Rzecznik Generalny Michal Bobek wydał 19 grudnia 2018 r. swoją opinię w sprawie Fashion ID (C-40/17). Opinia Rzecznika wnosi bardzo dużo do debaty nad wykładnią przepisów dyrektywy 95/46, a tezy w niej postawione będą miały również istotny wpływ na rozumienie RODO, czyli ogólnego rozporządzenia o ochronie danych.
Czytaj również: Masz przycisk „Like” Facebooka na stronie? Możesz być administratorem danych >>
Dużą wartością opinii jest to, że Rzecznik Generalny kompleksowo podsumowuje dotychczasowe orzecznictwo TSUE o tym jak rozumieć pojęcie administratora na gruncie dyrektywy 95/46, w szczególności po wyroku w sprawie Wirtschaftsakademie (dotyczącego ustalenia komu należy przypisać status administratora danych osobowych w przypadku prowadzenia fanpage’a na Facebooku). Ten aspekt sprawy został wyjątkowo rozbudowany. W mojej ocenie jednak, nie to jest najistotniejsze. W sprawie Fashion ID aspekt związany ze statusem administratora, choć ma niebagatelne znaczenie, to w porównaniu do sprawy związanej z ustaleniem prawidłowej podstawy przetwarzania danych, schodzi jednak na drugi plan. . W obszarze danych osobowych sprawa ta ma kapitalne znaczenie – przede wszystkim dla podmiotów korzystających z popularnej wtyczki „Like” od Facebooka, ale nie tylko. Wyrok wpłynie też na wszystkich administratorów stron internetowych korzystających z oprogramowania podmiotów trzecich pobierających dane osobowe osób odwiedzających te strony internetowe.
Zakres odpowiedzialności
W swojej opinii Rzecznik Generalny zaproponował, aby TSUE uznał Fashion ID oraz Facebook jako (współ)administratorów wyłącznie w zakresie kilku operacji przetwarzania danych, tj. zbierania i przekazywania następujących danych: informacji o adresie IP oraz identyfikatorze przeglądarki (browser string). Zdaniem Rzecznika, już sam fakt, że administrator strony internetowej zamieszcza zewnętrzne oprogramowanie (wtyczkę) podmiotu trzeciego (tu – Facebook Ireland Ltd), które to oprogramowanie będzie zbierało dane dotyczące każdej osoby wyświetlającej tę stronę, podejmuje decyzję o tym, że takie dane będą zbierane (gdyby takiej wtyczki nie zamieścił, nie doszłoby do zbierania danych osobowych). Jednocześnie Rzecznik stwierdza, że nie można obciążać Fashion ID pełną odpowiedzialnością za cały proces przetwarzania danych, kiedy nie jest w stanie go w całości kontrolować. Z tego wynika, że korzystając z oprogramowania zewnętrznego (takiego jak przycisk "Like" od Facebooka) zbierającego dane od osób, które wyświetlą stronę – administrator strony i dostawca tego oprogramowania realizują wspólnie proces (czynność) przetwarzania danych. Dla biznesu oznacza to tyle, że podmioty korzystające z rozwiązania Facebooka będą musiały zidentyfikować u siebie taki proces przetwarzania danych z Facebook Ireland Ltd jako współadministratorem danych. Co ważne, odpowiedzialność administratora strony internetowej (jako współadministratora danych) za pobierane dane osobowe (adres IP i identyfikator przeglądarki) będzie w tym procesie ograniczała się tylko do tych operacji na danych osobowych na które w istocie ma wpływ, tj. za ich zbieranie i przekazywanie. Niewątpliwie uchroni to administratorów stron internetowych od odpowiedzialności za dalsze operacje na danych osobowych realizowane już samodzielnie przez Facebook.
