Nasz komentarz do wyroku WSA w Warszawie w sprawie iSecure… i nie tylko.

iSecure zaskarżyło decyzję Prezesa Urzędu Ochrony Danych Osobowych („UODO”) wydaną w sprawie rozpoczętej naszą skargą. Pisaliśmy o tym tutaj. W dniu 11 lipca 2022 r. Wojewódzki Sąd Administracyjny („WSA”) w Warszawie wydał wyrok w tym postępowaniu (sygnatura akt II SA/Wa 3993/21), uchylający decyzję Prezesa UODO. iSecure i jej pełnomocnik chwalili się w mediach społecznościowych wygraną (radość jest przedwczesna), a niedawno wyrok został też skomentowany w podcaście Judykatura.pl. Przyszedł czas na nasz komentarz. 😊 Naszym zdaniem, choćby w powyższym podcaście, padło wiele nieprecyzyjnych stwierdzeń. Mogą one wprowadzać odbiorców w błąd i wywoływać mylne wrażenie co do tego, co tak naprawdę powiedział WSA w swoim wyroku.

Czy przegraliśmy sprawę, a WSA uznał, że cookies nie stanowią danych osobowych? Już wyjaśniamy.

autor ilustracji: Jan Kryciński

Na początek jednak krótkie przedstawienie 😉

Jak za chwilę się zorientujecie, niniejszy tekst jest inny od wcześniejszych, tzn. odnosi się przede wszystkim do kwestii prawnych. Wynika to z tego, że jest napisany przez nową członkinię Internet. Czas działać! 😊 Nazywam się Agnieszka Rapcewicz, jestem adwokatką i jednym z moich głównych obszarów zainteresowania jest prawo ochrony danych osobowych. Dołączyłam do chłopaków przy okazji sprawy sądowej, w której reprezentowałam Kubę, a teraz mam okazję zadebiutować w podcaście i na blogu z moim komentarzem dotyczącym wyroku w sprawie iSecure. Miłej lektury!

Odcinek #37

Ten sam temat poruszamy w najnowszym odcinku podcastu, którego możecie posłuchać tutaj:

Mit numer 1:
WSA uchylił decyzję dlatego, że cookies zostały niezasadnie uznane przez Prezesa UODO za dane osobowe.

Na podstawie komentarzy publikowanych w Internecie, osoby, które nie zapoznały się bezpośrednio z uzasadnieniem wyroku WSA mogą odnieść wrażenie, że decyzja została uchylona, bo Sąd uznał, że adres IP czy ID z cookies nie stanowią danych osobowych. Tymczasem…

Fakt:

WSA uchylił decyzję Prezesa UODO w sprawie iSecure z tego powodu, że w ocenie Sądu organ nadzorczy naruszył przepisy postępowania administracyjnego i nie wyjaśnił okoliczności faktycznych istotnych dla rozstrzygnięcia sprawy. Zdaniem Sądu Prezes UODO uznał ogólnie, niejako „z góry”, że adres IP oraz sztucznie nadany ID z cookies stanowią dane osobowe. Organ nadzorczy nie ustalił natomiast w postępowaniu dowodowym, czy powyższe informacje faktycznie stanowiły konkretnie dane osobowe skarżącego.

Jak wskazał WSA w uzasadnieniu swojego wyroku, Prezes UODO co prawda trafnie powołał się na definicję danych osobowych zawartą w art. 4 pkt 1 RODO, jak również na motyw 30 RODO1, ale nie wyjaśnił, na jakiej podstawie ustalił, że istnieje „uzasadnione prawdopodobieństwo zidentyfikowania” skarżącego w powiązaniu z adresem IP oraz ID z cookies. Z tego powodu Sąd uznał, że należy uchylić decyzję Prezesa UODO, aby organ nadzorczy ponownie zbadał sprawę i należycie przeprowadził postępowanie wyjaśniające.

Jednocześnie WSA w żadnym miejscu wyroku i jego uzasadnienia absolutnie nie powiedział, że adres IP i ID z cookies w ogóle nie stanowią danych osobowych. Sąd zwrócił uwagę, że:

RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej.

Zdaniem WSA, trzeba wziąć bowiem pod uwagę, czy istnieją racjonalne sposoby, którymi może posłużyć się administrator danych lub inny podmiot w celu zidentyfikowania danej osoby fizycznej. Co ważne, Sąd podkreślił, że:

miał na uwadze, iż zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska. Konstatacja ta jest szczególnie istotna w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu. Identyfikacja osoby nie wymaga zatem znajomości jej imienia lub nazwiska, wymaga natomiast znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych [podkr. własne]. W ten sposób należy rozumieć zwrot „można zidentyfikować” — nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz jako możliwość wskazania tej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób.

