16 wrz Dynamiczny adres IP w cookies a dane osobowe

Dodane 09:36 w Cookies, Ochrona danych osobowych | RODO autor:

Mogłoby się wydawać, że przez wszechobecne komunikaty informujące o plikach cookie i rozbudowane belki cookies na stronach internetowych, temat internetowych ciasteczek przestanie wzbudzać wątpliwości. Nic bardziej mylnego.

Uznanie informacji zakodowanych w plikach cookie za dane osobowe było niedawno przedmiotem rozstrzygnięcia Wojewódzkiego Sądu Administracyjnego w Warszawie. Jakie wnioski powinniśmy z niego wyciągnąć?

Cookies w świetle danych osobowych i RODO

Przy wykorzystaniu ciasteczek może dochodzić do przetwarzania danych osobowych użytkownika w rozumieniu RODO. Dlaczego?

Kiedy użytkownik zgłasza po raz pierwszy żądanie „wejścia” na daną stronę, jej serwer nakazuje przeglądarce zapisanie na dysku użytkownika pliku cookie. Dany plik cookie zawiera zazwyczaj unikalny, losowy adres cookie ID, który pomaga rozpoznać tego użytkownika przy każdym kolejnym wejściu na stronę. W plikach cookie mogą być zapisywane różne informacje o zachowaniu użytkownika na stronie, np. jaki język wyświetlania strony wybrał, ile czasu spędził na konkretnej podstronie, a nawet jak znalazł stronę w sieci. Kiedy użytkownik chce ponownie odwiedzić stronę, jego przeglądarka przesyła żądanie do serwera z wcześniej zakodowanymi informacjami (jeśli informacje te są nadal dostępne) – dzięki temu nie musimy np. ponownie wskazywać swojej daty urodzin lub lokalizacji w sklepie internetowym. Część z gromadzonych w ten sposób informacji może stanowić dane osobowe – m.in. adres IP.

Do adresów IP (i cookie ID) odwołuje się bezpośrednio RODO w motywie 30, zgodnie z którym są one identyfikatorami generowanych przez urządzenia i nadawanymi osobom fizycznym, co skutkuje zostawianiem przez te osoby śladów, które mogą być wykorzystywane do ich identyfikacji.  

Dlaczego to takie ważne? Stwierdzenie, że dane „zaszyte” w cookie to dane osobowe, przekłada się na konieczność stosowania przepisów RODO oraz surowszy rygor uzyskiwania akceptacji użytkownika w kontekście niektórych celów przetwarzania takich danych.

Trudności interpretacyjne towarzyszące dynamicznym adresom IP

Ustalenie, czy adres IP (albo cookie ID) stanowi dane osobowe już od jakiegoś czasu budzi problemy interpretacyjne. Z kwalifikacją prawną dynamicznego adresu IP w kontekście danych osobowych mierzył się już TSUE w 2016 r. W wydanym wtedy wyroku[1] stwierdził, że dynamiczny adres IP może zostać uznany za dane osobowe zarówno, kiedy pozwala na bezpośrednią identyfikację użytkownika przez administratora witryny, jak i identyfikację pośrednią, np. dzięki dodatkowym informacjom pochodzącym od osób trzecich (np. od dostawcy internetu).  

W wyroku TSUE podkreślił, że aby uznać jakąś informację za dane osobowe należy zweryfikować:

  • czy identyfikacja użytkownika jest w ogóle obiektywnie i praktycznie możliwa oraz
  • czy po połączeniu posiadanych przez administratora witryny danych (np. z uzyskanymi od podmiotu trzeciego) dojdzie do powstania „środka, który może być rozsądnie wykorzystany do identyfikacji” użytkownika witryny.

Przy badaniu potencjalnej możliwości identyfikacji użytkownika powinno się uwzględniać, czy administrator posiada środki, umożliwiające mu zwrócenie się do podmiotu trzeciego i pozyskanie danych o użytkowniku, które są posiadaniu tego ostatniego (tzw. podejście subiektywne / względne).

Istnieje też bardziej surowe podejście, przyjmowane w niektórych krajach UE (podejście obiektywne / bezwzględne), zgodnie z którym informacje o użytkowniku powinny być uznane za dane osobowe już w momencie, gdy jakakolwiek osoba trzecia będzie mogła dokonać jego identyfikacji, niezależnie od tego, czy będzie mieć ku temu odpowiednie środki i czy taka identyfikacja będzie mogła być przeprowadzona od strony praktycznej.  

Pliki cookie pod lupą PUODO i sądu

W ostatnim czasie także w Polsce przedmiotem ożywionej dyskusji był status adresu IP w kontekście przetwarzania danych osobowych i stosowania cookies.

