Pliki cookie to niewielkie pliki, które są tworzone przez odwiedzane witryny. Ułatwiają one korzystanie z internetu, zapisując informacje o przeglądaniu.
Przypomnijmy, że firma iSecure (w związku z korzystaniem z ciasteczek na swojej witrynie) otrzymała upomnienie od UODO na podstawie złożonej skargi i interwencji innego, zewnętrznego podmiotu.
Skarga dotyczyła m.in. wysyłania przez stronę danych osobowych użytkownika w zakresie adresu IP, części historii przeglądania oraz identyfikatora internetowego do firmy Google oraz do operatora innej usługi.
Firma otrzymała od UODO nakaz usunięcia adresu IP oraz sztucznie nadanego ID cookies a także poinformowania o konieczności usunięcia tych danych inne podmioty, którym te informacje zostały udostępnione na drodze świadczenia usług.
Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania plików cookies.
Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął też, że użytkownik musi wyrazić zgodę na cookies w sposób aktywny. Nie może to być zgoda bierna udzielona jedynie poprzez ustawienie przeglądarki internetowej. UODO pominął fakt, że tę ostatnią formę dopuszcza w prawdziwe prawo telekomunikacyjne.
WSA w Warszawie (sygnatura II SA/Wa 3993/21) w dniu 11 lipca uchylił decyzję UODO.
Sąd uznał, że nie każda informacja w świecie cyfrowym dotycząca urządzenia musi od razu być daną osobową.
Administrator bronił się w sporze, że informacje, które przetwarzał nie pozwalały na identyfikację użytkownika.
Organ z kolei uważał, że pliki cookies są w tym przypadku danymi osobowymi. Sąd orzekł, że UODO powinien to wówczas wykazać.
Niestety, do dziś przepisy prawa w zakresie korzystania z usług internetowych, w tym odnośnie ciasteczek – są bardzo nieostre.
Z jednej strony od lat na terenie UE dominuje konieczność zbierania aktywnych zgód na instalowanie cookies, z drugiej zaś polskie regulacje wskazują, iż wystarczy odpowiednio skonfigurować ustawienia przeglądarki. Dodatkowym problemem jest fakt, że na etapie uregulowań zatarły się definicje zgód na instalowanie plików cookies ze zgodą na przetwarzanie danych osobowych.
Sam organ nadzorczy nie skomentował sprawy. UODO przysługuje jeszcze środek odwoławczy do NSA. Jeżeli orzeczenie się uprawomocni lub rozstrzygnie przed NSA- będzie miało ogromne znaczenie w obszarze wykładni przepisów o ochronie danych, ale także w zakresie działania organu nadzorczego. Ostateczne rozstrzygnięcie może mieć charakter przełomowy dla wielu administratorów.
