Kwestia ciasteczek (czyli plików instalowanych na urządzeniach użytkowników odwiedzających strony internetowe) od dawna budzi kontrowersje. Prawnicy spierają się, czy informacje pozyskiwane z tych ciasteczek są danymi osobowymi, czy nie. I jak pogodzić unijne regulacje z zakresu danych osobowych z przepisami rodzimego prawa telekomunikacyjnego?
Dyskusja na ten temat rozgorzała na nowo po niedawnym wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie uchylającym decyzję Urzędu Ochrony Danych Osobowych, w której organ nałożył upomnienie na spółkę iSecure, zarzucając jej m.in. udostępnienie podmiotom trzecim danych osobowych użytkownika (pozyskanych właśnie przez ciasteczka zainstalowane na jego komputerze) bez podstawy prawnej. Spółka nie zgodziła się z oceną UODO i złożyła skargę do WSA. Ten w wyroku z 11 lipca br. (sygn. akt II SA/Wa 3993/21) uchylającym decyzję organu nadzorczego nie zgodził się z prostym podejściem, że w świecie cyfrowym każda informacja o użytkowniku jest daną osobową.
Wielokrotnie podkreślano duże znaczenie tej sprawy dla praktyki funkcjonowania usług w internecie. I trudno się nie zgodzić - z ciasteczek korzystają praktycznie wszystkie witryny internetowe. Orzeczenie nie jest jednak prawomocne - UODO może złożyć skargę do Naczelnego Sądu Administracyjnego.
Przytaczamy stanowiska pełnomocnika iSecure oraz UODO dotyczące sporu o ciasteczka, aby pokazać różnice w interpretacji tego zagadnienia.
Opinia
/>
Nie każde informacje w świecie cyfrowym stanowią dane osobowe - to jedna z najważniejszych tez wygłoszonych przez WSA w sprawie dotyczącej iSecure. Jest to pierwsza tego typu sprawa na terenie RP, w związku z czym orzeczenie będzie miało istotne znaczenie dla praktyki.
Sąd krytycznie odniósł się do dość powierzchownej analizy wykonanej przez UODO na temat tego, czy informacje zbierane w ramach ciasteczek (zapisane w tych plikach), a dotyczące bezpośrednio urządzenia (a nie osoby), są faktycznie danym osobowymi, i czy w związku z tym podlegają regułom RODO. WSA w ustnych motywach wskazał, że organ - zanim przejdzie do oceny prawnej legalności pozyskiwanych danych - musi wyczerpująco wskazać, jak ustalił, że w danej sprawie informacje mają charakter danych osobowych. Na co powinno się składać wyjaśnienie pojęcia możliwości identyfikacji i określenie, dlaczego określona informacja jest możliwa do przypisania do osoby fizycznej w konkretnej sprawie.
Sąd postawił tym samym bardzo wysoko poprzeczkę organowi w zakresie także innych spraw ze świata cyfrowego. Nakazał mu przedstawiać bardzo precyzyjnie argumentację odnośnie do tego, jak administrator mógłby identyfikować konkretnego użytkownika na podstawie gromadzonych danych. Liczy się bowiem kontekst - u niektórych administratorów może dochodzić do przetwarzania danych osobowych, a u innych niekoniecznie.
W skardze na decyzję UODO podkreślaliśmy, że organ nadzorczy powinien wskazać, w jaki sposób dane w postaci adresu IP użytkownika oraz przypisanego mu numeru ciasteczek (tzw. cookie ID) mogą dotyczyć możliwej do identyfikacji osoby fizycznej, co jest wymagane do uznania, że mamy do czynienia z danymi osobowymi. Tylko w takiej sytuacji określony podmiot staje się administratorem danych i ma obowiązek poinformowania użytkownika m.in. o przetwarzaniu jego danych osobowych oraz musi posiadać przesłankę do tego działania, np. zgodę. Co więcej, pewna informacja może być dla pewnego podmiotu jedną z danych osobowych (bo ma możliwość identyfikacji), a dla innego nie. Organ powinien wskazać, dlaczego w danej sprawie wskazane informacje miały charakter danych osobowych dla właściciela strony internetowej.
