Czy pliki cookies są daną osobową. Zapytaliśmy UODO

Rzecznik prasowy Urzędu Ochrony Danych Osobowych, Agnieszka Świątek-Druś, rozwiewa wątpliwości.

Unijne Rozporządzenie o ochronie danych osobowych nie jest precyzyjne i zostawia w wielu kwestiach mnóstwo tematów do samodzielnej interpretacji. Nie do końca jasne jest nawet to, czym dokładnie są dane osobowe. Dlatego mamy w sieci wysyp wyskakujących okienek z formułami informującymi o tym, że strona internetowa, na którą właśnie weszliśmy wykorzystuje pliki cookies, a w związku z tym i nasz dane osobowe. Czy to prawda? Czy w każdym przypadku dochodzi do przetwarzania a następnie wykorzystania danych osobowych w celach marketingowych przez serwisy internetowe? Interaktywnie.com zapytał rzecznika Urzędu Ochrony Danych Osobowych.

Dane osobowe są w RODO zdefiniowane jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (‘osobie, której dane dotyczą’); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.”

Wątpliwości rozwiała Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych, która odpowiedziała na pytania zadane przez Interaktywnie.com

Czy cookies są daną osobową?

Jednym z warunków uznania określonej danej za daną osobową jest to, że dotyczy ona zidentyfikowanej lub możliwej do zidentyfikowania osoby. W opinii 4/2007 Grupa Robocza Art. 29 (w skład której do rozpoczęcia stosowania RODO wchodzili unijni rzecznicy ochrony danych osobowych, w tym GIODO) wyjaśniła, że aby ocenić ten warunek, należy wziąć pod uwagę „wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby”. Oznacza to, że czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za „możliwą do zidentyfikowania”. Jeżeli, biorąc pod uwagę „wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba”, prawdopodobieństwo zidentyfikowania osoby nie istnieje lub jest nieznaczne, osoba ta nie powinna zostać uznana za „możliwą do zidentyfikowania”, a informacji nie należy uważać za „dane osobowe”. 

Należy więc wyjaśnić, co rozumiemy przez pojęcie „samodzielne pliki cookies”. Wiadomo bowiem, że pliki cookies zapisywane/odczytywane są z konkretnego urządzenia, tzn. z urządzenia o określonym identyfikatorze sieciowym IP czy unikalnym identyfikatorze fizycznym karty sieciowej, jakim jest numer MAC urządzenia, na którym lub z którego plik cookies został odczytany. W kontekście plików cookies jest to istotna informacja, która z dużym prawdopodobieństwem pozwala na identyfikację osoby, której dany plik cookies dotyczy. 

Jeśli natomiast zawartość pliku cookies wyodrębnimy ze środowiska, w którym został on zapisany, wówczas można będzie uznać, że jest mało prawdopodobne, aby na podstawie samej jego zawartości możliwa była identyfikacja osoby, której dotyczy. Żeby się jednak co do tego upewnić, musimy sprawdzić, czy przypadkiem w jego treści nie zostały zapisane dane takie, jak np. identyfikator internetowy lub inne dane, które umożliwiałyby identyfikację osoby, której on dotyczy. Hipotetycznie bowiem możemy sobie wyobrazić sytuację, gdzie do pliku cookies tworzonego podczas wypełniania formularza na stronie internetowej zapisany zostanie np. nr PESEL wpisany do formularza lub nasz identyfikator użytkownika w systemie informatycznym, które pozwolą na łatwą identyfikację osoby, której dany plik dotyczy.

W połączeniu z jakimi innymi identyfikatorami internetowymi cookies stają się daną osobową?

Plik cookies należy uznać za daną osobową, jeśli inne okoliczności, takie jak: czas, miejsce, w którym został on zapisany, lub jego zawartość z dużym prawdopodobieństwem umożliwiają identyfikację osoby, której dotyczy.

Czy udzielenie agencji marketingowej dostępu do plików cookies jest powierzeniem danych osobowych?

Udzielenie innemu podmiotowi dostępu do zarządzanych przez nas danych osobowych lub danych umożliwiających identyfikację osób, których one dotyczą, zebranych za pomocą innych narzędzi, należy uznać za powierzenie przetwarzania.

Każde powierzenie przetwarzania danych, zgodnie z art. 28 ust. 3 RODO, może być realizowane wyłącznie na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Czy nadanie agencji marketingowej dostępu do Google Analytics jest powierzeniem przetwarzania danych osobowych?

W kontekście Google Analytics należy mieć na uwadze, że nie zawsze będzie dochodziło do przetwarzania danych osobowych, gdyż nie zawsze Google Analytics wykorzystuje pełne adresy IP komputerów, z których pobiera informacje. O przetwarzaniu danych osobowych w kontekście Google Analytics w pełnym zakresie nie można mówić np. wówczas, jeśli administrator, włączając Google Analytics, użył funkcji _anonymizeip, która na najwcześniejszym etapie zbierania danych anonimizuje użytkownika, zastępując ostatni oktet adresu IP jego urządzenia zerami. 

Kiedy identyfikator internetowy staje się daną osobową?

Zgodnie z motywem 30 preambuły do RODO, identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID należy uznać za dane osobowe, jeśli czas, miejsce i kontekst, w którym one się pojawią w połączeniu z unikatowymi identyfikatorami i innymi informacjami dostępnymi w systemie informatycznym mogą być wykorzystywane do zidentyfikowania osób, których one dotyczą.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"