Lista aktów prawnych i wytycznych, na które polecamy się powoływać w pisaniu maili do administratorów i skarg do UODO.

Pełne treści dokumentów

Tutaj znajdziecie linki do kluczowych aktów prawnych i wytycznych. Zawsze linkujemy do oficjalnego źródła, a nie do stron, które przeklejają całe treści aktów prawnych, aby wybić się w SEO.

  1. Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO. Treść po angielsku · treść po polsku;
  2. Dyrektywa 2002/58 o prywatności i łączności elektronicznej. Treść po polsku · treść po angielsku;
  3. Wytyczne 05/2020 EROD dotyczące zgody na mocy rozporządzenia 2016/679. Treść;
  4. Wytyczne 8/2020 EROD dotyczące targetowania użytkowników mediów społecznościowych. Treść;
  5. Wyrok TSUE w sprawie C‑40/17 (Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV, przy udziale Facebook Ireland Ltd). Treść;
  6. Wyrok TSUE w sprawie C-102/20 - reklamy udające wiadomości w skrzynce mailowej powinny być traktowane jako marketing bezpośredni. Ogłoszenie prasowe · Wyrok · Opinia
  7. Wyrok w sprawie C-319/20 - stowarzyszenia mogą występować przed sądami z powództwami przedstawicielskimi, by chronić przed naruszeniami przepisów dotyczących danych osobowych. Ogłoszenie prasowe;
  8. Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania. Treść;
  9. Ustawa Prawo Telekomunikacyjne. Ustawa ta doprecyzowuje RODO. Treść;
  10. Opinia 5/2019 EROD w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych. Treść po polsku · treść po angielsku · treść w innych językach;
  11. Nieopublikowana odpowiedź UODO na skargę iSecure w sprawie decyzji DS.523.3908.2021.PR.KM z dnia 29 września 2021. Treść;
  12. Wyrok TSUE w sprawie C-673/17 („Planet49”) dot. warunków ważnej zgody na cookies. Strona sprawy · treść wyroku (pl) · treść opinii (pl);
  13. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/2120 z dnia 25 listopada 2015 r. ustanawiające środki dotyczące dostępu do otwartego internetu oraz zmieniające dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, a także rozporządzenie (UE) nr 531/2012 w sprawie roamingu w publicznych sieciach łączności ruchomej wewnątrz Unii. Treść po polsku;
  14. ICCL: Pop-upy od IAB nie spełniają wymagań GDPR. Ogłoszenie prasowe · Treść opinii;
  15. Brytyjskie wytyczne odnośnie testu równowagi w uzasadnionym interesie;
  16. Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO;
  17. Decyzja EDPS w sprawie 2020-1013 dotyczącej cookiesów Google i Stripe jako danych osobowych;
  18. Google dostał polecenie aby dodać przycisk "odrzuć wszystkie";
  19. Decyzja Litigation Chamber of the Data Protection Authority of Belgium w sprawie IAB;
  20. Wytyczne CNIL dotyczące tego, jak legalnie ustawić Google Analytics na swojej stronie;
  21. Cookies: closure of the injunction issued against FACEBOOK (CNIL);
  22. Wyrok LG München - 3 O 17493/20 - dynamiczny adres IP to dane osobowe, kara finansowa za Google Fonts;
  23. D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r. – na str. 81 znajduje się uzasadnienie faktu, że dane nie muszą prowadzić do imienia/nazwiska osoby, aby były uznane za dane osobowe;
  24. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r. – str. 181;
  25. Press release: Use of Google Analytics for web analytics - Duński UODO stwierdza po analizie, że Google Analytics nie spełnia samodzielnie wymagań RODO.
  26. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE (Tekst mający znaczenie dla EOG) - organizacje pozarządowe będą mogły składać pozwy w celu ochrony zbiorowych interesów konsumentów

Najważniejsze aspekty

Podstawy prawne

Art. 6 RODO definiuje 6 różnych podstaw prawnych, które mogą być użyte do sprawienia, że procesu przetwarzania danych osobowych jest zgodny z prawem. Tylko jeden z nich to zgoda. Można zatem przetwarzać dane osobowe bez czyjejś zgody, jeżeli prawidłowo użyje się innej podstawy prawnej. Możliwe podstawy prawne wg Art. 6 pkt 1 RODO, to:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Należy pamiętać, że sam fakt, że administrator powołuje się na daną podstawę prawną nie musi oznaczać, że faktycznie ma prawo do przetwarzania takich danych osobowych. Jeżeli nie spełni warunków, jakie są określone dla danej podstawy prawnej, nie jest ona ważna. Dlatego w analizie istotna jest znajomość warunków, jakie musi spełnić administrator, aby móc powoływać się na daną podstawę prawną.