Co prowadzi nas do…

Mit numer 2:
Do zakwalifikowania określonych informacji jako danych osobowych konieczne jest poznanie imienia i nazwiska konkretnej osoby.

Taki wniosek można by wysnuć zarówno z uzasadnienia decyzji Prezesa UODO, jak i sporej części podcastu Judykatura.pl – słuchacz podcastu pozostałby w takim przekonaniu, jeśli nie dotrwałby do jego końca.

Na szczęście WSA wie (jak wynika z przytoczonego wyżej cytatu z uzasadnienia wyroku), że zidentyfikowanie osoby fizycznej nie wymaga znajomości jej imienia i nazwiska. Wystarczy znajomość cech/informacji, które pozwolą wyodrębnić daną osobę spośród innych. Dotyczy to w szczególności środowiska cyfrowego.

Problem w niniejszej sprawie polegał na tym, że Prezes UODO zaplątał się, naszym zdaniem, w uzasadnieniu swojej decyzji i WSA to dostrzegł. Sąd podkreślił, że z uzasadnienia tej decyzji nie wynikało w ogóle, by organ nadzorczy postrzegał możliwość identyfikacji skarżącego w środowisku cyfrowym, jako użytkownika Internetu o określonych cechach, a nie jako osobę fizyczną możliwą do zidentyfikowania z imienia i nazwiska. Taki wniosek WSA wyciągnął z faktu, że Prezes UODO powołał się na orzeczenia Naczelnego Sądu Administracyjnego („NSA”) oraz Trybunału Sprawiedliwości Unii Europejskiej („TSUE”), w których odnoszono się do możliwości identyfikacji osób fizycznych z wykorzystaniem adresu IP i identyfikatorów z cookies poprzez oznaczenie ich z imienia i nazwiska.

Podsumowując dotychczasowe uwagi, podkreślamy, że Sąd nie wykluczył, iż adres IP i identyfikator z cookies mogły stanowić dane osobowe skarżącego. Niestety jednak Prezes UODO w ogóle nie wyjaśnił i nie wykazał w postępowaniu dowodowym, czy tak właśnie było. To duży błąd organu nadzorczego, stanowiący naruszenie przepisów postępowania administracyjnego. WSA nie mógł sam orzec, że adres IP i identyfikator z cookies były w tej konkretnej sprawie danymi osobowymi, ponieważ nie może przeprowadzić postępowania dowodowego za Prezesa UODO.

Mit numer 3:
iSecure po naszej skardze nie zmieniło nic na swojej stronie internetowej.

Powyższe stwierdzenie padło we wspomnianym podcaście Judykatura.pl. Nie jest ono jednak zgodne z prawdą.

Fakt:

Dla przypomnienia - pierwotnie „banner cookies” na stronie internetowej iSecure nie pozwalał wyłączyć skryptów śledzących. Zawierał jedynie informację o tym, że strona używa cookies, oraz link do polityki prywatności. Banner, w zakresie zmiany decyzji o możliwości zapisywania cookies, odsyłał użytkownika do ustawień przeglądarki.

Jedno z poprzednich wersji Okienek o cookies na stronie iSecure.pl

Nasza korespondencja ze spółką nie przyniosła rezultatów, tj. nie skłoniła iSecure do zmiany „okienka o cookies”, wobec czego działania firmy zostały zaskarżone do UODO. Dopiero jakiś czas później iSecure wprowadziła zmiany na swojej stronie internetowej. Obecnie strona nie ładuje skryptów śledzących, jeżeli użytkownik nie wyrazi na to zgody.

Wobec powyższego, spółka zmieniła sposób prowadzenia swojej strony internetowej. Nie widzimy powodu, dla którego iSecure miałaby wprowadzać zmiany dotyczące pozyskiwania zgód na stosowanie cookies przed uruchomieniem skryptów śledzących, gdyby jej działania były faktycznie prawidłowe.

Mit numer 4:
Wszystkie cookies, które były objęte naszą skargą, były niezbędne do prawidłowego funkcjonowania strony internetowej.

Taki wniosek można by wysnuć, skoro komentujący w podcaście Judykatura.pl nie odnosi się w ogóle do kwestii wynikających z przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Chcielibyśmy jednak odnieść się do tego tematu.

