Na początku czerwca 2018 roku Trybunał Sprawiedliwości Unii Europejskiej (dalej: TSUE) wydał przełomowe orzeczenie dotyczące roli administratora funpage’a na portalu społecznościowym Facebook wskazując, że jest on administratorem, w rozumieniu przepisów o ochronie danych osobowych, danych osób odwiedzających fanpage.
Mimo iż orzeczenie zapadło na gruncie wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu danych (dalej: Dyrektywa 95/46/WE), pozostanie aktualne również na gruncie rozporządzenia Parlamentu Europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (dalej: RODO). Oba akty prawne posługują się bowiem bardzo zbliżonymi definicjami: „danych osobowych”, „administratora” oraz „przetwarzania danych”.
Krótkie streszczenie stanu faktycznego
Wniosek o dokonanie wykładni został złożony w ramach sporu pomiędzy niezależnym organem ds. ochrony danych kraju związkowego Schleswig-Holstein, Niemcy (Unabhängige Landeszentrum für Datenschutz (dalej: ULD), a spółką prawa prywatnego specjalizującą się w dziedzinie edukacji tj. Wirtschaftsakademie Schleswig-Holstein GmbH (dalej: Wirtschaftsakademie) – w przedmiocie zgodności z prawem wydanego wobec Wirtschaftsakademie przez ULD nakazu dezaktywacji jej fanpage’a prowadzonego na stronie portalu społecznościowego Facebook.
ULD nakazał Wirtschaftsakademie – pod groźbą grzywny w przypadku niewykonania decyzji – dezaktywację jej fanpage’a na Facebooku, za pomocą którego świadczyła usługi kształcenia. Decyzja została wydana z uwagi na fakt, że ani Wirtschaftsakademie, ani Facebook nie informowali o tym, że za pomocą plików cookies przetwarzają dane osobowe użytkowników.
Wirtschaftsakademie w odwołaniu od wydanej decyzji wskazała, iż nie była odpowiedzialna ani za przetwarzanie danych dokonywane przez Facebooka, ani za zainstalowanie przez niego plików szpiegujących (cookies).
RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej!
Na tle powstałego sporu warto wyjaśnić, że fanpage na Faceooku to konto użytkownika, które może zostać skonfigurowane przez osobę fizyczną lub przedsiębiorstwo. Administrator fanpage’a może wykorzystać platformę oferowaną przez Facebooka do zaprezentowania swojej działalności użytkownikom portalu oraz osobom odwiedzającym fanpage, a także do zamieszczania wszelkiego rodzaju informacji na rynku mediów. Jak zostało wskazane w orzeczeniu – administratorzy fanpage’ów mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji „Facebook Insights”, która nieodpłatnie udostępniana jest przez Facebook. Dane te gromadzone są dzięki plikom cookies, które pozostają aktywne przez okres dwóch lat i zapisywane są przez portal na twardym dysku komputera lub na każdym innym nośniku osób odwiedzających fanpage. Niepowtarzalny kod użytkownika, który można połączyć z danymi użytkownika zarejestrowanego na Facebooku, zawiera się w gromadzonych plikach cookies i przetwarzany jest w momencie otwarcia fanpage’a.
Wyrokiem z dnia 9 października 2013 roku niemiecki sąd administracyjny uchylił zaskarżoną decyzję, wskazując, że administrator fanpage’a na Facebooku nie jest administratorem danych. Wyrok został utrzymany w mocy przez wyższy sąd administracyjny Niemiec, który dodatkowo wskazał, że wyłącznie Facebook decyduje o celach i sposobach związanych z gromadzeniem i przetwarzaniem danych wykorzystywanych w ramach Facebook Insights.
Również federalny sąd administracyjny Niemiec nie podzielił stanowiska ULD zawartego w skardze rewizyjnej i nie znalazł podstaw do uznania Wirtschaftsakademie jako administratora danych osobowych. Sąd federalny powziął jednak szereg wątpliwości i zwrócił się do TSUE z pytaniami prejudycjalnymi, które dotyczyły między innymi roli i odpowiedzialności administratora funpage’u na tle przepisów o ochronie danych.