a) Zgoda

Warunki ważnej zgody są opisane w Motywie (32) preambuły RODO:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Oraz w motywie (42) RODO:

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. (...)
Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. (...)
Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Dodatkowo obowiązują także Wytyczne 05/2020 EROD dotyczące zgody na mocy rozporządzenia 2016/679.

Najważniejsze informacje:

  1. „Dobrowolność” zgody oznacza, że użytkownik powinien mieć faktyczny wybór. Jeżeli niewyrażenie zgody ma się wiązać z jakimiś dodatkowymi uciążliwościami dla użytkownika (lub np. z odmową świadczenia usługi), to tak pozyskana zgoda nie jest ważna (por. Wytyczne 05/2020, par. 13). Jeżeli jakieś dane są konieczne do świadczenia usługi, to zgoda nie jest prawidłową podstawą przetwarzania tych danych;
  2. „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”. Zatem wszelkie strony mówiące w wyskakujących okienkach, że „Korzystając ze strony wyrażasz zgodę”, wprowadzają swoich użytkowników w błąd;

b) Niezbędność

Jeżeli przetwarzanie jakichś danych osobowych jest niezbędne do realizacji usługi jednoznacznie zamówionej przez klienta lub podpisanej z klientem umowy, to sam ten fakt jest już podstawą prawną do ich przetwarzania.

Firma nie musi na przykład prosić o zgodę na umiesczenie w treści umowy o świadczenie usług telekomunikacyjnych imienia i nazwiska abonenta, bo bez tych danych nie jest możliwe zawarcie umowy. Jeżeli ta firma chciałby też przetwarzać imię i nazwisko abonenta np. w celach reklamowych, to do tego osobnego celu musi użyć osobnej podstawy prawnej.

c), d) i e) - pomijamy

Te trzy punkty w większości przypadków nie mają zastosowania dla administratorów stron internetowych - a właśnie na nich skupiamy się jako Internet. Czas działać! w naszej działalności.

f) uzasadniony interes

To jest podstawa prawna, na którą administratorzy stron bardzo lubią się powoływać. Szczególnie często widzimy sytuacje, w ktorych administratorzy w wyskakujących okienkach mówią o „zgodzie”, ale już w odpowiedzi na nasze pisma mówią że jednak używają uzasadnionego interesu jako podstawy prawnej.

Motyw (47) RODO opisuje uzasadniony interes:

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. (...) Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Grupa robocza w Opini 06/2014 w sprawie pojęcia uzasadnionych interesów administratora (III.3.1.) zaznacza, że:

  1. „interes” oznacza udział w przetwarzaniu danych lub korzyści, czerpane z przetwarzania danych;
  2. interes musi być rzeczywisty i aktualny;
  3. interes musi odpowiadać bieżącym działaniom lub korzyściom, które są oczekiwane przez administratora w bardzo bliskiej przyszłości;
  4. interes nie może być opisany zbyt ogólnikowo lub oparty na przypuszczeniach.

Warto wiedzieć, że TSUE w wyroku w sprawie C‑40/17 (par. 95) określił trzy warunki, jakie musi spełnić uzasadniony interes, aby mógł być podstawą prawną przetwarzania danych osobowych:

  1. Realizacja uzasadnionych interesów przez administratora danych lub osobę trzecią lub osoby trzecie, którym dane są ujawniane - oznacza to, że administrator nie może powoływać się na uzasadniony interes, którego nie realizuje (lub którego nie realizują podmioty trzecie związane z tym administratorem);
  2. Konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów - administrator musi wykazać, że przetwarzanie danych w danym zakresie i w dany sposób jest absolutnie konieczne dla tych potrzeb. W przeciwnym wypadku interes nie jest uzasadniony;
  3. Przesłanka, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych - administrator musi wykonać test równowagi pomiędzy prawami osób, których danych dotyczą, a interesem, który próbuje uzasadnić.