Podstawa przetwarzania
Odrębną sprawą – i w mojej ocenie ten aspekt sprawy ma dużo większe znaczenie – jest przesłanka legalizacyjna na którą oba podmioty (administrator strony i Facebook) będą mogły się powołać w celu przetwarzania takich danych osobowych. Podstawy prawne przetwarzania danych zostały określone w art. 7 dyrektywy 95/46; a w ogólnym rozporządzeniu zostały w jego art. 6 ust. 1. Ustalenie podstawy prawnej przetwarzania danych ma kluczowe znaczenie. Katalog podstaw ma charakter wyczerpujący, co oznacza, że nie można powołać się na jakąkolwiek inną podstawę. Na etapie przesyłania pytania prejudycjalnego sąd odsyłający nie przesądził na którą z tych podstaw Fashion ID będzie mógł się powołać. Sprawa ta nie jest również szczegółowo rozważana przez Rzecznika, gdyż – jak sam stwierdził – sąd odsyłający nie potrzebował w tym zakresie pomocy. Sąd odsyłający założył natomiast dwie możliwości, które mogą w sprawie zaistnieć: z jednej strony (współ)administratorzy danych mogą powołać się na prawnie uzasadnione interesy (art. 7 lit. f dyrektywy 95/46 / art. 6 ust. 1 lit. f RODO); z drugiej strony mogą ustalić, że w celu pozyskania i przekazywania danych będą musieli oprzeć się na zgodzie (art. 7 lit. a dyrektywy 95/46 / art. 7 ust. 1 lit. a RODO).
O tym jak będzie podstawa przetwarzania danych osobowych powinni wspólnie zadecydować administrator strony oraz Facebook. Wybór tej podstawy będzie miał kluczowe znaczenie dla dalszych obowiązków, które będą obciążały oba podmioty. Jeśli powołają się na prawnie uzasadniony interes wtedy – co wskazał Rzecznik – każdy z nich będzie musiał przeprowadzić ocenę prawnie uzasadnionego interesu (balancing test, zwany też legitimate interest assessment (LIA); czym jest balancing test polecam lekturę opinii Grupy Roboczej art. 29 nr 6/2014). Jeśli zaś powołają się na zgodę jako podstawę przetwarzania danych, zgoda będzie musiała być zbierana przez administratora strony internetowej, ale dla obu (współ)administratorów przed rozpoczęciem przetwarzania danych.
Co mówi e-sklep, a co organizacja broniąca użytkowników
Powódka w sprawie przed sądem odsyłającym – organizacja konsumencka Verbraucherzentrale NRW e.V. stoi na stanowisku, że administratorzy danych mogą przetwarzać dane osobowe tylko na podstawie zgody (taka zgoda musiałaby być zebrana przed rozpoczęciem przetwarzania danych), Fashion ID oraz Facebook optują natomiast za powołaniem się na ich prawnie uzasadniony interes. Takim prawnie uzasadnionym interesem może być prowadzenie przez te podmioty działań marketingowych. Jak zauważa Rzecznik, chociaż cel obu podmiotów nie jest identyczny, to jednak dotyka tej samej sfery – prowadzenia szeroko rozumianego marketingu. Jak zaznacza Rzecznik, nie czyni w tym zakresie szczegółowych rozważań, gdyż nie ma na ten temat wystarczających danych. Ta sprawa zostanie rozstrzygnięta najpewniej dopiero przez sąd odwołujący, choć nie wykluczam, że TSUE też w tej sprawie może się wypowiedzieć. Niemniej, w interesie Fashion ID oraz Facebooka (a także wszystkich, którzy korzystają z wtyczki Facebooka) jest, aby argumentacja za powołaniem się na prawnie uzasadniony interes została uznana przez sąd odsyłający w postępowaniu krajowym.
Gdyby natomiast podmioty te musiały opierać się na zgodzie, należałby znaleźć takie techniczne rozwiązanie dzięki któremu wejście na stronę internetową zawierającą oprogramowanie takie jak przycisk „Like” od Facebooka (i działające na takiej zasadzie) byłoby poprzedzone koniecznością odebrania dobrowolnej zgody. W sytuacji, gdyby zgoda nie została udzielona, oprogramowanie Facebooka nie mogłoby wtedy takich danych zbierać (gdyby jednak zbierało, odbywałoby się to bez podstawy prawnej, a tym samym Facebook naruszałby art. 7 dyrektywy 95/46, obecnie art. 6 RODO).
