adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

Zamieszczasz przycisk „Lubię to”? Jesteś administratorem przetwarzanych w ten sposób danych!

Dodano: sierpień 26, 2019 Kategoria: Administrator danych, Ogólne rozporządzenie o ochronie danych osobowych (RODO), Wszystkie wpisy Autor: Adrianna Michałowicz

W dniu 29 lipca 2019 r. zostało opublikowane kolejne ważne orzeczenie Trybunału Sprawiedliwości poruszające zagadnienia z zakresu ochrony danych osobowych. W wyroku wydanym w sprawie C-40/17 Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV[1], TS odniósł się m.in. do kwestii odpowiedzialności za przetwarzanie danych osób odwiedzających witrynę internetową, na której została zainstalowana wtyczka „Lubię to”, należąca do serwisu społecznościowego Facebook.

 

Tło sprawy

Wtyczka „Lubię to” to popularne narzędzie biznesowe oferowane przez serwis Facebook właścicielom witryn internetowych czy reklamodawcom, którzy chcą pośredniczyć w wymianie informacji z Facebookiem. Umieszczenie tego rodzaju wtyczki w witrynie internetowej powoduje, że gromadzone są dane osobowe osób odwiedzających tę witrynę, i to niezależnie od tego, czy osoby te posiadają konto na Facebooku i kliknęły w przycisk „Lubię to”, czy tylko postanowiły przejrzeć zawartość strony internetowej. Wymiana informacji z Facebookiem jest jednak transakcją wiązaną – dzięki temu, że właściciel witryny internetowej gromadzi dane osób, które odwiedziły witrynę, i transmituje je następnie do Facebooka, zwiększa się w serwisie społecznościowym widoczność jego produktów, które zostały polubione przez internautów; z kolei Facebook w zamian otrzymuje sporo danych osobowych, którymi może dysponować we własnych celach komercyjnych[2].

Osią sporu w sprawie, która ostatecznie trafiła do Trybunału w trybie prejudycjalnym, była właśnie wtyczka „Lubię to” zamieszczona na witrynie sklepie internetowego Fashion ID. Niemieckie stowarzyszenie zajmujące się ochroną konsumentów wniosło przeciwko Fashion ID powództwo do sądu w Dusseldorfie, domagając się, aby spółka ta zaniechała używania wtyczki. Stowarzyszenie zarzuciło spółce gromadzenie danych użytkowników odwiedzających witrynę sklepu internetowego bez ich zgody, a nadto naruszenie obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych. Od wyroku częściowo uwzględniającego powództwo apelację wniosła spółka Fashion ID. W toku postępowania odwoławczego wyższy sąd krajowy w Dusseldorfie zauważył, że rozstrzygnięcie sprawy wymaga wykładni przepisów dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[3]. Sąd odwoławczy zwrócił się więc do Trybunału Sprawiedliwości z kilkoma pytaniami prejudycjalnymi dotyczącymi m.in. kwestii, czy podmiot umieszczający wtyczkę typu „Lubię to” jest administratorem w stosunku do danych, które za pośrednictwem tej wtyczki są gromadzone i przekazywane do podmiotu trzeciego, nawet jeśli nie może on sam wywierać wpływu na to przetwarzanie danych.

 

Orzeczenie TS w sprawie C-40/17 Fashion ID

W wydanym w sprawie wyroku TS sformułował kilka istotnych tez. Przede wszystkim TS ustalił, że Fashion ID umieściła na swojej witrynie internetowej wtyczkę Facebooka prawdopodobnie wiedząc, że służy ona do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami serwisu społecznościowego Facebook, czy nie[4]. Spółka zrobiła to w celu skorzystania z korzyści handlowej polegającej na optymalizacji reklamy jej produktów w serwisie społecznościowym. Ponadto Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, przynajmniej w sposób dorozumiany wyraziła zgodę na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję Facebookowi. W konsekwencji TS uznał, że skoro Fashion ID wpływa w decydujący sposób na gromadzenie i przekazywanie na rzecz Facebook Ireland danych osobowych osób odwiedzających jej witrynę, zaś operacje przetwarzania są dokonywane zarówno w interesie gospodarczym Fashion ID, jak i Facebook Ireland, obydwa podmioty wspólnie ustalają sposoby i cele wykonywania operacji przetwarzania danych[5].

