warto przejść do omówienia uzasadnienia NSA.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną Prezesa UODO od wyroku WSA w Warszawie, w którym to ten Sąd uchylił umorzenie postępowania związanego ze skargą jednego z Obywateli.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] S.A. z siedzibą w […] (zwaną dalej także Spółką), polegające na udostępnieniu jego danych osobowych w zakresie nadanego ID, adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: […] podmiotowi nieupoważnionemu, tj. administratorowi serwisu […], udostępnieniu jego danych osobowych w zakresie adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: […] podmiotowi nieupoważnionemu, tj. administratorowi serwisu […], braku odpowiedzi na żądanie usunięcia dotyczących go danych osobowych, w tym w zakresie adresu IP, nadanego ID oraz części historii przeglądania
Prezes umarzając postępowanie, w tym zakresie, wskazał, że:
zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe.
Organ wskazał, że jak wynika z zebranego w przedmiotowej sprawie materiału dowodowego, w szczególności złożonych przez Spółkę wyjaśnień, w momencie wejścia Skarżącego na administrowaną przez Spółkę stronę internetową […] nastąpiło pobranie z serwisu […] informacji o czcionkach i samych czcionek niezbędnych do prawidłowego wyświetlania treści strony internetowej, w tym treści planszy z obowiązkiem informacyjnym i umożliwiającej zarządzanie zgodami i sprzeciwami. Sam zaś skarżony proces przetwarzania danych osobowych polegający na ich udostępnieniu administratorowi serwisu […] nie zaistniał. Nadto, nadane zostało ID, jednakże wobec niewyrażenia przez Skarżącego zgody, nie doszło do przetwarzania danych osobowych Skarżącego przez administratora serwisu […]. Skarżony proces przetwarzania danych osobowych w przypadku tego drugiego podmiotu również nie miał miejsca.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.WSA w Warszawie nie zgodził się z taką argumentacją i wskazał, że:
organ w sprawie tej nie dokonał pełnych ustaleń stanu faktycznego i nie rozważył wszechstronnie całego materiału dowodowego (art. 7, art. 77 § 1 k.p.a.). Wskazania wymaga przy tym, że zgodnie z art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W odpowiedzi na skargę organ stwierdził, że wziął pod uwagę te dowody, w tym “porównał dostarczone przez Skarżącego zrzuty ekranu oraz dowody dostarczone przez Spółkę, w szczególności złożone przez nią wyjaśnienia (…)”. Nie potwierdza tego jednak uzasadnienie decyzji, które w żaden sposób nie odnosi się do przedłożonego przez stronę materiału dowodowego. Z uzasadnienia decyzji nie wynika, aby organ podejmując rozstrzygnięcie zawarte w punkcie 2 decyzji oparł się w jakimkolwiek zakresie na przedłożonych przez stronę materiałach, aby je analizował. Jeśli zaś organ materiały te poddał analizie, to z uzasadnienia decyzji nie wynika, jakie na ich podstawie poczynił ustalenia.
Kwestia ta ma przy tym o tyle istotne znaczenie, że ściśle wiąże się z wyrażonym przez organ w decyzji twierdzeniem, że “zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe”.
Powyższe twierdzenie organu nie jest do końca zrozumiałe. Wskazuje bowiem, że te wymienione przez organ dane w powiązaniu z tymi samymi danymi stanowią dane osobowe “z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego”. Organ nie wyjaśnia jednak w jaki sposób Spółka mogłaby mając te dane zidentyfikować skarżącego, co stanowi o dowolnej ocenie w zakresie zakwalifikowania kwestionowanych przez Skarżącego danych jako danych osobowych, a tym samym narusza w sposób istotny art. 80 i art. 107 § 1 pkt 3 k.p.a.
Wziąć trzeba przy tym pod uwagę całe wyjaśnienia Spółki, które wpłynęły do organu w dniu 14 lipca 2021 r. na wezwanie wystosowane przez organ 1 lipca 2021 r., a nie jedynie wybrane przez organ fragmenty przytoczone w stanie faktycznym decyzji. Spółka wskazywała bowiem w tych wyjaśnieniach m.in., że “nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do zidentyfikowania osoby fizycznej – Skarżącego. (…)”. Także w odpowiedzi na drugie pytanie organu “czy Spółka aktualnie przetwarza dane osobowe Skarżącego, w tym w zakresie nadanego ID, jego adresu IP oraz historii przeglądania strony internetowej pod adresem; […], (…)”, Spółka wskazała m.in., że “(…) nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczącej możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego, a zatem nie jest możliwe udzielenie odpowiedzi na pytanie w zakresie danych pozyskanych w związku z aktywnością w serwisie […]. (…)”. Spółka podniosła też m.in., że “pozyskała dane Skarżącego 5 maja 2021 roku wraz z wpływem wniosku Skarżącego, a następnie dnia 2 lipca 2021 r., tj. w dacie wpływu pisma Urzędu Ochrony Danych Osobowych wraz z kopią skargi (…)”. Organ wyjaśnień tych nie rozważył przy rozpatrywaniu sprawy lecz arbitralnie stwierdził w decyzji, że “adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […]” stanowią dane osobowe skarżącego.
