W poniedziałek 29 lipca Trybunał Sprawiedliwości Unii Europejskiej zajmował się sprawą niemieckiego serwisu Fashion ID (C-40/17) i przycisku "Lubię to" Facebooka. Pełna treść wyroku jest już dostępna tutaj w wersji polskiej. Krzysztof Szura, radca prawny, w kancelarii NGL Wiater, uważa, że wyrok wpłynie na wszystkich administratorów korzystających z oprogramowania podmiotów trzecich pobierających dane osobowe użytkowników, mimo, że pytania prejudycjalne rozpoznawane były na podstawie przepisów dyrektywy 95/46 , a nie w oparciu o RODO. - To nie ma znaczenia. Sprawa będzie miała bezpośrednie przełożenie na obecny stan prawny - uważa Krzysztof Szura. - Orzeczenie powoduje, że należy zastanowić się, jakie zewnętrze oprogramowanie, które wykorzystujemy na naszych stronach internetowych, zachowuje się jak wtyczka „Like” i co dalej z nim zrobić - ocenia Krzysztof Szura. Jeśli bowiem byłaby wymagana zgoda na gromadzenie i przekazywanie danych do podmiotu trzeciego, to obowiązek jej uzyskania spoczywa na operatorze witryny, a nie dostawcy wtyczki - w tym wypadku FB. O tym, czy jest taki obowiązek, powinien zdecydować sąd krajowy.
Pełna treść wyroku jest już dostępna tutaj w wersji polskiej>>
TSUE: przycisk Like oznacza obowiązki
Spółka Fashion ID umieściła na swojej stronie facebookową wtyczkę „Like”. W efekcie FB otrzymywał automatycznie informacje o adresie IP i identyfikatorze przeglądarki każdego odwiedzającego stronę. Następowało to niezależnie od tego, czy użytkownik kliknął przycisk i czy miał konto na FB. Sprawę przeciwko Fashion ID wniosło stowarzyszenie chroniące interesy konsumentów. Niemiecki sąd, do którego wpłynął pozew z żądaniem wyłączenia wtyczki, zapytał TSUE, czy Fashion ID jest administratorem danych, mimo że nie może wywierać wpływu na ich przetwarzanie? TSUE orzekł, że operator witryny internetowej wyposażonej w przycisk „Lubię to” może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych osób odwiedzających jego witrynę. Tym samym podzielił opinię Rzecznik Generalnego Michala Bobeka wydaną do tej sprawy 19 grudnia 2018 r. TSUE wskazał, że Fashion ID i Facebook wspólnie określają sposoby i cele tych operacji. Natomiast Fashion ID nie jest co do zasady administratorem w odniesieniu do późniejszego przetwarzania tych danych przez samego Facebooka, już po ich przekazaniu.
Dane ceną za lepszą reklamę
Trybunał uznał, że umieszczenie przycisku „Lubię to” w serwisie pozwala na optymalizację reklamy produktów z serwisu Fashion ID i uczynienie ich bardziej widocznymi w portalu społecznościowym. Po to spółka wyraziła zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję do FB. Te operacje przetwarzania wydają się zatem dokonywane w interesie gospodarczym obu firm. Dla FB możliwość dysponowania danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID. Trybunał podkreślił, że Fashion ID, jako współadministrator, musi spełnić obowiązek informacyjny, np. dotyczący celów przetwarzania danych.
Podstawa przetwarzania danych
Ponadto sąd niemiecki zapytał, co jest podstawą przetwarzania danych - zgoda czy uzasadniony interes. TSUE nie odpowiedział wprost na to pytanie, podobnie jak w swojej opinii rzecznik generalny TSUE. W uzasadnieniu wyroku TSUE wskazał, że kwestia ta nie ma znaczenia, ponieważ i tak wymagana zgoda nie została uzyskana. Tu ponownie podkreślił, że jej udzielenie powinno nastąpić po spełnieniu obowiązku informacyjnego. Zaznaczył jednak, że to sąd krajowy powinien ustalić, czy FB ma dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika w rozumieniu dyrektywy o prywatności (art. 5 ust. 3), a zatem czy są to dane osobowe i jest wymagana zgoda w rozumieniu przepisów o ochronie danych osobowych. Jeśli tak - to serwis musi ją uzyskać zanim zacznie gromadzić i przekazywać dane odwiedzających go osób do FB. Obowiązek uzyskania zgody spoczywa bowiem na operatorze witryny, a nie dostawcy wtyczki - w tym wypadku FB. Warto zaznaczyć, że w fashionid.de już dawno widać konsekwencje sprawy. Obecnie, aby udostępnić jakieś ubranie z ich strony, trzeba najpierw aktywować media społecznościowe. Sklep informuje też, że klikając w przycisk aktywuj zgadzamy się na to, że nasze dane będą przesyłane do operatorów mediów społecznościowych. Jeśli obie firmy uznają, że podstawą przetwarzania danych jest uzasadniony interes - każda firma musi go wykazać.
Co wyrok oznacza w praktyce
- W sytuacji, gdyby Facebook i Fashion ID oparli się na zgodzie jako przesłance przetwarzania danych osobowych, a nie zostałaby ona uprzednio udzielona przez użytkowników strony Fashion ID na gromadzenie i przekazywanie danych do portalu społecznościowego, oprogramowanie Facebooka nie mogłoby takich danych zbierać. Gdyby zbierało, odbywałoby się to bez podstawy prawnej, a tym naruszałoby art. 7 dyrektywy 95/46, obecnie art. 6 RODO – uważa Krzysztof Szura.
Czytaj również opinię Krzysztofa Szury: Wyrok TSUE w sprawie przycisku Like będzie miał konsekwencje dla wielu użytkowników internetu >>
Z pewnością konsekwencją uznania podmiotu prowadzącego stronę internetową za współadministratora danych, będzie konieczność realizowania przez niego obowiązku informacyjnego. Na przykład Fashion ID powinien podać, kto jest administratorem danych, jakie są cele i podstawa prawna ich przetwarzania, listę odbiorców danych (np. FB) oraz czas przez który będą przechowywane. Ponadto musi poinformować o prawach przysługujących osobie, której dane są przetwarzane, np. do cofnięcia zgody, wniesienia sprzeciwu. - Ten obowiązek – szczególnie w przypadku pozyskiwania zgody - musi zostać zrealizowany jeszcze przed rozpoczęciem przetwarzania danych - tłumaczy Marta Kwiatkowska-Cylke, adwokat z kancelarii Bird & Bird. - Użytkownik powinien od początku być świadom tego, jak i przez kogo jego dane będą wykorzystane.
Czytaj też w SIP LEX:
- Komentarz praktyczny: Status współadministratora danych osobowych >>
- Analiza Macieja Gawrońskiego: Współadministrowanie danymi osobowymi >>
- Schemat: Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Schemat: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.