NSA o uzasadnionym prawdopodobieństwie identyfikacji w kontekście IP i Cookies
Omawiany wyrok NSA dotyczy sprawy, którą rozpoczęła się skargą pewnego obywatela złożoną do Prezesa UODO w czerwcu 2021 r. Skarga ta dotyczyła – w ocenie składającego – pewnych nieprawidłowości w procesie – jak skarżący wskazywał – przetwarzania jego danych osobowych.
Ocena dokonana przez Skarżącego odnosiła się do funkcjonowania strony internetowej pewnej Spółki.
usunięcie danych osobowych XY, w zakresie adresu IP oraz sztucznie nadanego ID z Cookies;
poinformować podmioty, którym udostępniła dane osobowe, w zakresie adresu IP oraz sztucznie nadanego ID z Cookies, o ich usunięciu;
upomnienia za naruszenie art. 15 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegającego na niespełnieniu żądania,w zakresie wskazania mu informacji dotyczących właściciela domeny oraz, którym udostępnione zostały dane osobowe;
upomnienia za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegającego na udostępnieniu podmiotom trzecim bez podstawy prawnej danych osobowych, w zakresie adresu IP oraz sztucznie nadanego ID w Cookies;
upomnienia za naruszenie art. 15 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegającego na niespełnieniu żądania, w zakresie udostępnienia kopii danych osobowych.
WSA w Warszawie w lipcu 2022 r. uchylił decyzję w całości wskazując, że:
W uzasadnieniu zaskarżonej decyzji brak jednak ustaleń tak co do przyjętego w niej przez PUODO kryterium kwalifikacji adresu IP jako danej osobowej (tj. przypisania go na dłuższy czas lub na stałe do konkretnego urządzenia), jak i co do określonych w art. 4 pkt 1 w powiązaniu z motywami 26 i 30 RODO warunków uznania tego identyfikatora za daną osobową. Także z akt sprawy nie wynika, by w tym zakresie prowadzono postępowanie wyjaśniające. Na ich podstawie można stwierdzić, że już w pierwszym piśmie (z 7 lipca 2021 r.) wystosowanym do skarżącej w trybie art. 58 ust. 1 lit. a i lit. e RODO z żądaniem udzielania informacji i złożenia wyjaśnień, organ nadzorczy niejako “z góry” założył, że zarówno adres IP, jak i sztucznie nadany ID z cookies stanowią dane osobowe J. O.. Spółka w odpowiedzi z 13 sierpnia 2021 r. wyraziła stanowisko, że numer IP/ID użytkownika nie daje jej możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową, a co za tym idzie, że nie przetwarzała danych osobowych uczestnika postępowania w tym zakresie, bowiem informacje te nie stanowią dla niej danych osobowych.
W uzasadnieniu zaskarżonej decyzji odwołał się natomiast do wywiedzionych w wyroku Naczelnego Sądu Administracyjnego z 19 maja 2011 r. sygn. akt I OSK 1079/10 warunków kwalifikacji adresu IP jako danej osobowej, jednak nie wyjaśnił, czy w realiach przedmiotowej sprawy są one spełnione. Z akt sprawy nie wynika, czy adres IP przypisany do interfejsu sieciowego urządzenia, za pomocą którego J. O. nawiązał połączenie w celu odwiedzenia strony internetowej skarżącej, był adresem stałym, czy zmiennym.
Niewyjaśnienie tej istotnej, w świetle przyjętych w zaskarżonej decyzji kryteriów uznania adresu IP za daną osobową, okoliczności (stałego lub zmiennego charakteru adresu IP interfejsu sieciowego urządzenia, z którego korzystał J. O.) nie mogłoby mieć istotnego wpływu na wynik sprawy, gdyby dopuszczalne w świetle przepisów RODO było przyjęcie, że adres IP jest daną osobową w rozumieniu art. 4 pkt 1 RODO niezależnie od tego, czy jest adresem stałym, czy zmiennym oraz niezależnie od tego, w czyim znajduje się posiadaniu oraz jakie możliwości posiada dysponent tej informacji w celu dokonania identyfikacji.
Niemniej jednak, sam fakt, że podzbiór przetwarzania wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej nie ogranicza właściwości organów ochrony danych na podstawie RODO. Sąd podziela w tej kwestii stanowisko wyrażone w opinii Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019 r. nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych (str. 22 i str. 26).Z powyższego wynika, że zapewnienie zgodności z prawem przechowywania informacji w urządzeniach końcowych abonenta lub użytkownika końcowego lub korzystania z informacji zgromadzonych w tych urządzeniach należy do właściwości Prezesa UKE.
W przypadku niewpisania owego kodu nie doszłoby bowiem do udostępnienia. Okoliczność, że operator witryny internetowej sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy programu, którego kod wpisano do tej witryny, nie stoi na przeszkodzie, by przysługiwał mu przymiot administratora danych w rozumieniu art. 4 pkt 7 RODO (zob. pkt 82 wyroku w sprawie Fashion ID). Odpowiedzialność operatora witryny internetowej ogranicza się jednak do operacji lub zestawu operacji, których cele i sposoby rzeczywiście określa, tj. do zbierania danych osobowych i ich ujawnienia przez przesłanie osobie trzeciej będącej dostawcą programu, którego kod wstawiono do strony internetowej.