Organ nie wyjaśnił w decyzji jednakże, czy Spółka miała możliwość zidentyfikowania skarżącego i za pomocą jakiego konkretnego identyfikatora, czy narzędzia bądź informacji. Jest to o tyle istotne, że Spółka twierdziła w wyjaśnieniach skierowanych do organu, o których była mowa wyżej, że “nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego”.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.NSA podzielił taką argumentację:
Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Zasadniczo kwestionuje się w niej dwie oceny sformułowane przez WSA. Po pierwsze, podważa się stanowisko, że organ nie wyjaśnił, czy dane skarżącego, którymi dysponowała spółka stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO i po drugie, skarżąca kasacyjnie nie zgadza się z twierdzeniem, że w sprawie nie doszło do należytego rozważania materiału dowodowego, przez co zawarta w zaskarżonej decyzji ocena o nieudostępnieniu przez spółkę danych osobowych skarżącego administratorom serwisu G. oraz G.1 jest przedwczesna.
Nie można zgodzić się ze skarżącym kasacyjnie organem, że w decyzji z 9 grudnia 2021 roku w należyty sposób oceniono, czy dane skarżącego, którymi dysponowała spółka w dniu 5 maja 2021 roku stanowiły dane osobowe.
Konfrontując ze sobą oba fragmenty uzasadnienia decyzji organu należy zgodzić się z Sądem a quo, iż są one ze sobą sprzeczne. Z jednej strony organ stwierdza, że informacje, którymi dysponuje spółka stwarzają “uzasadnione prawdopodobieństwo” identyfikacji skarżącego, a z drugiej powołuje się na stanowisko spółki, z którego wynika, iż nie posiada ona takich możliwości. Organ w żaden sposób się do tej kwestii nie odnosi, nie poddaje jej ocenie i nie racjonalizuje swoich ostatecznych konkluzji co do tego, że spółka przetwarzała dane osobowe skarżącego.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Podane w uzasadnieniu skargi kasacyjnej szerokie uwagi organu odnoszące się do możliwości zidentyfikowania skarżonego przez spółkę, nie mogą odnieść zamierzonego skutku. Stanowisko organu, jako strony postępowania sądowoadministracyjnego, jakkolwiek powinno zostać uwzględnione przez Sąd zgodnie z art. 141 § 4 p.p.s.a., to jednak nie może zmierzać, do uzupełniania kwestionowanej skargą decyzji.
Słusznie zwrócił uwagę WSA, że rozstrzygnięcie, czy informacje posiadane przez spółkę stanowią dane osobowe skarżącego ma charakter wyjściowy dla całego prowadzonego postępowania. Dopiero bowiem pozytywne przesądzenie tej kwestii pozwala podjąć ustalenia i sformułować oceny co do nieuprawnionego przetwarzania danych osobowych skarżącego przez podmioty trzecie.
Zgodzić się również należy z Sądem pierwszej instancji, że organ w swojej decyzji nie ocenił w sposób realizujący reżim kodeksowy kwestii odnoszących się do tego, czy dane, na które skarżący wskazywał w swoim wniosku z 5 maja 2021 roku zostały faktycznie udostępnione administratorom serwisów G. i G.1.
Na stronie 6 uzasadnienia decyzji organ w krótkim fragmencie podał, że na podstawie “zebranego w przedmiotowej sprawie materiału dowodowego, w szczególności złożonych przez Spółkę wyjaśnień” wynika, iż dane skarżącego nie zostały przekazane podmiotom nieuprawnionym. Organ całkowicie zwolnił się z dokonania samodzielnej oceny wiarygodności twierdzeń spółki.
W oparciu o uzasadnienie decyzji nie można ustalić, jakie konkretnie informacje znajdują się na przedstawionych przez skarżącego zrzutach ekranu i jakie można na ich podstawie poczynić ustalenia, a w szczególności z jakiego powodu nie potwierdzają stawianych przez skarżącego zarzutów o nieuprawnionym przetwarzaniu jego danych przez serwisy G. i G.1.. W tej warstwie ustaleń organ oparł się wyłącznie na twierdzeniach spółki, bez podania jakichkolwiek argumentów świadczących – po pierwsze – o ich prawdziwości i – po drugie – o ich wyższej wartości dowodowej wobec stanowiska skarżącego. Z tych też względów zarzut naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. nie mógł zostać uwzględniony.