3. News
  5. Pliki cookies a dane osobowe – jakie są obowiązki podmiotów korzystających z plików cookies?

Pliki cookies a dane osobowe – jakie są obowiązki podmiotów korzystających z plików cookies?

25 August 2022

11 lipca 2022 roku Wojewódzki Sąd Administracyjny w Warszawie („WSA”) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych („Prezes UODO”), nie zgadzając się z tym, że każda informacja o użytkowniku, zapisana poprzez pliki cookies powinna być automatycznie traktowana jako dane osobowe użytkownika.

Index
  1. Wyrok WSA: informacje zapisane w plikach cookies nie zawsze stanowią dane osobowe
    1. Standardy wyrażania zgody w odniesieniu do plików cookies
    2. Podsumowanie: jakie są obowiązki podmiotów w zakresie plików cookies

Wyrok WSA: informacje zapisane w plikach cookies nie zawsze stanowią dane osobowe

Decyzja Prezesa UODO odnosiła się do praktyki spółki, która z faktu, że użytkownik odwiedził jej stronę wywodziła jego zgodę na przetwarzanie danych osobowych. Zgoda ta miała być wyrażona poprzez ustawienia własne przeglądarki użytkownika. Spółka argumentowała, że poinformowała użytkownika o wykorzystywaniu plików cookies i przekazała informacje o możliwości ręcznej zmiany ustawień. Spółka uważała ponadto, że udostępnienie informacji w postaci cookie ID podmiotom trzecim nie wpisuje się w zakres „danych osobowych” zgodnie z definicją wyrażoną w Ogólnym rozporządzeniu o ochronie danych („RODO”).

Prezes UODO argumentował natomiast, że przez dane osobowe rozumie się wszelkie informacje, które umożliwiają zidentyfikowanie konkretnej osoby. Korzystając z poszczególnych stron internetowych osobom fizycznym mogą zostać przypisane identyfikatory internetowe (adresy IP, identyfikatory plików cookies), które są generowane przez ich urządzenia, aplikacje, narzędzia, protokoły, czy też inne identyfikatory. Działania te mogą skutkować zostawianiem śladów, które w połączeniu z unikatowymi identyfikatorami oraz innymi informacjami, które uzyskują serwery mogą  być wykorzystywane do tworzenia profili oraz identyfikowania tych osób, jeżeli tylko zostanie udowodnione, że dane informacje mogą być przypisane konkretnej osobie. Wskazał również, że identyfikacja może nastąpić pośrednio – a zatem, może nie być konieczne by informacja sama w sobie pozwalała na zidentyfikowanie osoby, której dane dotyczą, ale może to nastąpić także przez inne dodatkowe informacje, jak informacje dotyczące przedmiotów, czy urządzeń, które można powiązać z osobą.

Prezes UODO uznał natomiast, że zachowanie podmiotu, który wykorzystując pliki cookies, bez uprzedniej zgody użytkownika, przetwarza oraz udostępnia dane osobowe użytkowników narusza przepisy o ochronie danych osobowych. Ponadto w związku z tym, że informacje zapisane przez pliki cookies mogą stanowić dane osobowe, podmiot, który je przetwarza powinien wypełnić również inne obowiązki związane z przetwarzaniem danych osobowych, w tym wobec osób, których dane osobowe dotyczą, jak odpowiedź na ich żądania dostępu do danych, czy udostępnienia kopii danych.

W swoim orzeczeniu WSA wyjaśnił, że nie każda informacja (adres IP, identyfikator plików cookies) umożliwia identyfikację konkretnej osoby (np. identyfikacja może nie być możliwa, jeżeli użytkownik korzysta z dynamicznego adresu IP, który jest losowany w określonych przedziałach czasowych lub przy każdorazowym logowaniu do sieci lub gdy z jednego urządzenia korzysta więcej użytkowników). WSA wskazał również, że przed dokonaniem oceny prawnej legalności pozyskiwanych danych, Prezes UODO powinien w sposób wyczerpujący wskazać, jak ustalił, że w danej sprawie informacje mają charakter danych osobowych, w tym wyjaśnić pojęcie możliwości identyfikacji i określić, dlaczego określona informacja jest możliwa do przypisania do osoby fizycznej w konkretnej sprawie.

