Michal Bobak, rzecznik generalny TSUE wyraził swoją opinię w sprawie niemieckiego internetowego sprzedawcy ubrań Fashion ID (C-40/17). Firma ta umieściła na swojej stronie facebookową wtyczkę „Like”. W efekcie FB otrzymuje automatycznie informacje o adresie IP i identyfikatorze przeglądarki każdego odwiedzającego stronę. Następuje to niezależnie od tego, czy użytkownik kliknął przycisk i czy ma konto na FB. Niemiecki sąd zapytał TSUE, czy Fashion ID jest administratorem danych, mimo że nie może wywierać wpływu na ich przetwarzanie? Rzecznik TSUE stwierdził, ze operator strony (taki jak Fashion ID), który umieszcza na stronie wtyczkę podmiotu trzeciego (taką jak facebookowy przycisk „Lubię to”), co skutkuje gromadzeniem i przekazywaniem danych osobowych, staje się współadministratorem wraz z tym podmiotem (w rozpatrywanej sprawie Facebook Ireland). Podstawą przetwarzania może być uzasadniony interes. Z kolei w czerwcu TSUE uznał, że firma prowadząca fanpage na FB również jest współadministratorem. Wówczas również chodziło o niemiecką firmę (syn. C-210/16) .

 


 

- Opinia ta wraz z wyrokiem czerwcowym dotyczącym administrowania fanpagu'a mogą mieć rewolucyjny charakter. Mogą bowiem doprowadzić do rozszerzenia pojęcia współadministrowania na gruncie RODO – uważa Karolina Iwańska z Fundacji Panoptykon. Jako współadministrator serwis będzie bowiem ponosił część odpowiedzialności wobec użytkowników za zbieranie ich danych przez wtyczki. Taki pogląd nie dziwi Karoliny Iwańskiej, bo to w wyniku wyłącznie decyzji portalu o wstawieniu na stronę wtyczek FB, użytkownicy zaczynają być śledzeni. Portal więc jej zdaniem powinien ponosić za to odpowiedzialność.

Czytaj również: Administrator fanpage’a odpowiada za przetwarzanie danych razem z Facebookiem >>

Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners zauważa, że RODO nakłada obowiązek umówienia się co do współadministrowania. - Lepiej więc ustalić sobie zawczasu wzajemną relację co do przekazywanych sobie danych osobowych w odpowiedniej, dosyć szczegółowej umowie. 

- Na gruncie RODO współadministrowanie wymagałoby zawarcia umowy, w której strony dzielą się obowiązkami – przyznaje Arwid Mednis, radca prawny, partner w PwC Legal. Ma jednak wątpliwość czy można tu zastosować współadministrowanie, bo cel musi być wspólny. - Rzecznik pisze o celu "komercyjno-reklamowym", ale nasuwa się wątpliwość czy FB nie wykorzystuje danych również w swoich celach. Nawet jeśli są to cele marketingowe, to jednak chodzi o marketing dwóch różnych podmiotów – dodaje.

Zgoda na przetwarzanie

Sprawę przeciwko Fashion ID wniosło stowarzyszenie chroniące interesy konsumentów. Stowarzyszenie domaga się wyłączenie wtyczki, ponieważ wykorzystywanie jej narusza przepisy o ochronie danych. Uważa, że administratorzy mogą przetwarzać dane tylko na podstawie zgody. Taka zgoda musiałaby być zebrana przed rozpoczęciem przetwarzania. Fashion ID oraz Facebook optują natomiast za powołaniem się na ich prawnie uzasadniony interes, np. prowadzenie marketingu przez oba podmioty, przy czym ten cel nie jest identyczny.

- Rzecznik nie przesądza o istnieniu obowiązku pozyskiwania zgód użytkowników strony internetowej na gromadzenie i przekazywanie ich danych. Dopuszcza bowiem oparcie takiego przetwarzania również na przesłance uzasadnionego interesu - mówi Marta Kwiatkowska-Cylke, adwokat z kancelarii Bird & Bird.

