Prezes UODO wydał decyzję dotyczącą stosowania cookies, w której udzielił upomnienia spółce, że wbrew RODO przetwarzała dane swojego klienta. Ta nie zgadza się rozstrzygnięciem urzędu i wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Jej zdaniem nie naruszyła prawa, bo pliki cookies wykorzystuje zgodnie z ustawieniami przeglądarki internetowej na urządzeniu końcowym użytkownika. W poniedziałek, 11 lipca WSA w Warszawie uchylił decyzję UODO (sygnatura akt II SA/Wa 3993/21). UODO nie chce na razie komentować wyroku czeka na pisemne uzasadnienie.
Czytaj też: Cookies to dane osobowe? Spór o stosowanie RODO>>
Zgoda ma być wyraźna, a nie dorozumiana
Prezes UODO udzielił firmie upomnienia, a także nakazał usunięcie danych osobowych dotyczących adresu IP oraz sztucznie nadanego ID z cookies. Spółka ma również poinformować podmioty którym udostępniła dane osobowe o ich usunięciu.
Sprawdź w LEX: Czy przy wejściu na stronę internetową każdej firmy powinna pojawiać się informacja o plikach cookies? >
Według prezesa UODO, odwiedzający stronę nie zmienił ustawień swojej przeglądarki internetowej. Zgoda miała więc charakter bierny i milczący. Nie spełnia więc warunków wynikających z art. 4 pkt 11 RODO, tj. wymogu dobrowolności świadomości, jednoznaczności oraz konkretności. Prezes tego urzędu powołał się również na wyrok TSUE w sprawie Planet49. Mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu.
Zobacz w LEX: Transformacja biznesu w e-commerce. Na co zwrócić uwagę, by nie naruszyć prawa? >
Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania i udostępniania plików cookies na urządzeniach użytkowników witryny internetowej. We wspomnianym wyżej wyroku TSUE orzekł, że jasne i wyczerpujące informacje powinny umożliwić użytkownikowi łatwe ustalenie konsekwencji zgody, której może udzielić oraz gwarantować, że zgoda zostanie udzielona przy pełnej znajomości rzeczy. Osoba, której dane będą przetwarzane, musi zostać o tym fakcie poinformowana zanim zainstalują się pliki cookies na jej urządzeniu. W tym konkretnym przypadku dane skarżącego zostały udostępnione zanim miał on możliwość zapoznać się z polityką prywatności zamieszczoną na stronie internetowej spółki.
Spółka postanowiła się bronić. - Mogliśmy tę sprawę po prosu zostawić, bo w końcu otrzymaliśmy od UODO „tylko upomnienie”, a nie karę finansową. Ale nie o to w tym wszystkim chyba chodzi, prawda? Dziś ten problem mieliśmy my, jutro może go mieć każdy, kto posiada firmową stronę internetową. Postanowiliśmy więc złożyć skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego w Warszawie. Mamy nadzieję, że nasz przypadek zostanie dokładnie zbadany, a rozstrzygniecie WSA będzie mogło służyć wszystkim w przyszłości - wyjaśniała Maria Lothamer, wiceprezes zarządu iSecure Sp. z o.o.
Czytaj w LEX: RODO w IT: pliki cookie – jak je ugryźć? >
Spółka miała wątpliwości, czy aby na pewno UODO jest właściwy w zakresie oceny zgodności jej działania z wymogami określonymi prawie telekomunikacyjnym, czy właściwe jest nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies (jako niezależni administratorzy) i nie dochodzi do operacji ich „ujawnienia” (np. Google) oraz czy nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają interwencji na poziomie wyższej instancji. - W końcu tego typu rozstrzygnięcia UODO, za chwilę mogą bardzo mocno wpłynąć na biznes nie tylko naszej spółki, ale i każdej innej firmy obecnej w Internecie - ostrzegała Maria Lothamer.