Orzeczenie nie jest prawomocne i może zostać zaskarżone  do Naczelnego Sądu Administracyjnego. Nasz zespół Prawa własności intelektualnej, mediów i technologii będzie monitorował dla Państwa dalsze kroki w tej sprawie.

Standardy wyrażania zgody w odniesieniu do plików cookies

Zgodnie z przepisami Prawa telekomunikacyjnego, przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w urządzeniu jest dozwolone, pod warunkiem że:

  • użytkownik zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

    • celu przechowywania i uzyskiwania dostępu do tej informacji,

    • możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji usługi;

    • użytkownik wyrazi na to zgodę, również za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu lub konfiguracji usługi;

  • przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w urządzeniu i oprogramowaniu zainstalowanym w tym urządzeniu.

Ponadto zgodnie z Prawem telekomunikacyjnym, do uzyskania zgody użytkownika stosuje się przepisy o ochronie danych osobowych. W związku z tym, istnieją wątpliwości, czy zgoda wyrażona za pomocą ustawień przeglądarki internetowej jest wystarczająca wobec konieczności spełnienia wymogów dla zgody w świetle RODO. Omawiany wyżej wyrok WSA nie wyjaśnił niestety tych wątpliwości.

Należy przy tym wskazać na cytowany w decyzji Prezesa UODO wyrok TSUE w sprawie C-673/17, który wytyczył standardy uzyskiwania zgody na korzystanie z plików cookies zgodnie z przepisami o ochronie danych osobowych.  Z ww. wyroku wynika, że, że zgoda użytkownika jest ważna, jeżeli spełnia poniższe wymogi:

  • została jednoznacznie wyrażona przez osobę, której dane dotyczą;

  • osoba, która wyrażała zgodę podjęła czynne zachowanie (aktywne działanie lub oświadczenie) w celu jej wyrażenia (np. zaznaczenie okienka wyboru przy przeglądaniu strony internetowej).

Tym samym nie zostanie uznane za zgodne z przepisami o ochronie danych osobowych wyrażenie zgody na wykorzystywanie przez daną stronę plików cookies poprzez:

  • milczenie użytkownika;

  • okienka z wyrażeniem zgody zaznaczone domyślnie;

  • niepodjęcie działania przez użytkownika (samo korzystanie ze strony, na której użytkownik może zmienić ustawienia swojej przeglądarki, nie może być równoznaczne z domniemaniem wyrażenia jego zgody na wykorzystywanie plików cookies).

Podsumowanie: jakie są obowiązki podmiotów w zakresie plików cookies

Podmioty wykorzystujące pliki cookies powinny pamiętać o obowiązku udzielenia użytkownikowi uprzedniej, wyczerpującej informacji o plikach cookies, jak również o przetwarzaniu przez nich danych osobowych, na wypadek gdyby informacje przez nich przetwarzane, mogły bezpośrednio lub chociażby pośrednio identyfikować użytkownika. Ponadto podmioty te powinny umożliwić użytkownikom udzielenie świadomej zgody poprzez np. zaznaczenie okienka wyboru.

 

 

Authored by Andrzej Dębiec, Ewa Kacperek, and Weronika Olszewska.

Contacts
Andrzej Debiec
Head of Tax
Warsaw
Ewa Kacperek
Counsel
Warsaw
Weronika Olszewska
Associate
Warsaw
Index
  1. Wyrok WSA: informacje zapisane w plikach cookies nie zawsze stanowią dane osobowe
    1. Standardy wyrażania zgody w odniesieniu do plików cookies
    2. Podsumowanie: jakie są obowiązki podmiotów w zakresie plików cookies
Keywords pliki cookies, RODO, prawo telekomunikacyjne, Urząd Ochrony Danych Osobowych, UODO, Wyrok WSA, dane osobowe
Topics E-Commerce, IP and Technology Transactions
Countries Poland

 

This website is operated by Hogan Lovells International LLP, whose registered office is at Atlantic House, Holborn Viaduct, London, EC1A 2FG. For further details of Hogan Lovells International LLP and the international legal practice that comprises Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses ("Hogan Lovells"), please see our Legal Notices page. © 2024 Hogan Lovells.

Attorney advertising. Prior results do not guarantee a similar outcome.

Thomson Reuters HighQ Logo
© 2024 Hogan Lovells | Privacy Policy | Terms of Service