Rzecznik zastrzega przy tym, iż do zastosowania tej przesłanki muszą zostać spełnione łącznie trzy warunki: istnienie uzasadnionego interesu obu współadministratorów, niezbędność przetwarzania danych do założonego celu oraz brak przeważających nad analizowanym interesem administratora praw i wolności podmiotów danych. 

Zdaniem Arwida Mednisa jest to interpretacja uzasadniona, pod warunkiem, że cele przetwarzania, np. marketing nie będą naruszać praw i wolności podmiotu danych. Tymczasem FB wykorzystuje dane dla różnych celów. - Zbieranie zgód od użytkowników uważam jednak za całkowicie nierealne - dodaje Mednis.

 



- Gdyby podstawą przetwarzania miałaby być dobrowolna zgoda, należałoby znaleźć techniczne rozwiązanie dzięki któremu wejście na stronę internetową byłoby poprzedzone jej odebraniem.  Gdyby zgody nie wyrażono, oprogramowanie Facebooka nie mogłoby  takich danych zbierać, co technicznie byłoby pewnie trudne do zrobienia – dodaje Krzysztof Szura, radca prawny w kancelarii NGL Wiater.

Zbieranie zgód użytkowników za pomocą ogólnej klauzuli zgody w regulaminie serwisu, czy polityce prywatności nie będzie skuteczne - dodaje Marta Kwaitkowska-Cylke.

Rzecznik wskazuje jednak, że nawet jeśli nie będzie konieczne pobieranie zgody na potrzeby przetwarzania danych osobowych, może być ono wymagane, aby zapisać pliki cookie na urządzeniach użytkowników, na podstawie przepisów wdrażających dyrektywę o prywatności i łączności elektronicznej w poszczególnych krajach.

Obowiązek informacyjny

Współadministrowanie oznacza też, że serwis będzie musiał spełnić obowiązek informacyjny. 

- Konsekwencją uznania podmiotu prowadzącego stronę internetową za współadministratora danych, będzie przede wszystkim konieczność realizowania przez niego obowiązku informacyjnego w stosunku do podmiotów danych – mówi Marta Kwiatkowska-Cylke. - Ten obowiązek – szczególnie w przypadku pozyskiwania zgody - musi zostać zrealizowany jeszcze przed rozpoczęciem przetwarzania danych.

Arwid Mednis dodaje, że użytkownik powinien od początku być świadom tego, jak i przez kogo jego dane będą wykorzystane.

Na fashionid.de już widać konsekwencje strony. Aby udostępnić jakieś ubranie z ich strony, trzeba najpierw aktywować media społecznościowe. Sklep informuje też, że klikając w przycisk aktywuj zgadzamy się na to, że nasze dane będą przesyłane do operatorów mediów społecznościowych.

Stara dyrektywa a RODO

Pytania prejudycjalne niemieckiego sądu rozpoznawane są na podstawie przepisów dyrektywy 95/46 , a nie bezpośrednio w oparciu o przepisy rozporządzenia (RODO).  To jednak nie ma znaczenia. - Choć sprawa dotyczy wykładni dyrektywy będzie miała bezpośrednie przełożenie na obecny stan prawny - uważa Krzysztof Szura. - Jak pisze sam rzecznik generalny, definicje administratora, przetwarzania czy danych osobowych są praktycznie tożsame i dotychczasowe orzecznictwo należy w wykładni RODO uwzględniać. Podstawy przetwarzania danych nie zmieniły się (do porównania art. 7 dyrektywy i art. 6 RODO). Problemy, z którymi spotka się TSUE, są aktualne na gruncie obecnych przepisów i jakie by rozstrzygnięcie nie zapadło, pozwoli nam odpowiednio zastosować obecne przepisy - podkreśla Szura.

Opina rzecznika nie wiąże Trybunału. Jest jedynie propozycją rozstrzygnięcia. Zwykle jednak orzeczenie wydane przez Trybunał pokrywają się z opinią rzecznika.

Czytaj też w SIP LEX: