Serwowanie ciasteczek, a naruszenie przepisów RODO

Identyfikatory internetowe takie jak adres IP i cookies ID mogą być danymi osobowymi, ale nie zawsze nimi będą. Możliwym musi być jeszcze bezpośrednie lub pośrednie zidentyfikowanie użytkownika na ich podstawie.

W grudniu 2021 roku Prezes Urzędu Ochrony Danych Osobowych na mocy decyzji udzielił upomnienia spółce będącej administratorem strony internetowej za to, że ta w jego ocenie z naruszeniem przepisów RODO przetwarzała dane osobowe skarżącego użytkownika oraz nie wskazała na jego żądanie informacji dotyczących odbiorców tych danych i nie udostępniła ich kopii. Ponadto PUODO nakazał spółce usunięcie danych osobowych skarżącego i poinformowanie o tym fakcie podmiotów, którym je udostępniono. Mowa tu o danych przetwarzanych w związku ze stosowaniem tzw. „ciasteczek", czyli plików cookies – adresu IP użytkownika oraz unikalnego identyfikatora Cookies ID.

Dane osobowe, czyli co?

Prezes UODO powołuje się w treści decyzji na definicję danych osobowych zawartą w art. 4 RODO, zgodnie z którą oznaczają one „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą)", zaś możliwą do zidentyfikowania osobą fizyczną jest „osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub...