Skip to main content
GDPRTracking Cookies

Przepisy polskiego Urzędu Ochrony Danych Osobowych (UODO) dotyczące śledzących plików cookie

Przepisy polskiego urzędu ochrony danych osobowych (uodo) o prawie dostępu do danych osobowych zawartych w trackerach

UODO – Polski organ ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych, dalej jako “polski organ ochrony danych”) ukarał operatora strony internetowej za naruszenie art. 6 ust. 1, art. 15 ust. 1 i art. 15 ust. 3 GDPR. Polski organ ochrony danych osobowych nakazał również operatorowi strony internetowej usunięcie adresu IP osoby, której dane dotyczą, oraz sztucznie przypisanego identyfikatora cookie.

Przepisy polskiego Urzędu Ochrony Danych Osobowych (UODO) w sprawie prawa dostępu do danych osobowych zawartych w plikach cookies (tracking cookies)

Fakty

Osoba, której dane dotyczą (zwana dalej “skarżącym”), zwróciła się drogą elektroniczną do operatora strony internetowej o przekazanie jej informacji o odbiorcach jej danych osobowych oraz o podstawach prawnych uzasadniających ujawnienie im tych danych. Ponadto osoba, której dane dotyczą, zwróciła się do operatora strony internetowej (zwany dalej “firmą”) o dostarczenie jej kopii danych przekazanych osobom trzecim, a następnie usunięcie ich z baz danych operatora strony internetowej i jego partnerów.

Operator strony internetowej odmówił spełnienia prośby osoby, której dane dotyczą, twierdząc, że nie przetwarza informacji, które pozwoliłyby na jej identyfikację. Według firmy adres IP osoby, której dane dotyczą, oraz sztucznie przypisany identyfikator pliku cookie nie wchodziły w zakres definicji danych osobowych zgodnie z art. 4 ust. 1 GDPR. Skarżący został jedynie poinformowany o tym, w jaki sposób może usunąć pliki cookie ze swojej przeglądarki.

Operator strony internetowej podkreślił, że spełnił wymogi dotyczące stosowania plików cookie określone w prawie krajowym. Według firmy skarżący wyraził zgodę na wdrożenie plików cookie na swoim urządzeniu za pomocą ustawień oprogramowania. Operator strony internetowej przyznał, że przekazał adres IP osoby, której dane dotyczą, oraz identyfikator pliku cookie swoim partnerom.

Osoba, której dane dotyczą, była niezadowolona z odpowiedzi firmy i postanowiła złożyć skargę do polskiego organu ochrony danych.

Cookie Consent Manager | Skorzystaj z dwutygodniowego bezpłatnego okresu próbnego

Wypróbuj nasze płatne subskrypcje za darmo przez dwa tygodnie lub utwórz bezpłatne konto …

Utwórz kontoZobacz nasze ceny

Decyzja polskiego organu ochrony danych

Polski organ ochrony danych przypomniał, że informacje związane z daną osobą – nawet pośrednio – niosą ze sobą konkretną wiadomość o niej i stanowią “dane osobowe” w rozumieniu GDPR. Możliwość powiązania informacji związanych z przedmiotami lub urządzeniami należącymi do danej osoby pośrednio pozwala na jej identyfikację. Według polskiego organu ochrony danych osobowych, jeśli adres IP jest przypisany na dłuższy czas lub na stałe do konkretnego urządzenia, a urządzenie to jest przypisane do konkretnego użytkownika, należy go uznać za dane osobowe dotyczące konkretnej osoby fizycznej. Zatem adres IP skarżącego i identyfikator pliku cookie stanowią dane osobowe w rozumieniu GDPR.

Polski Inspektor Ochrony Danych skrytykował również operatora strony internetowej za mechanizm wykorzystywany do zbierania zgód odwiedzających. Zgoda wyrażona przez osoby, których dane dotyczą, za pośrednictwem ich przeglądarek internetowych jest nieważna, ponieważ nie miała charakteru afirmatywnego. Organ ustalił również, że dane osób odwiedzających stronę zostały ujawnione osobom trzecim, zanim osoba, której dane dotyczą, została poinformowana o instalacji plików cookie. Co więcej, polityka prywatności stosowana przez operatora strony internetowej nie zawierała kompletnych informacji na temat przekazywania danych partnerom.

W związku z tym polski organ ochrony danych stwierdził, że operator strony internetowej naruszył GDPR, ponieważ nie miał podstawy prawnej do przetwarzania adresu IP i identyfikatora plików cookie osoby, której dane dotyczą. W związku z tym polski organ ochrony danych nakazał firmie usunięcie danych osobowych osób, których dane dotyczą. Polski organ ochrony danych uznał, że kopia identyfikatora plików cookie powinna zostać przekazana osobie, której dane dotyczą, na jej wniosek, ale nie nakazał tego firmie, ponieważ dane osobowe przestały być w posiadaniu firmy.

Komentarz

Polski Inspektor Ochrony Danych uznał, że osoby, których dane dotyczą, mają prawo do otrzymania kopii swoich trackerów internetowych. Omawiana decyzja sygnalizuje istotną zmianę w strategii egzekwowania prawa przez polski organ ochrony danych osobowych, który do niedawna wydawał się unikać orzekania w sprawach dotyczących przetwarzania danych osobowych w środowisku cyfrowym.

Wciąż jeszcze nie rozstrzygnięto zasadności skarg NOYB (Europejskie Centrum Praw Cyfrowych) dotyczących banerów cookie. Z pewnością w najbliższym czasie będziemy świadkami kolejnych decyzji polskiego organu ochrony danych dotyczących trackerów internetowych.

CookieFirst

Uzyskaj zgodę przed załadowaniem skryptów śledzących innych firm

CookieFirst ma na celu zapewnienie łatwego i szybkiego wdrożenia zgodności z przepisami ePrivacy i GDPR. Platforma CookieFirst obejmuje zarządzanie skryptami stron trzecich, zarządzanie zgodami, statystyki, okresowe skanowanie plików cookie, automatyczne deklarowanie plików cookie, dostosowywanie banerów, obsługę wielu języków i wiele innych funkcji. Uniknij wysokich grzywien i uzyskaj zgodę przed załadowaniem skryptów śledzących innych firm. Wypróbuj CookieFirst i bądź zgodny z przepisami.

Close Menu