Dobre wiadomo艣ci! 馃檪 Prezes UODO wyci膮ga wnioski z dotychczasowych post臋powa艅 dotycz膮cych cookies. W wyniku naszej skargi du偶y operator telekomunikacyjny dostaje upomnienie i zmienia spos贸b odbierania zg贸d na swojej stronie internetowej.

Odcinek #1 (Express)

Ten sam temat poruszamy w nowej serii ICD Express, kt贸rego mo偶ecie pos艂ucha膰 tutaj:

W po艂owie 2021 r. do UODO wp艂yn臋艂a skarga Kuby dotycz膮ca udost臋pnienia przez T-Mobile Polska S.A. danych osobowych w zakresie adresu IP oraz sztucznie nadanego ID z cookies nieuprawnionym podmiotom. Ca艂a sprawa zacz臋艂a si臋 od odwiedzenia strony internetowej T-Mobile. Skrypty umieszczone na powy偶szej stronie bez jakiejkolwiek zgody u偶ytkownika (Kuby) przekaza艂y adres IP oraz sztucznie nadany ID z cookies do szeregu podmiot贸w trzecich. U偶ytkownik nie mia艂 mo偶liwo艣ci uprzedniego zapoznania si臋 z Polityk膮 prywatno艣ci T-Mobile. Nie m贸g艂 tak偶e aktywnie wyrazi膰 b膮d藕 odm贸wi膰 wyra偶enia zgody na powy偶sze dzia艂ania operatora za pomoc膮 np. baneru wy艣wietlaj膮cego si臋 na stronie. T-Mobile przyj臋艂o bowiem rozwi膮zanie, zgodnie z kt贸rym korzystanie z serwisu oznacza艂o zgod臋 na korzystanie z cookies w celu 鈥瀙oznania preferencji u偶ytkownika na podstawie zachowa艅 na stronie鈥. Taka informacja by艂a wy艣wietlana na stronie internetowej T-Mobile jeszcze w 2022 r.:

Wycinek zrzutu ekranu ze strony T-mobile.pl. Na g贸rze jest pasek z napisem 鈥濳orzystamy z plik贸w cookies i umo偶liwiamy zamieszczanie ich osobom trzecim. Pliki cookie pozwalaj膮 na poznanie Twoich preferencji na podstawie zachowa艅 na stronie. Kontynuuj膮c korzystanie z serwisu, wyra偶asz na to zgod臋. Poznaj szczeg贸艂y i mo偶liwo艣ci zmiany ustawie艅 w Polityce Cookies鈥. Jest tylko przycisk "Zamknij x"

Jak T-Mobile pr贸bowa艂a si臋 usprawiedliwia膰

W korespondencji prowadzonej z Kub膮 ze strony T-Mobile pada艂y argumenty, 偶e 鈥瀒nformacje zawarte w plikach cookies nie zawsze s膮 danymi osobowymi w rozumieniu przepis贸w rozporz膮dzenia 2016/679, a zgodnie z wyja艣nieniami zawartymi w Polityce prywatno艣ci informacje o u偶ytkownikach odwiedzaj膮cych stron臋 internetow膮 www.t-mobile.pl zbierane s膮 w spos贸b anonimowy lub pseudonimowy鈥. Sp贸艂ka wskazywa艂a, 偶e nie posiada danych dostatecznie identyfikuj膮cych konkretnego u偶ytkownika, a w szczeg贸lno艣ci twierdzi艂a, 偶e takiego charakteru nie mia艂 dynamiczny adres IP wskazywany przez Kub臋.

Co ciekawe, 贸w dynamiczny adres IP, jak r贸wnie偶 ID z cookies, zosta艂 ujawniony takim podmiotom jak: Facebook Ireland Limited (w艂a艣ciciel domen facebook.com oraz facebook.net), Wirtualna Polska Holding S.A. (w艂a艣ciciel domeny wp.pl), Synerise S.A. (w艂a艣ciciel domeny snrbox.com), SALELIFTER Sp. z o.o. (w艂a艣ciciel domeny revhunter.tech), Google LLC (w艂a艣ciciel domen googleanalytics.com, google.com, google.pl, googleapis.com oraz googletagmanager.com) i Playlink Sp. z o.o. (w艂a艣ciciel domeny emailpartners.net). Z wyja艣nie艅 T-Mobile wynika艂o tak偶e, i偶 sp贸艂ka umo偶liwia艂a zewn臋trznym dostawcom 艣wiadczenie swoich us艂ug niezale偶nie od niej, za pomoc膮 przesy艂anych im cookies i podobnych technologii. Dostawcami takich us艂ug byli w szczeg贸lno艣ci Google LLC (w zwi膮zku z wykorzystywaniem funkcji Google Maps, Google AdWords oraz Captcha), Facebook Ireland Limited (w zwi膮zku z korzystaniem z us艂ug Facebook Customer Audience i Facebook Pixel) oraz Linkedln Ireland (za pomoc膮 tagu Linkedln Insight).

