1. Brak automatyzmu w uznaniu adresów IP i innych identyfikatorów internetowych jako danych osobowych
W wyroku z dnia 16.10.2025 r., sygn. III OSK 2595/22, Naczelny Sąd Administracyjny stwierdził, że sam fakt przetwarzania informacji o adresach IP i identyfikatorach cookies nie oznacza jeszcze, iż zawsze mamy do czynienia z danymi osobowymi. NSA zgodził się przy tym ze stanowiskiem Sądu I instancji, iż „RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej”. W konsekwencji, w ramach prowadzonych postępowań, to organ nadzorczy (PUODO) ma obowiązek wykazać – na podstawie okoliczności danej sprawy – iż identyfikacja osoby jest prawdopodobna zgodnie ze wskazówkami określonymi w motywie nr 26 RODO.
2. Pseudonimizacja danych osobowych – skutki prawne dla administratora
W wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 4.09.2025 r., sygn. C-413/23, w sprawie Europejskiego Inspektora Ochrony Danych (EDPS) przeciwko SRB, Trybunał stwierdził, iż administrator, który dokonał pseudonimizacji danych zwykle dysponuje – tak jak to było w rozpatrywanej sprawie - dodatkowymi informacjami umożliwiającymi identyfikacje podmiotów danych. Dlatego też, dane te zachowują dla niego, pomimo ich pseudonimizacji, charakter danych osobowych. W konsekwencji, jest on zobowiązany do w wykonania obowiązków określonych w RODO, w tym obowiązku poinformowania o odbiorcach danych (art. 13 ust. 1 pkt e). Bez znaczenia jest przy tym okoliczność, iż odbiorca danych, któremu przekazane są spseudonimizowane dane, nie ma możliwości ich reidentyfikacji i w związku z tym nie mają one dla niego charakteru danych osobowych.
Powyższy wyrok dotyczy, częstej w Internecie, sytuacji pseudonimizacji danych osobowych. Potwierdza on, iż dla administratora dokonującego tej czynności, informacje te przez cały czas będą często stanowiły dane osobowe. Istotne jest również stwierdzenie TSUE, iż oceny, czy informacje mają charakter danych osobowych, należy dokonać z uwzględnieniem środków, którymi dysponuję dany podmiot. Dlatego też, dla odbiorcy danych spseudonimizowanych często nie będą one miały charakteru danych osobowych.
3. Wyjątek „domowy” w Internecie
W wyroku NSA z dnia 20.05.2025 r., sygn. III OSK 1101/24, Naczelny Sąd Administracyjny stwierdził, iż publikacja cudzych danych osobowych w Internecie w zamkniętej grupie liczącej kilka tysięcy członków nie mieści się w wyjątku „czysto osobistym lub domowym” (art. 2 ust. 2 lit. c RODO). Zdaniem NSA, publikacja danych osobowych innej osoby na zamkniętych portalach społecznościowych nie jest przetwarzaniem danych osobowych o czysto osobistym lub domowym charakterze w sytuacji, gdy osoba zamieszczająca te dane osobowe nie jest administratorem danej społeczności ani nie dobiera sobie osobiście jej uczestników, a jedynie przystępuje do danej (zamkniętej) grupy w Internecie.
Znaczenie wyroku NSA wyraża się w zawężeniu możliwości powoływania się na wyłączenie stosowania przepisów RODO z uwagi „domowy” charakter przetwarzania przez użytkowników różnych, zamkniętych grup (forów) w Internecie. Równocześnie Sąd podkreślił odpowiedzialność, na gruncie RODO, użytkowników zamieszczających dane innych osób w tego rodzaju grupach, bez ich zgody.
