Dana 11. srpnja 2022., upravni sud u Varšavi ("WSA") poništio je odluku poljskog nadzornog tijela ("UODO"), zaključivši da se bilo koji podaci o korisniku prikupljeni putem kolačića ne bi trebali automatski tretirati kao osobni podaci korisnika.
Odluka UODO-a odnosila se na praksu tvrtke da pristanak ispitanika na obradu osobnih podataka izvode iz činjenice da su ispitanici posjetili web stranicu. Taj se pristanak trebao dati putem vlastitih postavki preglednika ispitanika. Tvrtka je tvrdila da je obavijestila ispitanika o upotrebi kolačića i dala informacije o mogućnosti ručne promjene postavki. Također, tvrtka vjeruje i dalje da dijeljenje ID informacija koji se prikupljaju putem kolačića s trećim stranama ne spada u opseg "osobnih podataka" kako je definirano Općom uredbom o zaštiti podataka ("GDPR").
Nasuprot tome, UODO je utvrdio je da se pod osobnim podacima treba podrazumijevati svaka informacija koja omogućuje identifikaciju određene osobe. Kroz čin korištenja određenih web stranica, pojedincima se mogu dodijeliti mrežni identifikatori (IP adrese, identifikatori kolačića) koje generiraju njihovi uređaji, aplikacije, alati, protokoli ili drugi identifikatori. Te aktivnosti mogu rezultirati ostavljanjem tragova koji bi se, u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje poslužitelji dobiju, mogli koristiti za profiliranje i identifikaciju tih pojedinaca ako se dokaže da se predmetni podaci mogu pripisati određenoj osobi. UODO također je istaknuo da se identifikacija može dogoditi i neizravno, stoga možda nije potrebno da sama informacija identificira nositelja podataka.
UODO je utvrdio da tvrtka korištenjem kolačića, bez prethodne suglasnosti ispitanika, te njihovom obradom i omogućavanjem pristupa osobnim podacima ispitanika, krši odredbe o zaštiti osobnih podataka. Štoviše, budući da informacije koje kolačići bilježe mogu predstavljati osobne podatke, tvrtka koji ih obrađuje također treba ispuniti sve druge obveze u vezi s obradom osobnih podataka, uključujući i one prema ispitanicima, kao što je odgovaranje na njihove zahtjeve za pristup tim podacima , ili pružanje pristupa kopiji navedenih podataka.
WSA je u svojoj presudi objasnio da svaki podatak (IP adresa, identifikator kolačića) ne omogućuje identifikaciju određene osobe (npr. identifikacija možda neće biti moguća ako korisnik koristi dinamičku IP adresu koja je randomizirana unutar određenih vremenskih razdoblja ili svaki put kada se korisnik prijavi na mrežu ili ako više od jednog korisnika koristi isti uređaj). WSA je također istaknuo da prije ocjene zakonitosti dobivenih podataka, UODO treba iscrpno naznačiti kako je utvrdio da informacija predstavlja osobni podatak u pojedinom slučaju, uključujući objašnjenje koncepta identifikacije i navođenje zašto se određeni dio informacija može pripisati fizičkoj osobi u određenom slučaju.
Presuda nije konačna i na nju se može uložiti žalba Vrhovnom upravnom sudu.
Standardi pristanka za kolačiće
Prema poljskom zakonu o telekomunikacijama, dopušteno je pohranjivanje informacija ili pristup informacijama koje su već pohranjene na uređaju pod uvjetom da:
Osim toga, prema zakonu, propisi o zaštiti podataka primjenjuju se na dobivanje privole ispitanika. Posljedično, postoje dvojbe je li privola izražena putem postavki preglednika dovoljna s obzirom na potrebu ispunjavanja zahtjeva za privolom prema GDPR-u. Gore spomenuta presuda WSA nažalost nije razjasnila ove dvojbe.
Treba također uzeti u obzir presudu Suda Europske unije u predmetu C-673/17 kako je navedena u odluci UODO-a. Ova presuda utvrđuje standarde za dobivanje privole za korištenje kolačića prema zakonodavstvu o zaštiti podataka. Iz navedene presude proizlazi da je privola ispitanika valjana ako ispunjava sljedeće uvjete:
Stoga se sljedeće radnje neće smatrati privolom danom u skladu sa zakonodavstvom o zaštiti podataka:
Tvrtke koje koriste kolačiće trebaju imati na umu obvezu prethodnog opsežnog informiranja ispitanika o kolačićima, kao i o njihovoj obradi osobnih podataka u slučaju da bi informacije koje obrađuju mogle izravno ili barem neizravno identificirati ispitanika. Nadalje, te tvrtke bi trebale omogućiti ispitanicima da daju svoj informirani pristanak, na primjer, označavanjem okvira.