Sprawdź w LEX: Czy na stronie internetowej przy formularzu kontaktowym powinna być zamieszczona zgoda na przetwarzanie danych osobowych? >
Sąd uchyla decyzję
WSA podkreślił, że prezes UODO powinien wnikliwie przeanalizować charakter gromadzonych danych (np. IP / sztucznie nadany id). Jak stwierdził sąd nie jest jego rolą wyręczanie organu w tym zakresie. UODO powinien wyjaśnić, jak rozumie możliwość identyfikacji (w rozumieniu RODO) i czy w przedmiotowej sprawie ona wystąpiła i i kto taką możliwość ma. Zwrócił także uwagę na konieczność wnikliwego (i uwzględniającego niuanse) podejścia jak w przypadku rozróżnienia stałego i dynamicznego nr IP. Sąd zwrócił uwagę na nie dostateczne ustalenia w tym zakresie. Orzeczenie nie jest prawomocne.
Zdaniem pełnomocnika skarżącej sprawa (jeżeli orzeczenie się uprawomocni lub utrzyma przed NSA) będzie miała kolosalne znaczenie dla wykładni przepisów o ochronie danych osobowych, ale także dla praktyki samego UODO. - Sąd podzielił nasze stanowisko, że przy ustalaniu stanu faktycznego (tj. czy informacje są danymi osobowymi i dla kogo) nie ma drogi na skróty. Nie każda informacja w świecie cyfrowym dotycząca urządzenia musi od razu być daną osobową -tłumaczy dr Miroslaw Gumularz WSB Warszawa.
Natomiast Urząd Ochrony Danych Osobowych odpowiedział Prawo.pl, że czeka na pisemne uzasadnienie wyroku WSA w niniejszej sprawie. Ewentualne dalsze działania zostaną podjęte po przeanalizowaniu uzasadnienia sądu.
Prawnicy nie mają wątpliwości, że rozstrzygnięcie w tej sprawie ma charakter przełomowy. Brakuje bowiem rozstrzygnięć w tym zakresie w Polsce. Te jest jedną z pierwszych jaskółek.
Przecieranie szlaków innym
Prawnicy uważają, że decyzja jest ważna i idealnie wpisuje się w tendencję, która jest już obecna w Europie od jakiegoś czasu. Problem w tym, że budzi wątpliwości, które mogą zaważyć na jej losie.
- Z jednej strony w Europie Zachodniej od kilku już lat wymagano tzw. zgody aktywnej na instalowanie plików cookies, czyli nie wystarczyło takie ustawienie przeglądarki internetowej, by ta dopuszczała ciasteczka, trzeba było kliknąć „zgadzam się”. Z drugiej strony, w Polsce obowiązuje art. 173 ust. 2 Prawa telekomunikacyjnego (dalej PT), który dopuszcza wyrażenie zgody na instalowanie plików cookies przez ustawienia przeglądarki – czyli zgoda jest wyrażana jednorazowo przy konfigurowaniu oprogramowania, a nie aktywnie w stosunku do każdego dostawcy, który korzysta z technologii cookies - twierdzi Paweł Litwiński adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów; wykładowca Uniwersytetu SWPS.
Czytaj w LEX: RODO w IT: dane osobowe a architektura IT >
Jego zdaniem prezes UODO w ogóle nie widzi art. 173 PT ust. 2. - Przepis jakby nie istniał na poziomie uzasadnienia – a przecież przepis wyraźnie dopuszcza wyrażanie zgody przez ustawienia przeglądarki. Z kolej po głębszej analizie decyzji można dojść do wniosku, że doszło do pomieszania dwóch kwestii: zgody na instalowanie plików cookies ze zgodą na przetwarzanie danych osobowych. O ile ta pierwsza może być wyrażona przez ustawienia przeglądarki, a prezes UODO nie może ignorować obowiązujących przepisów (a jeżeli to robi, to powinien jednak to wyjaśnić, dlaczego odmawia mocy obowiązującej art. 173 ust. 2 PT), o tyle ta druga musi być aktywna i spełniać pozostałe wymagania stawiane przez RODO. Ważne jest też to, że w odniesieniu do instalowania plików cookies właściwym jest nie Prezes UODO, ale Prezes UKE, co może tłumaczyć to pomieszanie po to, żeby utrzymać właściwość Prezesa UODO - podkreśla Paweł Litwiński.
