WSA o cookies – czy wszystkie ciastka to dane osobowe?
Ostatni wyrok WSA stanowi niezwykle ważne stanowisko dla rynku, które może zważyć na przyszłej linii orzeczniczej oraz sposobie działania Urzędu Ochrony Danych Osobowych (UODO).
Spółka, która na swojej stronie jedynie informowała o używaniu plików cookies, otrzymała karę upomnienia od UODO za brak odbierania od użytkowników odpowiedniej zgody na przetwarzanie ich danych osobowych.
Organ doszedł do wniosku, iż informacja jaką prezentowała Spółka jest niewystarczająca i nie spełnia warunków wyrażenia ważnej zgody wskazanych w art. 4 pkt 11 RODO. Tym samym Organ podtrzymał swoje wcześniejsze stanowisko, zgodnie z którym administratorzy danych powinni na swoich stronach stosować odpowiednie banery pozwalające na wyrażenie zgody na korzystanie z plików cookies (innych niż niezbędne) lub odrzucenie tych plików.
Spółka w toku postępowania wskazywała jednak na istnienie obowiązującego w Polsce art. 173 ust. 2 Prawa telekomunikacyjnego. Przepis ten pozwala na wyrażenie zgody na korzystanie z plików cookies przez jednorazowe ustawienie oprogramowania. Zgoda zatem nie jest wyrażana przez konkretne działanie, a jedynie biernie.
UODO nie podzielił tego stanowiska i Spółka – poza upomnieniem, została zobowiązana do usunięcia danych osobowych jakie przetwarzała bez podstawy prawnej oraz nadanego sztucznego numeru ID cookies. Ponadto miała powiadomić podmioty, którym udostępniła te dane o ich usunięciu. Spółka zaskarżyła decyzję do WSA.
Sąd uchylając decyzję UODO, w wyroku z 11 lipca 2022 r. (sygn. akt II SA/Wa 3993/21) stwierdził właściwie, że być może nie każdy plik cookies to dana osobowa.
Podkreślił, że to UODO powinno zbadać czy na gruncie RODO, w rozpatrywanym stanie faktycznym, istnieje możliwość identyfikacji osoby fizycznej za pomocą tych plików, a także kto ma taką możliwość.
Jednocześnie WSA wskazał, iż nie może wyręczać UODO w tym zakresie. Jest to zatem bardzo istotne stanowisko zobowiązujące UODO do wnikliwego badania czy dany plik cookies jest rzeczywiście daną osobową czy też nie spełnia przesłanek do uznania go za taki rodzaj danych.
Wyrok nie jest jeszcze prawomocny. UODO już zapowiedziało, że po zapoznaniu się z uzasadnieniem, które jeszcze nie zostało opublikowane, będzie analizować możliwość wniesienia środka odwoławczego.