4. Dane wywnioskowane o użytkowniku Internetu jako dane wrażliwe
W wyroku z dnia 4.07.2023 r., sygn. C-252/21, w sprawie Meta Platforms Inc. i in. przeciwko Bundeskartellamt, TSUE uznał, iż Meta przetwarza dane wrażliwe w rozumieniu art. 9 ust. 1 RODO w sytuacji, gdy użytkownicy odwiedzają strony lub aplikacje i używają zintegrowanych przycisków („Like”, „Share”) i w ten sposób wprowadzają różne informacje, a Meta łączy te dane z kontem użytkownika w sieci społecznościowej i je wykorzystuje, co może ujawnić informacje z jednej lub więcej kategorii danych wrażliwych w rozumieniu art. 9 RODO. Istotne jest bowiem jest to, że dane pozwalają na „wywnioskowanie” informacji wrażliwych (np. informacji o orientacji seksualnej), niezależnie od intencji administratora.
Znaczenie praktyczne wyżej wymienionego wyroku wyraża się w poszerzeniu rozumienia danych wrażliwych w rozumieniu art. 9 RODO. Wyrok w tej sprawie wpisuje się w trend orzeczniczy TSUE, zgodnie z którym, o ile z pozornie neutralnych danych można wywnioskować informacje o charakterze danych wrażliwych, to wówczas zastosowanie znajdują zaostrzone zasady dopuszczalności przetwarzania tych kategorii danych, określone w art. 9 RODO.
5. Operator pośredniczącej platformy internetowej jako administrator danych
W wyroku TSUE z dnia 2 grudnia 2025 r., sygn. C-492/23, w sprawie Russmedia Digital SRL i Inform Media Press SRL, Trybunał Sprawiedliwości uznał, iż operator internetowej platformy handlowej jest administratorem danych osobowych zawartych w ogłoszeniach publikowanych na jego platformie i musi wdrożyć środki pozwalające przed publikacją identyfikować ogłoszenia zawierające dane wrażliwe, weryfikować tożsamość ogłoszeniodawcy (reklamodawcy) oraz odmówić opublikowania tego ogłoszenia, chyba iż ów użytkownik będący reklamodawcą może wykazać, iż osoba, której dane dotyczą, wyraziła wyraźną zgodę na opublikowanie rozpatrywanych danych na tej internetowej platformie handlowej.
Trybunał stwierdził również, iż w przypadku naruszenia tych obowiązków, operator nie może powołać się na przepisy o wyłączeniu odpowiedzialności pośredników internetowych, określonych w dyrektywie nr 2000/31/WE o handlu elektronicznym.
Znaczenie w/w wyroku polega na uznaniu, iż operatorzy platform internetowych, na których są umieszczane ogłoszenia użytkownika, są administratorami danych osobowych zawartych w tych ogłoszeniach i w konsekwencji ponoszą odpowiedzialność za niewykonanie obowiązków nałożonych w RODO na administratorów, choćby o ile są pośrednikami internetowymi (host providerami) w rozumieniu przepisów dyrektywy o handlu elektronicznym, w której to ustanowiono wyłączenie odpowiedzialności tego rodzaju podmiotów za cudze bezprawne treści umieszczane w ich zasobach (w aktualnym stanie prawnym wyłączenie tego rodzaju zawarte jest w Rozporządzeniu UE pt. Akt o usługach cyfrowych, które w tym zakresie uchyliło dyrektywę nr 2000/31/WE).
6. Współadministrowanie w Internecie
W wyrokach TSUE w sprawach FashionID (sygn. C40/17) i Wirtschaftsakademie (sygn. C210/16), Trybunał przesądził, iż podmiot korzystający z platformy społecznościowej (np. administrator fanpage’a na Facebooku) może być współadministratorem danych razem z operatorem tego serwisu, mimo iż nie ma on dostępu do danych osobowych pozyskiwanych przez operatora poprzez tzw. wtyczkę społecznościową. Trybunał uznał przy tym, iż administrator fanpage jest współadministratorem na etapu zbierania i przekazywania danych osobowych do Facebooka i w tym zakresie powinien spełnić obowiązki określone w RODO (np. obowiązek informacyjny). Nie ponosi on natomiast odpowiedzialności za dalsze przetwarzanie pozyskanych w ten sposób danych osobowych, wyłącznie odpowiedzialny jest bowiem operator platformy społecznościowej, który między innymi powinien wykazać podstawę prawną dalszego przetwarzania (np. na cele marketingowe).
