Sprawa rozpatrzona przez NSA dotyczyła mężczyzny, który nabrał poważnych wątpliwości co do tego, gdzie dokładnie trafiają pozostawiane w sieci informacje. Według niego dane takie, jak nadane mu ID i jego adres IP, a nawet część historii przeglądania, za pośrednictwem strony internetowej, z której korzystał, trafiły do administratora innego, nieupoważnionego do tego serwisu.
Czytaj więcej
Platforma ponosi odpowiedzialność za ogłoszenie internauty, nawet gdy nie wiedziała, że narusza ono RODO – uznał TSUE w precedensowym wyroku. W pra...
O interwencję zwrócił się więc do prezesa Urzędu Danych Osobowych, ale ten – po zbadaniu sprawy – nie rozstrzygnął jej w sposób, w jaki oczekiwał internauta. Upomniał on bowiem spółkę odpowiedzialną za prowadzenie strony za to, że nie udzieliła samemu zainteresowanemu odpowiedzi na wniosek, w którym ten domagał się usunięcia swoich danych. W pozostałym zakresie postępowanie to jednak umorzył.
Przeglądał stronę internetową, podejrzewał, że jego dane wypłynęły. Co na to Urząd Ochrony Danych Osobowych?
Internauta z takim obrotem spraw się nie zgodził, więc niekorzystną dla siebie część decyzji prezesa UODO zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie. A WSA skargę tę uwzględnił, bo – jego zdaniem – decyzja ta podjęta została bez wystarczającego zważenia wszystkich racji. Z jednej bowiem strony prezes UODO uznał bowiem, że zarówno adres IP, jak i powiązane z nim „cookie” ID i informacje o „zawartości” przeglądarki, stanowią dane osobowe. A zatem pozwalają z dużym prawdopodobieństwem zidentyfikować konkretną osobę.
Z drugiej strony WSA zauważył jednak przy tym, że RODO oczywiście dostrzega możliwość, iż osoby fizyczne pozostawiają w sieci ślady – takie jak identyfikatory plików cookie – które, w połączeniu z uzyskiwanymi przez serwer informacjami, mogą doprowadzić do ich identyfikacji, czy też zostać wykorzystane do tworzenia profili.
Według sądu prezes UODO zatrzymał się jednak w pół drogi, bo nie wyjaśnił, w jaki sposób akurat w tej konkretnej sytuacji miałoby dojść do takiej identyfikacji. Z przepisami RODO kłóci się bowiem fakt, że sama spółka nie była w stanie odnaleźć w swoich bazach informacji, pozwalających na „rozpoznanie” tego konkretnego użytkownika. Trudno było więc – według sądu – przychylić się do forsowanej tezy o ryzyku tegoż „ujawnienia”.
Czytaj więcej
Rzecznik praw obywatelskich chce, żeby internauci, którzy w sieci sieją hejt, ale szybko porzucają „obiekt” kpin, mogli być karali jak stalkerzy. E...
Użytkownik nie do znalezienia w bazie, ale możliwy do zidentyfikowania? NSA ma wątpliwości
W reakcji na to rozstrzygnięcie, prezes UODO skierował więc skargę kasacyjną do NSA, jednak została ona oddalona. Również według NSA prezes UODO nie wyjaśnił, czy dane będące w zasobach spółki stanowiły dane osobowe, a wydana przez niego decyzja wcale sprawy nie rozstrzyga.
Również on dostrzegł więc niezgodność między powoływaniem się na RODO dostrzegające możliwość identyfikacji, a faktem, że użytkownika na podstawie pozostawionych przez niego „śladów” nie dało się odnaleźć w zasobach, do których trafił, wchodząc na stronę. W sprawie doprowadzono więc do pata i nie mogła ona zostać jednoznacznie rozstrzygnięta; ponownie pochyli się nad nią UODO.
Wyrok jest prawomocny.
Sygnatura akt: III OSK 18/23