Fakt:

Zgodnie z przepisami Prawa telekomunikacyjnego, jeśli korzystanie z jakichś cookies nie jest niezbędne do prawidłowego działania strony internetowej, jej operator nie może stosować tych technologii bez uzyskania uprzedniej zgody użytkownika. Chcemy zaznaczyć, że przynajmniej część cookies, które zostały objęte skargą do UODO, nie były w ogóle potrzebne do działania strony internetowej iSecure – np. cookies doubleclick.net. Konieczne więc było pozyskanie przez spółkę uprzedniej zgody użytkowników na stosowanie tych cookies.

I tu przechodzimy do istotnego problemu.

Po rozpoczęciu stosowania RODO w Prawie telekomunikacyjnym pozostał art. 173 ust. 2, który przewiduje, że zgoda użytkownika może być wyrażona za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Jednocześnie po rozpoczęciu stosowania RODO przyjęto nowe brzmienie art. 174. Przewiduje on, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Wyrażenie zgody za pomocą ustawień przeglądarki nie spełnia wymagań zgody, o których mowa w RODO, co potwierdzają wyroki Trybunału Sprawiedliwości Unii Europejskiej. Uznawanie więc przez operatorów strony internetowej, że wystarczające jest przyjęcie, iż zgoda użytkowników jest wyrażana za pomocą ustawień przeglądarki, narusza prawo. Nie jest to bowiem zgoda wyraźna. Co istotne, uwagi dotyczące sposobu wyrażania zgody odnoszą się do wszelkich cookies lub podobnych technologii, a nie tylko takich, z którymi wiąże się przetwarzanie danych osobowych.

Odrębną kwestią jest natomiast to, czy identyfikatory z cookies stanowią dane osobowe, czy nie. Jeśli pozwalają na identyfikację osób fizycznych, ich przetwarzanie jest wówczas dodatkowo oceniane z perspektywy RODO. Niestety, Prezes UODO ocenia stosowanie cookies i podobnych technologii jedynie z perspektywy przepisów o ochronie danych osobowych. Z kolei prawidłowe odbieranie zgód na stosowanie cookies wynikające z Prawa telekomunikacyjnego podlega nadzorowi Prezesa Urzędu Komunikacji Elektronicznej („UKE”). Zwrócił na to uwagę także WSA w uzasadnieniu swojego wyroku:

Nie przewidziano w nim [tj. w Prawie telekomunikacyjnym – przyp. własny] właściwości PUODO do oceny prawidłowości przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego. Prezes UKE, jeżeli przemawia za tym charakter lub zakres naruszenia, może nałożyć karę pieniężną na podmiot, który nie wypełnia obowiązków uzyskania zgody abonenta lub użytkownika końcowego, o których mowa w art. 173. Jak wynika z art. 210 ust. 1 Prawa telekomunikacyjnego, kary pieniężne, o których mowa w art. 209 ust. 1 i 1', nakłada Prezes UKE, w drodze decyzji. Z powyższego wynika, że zapewnienie zgodności z prawem przechowywania informacji w urządzeniach końcowych abonenta lub użytkownika końcowego lub korzystania z informacji zgromadzonych w tych urządzeniach należy do właściwości Prezesa UKE.

I teraz uwaga: o ile możemy zaskarżyć działania administratora naruszające RODO, polegające np. na przetwarzaniu danych osobowych bez pozyskania ważnej zgody osoby fizycznej (oczywiście, gdy nie istnieje inna ważna podstawa prawna przetwarzania danych), o tyle w przypadku braku odbierania zgód na stosowanie cookies innych niż niezbędne, nie mamy możliwości wniesienia skargi. Przepisy nie przewidują bowiem takiego trybu. Prezes UKE może oczywiście wszcząć postępowanie w sprawie działań operatorów stron internetowych, polegających na stosowaniu cookies innych niż niezbędne bez uprzedniej zgody użytkowników, ale my nie mamy żadnego wpływu na to postępowanie…

Internet. Czas działać! podejmowało już próby spowodowania, aby Prezes UKE zajął się tematem braku odbierania przez operatorów stron internetowych zgód na stosowanie cookies, jednak bezskutecznie. Na pewno się jednak w tej kwestii nie poddamy! 😊

Mit numer 5:
Adres IP, jako konieczny do komunikacji w Internecie, musi być ujawniany podmiotom trzecim.