W mojej ocenie istnieje wysoka szansa, że argumentacja przedstawiona przez Rzecznika Generalnego zostanie uznana przez Trybunał.
Konsekwencje dla biznesu wyroku zgodnego z opinią rzecznika
Jeśli opinia wyrażona przez Rzecznika zostanie zaakceptowana przez TSUE, będzie to miało szereg implikacji dla biznesu. Już po wyroku w sprawie Wirtschaftsakademie Facebook zaktualizował swój regulamin i wprost wziął na siebie ciężar spełnienia obowiązku informacyjnego o sposobach przetwarzania danych osobowych. Wydaje się, że skutkiem wyroku w sprawie Fashion ID będzie kolejna zmiana regulaminu, tym razem w części dotyczącej korzystania z wtyczki „Like”. Pobierając taki kod, Facebook będzie najpewniej wymagał od administratora strony internetowej zawarcia umowy w zakresie współadministrowania danymi osobowymi; umowa będzie określać w jakiej części następuje współadministrowanie i jakie będą zasady odpowiedzialności obu stron.
Oprócz tego, administrator strony internetowej korzystający z wtyczki „Like” od Facebooka (ale i każdego innego oprogramowania podmiotu trzeciego zbierającego dane osobowe) musi ustalić u siebie nowy proces przetwarzania danych osobowych (obejmujący te kilka operacji przetwarzania danych) i wpisać go do rejestru czynności przetwarzania danych (jeśli go prowadzi). W związku z ustaleniem takiego procesu będzie musiał ustalić także cel przetwarzania danych, podstawę prawną przetwarzania danych oraz uzupełnić realizowany obowiązek informacyjny.
Jeśli chodzi o cel – dla administratora strony internetowej będzie nim niewątpliwie marketing w portalu Facebook poprzez zwiększenia zasięgu dotarcia ze swoimi produktami lub treściami do nowych osób (na gruncie art. 26 RODO cel ten powinien być wspólny dla obu podmiotów). O problemach z wyborem podstawy prawnej przetwarzania danych wspominałem już wcześniej. Skłaniałbym się jednak ku dopuszczalności przyjęcia prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) jako przesłanki legalizacyjnej, choć czy w każdym przypadku będzie ona dopuszczalna – zadecyduje przeprowadzony przez administratora strony balancing test. Zgoda w tym przypadku byłaby „problematyczną” przesłanką przetwarzania danych – uwzględniając zasady rządzące zgodą, o których mowa w art. 7 RODO, jej uzyskanie przed pobraniem danych może się okazać technicznie niemożliwe. Jeśli wynik balancing test pokaże, że administrator strony nie będzie mógł wykazać wyższości swojego interesu nad prawami i wolnościami osób, które odwiedzają jego stronę, może zajść potrzeba usunięcia wtyczki „Like” (lub inne oprogramowanie podmiotów zewnętrznych) ze swoich stron.
Choć nie wiemy jeszcze jakie ostatecznie będzie rozstrzygnięcie Trybunału, już teraz należy zastanowić się jakie zewnętrze oprogramowanie, które wykorzystujemy na naszych stronach internetowych, zachowuje się jak wtyczka „Like” od Facebooka. Po wyroku w sprawie Fashion ID niewątpliwie zajdzie potrzeba podjęcia decyzji, co dalej z nimi robić.
Krzysztof Szura jest radcą prawnym, specjalizującym się w ochronie danych osobowych, w kancelarii NGL Wiater.
Czytaj też w SIP LEX:
- Komentarz praktyczny: Status współadministratora danych osobowych >>
- Analiza Macieja Gawrońskiego: Współadministrowanie danymi osobowymi >>
- Schemat: Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Schemat: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
