Informacje z ciasteczek nie zawsze są danymi osobowymi

Kwestia ciasteczek (czyli plików instalowanych na urządzeniach użytkowników odwiedzających strony internetowe) od dawna budzi kontrowersje. Prawnicy spierają się, czy informacje pozyskiwane z tych ciasteczek są danymi osobowymi, czy nie. I jak pogodzić unijne regulacje z zakresu danych osobowych z przepisami rodzimego prawa telekomunikacyjnego?

Dyskusja na ten temat rozgorzała na nowo po niedawnym wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie uchylającym decyzję Urzędu Ochrony Danych Osobowych, w której organ nałożył upomnienie na spółkę iSecure, zarzucając jej m.in. udostępnienie podmiotom trzecim danych osobowych użytkownika (pozyskanych właśnie przez ciasteczka zainstalowane na jego komputerze) bez podstawy prawnej. Spółka nie zgodziła się z oceną UODO i złożyła skargę do WSA. Ten w wyroku z 11 lipca br. (sygn. akt II SA/Wa 3993/21) uchylającym decyzję organu nadzorczego nie zgodził się z prostym podejściem, że w świecie cyfrowym każda informacja o użytkowniku jest daną osobową.

Wielokrotnie podkreślano duże znaczenie tej sprawy dla praktyki funkcjonowania usług w internecie. I trudno się nie zgodzić - z ciasteczek korzystają praktycznie wszystkie witryny internetowe. Orzeczenie nie jest jednak prawomocne - UODO może złożyć skargę do Naczelnego Sądu Administracyjnego.