Wytyczne 8/2020 opisują przykłady sytuacji, kiedy faktycznie istniejący interes administratora nie jest ważną podstawą prawną dla niektórych procesów przetwarzania danych osobowych.

Szczególnie ważnym w przypadku stron internetowych jest zapis z wytycznych 8/2020 EROD, par. 54:

EROD  przypomina,  że  w  przypadkach,  w  których administrator zamierza  powołać  się  na  prawnie uzasadniony  interes,  należy starannie  rozważyć  obowiązki  w  zakresie  przejrzystości  i prawo  do sprzeciwu.  Osoby,  których  dane  dotyczą,  powinny mieć  możliwość  wyrażenia  sprzeciwu  wobec przetwarzania ich danych do celów związanych z targetowaniem PRZED rozpoczęciem przetwarzania.

Zatem jeżeli administrator strony chce powołać się na uzasadniony interes, to musi przed rozpoczęciem przetwarzania danych umożliwić użytkownikowi sprzeciw. Niestety wiele stron, które powołują się na uzasadniony interes, wysyła dane zanim w ogóle pokaże się okienko, w którym można wyrazić sprzeciw.

Cookiesów marketingowych nie można podpiąć pod uzasadniony interes. Cytując decyzję UODO w sprawie DS.523.6367.2021.PR.KM:

W ocenie Prezesa UODO udostępnienia danych Skarżącego właścicielom ww. plików cookies niemożna uznać jednak za niezbędne w celu dostarczania usługi świadczonej drogą elektroniczną, tj. prawidłowego funkcjonowania strony internetowej Spółki w świetle art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Są to bowiem pliki cookies analityczne służące poprawieniu usługi świadczonej przez Spółkę w oparciu o analizy aktywności użytkowników, jak również pliki cookies służące analizowaniu i segmentowaniu użytkowników strony internetowej, tworzeniu ich profili i w efekcie dostarczaniu użytkownikom dostosowanych do ich preferencji reklam. Prawnie uzasadniony interes administratora danych, który legalizować mógłby proces udostępnienia danych Skarżącego podmiotom trzecim, w sytuacji braku uzyskania zgody Skarżącego na takie udostępnienie, stanowić mógłby ważną przesłankę uzasadniającą ten proces w sytuacji zastosowania przez Spółkę wyłącznie stricte niezbędnych i technicznych plików cookies, bez użycia jakichkolwiek narzędzi marketingowych. Spółka zobligowana była zatem uprzednio uzyskać zgodę Skarżącego na udostępnienie jego danych ww. podmiotom (czego nie uczyniła). Wobec powyższego, organ nadzorczy nie ma podstaw do stwierdzenia, aby udostępnienie danych Skarżącego właścicielom ww. domen znajdowało swoją podstawę prawną w art. 6 ust. 1 rozporządzenia 2016/679, w szczególności nie można uznać tego procesu za niezbędny w celu dostarczenia usługi świadczonej drogą elektroniczną w świetle art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej.

Rodzaj i zakres danych a cel

Motyw (39) RODO mówi, że:

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Pobieranie dodatkowych danych w celu weryfikacji osoby przy odpowiedzi

Reguluje to motyw (57):

Jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia. Administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw. Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniające, których osoba, której dane dotyczą, używa, by zalogować się do usług internetowych oferowanych przez administratora.

Czym są dane osobowe?

Warto w szczególności zwrócić uwagę na zwrot „Jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej” (motyw (57) RODO) - co zdaje się sugerować, że w kontekście RODO dane nie muszą pozwalać na zidentyfikowania osoby fizycznej, aby być danymi osobowymi.

Zapis z motywu (26):

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych.  (...)

Nie mówi, że RODO nie ma zastosowania także do innych danych. Zapis z tego samego motywu:

(...) Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną (...)

zdaje się sugerować, że dane osobowe to dane dotyczące danej osoby, którą można zidentyfikować - nawet, jeżeli nie można tej identyfikacji dokonać na podstawie samych tych danych.

Podobnie zapis z Art. 4 pkt 1 RODO:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (...)

Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Nie: „informacje na podstawie których można zidentyfikować osobę fizyczną”.

Dalej z Art. 4 pkt 1 RODO:

w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Wytłuszczone fragmenty powyższego cytatu wskazują, że sztucznie nadane ID w cookies może stanowić daną osobową.

