In den letzten Jahren hat der Europäische Gerichtshof eine Reihe wichtiger Urteile über die Verarbeitung personenbezogener Daten im Internet gefällt (Wirtschaftsakademie, Fashion ID und Planet49). Auch der Europäische Datenschutzausschuss hat eine Reihe von Leitlinien in diesem Bereich herausgegeben (z. B. in Bezug auf die Verarbeitung personenbezogener Daten von Nutzern sozialer Netzwerke).

In diesem Zusammenhang ist die Politik der polnischen Datenschutzbehörde (UODO) von Bedeutung.

Erstens ist die polnische Datenschutzbehörde nicht für Fragen des Datenschutzes im Sinne der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) zuständig. Dies ist wichtig, um zu entscheiden, ob es zulässig ist, verschiedene Identifikatoren (z. B. Cookies) zu installieren und zu verwenden. Die zuständige Behörde ist der Präsident des Amtes für elektronische Kommunikation, der die Entscheidung auf der Grundlage des Fernmeldegesetzes trifft. In den Vorschriften des Fernmeldegesetzes sind auch die Sanktionen für Verstöße gegen das Gesetz festgelegt.

Zweitens geht aus den Entscheidungen der polnischen Datenschutzbehörde hervor, dass die Aufsichtsbehörde die Verarbeitung personenbezogener Daten im Sinne der DSGVO auch dann als gegeben ansieht, wenn die betreffende Stelle nur über die Internet-Kennung eines Nutzers (z. B. seine IP-Adresse) verfügt. Folglich findet die DSGVO Anwendung für nicht registrierte Nutzer, d. h. Nutzer, die eine bestimmte Website besuchen, dort aber kein Konto oder Profil anlegen.

Im Gegensatz zu den Urteilen in den Rechtssachen Wirtschaftsakademie oder Fashion ID hat die polnische Datenschutzbehörde das Konzept der gemeinsamen Verwaltung von Subjekten, die bei verschiedenen Arten von Internet-Werbekampagnen zusammenarbeiten, einschließlich der Erhebung personenbezogener Daten zum Zweck solcher Kampagnen, noch nicht angenommen.

Auch bei der Verarbeitung personenbezogener Daten im Internet für eigene Marketingzwecke des für die Verarbeitung Verantwortlichen können die berechtigten Interessen des für die Verarbeitung Verantwortlichen der Grund für diese Aktivitäten sein (Artikel 6 Absatz 1 Buchstabe f DSGVO). In diesem Fall ist jedoch eine Interessenabwägung erforderlich.

In Anbetracht der jüngsten Entscheidungen der polnischen Datenschutzbehörde erstreckt sich das Recht auf Zugang zu personenbezogenen Daten nicht nur auf personenbezogene Daten, die von Internetnutzern zur Verfügung gestellt werden (z. B. wenn ein Konto angelegt wird), sondern auch auf beobachtete und abgeleitete Daten.

Das höchste bisher von der polnischen Datenschutzbehörde gegen ein Internetunternehmen verhängte Bußgeld betrug 2.800.000 PLN (600.000 EUR).

Schließlich hat die polnische Datenschutzbehörde bis heute keinen Verhaltenskodex für die Internetbranche verabschiedet. Der Verhaltenskodex wird im Jahre 2022 erwartet. Das Internet Advertising Bureau Poland (IAB Poland) hat einen Vorschlag ausgearbeitet.