T-Mobile twierdzi艂a tak偶e, 偶e 鈥瀙odczas pierwszego wej艣cia na stron臋 www ka偶dy u偶ytkownik jest pytany o zgod臋 na pliki cookies鈥. Preferencje u偶ytkownika mia艂y by膰 okre艣lane za pomoc膮 ustawie艅 przegl膮darki 鈥 jakoby fakt w艂膮czonej obs艂ugi cookies mia艂 oznacza膰 zgod臋. Sp贸艂ka uzna艂a, 偶e wy艣wietlanie informacji o tym, 偶e strona internetowa gromadzi cookies, wraz z podaniem celu korzystania z cookies i przedstawieniem u偶ytkownikowi sposobu zarz膮dzania t膮 technologi膮 na w艂asnym urz膮dzeniu, by艂a 艂atwa i zrozumia艂a nawet dla przeci臋tnego u偶ytkownika i nie wymaga艂a specjalistycznej wiedzy z tego zakresu. Zdaniem sp贸艂ki taki tryb post臋powania by艂 zgodny z przepisami prawa telekomunikacyjnego.

UODO argumenty T-Mobile nie przekona艂y

Co nas bardzo cieszy, z powy偶sz膮 argumentacj膮 operatora nie zgodzi艂 si臋 Prezes UODO. W dniu 9 marca 2023 r. wyda艂 decyzj臋 (sygn. akt DS.523.4364.2021.PR.PAM, niepubl.), w kt贸rej udzieli艂 T-Mobile upomnienia za nieuprawnione udost臋pnienie danych osobowych u偶ytkownika podmiotom trzecim. Uzasadnienie przedmiotowej decyzji ewidentnie uwzgl臋dnia argumenty przedstawione przez Wojew贸dzki S膮d Administracyjny w sprawie przeciwko iSecure oraz w naszej sprawie przeciwko Wirtualnej Polsce (wspominali艣my o niej na ko艅cu tego wpisu).

Sprawa z iSecure post臋puje. Mit贸w i niedom贸wie艅 nie brakuje
Jak pewnie pami臋tacie, iSecure zaskar偶y艂o decyzj臋 PUODO wydan膮 w sprawie rozpocz臋tej nasz膮 skarg膮. WSA wyda艂 wyrok w tym post臋powaniu, uchylaj膮cy decyzj臋 Prezesa UODO. Przyszed艂 czas na nasz komentarz. Czy przegrali艣my spraw臋, a WSA uzna艂, 偶e cookies nie stanowi膮 danych osobowych? Wyja艣niamy.

Organ nadzorczy podkre艣li艂 w uzasadnieniu przedmiotowej decyzji, 偶e zidentyfikowanie osoby fizycznej nie musi polega膰 na okre艣leniu jej imienia i nazwiska, co jest szczeg贸lnie istotne w 艣rodowisku cyfrowym, w kt贸rym identyfikacja sprowadza si臋 do oznaczenia danego u偶ytkownika w celu wywierania na niego okre艣lonego wp艂ywu. Jak s艂usznie zauwa偶y艂 organ, na wskazany cel powo艂a艂a si臋 zreszt膮 sama sp贸艂ka T-Mobile, podaj膮c w swoich wyja艣nieniach, i偶 ID jest nadawane w celu wewn臋trznej identyfikacji 偶膮da艅 u偶ytkownika, w trakcie poszczeg贸lnych kolejnych ods艂on. Jak dalej stwierdzi艂 Prezes UODO:

skoro wi臋c ID b臋d膮c przypisanym do konkretnego urz膮dzenia s艂u偶y identyfikacji jego (unikalnego) u偶ytkownika, to stanowi on dane osobowe. Do tego samego urz膮dzenia przypisany jest tak偶e numer IP (sta艂y lub zmienny). Numer ten (IP) stanowi zatem informacj臋 o ju偶 zidentyfikowanej (w 艣rodowisku cyfrowym) osobie, tym w艂a艣nie konkretnym u偶ytkowniku.

Jest to bardzo wa偶ne stwierdzenie, kt贸rego zdecydowanie brakowa艂o we wcze艣niejszych decyzjach UODO!

W艂膮czone cookiesy nie mog膮 by膰 zgod膮 w rozumieniu RODO

Odno艣nie do kwestii legalno艣ci ujawnienia danych osobowych w postaci ID z cookies oraz adresu IP podmiotom zewn臋trznym takim jak Facebook Ireland Limited, Wirtualna Polska Holding S.A., Synerise S.A., SALELIFTER Sp. z o.o., Google LLC czy Playlink Sp. z o.o., organ wyra藕nie wskaza艂, 偶e T-Mobile powinna by艂a uzyska膰 uprzednio zgod臋 na takie dzia艂ania. W toku sprawy sp贸艂ka nie wskaza艂a, aby przekazywanie danych osobowych skar偶膮cego u偶ytkownika ww. podmiotom by艂o niezb臋dne do zapewnienia prawid艂owego funkcjonowania strony internetowej operatora. Ujawnianie danych mia艂o bowiem nast臋powa膰 w celu wy艣wietlania na urz膮dzeniu skar偶膮cego reklam ww. partner贸w w spos贸b sprofilowany, tj. np. na podstawie informacji przypisanych do ID z cookies zainstalowanych na urz膮dzeniu u偶ytkownika. Organ nadzorczy podkre艣li艂, 偶e spos贸b uzyskiwania przez T-Mobile zg贸d u偶ytkownik贸w strony internetowej nale偶y uzna膰 za zgod臋 wyra偶on膮 w spos贸b bierny i milcz膮cy 鈥 nie mo偶e by膰 ona wobec tego wa偶na w 艣wietle obowi膮zuj膮cych przepis贸w RODO. Nie spe艂nia ona bowiem wymogu dobrowolno艣ci, 艣wiadomo艣ci, jednoznaczno艣ci oraz konkretno艣ci, ani 鈥 jak wskaza艂 TSUE w wyroku w sprawie Planet49 鈥 wymogu aktywnego i wyra藕nego dzia艂ania ze strony u偶ytkownika, kt贸rego dane podlega膰 b臋d膮 przetwarzaniu.

