Sprawa rozpoczęła się od skargi internauty na działania administratora strony, który udostępnił podmiotom trzecim jego adres IP i część historii wyszukiwania (tzw. cookies) bez jego zgody. Skarżący domagał się dostępu do danych i usunięcia ich z bazy. Administrator bronił się zaś, twierdząc, że informacje te nie pozwalały na identyfikację użytkownika i w związku z tym nie stanowiły danych osobowych. Innego zdania był prezes Urzędu Ochrony Danych Osobowych, który uznał, że do naruszenia doszło, udzielił administratorowi upomnienia i nakazał usunięcie danych.
– Do czasu wniesienia przez skarżącego żądań do spółki przetwarzała ona jego dane osobowe w postaci numeru IP oraz identyfikatora cookies. Już wtedy jednoznacznie identyfikowały one skarżącego jako konkretnego użytkownika sieci – mówi Adam Sanocki, rzecznik prasowy UODO. I dodaje, że od momentu wniesienia żądania przez skarżącego stanowiły one uzupełnienie informacji o możliwej do zidentyfikowania konkretnej osobie fizycznej, ponieważ istniał środek do zidentyfikowania osoby skarżącego imieniem i nazwiskiem, z użyciem informacji np. o dacie (czasie) odwiedzin strony. Spółka mogła zatem spełnić żądanie skarżącego, jednak wbrew przepisom prawa nie uczyniła tego.
Spółka zaskarżyła jednak tę decyzję do stołecznego WSA. Ten wyrokiem z 11 lipca 2022 r. uchylił decyzję PUODO. W uzasadnieniu wskazano, że organ nadzorczy nie wyjaśnił należycie kwalifikacji adresu IP oraz plików cookies jako danych osobowych skarżącego. Bez tego, zdaniem WSA, prawidłowe rozstrzygnięcie sprawy było niemożliwe. UODO w uzasadnieniu swojej decyzji powołał się na głośną swego czasu sprawę Planet49 (C-673-17). Sąd niemiecki zapytał wówczas TSUE, czy pliki cookies podlegają w ogóle pod reżim RODO. Jednak WSA wskazał, że wyrok ten nie przesądza, iż dynamiczny adres IP zawsze jest daną osobową, jedynie że może nią być w pewnych okolicznościach.
– Pojęcie danej osobowej ma jednak charakter kontekstowy – jednemu podmiotowi posiadane informacje pozwalają zidentyfikować użytkownika, innemu nie – mówi radca prawny Mirosław Gumularz, reprezentujący spółkę w opisywanej sprawie. – Administrator nie miał więc dostępu do danych i nie mógł ich przekazać. To pierwsza tego typu sprawa, która trafiła przed WSA, i można się spodziewać, że UODO traktował ją jako punkt wyjścia do rozstrzygnięcia innych – dodaje.
Potwierdza to Jakub Wezgraj, radca prawny, również specjalizujący się w ochronie danych osobowych.