Z kolei przyjęcie, że w sprawie właściwym jest prezes UODO wymaga, aby plik cookies można było uznać za dane osobowe w rozumieniu przepisów RODO i to może być dla sprawy kluczowe. - Decyzja została bowiem uchylona, a wnosząc na podstawie ustnych motywów rozstrzygnięcia można dojść do wniosku, że sąd ma wątpliwości właśnie co do tego, czy te konkretne pliki cookies stanowią dane osobowe. To musi zbadać Prezes UODO, ale jeżeli okaże się, że nie mamy tutaj danych osobowych, to postępowanie trzeba będzie umorzyć - dodaje.
Czytaj w LEX: Okiem IOD-a: nowoczesne formy marketingu w świetle przepisów RODO >
Także dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p. uważa, że decyzja warta jest uwagi. Podkreśla, że decyzja prezesa UODO odnosi się do jednej z bardziej paradoksalnych kwestii współczesnego przetwarzania danych osobowych za pośrednictwem stron internetowych. - Z jednej strony bez plików cookies z tychże stron sprawnie dla użytkownika korzystać się właściwie nie da, z drugiej strony powracającą jest kwestia tego, z jakich plików cookies korzystanie jest rzeczywiście niezbędne, a na jakie ich użycie nieodzowna jest zgoda. Ponadto niezwykle palące jest to, jak ta zgoda jest wyrażana i czy faktycznie współczesna praktyka niekończących się treści zgód i oświadczeń, które użytkownicy „odklikują” dość mechanicznie (bywa, ze bez żadnej refleksji) w istocie zapewnia im samodecydowanie i autonomię informacyjną - wyjaśnia dr Marlena Sakowska-Baryła.
Sprawdź w LEX: Czy w świetle RODO istnieją prawne przeciwwskazania do korzystania z Google Analitics? >
Brakuje uregulowań dla ciasteczek
Prawnicy przyznają, że praktyka stosowania plików cookies wciąż nie doczekała się jednoznacznej regulacji. - Trudno dziś mówić o przejrzystych unormowaniach w tym względzie, tym bardziej doniosła okazuje się praktyka orzecznicza organów nadzorczych. Niestety, wciąż mamy tu do czynienia z dwoma reżimami prawnymi, gdzie niezwykle trudno sensownie połączyć praktykę wynikającą z zastosowania przepisów Prawa telekomunikacyjnego oraz prawa unijnego, gdzie jeszcze czekamy na rozporządzenie ePrivacy, a już musimy stosować się do reżimów RODO - zauważa dr Marlena Sakowska-Baryła.
Według niej, nie ma wątpliwości, że użytkownik strony internetowej musi być poinformowany o tym, że dana witryna korzysta z plików cookie, a dopiero po uzyskaniu takiej informacji, powinien wyrazić zgodę na ich zastosowanie. Informacja o instalowaniu plików cookie ma być przekazana zanim zaczną one działać, sporne jednak być może, czy na tym etapie mamy do czynienia z danymi osobowymi, a przynajmniej czy za każdym razem tak można kwalifikować informacje o użytkowniku, skoro – jak wynika z ustaleń organu - adres IP może nie być danymi osobowymi. Analizowaną decyzję można potraktować jako interesujący wkład w dyskurs odnoszący się do tego obszaru.
Sprawdź w LEX: Jakie informacje i dokumenty z zakresu RODO powinny znaleźć się na stronie internetowej oraz przy formularzu kontaktowym? >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.