Rozważania TSUE
W ocenie TSUE, przyjęcie szerokiej definicji „administratora” ma służyć skutecznej i pełnej ochronie osób, których dane dotyczą (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 34). Ponadto, zarówno na gruncie Dyrektywy jak i RODO pojęcie administratora nie odsyła każdorazowo do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w przetwarzaniu.
W omawianym stanie faktycznym niewątpliwe Facebook Inc. i Facebook Ireland są administratorami danych, którzy określają cele i sposoby przetwarzania danych użytkowników portalu społecznościowego Facebook, a także osób odwiedzających fanpage’e tam prowadzone. TSUE podkreślił jednak, iż administrator fanpage’a prowadzonego na Facebooku, już tylko poprzez stworzenie strony, daje Facebookowi możliwość zapisania plików cookies na komputerze lub innym urządzeniu osoby odwiedzającej fanpage – bez względu na to, czy taka osoba posiada konto na tym portalu, czy też nie. Administrator fanpage’a przyczynia się więc do przetwarzania danych osób odwiedzających jego stronę, albowiem utworzenie fanpage’a wiąże się chociażby z koniecznością podjęcia przez administratora działań polegających na ustaleniu parametrów zależnych od użytkowników docelowych, czy celów w zakresie zarządzania lub promocji działalności. Nawet jeśli dane statyczne dotyczące użytkowników, przekazywane są w sposób zanonimizowany, to do ich sporządzenia i tak wykorzystywane są dane zgromadzone za pomocą plików cookies.
W tych okolicznościach TSUE uznał, że administrator fanpage’a – taki jak Wirtschaftsakademie – bierze udział w określaniu celów i sposobów przetwarzania danych osobowych osób odwiedzających portal, a co za tym idzie ponosi odpowiedzialność jako administrator danych w rozumieniu art. 2 lit. d Dyrektywy 95/46/WE (aktualnie art. 4 ust. 7 RODO). Fakt, że administrator fanpage’a korzysta z platformy oferowanej przez Facebooka oraz udostępnionych usług, nie zwalnia go z wypełniania obowiązków wynikających z ochrony danych osobowych.
Dodatkowo TSUE – analizując uprawnienia krajowych organów nadzorczych – uznał, że analizowanym przypadku krajowy organ nadzorczy (tj. ULD) może wykonywać nadane mu kompetencje interwencyjne w stosunku do podmiotu mającego siedzibę w jego państwie członkowskim, i może dokonać oceny stwierdzonych naruszeń oraz podejmować stosowne działania, niezależnie od działań podejmowanych przez organ nadzorczy innego państwa członkowskiego (tj. Irlandii) w stosunku do Facebook Ireland zaangażowanej w to naruszenie.
RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej!
Podsumowując.
Skoro administrator prowadzący fanpage na portalu społecznościowym jest administratorem danych osobowych osób odwiedzających fanpage, to ciąży na nim szereg obowiązków, które powinny być rzetelnie wypełniane, tak aby podmiot danych objęty był ochroną i posiadał pełen zakres przysługujących mu informacji. Szczególnie w sytuacji, kiedy osoby odwiedzające fanpage nie posiadają konta użytkownika na portalu społecznościowym, administrator danych powinien dołożyć staranności, aby przyczynić się do kompleksowej ochrony danych tych osób.
Na gruncie RODO można wskazać m.in. na konieczność realizacji obowiązków informacyjnych z art. 13 lub 14 RODO oraz prowadzenia komunikacji w sprawie przetwarzania danych (na mocy art. 15-22 i 34 RODO). Nadto, administrator zobowiązany jest wdrażać odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO.
Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.
Kinga Majczak-Górecka
Adwokat
