A skoro wczoraj było o szpiegowaniu ludzi przez CIA, to dziś będzie o szpiegowaniu internautów przez dostawców usług, czyli: czy adres IP urządzenia umożliwia identyfikację użytkownika internetu? Czy ID cookie zapisanego w przeglądarce może być traktowane jako dane osobowe? A może zawsze istotne jest, czy konkretny usługodawca jest w stanie ustalić tożsamość konkretnego usługobiorcy?
wyrok Naczelnego Sądu Administracyjnego z 16 października 2025 r. (III OSK 2595/22)
Nie ma podstaw, by uznać, że adres IP – niezależnie od tego, czy jest adresem stałym (statycznym), czy zmiennym (dynamicznym) oraz niezależnie od tego, kto jest jego dysponentem i jakie istnieją możliwości wykorzystania go w celu identyfikacji osoby fizycznej, należy zawsze traktować jako daną osobową.
opis stanu faktycznego:
- spór zaczął się od wysłania przez internautę, do serwisu internetowego, zapytania o udostępnianie danych osobowych dotyczących przeglądania witryny internetowej innym podmiotom;
- początek sprawy był już opisywany na tutejszych łamach, zatem nieco upraszczając: zdaniem zainteresowanego zamieszczone w kodzie strony skrypty powodowały zapisanie cookies w przeglądarce użytkownika i automatyczne wysłanie danych (adresu IP, historii przeglądania i nadanego ID) do zewnętrznych firm — zanim w ogóle było możliwe przeczytanie polityki prywatności, a więc jeszcze przed wyrażeniem zgody na „wstrzyknięcie” ciastek do urządzenia (na co dowodem były zrzuty ekranu prezentujące uruchomione „narzędzie analityczne” przeglądarki);
- w odpowiedzi spółka wyjaśniła, że żadnych danych osobowych nie przetwarza, informacje o użytkownikach strony nie pozwalają na ich identyfikację, informacja o ciastkach jest prezentowana natychmiast po wejściu na stronę — a firma bazuje na zgodzie udzielonej poprzez konfigurację przeglądarki wykorzystywanej przez internautów;
- (pozostawione w uzasadnieniu okruszki pozwoliły ustalić, że problematyczny był osadzony skrypt czarter.pl);
- w wydanej decyzji PUODO uznał, iż przypisane identyfikatory internetowe stanowią dane osobowe, ponieważ pozostawione „okruszki” zawsze mogą pozwolić na identyfikację konkretnego człowieka, zatem w wydanej decyzji nakazał firmie usunięcie danych i poinformować odbiorców o konieczności ich usunięcia, a także udzielił upomnienia za naruszenie obowiązków wynikających z RODO;
art. 399 ust. 1-2 prawa komunikacji elektronicznej
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę […] za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
art. 400 pke
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych osobowych.
motyw 30 RODO
Osobom fizycznym mogą zostać przypisane identyfikatory internetowe — takie jak adresy IP, identyfikatory plików cookie — generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
- ale już rozpatrując skargę spółki WSA stwierdził, że RODO nie przesądza o tym, czy adres IP i nadany ID stanowi dane osobowe, zatem wszystko zależy od tego, czy informacja umożliwia identyfikację konkretnej osoby fizycznej — a ponieważ organ nie zbadał konkretnych okoliczności, decyzja została uchylona (por. „Adres IP użytkownika i nadany mu unikalny identyfikator nie zawsze stanowią dane osobowe”);
skarga kasacyjna PUODO:
- w skardze kasacyjnej od tego wyroku PUODO podkreślił, że niezależnie od tego czy adres IP jest stały czy zmienny, zawsze stanowi on informację o osobie „już zidentyfikowanej (w środowisku cyfrowym)”, czyli o konkretnym użytkowniku;
- zaś parując tę informację z ID cookie, mamy prostą drogę do tworzenia profili identyfikujących konkretną osobę — co oznacza, że adres IP plus ID ciasteczka umożliwia identyfikację i ustalenie tożsamości użytkownika internetu;
wyrok NSA:
- dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, tj. takiej, której tożsamość można ustalić na podstawie m.in. identyfikatora internetowego;
- takim identyfikatorem może być np. adres IP czy ID pliku cookie, czyli ślady, które w powiązaniu ze sobą mogą służyć to tworzenia profili ułatwiających identyfikację konkretnych osób (por. „Identyfikator internetowy używany do targetowania reklam to dane osobowe”);
- na przeszkodzie uznania danych zaszytych w identyfikatorach internetowych nie stoi fakt, iż nie zawiera ono informacji o imieniu i nazwisku i odnosi się do przeglądarki komputerowej: urządzeń używają ludzie, zatem takie dane niosą komunikaty o ludziach;
- stąd też zarówno adres IP użytkownika, jak również ID plików cookies zapisanych w jego urządzeniu, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania uczestnika w powiązaniu z tymi danymi, stanowią jego dane osobowe;
- w tym miejscu NSA zwrócił uwagę, iż adres IP może być przypisany do zakończenia sieci na dłuższy lub krótszy czas, toteż inaczej należy postrzegać stałe i dynamiczne adresy IP, a w tym drugim przypadku im rotacja jest rzadsza, tym większa jest możliwość identyfikacji osoby (por. wyrok TSUE z 19 października 2016 r. w/s Breyer, C-582/12);
- ba, RODO wyraźnie mówi, że oceniając możliwość identyfikacji należy wziąć pod uwagę „wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo” wykorzystania w celu zidentyfikowania osoby fizycznej — w tym koszt i czas potrzebny do identyfikacji (NSA nazwał to „klauzulą rozsądku”);
- tymczasem w swej decyzji PUODO okoliczność tę całkowicie pominął, opierając się wyłącznie na uwarunkowaniach wynikających z przypisania stałego adresu IP — z góry zakładając, iż wszystkie identyfikatory internetowe stanowią dane osobowe użytkownika i pomijając uwagi spółki, iż nie jest ona w stanie ustalić tożsamości usługobiorców;
- zdaniem sądu podobnie uproszczone wnioskowanie przedstawiono w odniesieniu do ID cookies: otóż urząd oparł się na poglądach wyrażonych w wyroku TSUE z 1 października 2019 r. w/s Planet49 (C-673/17), ale nie dostrzegł, iż tamten administrator wymagał rejestracji użytkownika poprzez podanie danych na formularzu, zatem „ciasteczko” niewątpliwie zawierało odniesienie do jego danych osobowych;
- (pominięto też argument, że cookies analityczne w ogóle nie pozwalają na identyfikację użytkownika, w ogóle nie jest zbierana ani wysyłana historia przeglądania stron);
- niejako na marginesie NSA dodał, że ocena adresu IP użytkownika i zapisanego w jego urządzeniu ID cookies jako danych osobowych nie może wynikać z tego, że administrator poznał imię i nazwisko skarżącego — albowiem późniejsze ujawnienie danych osobowych nie ma wpływu na sposób przetwarzania podczas odwiedzin witryny.
Biorąc pod uwagę taką wykładnię Naczelny Sąd Administracyjny oddalił skargę kasacyjną PUODO, co oznacza, że decyzja wypada z obiegu, a organ jest zobowiązany do ponownego rozpatrzenia sprawy.