Dodatkowo, w nieopublikowanej jeszcze decyzji w sprawie DS.523.3533.2021.PR.MSO UODO pisze, że

(...) zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie www.wp.pl,  z  uwagi  na  uzasadnione  prawdopodobieństwo  zidentyfikowania  Skarżącego  w powiązaniu z tymi danymi, stanowią jego dane osobowe.

EDPS w decyzji w sprawie 2020-1013 wyraża podobne stanowisko w sprawie cookiesów śledzących:

Tracking cookies, such as the Stripe and the Google analytics cookies, are considered personal data, even if the traditional identity parameters of the tracked users are unknown or have been deleted by the tracker after collection. All records containing identifiers that can be used to single out users, are considered as personal data under the Regulation and must be treated and protected as such.

Komentuje także aspekt „nieaktywnych” cookiesów:

Upon installation on the device, a cookie cannot be considered ‘inactive’. Every time a user visited Ecolog’s website, personal data was transferred to Stripe through the Stripe cookie, which contained an identifier. Neither the Parliament nor Ecolog have argued that there were any technical measures in place to prevent such transfers. Whether Stripe further
processed the data transferred through the cookie is not relevant.

Wytyczne 8/2020 EROD dotyczące targetowania użytkowników mediów społecznościowych wskazują, że zainteresowania lub zachowanie (czyli np. historia przeglądania) stanowią dane osobowe:

większość rodzajów targetowania nie opiera się na nazwach użytkowników, ale na innych rodzajach danych osobowych, takich jak zainteresowania, dane socjograficzne, zachowanie lub inne identyfikatory

Wątpliwości dot. cookiesów rozwiewa też komentarz z D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81:

Na podstawie informacji dotyczących osoby fizycznej musi być ona zidentyfikowana lub możliwa do zidentyfikowania - tzw. przesłanka identyfikowalności. To administrator, dysponując określonymi informacjami, musi mieć możliwość ustalenia na ich podstawie tożsamości osoby, której dane przetwarza. Rozróżnić należy sytuacje, w których dla administratora dana osoba jest zidentyfikowana, a w których jedynie możliwa do zidentyfikowania.

Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona - bezpośrednio i natychmiast, czyli taka, którą bezpośrednio można wskazać, wyodrębnić lub wyróżnić z określonej zbiorowości. Nie musi to natomiast polegać na podaniu jej imienia nazwiska. Konstatacja ta jest zwłaszcza istotna w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu. Aspekt ten podkreślono w dokumencie roboczym Grupy Roboczej Art. 29 WP 105 na temat kwestii z zakresu ochrony danych związanych z technologią RFID, wskazując, że dane dotyczą zidentyfikowanej osoby, jeżeli odnoszą się do tożsamości, cech lub zachowania danej osoby lub też, jeżeli informacje te determinują bądź wpływają na sposób traktowania lub ocenę danej osoby.
Identyfikacja dokonywana jest na podstawie poszczególnych informacji nazwanych „czynnikami identyfikującymi”, na które składają się informacje, w szczególności wymienione przykładowo w definicji danych osobowych zawartej w art. 4 pkt 1, w tym tzw. Identyfikatory (...)

Możliwą do zidentyfikowania jest osoba, której tożsamość dopiero administrator może ustalić - niezależnie od tego, czy to zrobi, czy nie.

Cookiesy, które wpływają na to, jakie reklamy mi sie wyświetlają, stanowią zatem dane osobowe.

Komenarz z P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r. na stronie 181 wtóruje:

Jak zwrócono uwagę w nauce prawa, identyfikacja osoby powinna być rozumiana jako możliwość „fizycznego” wskazania tejże osoby, nie zaś jako ustalenie podstawowych danych tej osoby (...). Analogicznie, identyfikacja osoby nie wymaga znajomości jej imienia lub nazwiska, wymaga natomiast znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych osób (...). W ten sam sposób należy więc rozumieć zwrot „można zidentyfikować” - nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz także jako możliwość wskazania tej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób.

Unikalne ID zapisane w plikach cookie spełnia powyższe przesłanki.

