RODO: Ważny wyrok WSA – nie każde cookies jest zaraz daną osobową

Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, że internauta musi wyrazić zgodę na cookies w sposób aktywny. Nie może to być zgoda bierna udzielona jedynie poprzez ustawienie przeglądarki internetowej. Tymczasem tę ostatnią formę dopuszcza prawo telekomunikacyjne, którego urząd nie zauważył. W poniedziałek WSA uchylił decyzję i uznał, że nie każda informacja w świecie cyfrowym dotycząca urządzenia musi od razu być daną osobową.

Prezes UODO wydał decyzję dotyczącą stosowania cookies, w której udzielił upomnienia spółce, że wbrew RODO przetwarzała dane swojego klienta. Ta nie zgadza się rozstrzygnięciem urzędu i wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Jej zdaniem nie naruszyła prawa, bo pliki cookies wykorzystuje zgodnie z ustawieniami przeglądarki internetowej na urządzeniu końcowym użytkownika. W poniedziałek, 11 lipca WSA w Warszawie uchylił decyzję UODO (sygnatura akt II SA/Wa 3993/21).  UODO nie chce na razie komentować wyroku czeka na pisemne uzasadnienie.

Prezes UODO udzielił firmie upomnienia, a także nakazał usunięcie danych osobowych dotyczących adresu IP oraz sztucznie nadanego ID z cookies. Spółka ma również poinformować podmioty którym udostępniła dane osobowe o ich usunięciu.

Według prezesa UODO,  odwiedzający stronę nie zmienił  ustawień swojej  przeglądarki internetowej. Zgoda miała więc charakter bierny i milczący. Nie spełnia więc warunków wynikających z art. 4  pkt 11 RODO, tj. wymogu dobrowolności  świadomości, jednoznaczności oraz konkretności. Prezes tego urzędu powołał się również na wyrok TSUE w sprawie Planet49. Mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu.

Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania  i udostępniania plików cookies  na urządzeniach użytkowników witryny internetowej. We wspomnianym wyżej wyroku TSUE orzekł, że jasne i wyczerpujące informacje powinny umożliwić użytkownikowi  łatwe ustalenie konsekwencji zgody, której może udzielić oraz gwarantować, że zgoda zostanie udzielona przy pełnej znajomości rzeczy. Osoba, której dane będą przetwarzane, musi  zostać o tym fakcie poinformowana zanim zainstalują się  pliki cookies na jej urządzeniu. W tym konkretnym  przypadku dane skarżącego zostały udostępnione zanim miał on możliwość zapoznać się z polityką prywatności zamieszczoną na stronie internetowej spółki.

WSA podkreślił, że prezes UODO powinien wnikliwie przeanalizować charakter gromadzonych danych (np. IP / sztucznie nadany id). Jak stwierdził sąd nie jest jego rolą  wyręczanie organu w tym zakresie. UODO powinien wyjaśnić, jak rozumie możliwość identyfikacji (w rozumieniu RODO) i czy w przedmiotowej sprawie ona wystąpiła i i kto taką możliwość ma. Zwrócił także uwagę na konieczność wnikliwego (i uwzględniającego niuanse) podejścia jak w przypadku rozróżnienia stałego i dynamicznego nr IP. Sąd zwrócił uwagę na nie dostateczne ustalenia w tym zakresie. Orzeczenie nie jest prawomocne. ( Źródło Prawo.pl dla LEX z dn. 15.07.2022 r./ HW)