Wyżej wymienione wyroki mają istotne znaczenie dla podmiotów, które zezwalają podmiotom trzecim (np. serwisom społecznościowym) na instalowanie na administrowanych przez nich powierzchniach w Internecie (np. fanpage’ach) różnego rodzaju narzędzi (cookies, wtyczki społecznościowe etc.), poprzez które zbierane są dane osobowe użytkowników. Zgodnie ze stanowiskiem TSUE, podjęcie decyzji o zezwoleniu na zbieranie danych osobowych czyni bowiem administratorów tych powierzchni współadministratorami danych na etapie ich zbierania, choćby o ile nie mają oni dostępu do tych danych ani też nie wykorzystują ich później.
7. Zgoda na przetwarzanie danych osobowych w Internecie
W wyroku TSUE z dnia 1.10.2019 r., sygn. C673/17, w sprawie Planet49, TSUE stwierdził, iż obowiązek uzyskania zgody z art. 5 ust. 3 dyrektywy 2002/58 (ePrivacy), który to przepis w polskim systemie prawnym jest w tej chwili implementowany w art. 399 Prawa komunikacji elektronicznej, ma zastosowanie niezależnie od tego, czy informacje zbierane przez cookies stanowią dane osobowe. Równocześnie Trybunał powiązał wymogi zgody z dyrektywy ePrivacy ze standardem zgody z dyrektywy nr 95/46/WE (zastąpionej w tej chwili przepisami RODO), tzn. że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, co wyklucza bierne jej formy (np. preticked box, milczenie czy bezczynność podmiotu danych). Zgoda musi być też wyraźnie oddzielona od innych czynności (np. udziału w loterii, rejestracji konta etc.).
Mimo wielu lat, jakie upłynęły od jego wydania, powyższy wyrok należy uznać za podstawowe orzeczenie TSUE w zakresie wskazówek dotyczących prawidłowych sposobów (warunków) pozyskiwania zgód użytkowników w Internecie.
8. Niezbędność dla wykonania umowy jako podstawa przetwarzania danych osobowych w Internecie
We wskazanym już wyżej w pkt. 4 wyroku TSUE z 4.07.2023 r., sygn. C252/21, w sprawie Meta Platforms Inc. i in. przeciwko Bundeskartellamt, Trybunał dokonał również interpretacji przesłanki niezbędności dla wykonania umowy jako podstawy przetwarzania danych osobowych (art. 6 ust. 1 lit. b RODO).
TSUE wskazał w szczególności, iż aby móc oprzeć się na w/w przepisie RODO, przetwarzanie musi być „obiektywnie niezbędne dla celu integralnie związanego z głównym przedmiotem umowy”, a administrator musi wykazać, że głównego celu umowy nie da się osiągnąć bez tego konkretnego przetwarzania. Bez znaczenia jest okoliczność, iż przetwarzanie jest przewidziane w umowie/regulaminie i jest dla usługodawcy dogodne i/lub użyteczne (np. do personalizacji, profilowania reklam).
W powyższym wyroku, TSUE istotnie zawęził możliwość powołania się na niezbędność do wykonania umowy jako podstawę przetwarzania danych osobowych. W konsekwencji, takie operacje na danych osobowych w Internecie jak profilowanie marketingowe czy reklama behawioralna powinny być oparte na innych podstawach prawnych, określonych w RODO, w szczególności na zgodzie podmiotu danych (art. 6 ust. 1 lit. a RODO) lub prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO).