W podcaście Judykatura.pl wielokrotnie padło stwierdzenie, że przecież adres IP jest konieczny do komunikacji w Internecie, wobec czego to oczywiste, iż jest ujawniany innym podmiotom.

Fakt:

Zgadzamy się, że IP jest konieczne do komunikacji w Internecie. Wyraźnie jednak podkreślamy, że strona internetowa nie musi być napisana w sposób, który sprawia, że to adres IP jest ujawniane także podmiotom trzecim. Operatorzy stron internetowych powinni mieć to na względzie.

Ważne stwierdzenie WSA

Chcemy zwrócić uwagę na jeszcze jeden ważny fragment uzasadnienia wyroku WSA w sprawie iSecure:

Zastrzegając, że: (1) w okolicznościach sprawy zakończonej zaskarżoną decyzją kwestia kwalifikacji adresu IP oraz identyfikatorów plików cookies jako danych osobowych wymaga wyjaśnienia; (2) podmiotem administrującym stroną internetową w sprawie C-40/17 Fashion ID była spółka prowadząca sprzedaż online, co niewątpliwie wpływa na zakres gromadzonych danych o użytkownikach tej strony; (3) informacje przekazywane dostawcy wtyczki internetowej obejmowały zarówno adres IP, jak i inne dane - niekoniecznie ograniczające się do informacji przechowywanych w urządzeniu końcowym (zob. pkt 26 i pkt 91 wyroku); zaś (4) Trybunał przyjął w tej sprawie za sądem odsyłającym, że dane przekazywane dostawcy wtyczki stanowią dane osobowe (zob. pkt 91 wyroku); (5) należy stwierdzić, że w świetle powołanego stanowiska Trybunału, które należy uznać za aktualne w obecnym stanie prawnym, operatora witryny internetowej, który umieszcza na stronie internetowej kod programu, który inicjuje żądanie przez przeglądarkę użytkownika treści od osoby trzeciej i przekazywanie danych osobowych osobie trzeciej, można uznać za administratora danych, nawet jeśli nie ma on wpływu (po wpisaniu kodu takiego programu) na to przetwarzanie. W przypadku niewpisania owego kodu nie doszłoby bowiem do udostępnienia [podkr. własne]. Okoliczność, że operator witryny internetowej sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy programu, któregokod wpisano do tej witryny, nie stoi na przeszkodzie, by przysługiwał mu przymiot administratora danych w rozumieniu art. 4 pkt 7 RODO (zob. pkt 82 wyroku w sprawieFashion ID). Odpowiedzialność operatora witryny internetowej ogranicza się jednak do operacji lub zestawu operacji, których cele i sposoby rzeczywiście określa, tj. do zbierania danych osobowych i ich ujawnienia przez przesłanie osobie trzeciej będącejdostawcą programu, którego kod wstawiono do strony internetowej.

Powyższy fragment uzasadnienia wyroku WSA ma znaczenie wobec twierdzenia iSecure w całym postępowaniu, że numer IP/ID użytkownika nie daje spółce możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową, a co za tym idzie, że nie przetwarzała ona danych osobowych skarżącego w tym zakresie, bowiem informacje te nie stanowiły dla niej danych osobowych. Zdaniem Sądu, jeśli adres IP i ID z cookies zostałyby uznane za dane osobowe, a ich przekazanie przez iSecure właścicielom domen wskazanym w skardze

byłoby skutkiem umieszczenia na stronie internetowej spółki kodów programów dostarczanych przez te podmioty na potrzeby iSecure, to doszłoby do sytuacji analogicznej do będącej przedmiotem analizy Trybunału w sprawie w sprawie C-40/17 Fashion ID. Miałoby bowiem miejsce zbieranie danych osobowych i ich ujawnianie przez przesłanie osobie trzeciej będącej dostawcą programu, którego kod wstawiono do strony internetowej. W tych okolicznościach — choć przetwarzanie danych osobowych związane byłoby z umieszczeniem informacji w urządzeniach końcowych lub korzystaniem z informacji zgromadzonych w tych urządzeniach — właściwość organu ochrony danych osobowych nie budzi wątpliwości, a zgoda na przetwarzanie danych osobowych powinna spełniać warunki, o których mowa w art. 4 pkt 11 i motywie 32 RODO.

iSecure nie mogłoby się wówczas zasłaniać argumentem, że numer IP/ID użytkownika nie daje jej możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową. Brak takiej możliwości nie oznacza, że nie ciążą na niej obowiązki administratora danych osobowych.