Administrator ma miesiąc na odpowiedź na wniosek

Z art. 12. pkt. 3 Rozporządzenia 2016/679:

Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Żądania wysyłane drogą elektroniczną

Motyw (59) RODO:

Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.

Zgody na cookies powinno być równie łatwo odmówić, jak ją wyrazić

Cytując decyzję CNIL:

On 31 December 2021, in addition to imposing a fine of 60 million euros, the CNIL's restricted committee ordered FACEBOOK IRELAND LIMITED to allow users of the website " facebook.com" located in France to refuse the cookies placed on their terminal as easily as to accept them, within three months.

Tylko jedna podstawa prawna dla każdej czynności

Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania, pkt 5:

administratorzy danych powinni stosować tylko jedną podstawę prawną dla każdego celu przetwarzania

Częste wytrychy administratorów

„Wyrażasz zgodę poprzez ustawienia przeglądarki”

Odpowiedź: bzdura. Włączone cookies w przeglądarce nie oznaczają zgody na ustawianie cookiesów na żadnej stronie. Aby zgoda była ważna, musi być szczegółowa dla każdego z celów. Przeglądarka pozwala tylko na całkowite włączenie/wyłączenie cookiesów, więc ten mechanizm nie może być traktowany jako sygnał wyrażenia zgody.

Art. 174 ustawy Prawo Telekomunikacyjne mówi wprost:

Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się
przepisy o ochronie danych osobowych.

Art. 174 ustawy Prawo Telekomunikacyjne


W odpowiedzi na skargę iSecure (s. 12) UODO zaznacza, że „brak zmian ustawień przeglądarki” nie może być traktowany jako zgoda na cookiesy, ponieważ jest bierne, a nie czynne:

(...) zgody wyrażonej poprzez fakt, że osoba odwiedzająca stronę internetową Spółki nie dokona zmiany ustawień swojej przeglądarki, a więc zaniecha podjęcia wskazanego przez Spółkę działania, uznać należy za zgodę wyrażoną w sposób bierny i milczący, wobec czego nie można jej uznać za ważną w świetle obowiązujących przepisów rozporządzenia 2016/679. Zgoda ta bowiem nie spełnia warunków wynikających z art. 4 pkt. 11 rozporządzenia 2016/679 ani – jak wskazał TSUE w wyroku Planet49 – wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane podlegać będą przetwarzaniu.

Jeden z administratorów napisał nam:

Nasz sposób działania jest standardowy, nie zaburza autonomii, lub też wolnej woli osoby, której dane dotyczą, gdyż istnieje możliwość trwałego i odgórnego zablokowania w przeglądarce wykorzystywania plików cookies i wówczas dane nie będą zbierane.

Naszą proponowaną odpowiedzią na takie stwierdzenie jest:

Mam nadzieję, że zdają sobie państwo z absurdalności powyższego stwierdzenia. Użytkownik, który blokuje obsługę cookies w przeglądarce traci możliwość logowania się do jakiejkolwiek strony. To nie jest realny wybór. Prawdziwa autonomia i wolna wola jest wtedy, kiedy nie stawiamy użytkownika przed wyborem: "korzystaj z tej technologii albo
cierp z powodu negatywnych konsekwencji", tylko wtedy, gdy użytkownik ma precyzyjną kontrolę nad tym, co się dzieje z jego danymi. W szczególności użytkownik powinien mieć możliwość wyrażenia zgody na cookies na stronie X, ale na stronie Y już nie.

„Prawo telekomunikacyjne na to pozwala”

Baaardzo często administratorzy będą się zasłaniali art. 173 ust. 1 i 2 ustawy Prawo Telekomunikacyjne. Oto one w pełnym brzmieniu:

Art. 173. 1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
   a) celu przechowywania i uzyskiwania dostępu do tej informacji,
   b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;

 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;

 3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub
konfiguracji usługi.

3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

 1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Jak widać, Art. 173 dotyczy zapisywania i odczytywania cookiesów, a nie: ujawniania ich treści podmiotom trzecim. Dodatkowo, ten artykuł nie reguluje danych spoza cookiesów - np. wysyłania informacji o historii przeglądania czy IP użytkownika do podmiotów trzecich.

To, że Prawo Telekomunikacyjne czegoś nie zabrania, nie oznacza, że to nie jest zabronione w innym akcie prawnym. Przykładowo - Prawo Telekomunikacyjne nie zabrania morderstw, a ludzie jednak idą za to do więzienia...