Trybunał podkreślił również, że zwłaszcza w przypadku przetwarzania osób nieposiadających konta na Facebooku odpowiedzialność Fashion ID jest istotna, ponieważ już samo wejście na witrynę sklepu Fashion ID skutkuje przetwarzaniem danych przez Facebook Ireland[6]. Oznacza to, że w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających witrynę sklepu internetowego i ich ujawniania poprzez transmisję Fashion ID można uznać za administratora wspólnie z Facebook Ireland. Odpowiedzialność Fashion ID jest jednak ograniczona tylko do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście spółka ta określa (czyli jedynie w zakresie gromadzenia danych i ich ujawniania poprzez transmisję)[7].

W swoim orzeczeniu TS odniósł się jeszcze do kilku innych istotnych wątków. W przypadku uznania, że podstawą prawną przetwarzania danych, następującego w związku z umieszczeniem wtyczki zewnętrznego dostawcy w witrynie internetowej, są uzasadnione interesy administratora danych, ocenie należy poddać interesy każdego z administratorów, a zatem zarówno uzasadnione interesy Fashion ID, jak Facebook Ireland[8]. Z kolei w razie przyjęcia, że w takiej sytuacji do przetwarzania danych konieczna jest zgoda użytkownika, na każdym z administratorów ciąży obowiązek uzyskania takiej zgody w odniesieniu do operacji przetwarzania danych osobowych, których cele i sposoby rzeczywiście on określa; co więcej, zgoda powinna zostać wyrażona przed rozpoczęciem przetwarzania danych, a zatem musi ją uzyskać już właściciel strony internetowej, albowiem proces przetwarzania danych osobowych zostaje uruchomiony wejściem użytkownika na tę witrynę[9]. Podobnie jest z obowiązkiem informacyjnym – obciąża on każdego z administratorów w zakresie, w jakim każdy z nich jest odpowiedzialny za czynności przetwarzania; obowiązkiem informacyjnym nie są więc objęte inne etapy przetwarzania realizowane poza zakresem działania danego administratora[10].

 

Konsekwencje orzeczenia TS

Wyrok wydany przez TS w sprawie C-40/17 Fashion ID, obok wyroku w sprawie Wirtschaftsakademie[11], jest kolejnym orzeczeniem, w którym TS poszerza katalog podmiotów pełniących rolę administratora, tym razem przypisując ten przymiot właścicielowi witryny internetowej, który zamieszcza na niej wtyczkę, pochodzącą od zewnętrznego dostawcy usług, która gromadzi i transmituje dane osobowe. Oczywistym jest, że w analogiczny sposób należy traktować również operatorów wykorzystujących na swoich stronach internetowych inne podobne narzędzia zewnętrznych dostawców. Z tego względu wydane przez TS orzeczenie powinno być wnikliwie przeanalizowane przez wszystkie podmioty korzystające nie tylko z narzędzi biznesowych dostarczanych przez Facebooka, ale też oferowanych przez innych dostawców, ponieważ niewykluczone, że zakres ich odpowiedzialności powinien ulec zmianie. Uznanie za administratora pociąga za sobą również inne konsekwencje, jak choćby konieczność spełnienia obowiązku informacyjnego, czy wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania danych z przepisami RODO.