Kilka uwag technicznych

Chcemy jeszcze krótko sprostować stwierdzenia dotyczące kwestii technicznych podnoszone w podcaście Judykatura.pl, czy w wypowiedziach specjalistów z iSecure.

Po pierwsze, twierdzenie, że „adres IP jest pozyskiwany najczęściej poprzez instalowane pliki cookie” jest nieporozumieniem. Adres IP stanowi identyfikator w protokole IPv4/IPv6, który realizuje trzecią warstwę komunikacji w sieciach komputerowych według modelu OSI. Cookies stanowią część protokołu HTTP, który realizuje warstwę siódmą. Serwer może odczytać adres IP przychodzącego połączenia niezależnie od tego, czy zapytanie HTTP zawiera cookiesy, czy nie.

Źródło: https://makeneteasy.blogspot.com/2016/12/osi-model.html

Po drugie, posługiwanie się określeniem „numer ID plików cookie” również jest niewłaściwe. Cookies de facto nie są plikami i nie mają jawnych identyfikatorów. W cookies jest natomiast zawarty ID użytkownika. Nie mamy tu do czynienia z „ID cookie”, lecz z „ID zawartym w cookie”

Więcej o cookies i innych technologiach śledzących dowiecie się z naszego przeglądów sposobów na śledzenie użytkowników Internetu:

Przegląd sposobów na śledzenie użytkowników Internetu
Internet jest pełen technologii, które pomagają zarówno nam, jak i wszechobecnym reklamodawcom. Opisujemy najważniejsze z nich i tłumaczymy zasady ich działania.
Internet. Czas działać!Arkadiusz Wieczorek

Bonusowa informacja, czyli… to niejedyna sprawa dotycząca cookies, która była przedmiotem rozstrzygnięcia WSA

Na razie nie mówiliśmy o tym szerzej, ale przed WSA stanęliśmy też już w innej sprawie dotyczącej tego, czy adres IP i ID z cookie stanowią dane osobowe. Zaskarżyliśmy działanie dużej grupy mediowej, polegające na udostępnianiu ww. informacji podmiotom trzecim bez uzyskania uprzedniej zgody użytkownika. Tym razem, co ciekawe, decyzja Prezesa UODO była dla nas niekorzystna. Organ stwierdził, że wskazane w skardze czynności przetwarzania danych osobowych skarżącego nie miały miejsca, wobec czego umorzył postępowanie w tym zakresie. Wynikało to jednak z okoliczności, że Prezes UODO w ogóle nie wziął pod uwagę przedstawionych przez nas dowodów (tj. zrzutów ekranu) i oparł się na samych wyjaśnieniach grupy mediowej, które można sprowadzić po prostu do zaprzeczenia udostępnieniu danych do podmiotów trzecich. Wyjaśnienia te stały w oczywistej sprzeczności z dostarczonymi wraz ze skargą zrzutami ekranu.

Powyższa decyzja Prezesa UODO została zaskarżona. 23 września 2022 r. WSA w Warszawie wydał korzystny z naszej perspektywy wyrok, uchylający decyzję Prezesa UODO w zakresie umorzenia postępowania. Sąd podzielił nasze zastrzeżenia co do braków w postępowaniu dowodowym przeprowadzonym przez organ nadzorczy. Niestety, sprawa pewnie nieprędko się zakończy, a to dlatego, że Prezes UODO wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego („NSA”), wnosząc dodatkowo o przeprowadzenie rozprawy. Gdyby organ nie złożył takiego wniosku, sprawa odbyłaby się na posiedzeniu niejawnym, które zapewne zostałoby wyznaczone w bliższym terminie. Oczekiwanie na rozprawę przed NSA może potrwać nawet lata.

Podobny los czeka sprawę iSecure. Także w tym postępowaniu Prezes UODO wniósł skargę kasacyjną do NSA, wobec czego jeszcze długo nie zobaczymy ostatecznego rozstrzygnięcia.

Działamy dalej i nie tracimy nadziei, że w innych sprawach, które aktualnie toczą się przez Prezesem UODO, uda nam się na tyle wspomóc organ nadzorczy w postępowaniu dowodowym (i organ to wsparcie przyjmie), aby decyzja kończąca postępowanie była zadowalająca dla użytkowników Internetu i ostateczna.

Źródła, materiały:

1 Motyw ten przewiduje, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe - takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.