Warto zwrócić uwagę, że wg Opinii 5/2019 EROD, jeżeli do danego procesu przetwarzania danych osobowych ma zastosowanie Ustawa Prawo Telekomunikacyjne, to administrator ma mniej możliwych podstaw prawnych:

Jeżeli w artykułach tych zawarto wymóg dotyczący wyrażenia zgody na konkretną czynność, którą w nich opisano, administrator nie może opierać się na pełnym zakresie możliwych podstaw prawnych określonych w art. 6 RODO.

Opinia 5/2019 EROD, par. 40

Jeżeli administrator powołuje się na art. 173 Prawa Telekomuniacyjnego, to może zatem korzystać tylko z podstaw prawnych w nim ujętych. A są to tylko:

  • zgoda użytkownika (wyrażona PO poinformowaniu go o celach przetwarzania tych danych;
  • konieczność takiego przetwarzania do nadania komunikatu / świadczenia jednoznacznie zamówionej przez klienta uslugi.

W szczególności: tam, gdzie ma zastosowanie art. 173 Prawa Telekomunikacyjnego, administrator nie może powoływać się na uzasadniony interes.

Opinia 5/2019 opisuje to bardzo zwięźle następującym przykładem:

Przykład:
Pośrednik w obrocie danymi dokonuje profilowania na podstawie zgromadzonych dzięki korzystaniu z plików cookie informacji dotyczących zachowania osób fizycznych podczas przeglądania stron internetowych, które to informacje mogą jednak obejmować również dane osobowe pozyskane z innych źródeł (np. „partnerzy handlowi”). W takim przypadku przedmiotowa część przetwarzania, a mianowicie umieszczanie lub odczytywanie plików cookie, musi być zgodna z krajowym przepisem transponującym art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Aby późniejsze przetwarzanie danych osobowych, m.in. danych osobowych zdobytych dzięki plikom cookie, było zgodne z prawem, również musi mieć podstawę prawną przewidzianą w art. 6 RODO

Opinia 5/2019 EROD

„To jest potrzebne do działania strony”

Taki argument słyszymy, gdy administrator próbuje usprawiedliwić wysyłanie danych do Google, np. przy użyciu Google Fonts.

Należy zaznaczyć, że w myśl motywu (39) RODO:

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami

Zatem jeżeli można daną funkcję osiągnąć bez ujawniania nadmiarowych danych podmiotom trzecim, to nie można tej funkcji osiągać przez ujawnianie nadmiarowych danych podmiotom trzecim. Innymi słowy - można przetwarzać tylko te dane, które są konieczne do realizacji konkretnego celu.

„Cookies to nie dane osobowe”

Same cookiesy to nie dane osobowe - to tylko technologia (zob. https://www.internet-czas-dzialac.pl/odcinek-20-przeglad-sposobow-na-sledzenie/#cookies). Jeżeli cookie zawiera unikalny identyfikator nadany użytkownikowi, to może stanowić dane osobowe - nawet, jeżeli nie można na podstawie tego ID poznać czyjegoś imienia i nazwiska, loginu lub pseudonimu.

Przydatne w argumentacji są opracowania:

  1. D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r. – na str. 81 znajduje się uzasadnienie faktu, że dane nie muszą prowadzić do imienia/nazwiska osoby, aby były uznane za dane osobowe;
  2. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r. – str. 181

„To Google przetwarza pana dane na naszej stronie, a nie my”

Często idzie w parze z „my tych danych w ogóle nie dostajemy, więc ich nie przetwarzamy”. Należy mieć na względzie treść wyroku w sprawie Fashion ID (par. 82):

okoliczność, że operator witryny internetowej, taki jak Fashion ID, sam nie ma dostępu do danych osobowych gromadzonych i przekazanych dostawcy wtyczki społecznościowej, z którym określa wspólnie sposoby i cele przetwarzania danych osobowych, nie stoi na przeszkodzie temu, by przysługiwał mu przymiot administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46.

Co, jeżeli administrator nie odpowiada na pisma od Urzędu?

Zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, niezapewnienie dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, skutkujące naruszeniem art. 58 ust. 1 Rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej. - https://uodo.gov.pl/decyzje/DKE.561.23.2020

Opracowania i inne