Sprawa rozpoczęła się od skargi internauty na działania administratora strony, który udostępnił podmiotom trzecim jego adres IP i część historii wyszukiwania (tzw. cookies) bez jego zgody. Skarżący domagał się dostępu do danych i usunięcia ich z bazy. Administrator bronił się zaś, twierdząc, że informacje te nie pozwalały na identyfikację użytkownika i w związku z tym nie stanowiły danych osobowych. Innego zdania był prezes Urzędu Ochrony Danych Osobowych, który uznał, że do naruszenia doszło, udzielił administratorowi upomnienia i nakazał usunięcie danych.
– Do czasu wniesienia przez skarżącego żądań do spółki przetwarzała ona jego dane osobowe w postaci numeru IP oraz identyfikatora cookies. Już wtedy jednoznacznie identyfikowały one skarżącego jako konkretnego użytkownika sieci – mówi Adam Sanocki, rzecznik prasowy UODO. I dodaje, że od momentu wniesienia żądania przez skarżącego stanowiły one uzupełnienie informacji o możliwej do zidentyfikowania konkretnej osobie fizycznej, ponieważ istniał środek do zidentyfikowania osoby skarżącego imieniem i nazwiskiem, z użyciem informacji np. o dacie (czasie) odwiedzin strony. Spółka mogła zatem spełnić żądanie skarżącego, jednak wbrew przepisom prawa nie uczyniła tego.
Spółka zaskarżyła jednak tę decyzję do stołecznego WSA. Ten wyrokiem z 11 lipca 2022 r. uchylił decyzję PUODO. W uzasadnieniu wskazano, że organ nadzorczy nie wyjaśnił należycie kwalifikacji adresu IP oraz plików cookies jako danych osobowych skarżącego. Bez tego, zdaniem WSA, prawidłowe rozstrzygnięcie sprawy było niemożliwe. UODO w uzasadnieniu swojej decyzji powołał się na głośną swego czasu sprawę Planet49 (C-673-17). Sąd niemiecki zapytał wówczas TSUE, czy pliki cookies podlegają w ogóle pod reżim RODO. Jednak WSA wskazał, że wyrok ten nie przesądza, iż dynamiczny adres IP zawsze jest daną osobową, jedynie że może nią być w pewnych okolicznościach.
– Pojęcie danej osobowej ma jednak charakter kontekstowy – jednemu podmiotowi posiadane informacje pozwalają zidentyfikować użytkownika, innemu nie – mówi radca prawny Mirosław Gumularz, reprezentujący spółkę w opisywanej sprawie. – Administrator nie miał więc dostępu do danych i nie mógł ich przekazać. To pierwsza tego typu sprawa, która trafiła przed WSA, i można się spodziewać, że UODO traktował ją jako punkt wyjścia do rozstrzygnięcia innych – dodaje.
Potwierdza to Jakub Wezgraj, radca prawny, również specjalizujący się w ochronie danych osobowych.
– Obecnie organ nadzoru wstrzymuje się z decyzjami w podobnych sprawach. Zresztą w analogicznym sprawach obsługiwanych przez naszą kancelarię wskazujemy bardzo podobne zarzuty, jak te wskazane w wyroku WSA – mówi prawnik. I dodaje: – Wiadomo, że identyfikacja osoby według adresu IP jest zawsze pośrednia. Pozwala on dojść do konkretnego użytkownika tylko po spełnieniu określonych kryteriów. W dodatku adresy te są przypisywane do urządzenia, z którego może korzystać wiele osób – trudno więc przypisać je konkretnemu człowiekowi.
Jak poinformował „Rz” rzecznik UODO, wyrok WSA został zaskarżony do Naczelnego Sądu Administracyjnego.
– Jeśli orzeczenie utrzyma się przed NSA, to wiele danych, które dziś z ostrożności traktuje się jako osobowe, będzie można uznać za nieosobowe – mówi Mirosław Gumularz. A skoro tak, to zostaną wyłączone spod restrykcyjnych wymogów RODO.
Sygnatura akt: II SA Wa/3993/21
Czytaj więcej
Identyfikatory internetowe takie jak adres IP i cookies ID mogą być danymi osobowymi, ale nie zawsze nimi będą. Możliwym musi być jeszcze bezpośrednie lub pośrednie zidentyfikowanie użytkownika na ich podstawie.