9. Transfer danych osobowych do państwa trzeciego na podstawie standardowych klauzul umownych
Wyrokiem z dnia 16 lipca 2020 r. w sprawie Schrems II, sygn. C311/18, w sprawie Data Protection Commissioner przeciwko Facebook Ireland i Maximilian Schrems, TSUE unieważnił decyzję Komisji Europejskiej nr 2016/2015 zatwierdzającą „Tarczę Prywatności” (Privacy Shield) jako mechanizm zapewniający adekwatność ochrony przy transferach danych osobowych do Stanów Zjednoczonych. Równocześnie Trybunał potwierdził ważność standardowych klauzul umownych (SCC) jako instrumentu przekazywania danych osobowych do państw trzecich, pod warunkiem, iż w konkretnych okolicznościach zapewniają one równoważny poziom ochrony danych jak w Unii Europejskiej.
Utrzymując ważność SCC, Trybunał nałożył równocześnie na administratorów obowiązek dokonania indywidualnej oceny każdego transferu, w szczególności pod katem tego, czy prawo państwa trzeciego (np. prawo Stanów Zjednoczonych) i praktyka działania jego władz dają gwarancje ochrony danych, opisane w standardowych klauzulach, i zapewniają poziom ochrony „merytorycznie równoważny” prawu Unii Europejskiej. W praktyce, przed transferem administrator „eksportujący” dane osobowe do państwa trzeciego powinien samodzielnie przeprowadzić odrębną analizę, określaną jako tzw. Transfer Impact Assessment (TIA), a jeżeli wyniki tej analizy dadzą wynik negatywny, to powinien wdrożyć dodatkowe środki techniczno-organizacyjne zabezpieczenia danych (np. silne szyfrowanie endtoend, pseudonimizacja etc.).
Wyżej wymienione orzeczenie ma najważniejsze znaczenie dla branży internetowej, ponieważ – jak wykazują różne statystyki – ponad 90% transferów do państw trzecich realizowane jest właśnie na podstawie standardowych klauzul umownych.
10. Dochodzenie szkody niemajątkowej w sprawach o naruszenie ochrony danych osobowych w Internecie
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 14 grudnia 2023 r., sygn. C340/21, w sprawie VB przeciwko Natsionalna agentsia za prihodite, dotyczył odpowiedzialności cywilnoprawnej administratorów, na podstawie art. 82 RODO, za naruszenia ochrony danych. Trybunał w pierwszej kolejności stwierdził, iż sam fakt, iż doszło do skutecznego ataku hakerskiego przez osoby trzecie, nie oznacza automatycznie, iż zastosowane przez administratora środki techniczne i organizacyjne były „nieodpowiednie”. Administrator może zostać w szczególności zwolniony z odpowiedzialności z art. 82 ust. 3 RODO, o ile wykaże, iż nie ponosi winy za zdarzenie, które doprowadziło do szkody (np. wdrożył środki adekwatne do ryzyka, a atak miał wyjątkowy, nieprzewidywalny charakter).
Równocześnie Trybunał przyjął, że ciężar dowodu w zakresie braku winy spoczywa na administratorze – to on musi przedstawić dowody, iż doszło do wdrożenia adekwatnych środków i adekwatnie reagował po naruszeniu (np. ograniczanie skutków, informowanie).
TSUE uznał również, iż już same, odczuwane przez podmiot danych obawy, strach czy poczucie zagrożenia przed potencjalnym, przyszłym wykorzystaniem danych w sposób stanowiący nadużycie, co do zasady mogą stanowić szkodę niemajątkową w rozumieniu art. 82 RODO, o ile poszkodowana osoba wykaże, iż jest to realny, indywidualny uszczerbek, a nie czysto abstrakcyjna obawa.
Powyższy wyrok ma duże znaczenie dla branży internetowej. Jak pokazuję bowiem analiza spraw dotyczących odpowiedzialności cywilnoprawnej za naruszenie przepisów RODO, większość spraw dotyczy różnego rodzaju nieprawidłowości, które „urzeczywistniły się” w Internecie (np. wyciek danych z serwerów podłączonych do sieci).