Mimo że udzielone przez TS odpowiedzi na pytania prejudycjalne zawierają bardzo konkretne wskazówki interpretacyjne, które na dodatek łatwo mogą być zastosowane w praktyce, poza rozważaniami Trybunału znalazło się kilka zagadnień, które nadal mogą budzić wątpliwości. Pierwszym tego rodzaju zagadnieniem jest kwestia podstawy prawnej przetwarzania danych. Choć sąd odsyłający nie zadał wprost takiego pytania, z całokształtu rozważań TS można wyciągnąć wniosek, że w przypadku gromadzenia i przekazywania danych osobowych za pośrednictwem wtyczki zewnętrznego dostawcy przesłanką legalizującą przetwarzanie może być zarówno zgoda użytkownika na przetwarzanie jego danych (art. 6 ust. 1 lit. a RODO), jak i realizacja prawnie uzasadnionych interesów administratora lub strony trzeciej (art. 6 ust. 1 lit. f RODO). Trybunał bowiem rozważał te dwie podstawy prawne, choć w innym kontekście, niemniej jednak jeśli któraś z nich nie powinna być brana pod uwagę, z pewnością Trybunał dałby temu wyraz. Wydaje się, że zwłaszcza przesłanka prawnie uzasadnionego interesu administratora mogłaby stanowić dogodne rozwiązanie w niniejszej sytuacji, aczkolwiek należy jednocześnie pamiętać, że jej zastosowanie wymaga każdorazowo przeprowadzenia testu równowagi. Poza tym, w związku z przetwarzaniem danych na podstawie art. 6 ust. 1 lit. f RODO należy zapewnić podmiotom danych możliwość skorzystania z prawa do sprzeciwu, co wiązałoby się również z koniecznością wdrożenia odpowiednich środków technicznych, aby w razie potrzeby rzeczywiście zaprzestać gromadzenia i przekazywania danych podmiotu, którego sprzeciw okaże się zasadny. Z kolei oparcie przetwarzania danych na zgodzie użytkownika odwiedzającego stronę sklepu internetowego wydaje się już bardziej skomplikowanym sposobem zalegalizowania przetwarzania, ponieważ administrator jest zobligowany nie tylko wykazać, że uzyskał zgodę podmiotu danych na operacje przetwarzania, ale też iż zgoda ta spełnia wszystkie kryteria wymienione w art. 7 RODO.

Ponadto, z wyroku TS wyraźnie wynika, że w analizowanym w toku postępowania przykładzie właściciel witryny internetowej i zewnętrzny dostawca wtyczki są współadministratorami w stosunku do danych osobowych przetwarzanych za pośrednictwem zamieszczonej na tej witrynie wtyczki[12]. Takie założenie rodzi problem natury praktycznej, ponieważ trudno wyobrazić sobie, aby potentat na rynku serwisów społecznościowych, jakim jest Facebook, faktycznie wspólnie ustalał cele i sposoby przetwarzania danych z innym, często mało znaczącym podmiotem, który korzysta z jego narzędzi biznesowych. Obecnie wykorzystywanie wtyczek i innych narzędzi oferowanych przez Facebooka odbywa się poprzez akceptację regulaminu serwisu lub po prostu rozpoczęcie korzystania z danego narzędzia biznesowego[13]. Warto przy okazji zauważyć, że dotychczas stosowany przez serwis regulamin korzystania z narzędzi biznesowych nie został zaktualizowany w związku z wydanym w sprawie Fashion ID wyrokiem, ponieważ nadal widnieje w nim informacja, iż podmiot korzystający z danego narzędzia jest administratorem przetwarzanych w ten sposób danych, zaś Facebook pełni w tej relacji rolę podmiotu przetwarzającego.

[1] Wyrok Trybunału z dnia 29 lipca 2019 r. w sprawie C-40/17 Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV, ECLI:EU:C:2019:629, dalej: wyrok TS.

[2] Wyrok TS, pkt 80.

[3] Wyrok został wydany w oparciu o przepisy uchylonej już dyrektywy 95/46/WE, jednak zachowuje aktualność na gruncie obecnie obowiązujących przepisów ogólnego rozporządzenia o ochronie danych (dalej: RODO).

[4] Wyrok TS, pkt 77.

[5] Wyrok TS, pkt 78-81.

[6] Wyrok TS, pkt 83.

[7] Wyrok TS, pkt 85.

[8] Wyrok TS, pkt 97.

[9] Wyrok TS, pkt 100, 102.

[10] Wyrok TS, pkt 101.

[11] Wyrok Trybunału z dnia 5 czerwca 2018 r. w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, ECLI:EU:C:2018:388.

[12] Wyrok TS, pkt 79, 81.

[13] Zob. Regulamin korzystania z narzędzi biznesowych Facebooka, dostępny na stronie: https://www.facebook.com/legal/terms/businesstools [dostęp: 9.08.2019 r.].

Post Views: 5 010

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.