RODO: Ważny wyrok WSA – nie każde cookies jest zaraz daną osobową
Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, że internauta musi wyrazić zgodę na cookies w sposób aktywny. Nie może to być zgoda bierna udzielona jedynie poprzez ustawienie przeglądarki internetowej. Tymczasem tę ostatnią formę dopuszcza prawo telekomunikacyjne, którego urząd nie zauważył. W poniedziałek WSA uchylił decyzję i uznał, że nie każda informacja w świecie cyfrowym dotycząca urządzenia musi od razu być daną osobową.
Prezes UODO wydał decyzję dotyczącą stosowania cookies, w której udzielił upomnienia spółce, że wbrew RODO przetwarzała dane swojego klienta. Ta nie zgadza się rozstrzygnięciem urzędu i wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Jej zdaniem nie naruszyła prawa, bo pliki cookies wykorzystuje zgodnie z ustawieniami przeglądarki internetowej na urządzeniu końcowym użytkownika. W poniedziałek, 11 lipca WSA w Warszawie uchylił decyzję UODO (sygnatura akt II SA/Wa 3993/21). UODO nie chce na razie komentować wyroku czeka na pisemne uzasadnienie.
Prezes UODO udzielił firmie upomnienia, a także nakazał usunięcie danych osobowych dotyczących adresu IP oraz sztucznie nadanego ID z cookies. Spółka ma również poinformować podmioty którym udostępniła dane osobowe o ich usunięciu.
Według prezesa UODO, odwiedzający stronę nie zmienił ustawień swojej przeglądarki internetowej. Zgoda miała więc charakter bierny i milczący. Nie spełnia więc warunków wynikających z art. 4 pkt 11 RODO, tj. wymogu dobrowolności świadomości, jednoznaczności oraz konkretności. Prezes tego urzędu powołał się również na wyrok TSUE w sprawie Planet49. Mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu.
Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania i udostępniania plików cookies na urządzeniach użytkowników witryny internetowej. We wspomnianym wyżej wyroku TSUE orzekł, że jasne i wyczerpujące informacje powinny umożliwić użytkownikowi łatwe ustalenie konsekwencji zgody, której może udzielić oraz gwarantować, że zgoda zostanie udzielona przy pełnej znajomości rzeczy. Osoba, której dane będą przetwarzane, musi zostać o tym fakcie poinformowana zanim zainstalują się pliki cookies na jej urządzeniu. W tym konkretnym przypadku dane skarżącego zostały udostępnione zanim miał on możliwość zapoznać się z polityką prywatności zamieszczoną na stronie internetowej spółki.
WSA podkreślił, że prezes UODO powinien wnikliwie przeanalizować charakter gromadzonych danych (np. IP / sztucznie nadany id). Jak stwierdził sąd nie jest jego rolą wyręczanie organu w tym zakresie. UODO powinien wyjaśnić, jak rozumie możliwość identyfikacji (w rozumieniu RODO) i czy w przedmiotowej sprawie ona wystąpiła i i kto taką możliwość ma. Zwrócił także uwagę na konieczność wnikliwego (i uwzględniającego niuanse) podejścia jak w przypadku rozróżnienia stałego i dynamicznego nr IP. Sąd zwrócił uwagę na nie dostateczne ustalenia w tym zakresie. Orzeczenie nie jest prawomocne. ( Źródło Prawo.pl dla LEX z dn. 15.07.2022 r./ HW)