Trudno jest uznawać niejako z automatu, że adres IP czy inne informacje dotyczące urządzenia mogą posłużyć do identyfikacji osoby fizycznej przez inny podmiot niż dostawca usługi telekomunikacyjnej dla internauty. Kwestia adresu IP nie jest zero-jedynkowa. Część użytkowników może korzystać z tzw. dynamicznego adresu IP, który jest losowany co określony czas lub przy każdorazowym logowaniu do sieci. A nawet, jeśli mamy do czynienia ze stałym adresem IP, to i tak z jednego urządzenia, np. komputera, może korzystać kilku różnych domowników. I administrator mający do dyspozycji wyłącznie IP oraz cookie ID nie jest w stanie stwierdzić z pewnością, że jego witrynę na pewno odwiedza ten sam internauta.
WSA krytycznie odniósł się także do przytaczanego przez UODO orzecznictwa. Wiele z cytowanych wyroków i stanowisk Grupy Roboczej Art. 29 poprzedza wejście w życie RODO prawie o dekadę. Co więcej, przytaczane jest orzecznictwo, zgodnie z którym administrator może pozyskać dodatkowe informacje o użytkowniku np. od dostawcy internetu i wówczas nawet dynamiczny adres IP będzie stanowił dane osobowe. Idąc tym tokiem rozumowania: gdy mam numer seryjny gaśnicy, to można by zrobić śledztwo detektywistyczne i ustalić, kto w fabryce odpowiadał za naklejenie etykiety na tym konkretnym modelu i w związku z tym powinienem uznać, że przetwarza się jego dane osobowe.
Na koniec należy zwrócić uwagę, że art. 173 ust. 2 ustawy z 16 lipca 2004 r. ‒ Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r. poz. 576; ost.zm. Dz.U. z 2022 r. poz. 501; dalej: p.t.) umożliwia użytkownikom wyrażenie zgody na zainstalowanie plików cookies poprzez dokonane ustawienia przeglądarki internetowej. Z innej jednak strony art. 174 p.t. zobowiązuje administratorów, aby uzyskana w ten sposób zgoda spełniała wymogi przepisów o ochronie danych osobowych. To niewątpliwie rodzi pewne problemy interpretacyjne - zwłaszcza w kontekście cookies zawierających informacje niepozwalające na łatwą identyfikację użytkowników. Organ nadzorczy nie pochylił się jednak w sposób wyczerpujący nad tą kwestią. W szczególności nie wskazał, jaka relacja zachodzi pomiędzy wskazanymi przepisami.
Niestety WSA nie podjął też rozważań nad kwestią sposobu wyrażania zgody. WSA powiedział, że to przedwczesne, żeby odnosić się do kwestii legalności (np. kwestia zgody), skoro UODO nie przedstawił wyczerpującej argumentacji co do charakteru przetwarzanych informacji.©℗
Stanowisko Urzędu Ochrony Danych Osobowych z 19 lipca 2022 r. - wydane dla DGP (fragmenty)
/>
(…) Za dane osobowe można uznać m.in. adres IP (internet protocol address), który jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Co prawda jest informacją dotyczącą komputera, a nie konkretnej osoby fizycznej, jednak pomimo powyższego tam, gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, ponieważ jest to informacja umożliwiająca identyfikację konkretnej osoby fizycznej (tak np. Naczelny Sąd Administracyjny w wyroku z 19 maja 2011 r., sygn. akt I OSK 1079/10).