Miało to związek ze skargą użytkownika na administratora strony internetowej, w związku z zamieszczonym na niej bardzo „ogólnym” komunikatem o wykorzystywaniu cookies i sposobie odbierania zgody. Zarzucane naruszenia obejmowały m.in.: przesyłanie adresów IP użytkowników, części historii przeglądania i identyfikatorów cookie ID do podmiotów trzecich, a także nieprawidłowo działający baner cookies, który nie pozwalał na wyłączenie instalacji ciasteczek według ich kategorii.

W wyniku przeprowadzonego postępowania PUODO stwierdził, że w związku z wykorzystywaniem plików cookie na stronie, doszło do przetwarzania danych osobowych jej użytkowników przez administratora witryny – bez ich zgody. Zgodnie z RODO, aby taka zgoda była skuteczna, powinna być wyrażona w sposób aktywny (przez działanie użytkownika, np. zaznaczenie okienka / przesunięcie suwaka).

Na mocy decyzji nakazano m.in. usunięcie danych osobowych użytkownika składającego skargę (adresu IP oraz sztucznie nadanego identyfikatora cookie ID).  

Administrator zaskarżył wydaną przez organ decyzję do WSA w Warszawie. Na podstawie zgromadzonego w sprawie materiału dowodowego, sąd uchylił[2] wcześniejszą decyzję PUODO wskazując, że w toku postępowania prowadzonego przez organ, doszło do istotnych naruszeń, a okoliczności sprawy nie zostały wyjaśnione w należyty sposób.

W ocenie sądu organ nie uzasadnił, na jakiej podstawie doszło do stwierdzenia, że istnieje uzasadnione prawdopodobieństwo zidentyfikowania użytkownika witryny w oparciu o jego adres IP oraz cookie ID. W decyzji PUODO brak było również określenia, czy w okolicznościach sprawy taka identyfikacja była możliwa i jaki podmiot mógłby jej dokonać.

Co istotne w treści wyroku pojawiła się także kwestia rozróżniania od siebie stałego i dynamicznego adresu IP, która jest istotna dla rozstrzygnięcia, czy przetwarzane dane stanowią dane osobowe, a którą PUODO pominął w toku prowadzonego postępowania.

Statyczny adres IP – stały i praktycznie niezmienny adres przypisany do danego urządzenia łączącego się z siecią.
Dynamiczny adres IP – zmienny adres przypisany do danego urządzenia łączącego się z siecią; interwał zmiany, czyli to co jaki czas zmienia się adres IP zależy od dostawcy internetowego.

Podobnie jak TSUE, WSA podkreślił, że adres IP może być uznany za dane osobowe – choć nie zawsze. Konkretne przypadki należy intepretować w oparciu o RODO – w zależności od tego, czy na podstawie adresu IP czy cookie ID możliwe jest dokonanie identyfikacji konkretnego użytkownika.

W związku z uchyleniem przez WSA decyzji PUDO, sprawa ponownie powróci do rozpatrzenia przez organ, który będzie miał obowiązek ponownie przeprowadzić postępowanie dotyczące zgłoszonych naruszeń, z uwzględnieniem wytycznych wskazanych przez sąd. Zwłaszcza dotyczących wnikliwego przeanalizowania oraz wyjaśnienia okoliczności mających wpływ na kwalifikację adresu IP oraz nadanego użytkownikowi ID jako danych osobowych.

Dynamiczny adres IP wciąż wzbudza wątpliwości na tle RODO

Nie zawsze sam adres IP czy cookie ID umożliwią zidentyfikowanie konkretnej osoby. Motyw 30 RODO wprost wskazuje, że mogą wystąpić sytuacje, kiedy dopiero po połączeniu adresu IP czy cookie ID z innymi danymi będą one stanowić dane osobowe. Dodatkowo, często takie „inne dane” nie będą w posiadaniu administratora i może on nie mieć realnej możliwości ich pozyskania. Bardzo wiele zależy więc od sytuacji oraz statusu administratora – jak i w jakim zakresie dochodzi do zebrania danych od użytkownika? Kim jest administrator i w jakim stopniu może powiązać informacje w celu stworzenia profilu danego użytkownika? Podsumowując – kluczem jest tutaj kontekst. 

[1] Wyrok TSUE w sprawie Breyer vs. Republika Federalna Niemiec z dn. 19.10.2016 r. (C-582/14)

[2] Wyrok WSA w Warszawie z dn. 11.07.2022 r., sygnatura akt II SA/Wa 3993/21

Autor: Przemysław Gruchała

Autor: Paulina Orzełowska

ASSOCIATE | OW LEGAL paulina.orzelowska@olesinski.com

Powiązane wpisy:

Jedno szkolenie pracowników z danych osobowych wystarczy? cyberbezpieczeństwoCyberbezpieczeństwo przedsiębiorców w świecie pełnym cyberzagrożeń google analytics czy potrzebna alternatywaGoogle Analytics pod lupą organów. Czy pora szukać alternatywy? przetwarzanie danych o niekaralności(nie)zwykłe dane o karalności – jak je przetwarzać?
Tagi:
, , , , ,