Dane użytkowników
W uzasadnieniu decyzji prezes UODO rozważał, czy adres IP oraz cookies ID są danymi osobowymi w rozumieniu RODO. Ostatecznie przyjął, że gdy adres IP jest przypisany do konkretnego urządzenia na stałe lub na dłuższy okres, a urządzenie to jest przypisane konkretnemu użytkownikowi, należy uznać, że stanowi on dane osobowe. Zarówno adres IP, jak i cookies ID, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania osoby fizycznej, należy kwalifikować jako dane osobowe w rozumieniu RODO.
Aktywna zgoda
Prezes UODO rozstrzygnął w decyzji, że zgoda użytkownika strony internetowej na wykorzystanie plików cookies musi zostać udzielona w sposób aktywny, tj. czynny i jednoznaczny, a brak takiego działania powinien skutkować jej nieważnością. Zgoda powinna bowiem spełniać warunki wskazane w art. 4 pkt 11 RODO, a zatem być dobrowolna, konkretna, świadoma oraz jednoznaczna. Oznacza to, że zgoda nie może zostać wyrażona biernie i milcząco, a więc jedynie poprzez ustawienia przeglądarki. Uzasadniając swoje stanowisko, prezes UODO zaznaczył, że tego typu zgoda nie spełnia również wymogów określonych w wyroku TSUE wydanym w sprawie Planet49 (C-673/17).
Prezes UODO powołał się wielokrotnie na ten wyrok TSUE, zdając się pomijać przy tym znaczące różnice w stanach faktycznych obu spraw. TSUE wypowiedział się o zgodach na cookies udzielanych przez internautów za pomocą domyślnie zaznaczonego okienka wyboru. Zdaniem TSUE tego typu zgoda, która wymaga usunięcia przez użytkownika domyślnie zaznaczonego okienka w celu odmówienia jej udzielenia, nie może zostać uznana za ważną. Natomiast w analizowanej przez prezesa UODO sprawie nie mamy do czynienia ze zgodą automatycznie zaznaczoną, tylko ze zgodą odbieraną poprzez odpowiednie ustawienia przeglądarki. Sytuacja ta nie jest więc tak oczywista jak w przywoływanym wyroku TSUE.
W uzasadnieniu decyzji prezes UODO pominął całkowicie analizę relacji przepisów ustawy–Prawo telekomunikacyjne do przepisów RODO. Zgodnie z obowiązującym art. 173 ust. 2 prawa telekomunikacyjnego możliwe jest wyrażenie zgody na pliki cookies przez użytkownika za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, czyli także poprzez odpowiednie ustawienia przeglądarki. Z kolei od 2019 r. przepis art. 174 prawa telekomunikacyjnego stanowi, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Oznacza to, że w tym zakresie należy spełnić wymogi przewidziane przez RODO.
PUODO zdaje się więc pomijać okoliczność, że na gruncie obowiązujących przepisów powinniśmy odróżnić dwa rodzaje zgody, tj. z jednej strony zgodę na instalację cookies, a z drugiej strony zgodę na przetwarzanie danych osobowych. Pierwsza zgoda regulowana jest przez przywołane przepisy prawa telekomunikacyjnego, a druga przez art. 6 ust. 1 lit. a) RODO. Rzeczywiście, zgoda na przetwarzanie danych osobowych na gruncie RODO musi spełniać wymogi przewidziane w rozporządzeniu. Gdy jednak jest udzielana na podstawie art. 173 ust. 2 pr.telekom., możliwe jest poleganie na odpowiednich ustawieniach przeglądarki, gdyż wynika to wprost z brzmienia tego przepisu. Obecnie jest to zresztą powszechna praktyka w Polsce.
Omawiana decyzja wydaje się podążać w kierunku przyjętym przez innych europejskich regulatorów, zgodnie z którym zgoda na korzystanie z plików cookies powinna być udzielona w sposób aktywny. Część podmiotów na polskim rynku wdrożyła już takie rozwiązania. Jest to widoczne szczególnie w międzynarodowych korporacjach, które dążą do osiągnięcia jednolitego podejścia do plików cookies w całej UE.