Analogiczne stanowisko w wyroku z 19 października 2016 r. w sprawie C-582/14 zajął Trybunał Sprawiedliwości Unii Europejskiej, który uznał, że „użycie przez prawodawcę Unii terminu «pośrednio» służy wskazaniu, że aby móc uznać informację za dane osobowe, nie jest konieczne, by informacja ta umożliwiała sama w sobie zidentyfikowanie osoby, której dane dotyczą.” (…) TSUE wskazał (…), że nawet jeśli jakiekolwiek dodatkowe informacje nie znajdują się w posiadaniu jednego dostawcy, to jeżeli ma on, nawet potencjalną, możliwość pozyskania dodatkowych informacji, które są w posiadaniu dostawcy internetu, w takiej sytuacji dynamiczny adres IP stanowi dane osobowe. (…)
UODO stoi na stanowisku, że informacje, które wiążą się z określoną osobą choćby pośrednio ‒ jak adres IP czy powiązany z nim numer ID - niosą pewien komunikat i poprzez możliwość powiązania urządzeń, do których dane te się odnoszą, z daną osobą pośrednio stanowią także informacje o niej samej. Dane te uznać należy zatem za dane osobowe w rozumieniu art. 4 pkt 1 RODO, ponieważ istnieje uzasadnione prawdopodobieństwo zidentyfikowania konkretnej osoby w powiązaniu z tymi danymi.
Podobnie należy rozważyć informacje zawarte w plikach cookies. Pliki te zapisywane/odczytywane są z konkretnego urządzenia, tzn. z urządzenia o określonym identyfikatorze sieciowym IP czy unikalnym identyfikatorze fizycznym karty sieciowej, jakim jest numer MAC urządzenia, na którym lub z którego plik cookies został odczytany. W kontekście plików cookies jest to istotna informacja, która z dużym prawdopodobieństwem pozwala na identyfikację osoby, której dany plik cookies dotyczy.
Jeśli natomiast zawartość pliku cookies zostanie wyodrębniona ze środowiska, w którym został on zapisany, wówczas można będzie uznać, że jest mało prawdopodobne, aby na podstawie samej jego zawartości możliwa była identyfikacja osoby, której dotyczy. Żeby się jednak co do tego upewnić, należy sprawdzić, czy przypadkiem w jego treści nie zostały zapisane dane, takie jak np. identyfikator internetowy, lub inne dane, które umożliwiałyby identyfikację osoby, której on dotyczy. Hipotetycznie bowiem można sobie wyobrazić sytuację, w której do pliku cookies tworzonego podczas wypełniania formularza na stronie internetowej zapisany zostanie np. nr PESEL wpisany do formularza lub identyfikator użytkownika w systemie informatycznym, które pozwolą na łatwą identyfikację osoby, której dany plik dotyczy. Plik cookies z pewnością należy uznać za daną osobową, jeśli inne okoliczności, takie jak: czas, miejsce, w którym został on zapisany, lub jego zawartość, z dużym prawdopodobieństwem umożliwiają identyfikację osoby, której dotyczy. (…)
W odniesieniu do kwestii, czy art. 173 ust. 2 p.t. zezwala na zainstalowanie ciasteczek, jeżeli tylko użytkownik się temu nie sprzeciwia, na wstępie należy zaznaczyć, że zgodnie z tym przepisem abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Ust. 1 pkt 2 tego artykułu stanowi, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone pod warunkiem, że po otrzymaniu informacji, o których mowa w pkt 1, wyrażą na to zgodę.
Do uzyskania zgody stosuje się przepisy o ochronie danych osobowych (art. 174 p.t.). Powyższy wymóg nie dotyczy plików cookies sesyjnych wykorzystywanych jedynie do zapewnienia funkcjonalności serwisu internetowego (art. 173 ust. 3 p.t.). (…)
W odpowiedzi na pytanie dotyczące kwestii, czy przepis art. 173 ust. 2 p.t. zezwala również na przetwarzanie danych osobowych, czy też na takie działanie potrzebna jest zgoda spełniająca wymogi wskazane RODO, należy wskazać, że zgodnie z art. 174 p.t. do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. W świetle powyższego ocena skuteczności wyrażenia zgody, o której mowa w art. 173 ust. 1 p.t., nie może odbywać się w oderwaniu od przepisów RODO.