W ponownie przeprowadzonym postępowaniu PUODO podejmie czynności mające na celu ustalenie, czy w okolicznościach przedmiotowej sprawy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe J. O., tj. dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.NSA oddalając skargę kasacyjną w październiku 2025 r. wskazał, że:
Jak to zasadnie uznał Sąd I instancji, nie ustalił jednak uprzednio – z poszanowaniem obowiązków płynących dlań z przywołanych wyżej przepisów postępowania – czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe uczestnika postępowania. Uzasadnienie zaskarżonej decyzji, jakkolwiek formalnie poprawne, nie pozwala na zweryfikowanie w realiach rozpoznanej sprawy poprawności kwalifikacji wymienionych identyfikatorów internetowych jako danych osobowych.
Tymczasem wywiedziona przez PUODO w uzasadnieniu zaskarżonej decyzji kwalifikacja adresu IP jako danej osobowej odnosi się więc do tzw. stałego (statycznego) adresu IP, a nie zmiennego (dynamicznego) adresu IP.
Trzeba zatem zastrzec (o czym szerzej w dalszej części uzasadnienia), że niewątpliwie także zmienny (dynamiczny) adres IP może (ale nie w każdej sytuacji) stanowić daną osobową.
Swoisty test możliwości identyfikacji osoby fizycznej przewidziano w motywie 26 RODO, który wskazuje, że “[…] aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (ang. wers. jęz.: all the means reasonably likely to be used – przyp. NSA) przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany (ang. wers. jęz.: whether means are reasonably likely to be used – przyp. NSA) do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny […]”.
Ten sam wniosek dotyczy identyfikatorów plików cookies. Odpowiadając na pytanie, czy określone identyfikatory internetowe stanowią dane osobowe należy bowiem wziąć pod uwagę “wszelkie rozsądnie prawdopodobne sposoby (…), w stosunku do których istnieje uzasadnione prawdopodobieństwo”, że zostaną wykorzystane przez administratora lub inną osobę w celu zidentyfikowania osoby fizycznej.
Miarą uzasadnionego prawdopodobieństwa wykorzystania danego sposobu identyfikacji (np. z wykorzystaniem adresu IP lub identyfikatora pliku cookie) powinny być zaś “wszelkie obiektywne czynniki”, do których prawodawca unijny w szczególności zalicza “koszt i czas potrzebne do zidentyfikowania” osoby fizycznej, “technologię dostępną w momencie przetwarzania danych” i “postęp technologiczny”.
Tymczasem w okolicznościach niniejszej sprawy nie doszło do sytuacji, w której uczestnik wypełnił jakikolwiek formularz na stronie internetowej Spółki, a tym bardziej taki, w którym podałby swoje imię, nazwisko lub adres. Spółka w piśmie z 13 sierpnia 2021 r. wyjaśniała natomiast, że właściciel domeny czater[.]pl, to dostawca oprogramowania dla Spółki służącego do przesyłania wiadomości on-line podczas wizyty na stronie lub zamówienia rozmowy telefonicznej, oraz że w przypadku, gdy nie zostanie rozpoczęty czat, żadne informacje poza adresem IP odwiedzającego stronę nie są przekazywane temu dostawcy.
Ponadto, jak utrzymywała Spółka, wszystkie inne domeny wymienione przez uczestnika w skardze do PUODO wynikają z wykorzystywania plików cookies analitycznych na stronie Spółki. Spółka zaznaczała, że wysyłane jest jedynie zapytanie dotyczące cookie ID, a nie historia przeglądania. Wywodziła też, że za pomocą unikalnego identyfikatora, który został przekazany za pomocą cookies analitycznego, nie można dokonać identyfikacji użytkownika końcowego, którym jest uczestnik postępowania.Jak to jednak trafnie stwierdził Sąd I instancji, z uzasadnienia zaskarżonej decyzji nie wynika, by Prezes UODO postrzegał możliwość identyfikacji uczestnika postępowania w środowisku cyfrowym, jako użytkownika Internetu o określonych cechach, a nie jako osobę fizyczną możliwą do zidentyfikowania z imienia i nazwiska.Zdecydowanie należy podkreślić, że późniejsze ujawnienie danych w postaci nazwiska i imienia ujawnionego we wniosku uczestnika do podmiotu przetwarzającego, którego przetwarzanie danych podlega ocenie, nie ma wpływu na ewentualną kwalifikację adresu IP i ID plików cookies jako danych osobowych tej osoby.
Kwalifikacji tej należy dokonać na podstawie okoliczności mających miejsce w czasie przetwarzania danych (w czasie odwiedzin przez uczestnika strony Spółki). Zatem zachodziła w sprawie konieczność analizy możliwości faktycznych i prawnych Spółki zidentyfikowania uczestnika, w celu ustalenia, czy Spółka przetwarzała jego dane osobowe i konieczność przedstawienia tej analizy w uzasadnieniu podjętej przez organ decyzji.