CURIA - Documents

Jak teraz wygl膮da strona T-Mobile?

Ze spraw膮 zainicjowan膮 przed Prezesem UODO skarg膮 Kuby zbieg艂y si臋 w czasie tak偶e zmiany na stronie internetowej T-Mobile. Operator zmieni艂 bowiem spos贸b odbierania zg贸d na stosowanie cookies i podobnych technologii. Nie uwa偶a ju偶, 偶e za zgod臋 uznawane jest dalsze korzystanie ze strony internetowej bez zmiany ustawie艅 przegl膮darki. Obecnie baner wygl膮da tak:

Wycinek ze screenshota strony t-mobile. "Pliki cookies w T-mobile Polska s.a. Korzystamy z聽plik贸w cookies w聽celu sprawnego dzia艂ania witryny (cookies niezb臋dne) oraz tworzenia us艂ug i聽ofert dostosowanych do聽Twoich potrzeb (cookies opcjonalne 鈥 mo偶esz na聽nie聽wyrazi膰 zgod臋). Klikaj膮c w聽ustawienia dowiesz si臋聽wi臋cej na聽ten temat oraz jak聽zmieni膰 preferencje urz膮dzenia, z聽kt贸rego korzystasz. Szczeg贸艂owe informacje znajdziesz r贸wnie偶 w聽naszej polityce prywatno艣ci". Dwa przyciski: 鈥瀦aakceptuj wszystkie鈥 i 鈥瀦miana ustawie艅鈥

Czy powy偶szy spos贸b zbierania zgody faktycznie jest w naszej ocenie prawid艂owy? Nie 鈥 jak pokazuje analiza za pomoc膮 naszego narz臋dzia Rentgen, strona dokonuje dost臋pu do cookies贸w 艣ledz膮cych, zanim u偶ytkownik podejmie jakikolwiek wyb贸r w okienku dot. zg贸d:

Informujemy, 偶e om贸wiona decyzja nie jest jeszcze prawomocna, tzn. mo偶e zosta膰 zaskar偶ona. Cieszymy si臋 jednak z 鈥 naszym zdaniem 鈥 bardziej przekonuj膮cej argumentacji Prezesa UODO co do tego, 偶e ID z cookies i adres IP w 艣rodowisku cyfrowym w tym konkretnym przypadku (jak r贸wnie偶 potencjalnie w wielu innych sytuacjach) stanowi膮 dane osobowe.


Powi膮zane:

Tre艣膰聽decyzji w sprawie DS.523.4364.2021.PR.PAM

Rentgen - prze艣wietl stron臋 internetow膮 i wygeneruj maila do administratora
Z rado艣ci膮 og艂aszamy premier臋 owocu ostatnich miesi臋cy naszej ci臋偶kiej pracy: wtyczki do Firefoxa, kt贸ra analizuje skrypty na stronach i na podstawie zebranych danych u艂atwia sformu艂owanie maila do administratora strony opisuj膮cego potencjalne problemy ze zgodno艣ci膮 z RODO.
Sprawa z iSecure post臋puje. Mit贸w i niedom贸wie艅 nie brakuje
Jak pewnie pami臋tacie, iSecure zaskar偶y艂o decyzj臋 PUODO wydan膮 w sprawie rozpocz臋tej nasz膮 skarg膮. WSA wyda艂 wyrok w tym post臋powaniu, uchylaj膮cy decyzj臋 Prezesa UODO. Przyszed艂 czas na nasz komentarz. Czy przegrali艣my spraw臋, a WSA uzna艂, 偶e cookies nie stanowi膮 danych osobowych? Wyja艣niamy.
iSecure zaskar偶y艂o decyzj臋 UODO o cookiesach na ich stronie. Nasz komentarz
Firma iSecure dosta艂a upomnienie od UODO w reakcji na nasz膮 skarg臋. Odpowiadamy na ich komentarz do tej sprawy.
Przegl膮d sposob贸w na 艣ledzenie u偶ytkownik贸w Internetu
Internet jest pe艂en technologii, kt贸re pomagaj膮 zar贸wno nam, jak i聽wszechobecnym reklamodawcom. Opisujemy najwa偶niejsze z聽nich i聽t艂umaczymy zasady ich dzia艂ania.