facebook-like-3695180_960_720

Zamieszczasz przycisk „Lubię to”? Jesteś administratorem przetwarzanych w ten sposób danych!

W dniu 29 lipca 2019 r. zostało opublikowane kolejne ważne orzeczenie Trybunału Sprawiedliwości poruszające zagadnienia z zakresu ochrony danych osobowych. W wyroku wydanym w sprawie C-40/17 Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV[1], TS odniósł się m.in. do kwestii odpowiedzialności za przetwarzanie danych osób odwiedzających witrynę internetową, na której została zainstalowana wtyczka „Lubię to”, należąca do serwisu społecznościowego Facebook.

 

Tło sprawy

Wtyczka „Lubię to” to popularne narzędzie biznesowe oferowane przez serwis Facebook właścicielom witryn internetowych czy reklamodawcom, którzy chcą pośredniczyć w wymianie informacji z Facebookiem. Umieszczenie tego rodzaju wtyczki w witrynie internetowej powoduje, że gromadzone są dane osobowe osób odwiedzających tę witrynę, i to niezależnie od tego, czy osoby te posiadają konto na Facebooku i kliknęły w przycisk „Lubię to”, czy tylko postanowiły przejrzeć zawartość strony internetowej. Wymiana informacji z Facebookiem jest jednak transakcją wiązaną – dzięki temu, że właściciel witryny internetowej gromadzi dane osób, które odwiedziły witrynę, i transmituje je następnie do Facebooka, zwiększa się w serwisie społecznościowym widoczność jego produktów, które zostały polubione przez internautów; z kolei Facebook w zamian otrzymuje sporo danych osobowych, którymi może dysponować we własnych celach komercyjnych[2].

Osią sporu w sprawie, która ostatecznie trafiła do Trybunału w trybie prejudycjalnym, była właśnie wtyczka „Lubię to” zamieszczona na witrynie sklepie internetowego Fashion ID. Niemieckie stowarzyszenie zajmujące się ochroną konsumentów wniosło przeciwko Fashion ID powództwo do sądu w Dusseldorfie, domagając się, aby spółka ta zaniechała używania wtyczki. Stowarzyszenie zarzuciło spółce gromadzenie danych użytkowników odwiedzających witrynę sklepu internetowego bez ich zgody, a nadto naruszenie obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych. Od wyroku częściowo uwzględniającego powództwo apelację wniosła spółka Fashion ID. W toku postępowania odwoławczego wyższy sąd krajowy w Dusseldorfie zauważył, że rozstrzygnięcie sprawy wymaga wykładni przepisów dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[3]. Sąd odwoławczy zwrócił się więc do Trybunału Sprawiedliwości z kilkoma pytaniami prejudycjalnymi dotyczącymi m.in. kwestii, czy podmiot umieszczający wtyczkę typu „Lubię to” jest administratorem w stosunku do danych, które za pośrednictwem tej wtyczki są gromadzone i przekazywane do podmiotu trzeciego, nawet jeśli nie może on sam wywierać wpływu na to przetwarzanie danych.

 

Orzeczenie TS w sprawie C-40/17 Fashion ID

W wydanym w sprawie wyroku TS sformułował kilka istotnych tez. Przede wszystkim TS ustalił, że Fashion ID umieściła na swojej witrynie internetowej wtyczkę Facebooka prawdopodobnie wiedząc, że służy ona do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami serwisu społecznościowego Facebook, czy nie[4]. Spółka zrobiła to w celu skorzystania z korzyści handlowej polegającej na optymalizacji reklamy jej produktów w serwisie społecznościowym. Ponadto Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, przynajmniej w sposób dorozumiany wyraziła zgodę na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję Facebookowi. W konsekwencji TS uznał, że skoro Fashion ID wpływa w decydujący sposób na gromadzenie i przekazywanie na rzecz Facebook Ireland danych osobowych osób odwiedzających jej witrynę, zaś operacje przetwarzania są dokonywane zarówno w interesie gospodarczym Fashion ID, jak i Facebook Ireland, obydwa podmioty wspólnie ustalają sposoby i cele wykonywania operacji przetwarzania danych[5].

Trybunał podkreślił również, że zwłaszcza w przypadku przetwarzania osób nieposiadających konta na Facebooku odpowiedzialność Fashion ID jest istotna, ponieważ już samo wejście na witrynę sklepu Fashion ID skutkuje przetwarzaniem danych przez Facebook Ireland[6]. Oznacza to, że w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających witrynę sklepu internetowego i ich ujawniania poprzez transmisję Fashion ID można uznać za administratora wspólnie z Facebook Ireland. Odpowiedzialność Fashion ID jest jednak ograniczona tylko do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście spółka ta określa (czyli jedynie w zakresie gromadzenia danych i ich ujawniania poprzez transmisję)[7].

W swoim orzeczeniu TS odniósł się jeszcze do kilku innych istotnych wątków. W przypadku uznania, że podstawą prawną przetwarzania danych, następującego w związku z umieszczeniem wtyczki zewnętrznego dostawcy w witrynie internetowej, są uzasadnione interesy administratora danych, ocenie należy poddać interesy każdego z administratorów, a zatem zarówno uzasadnione interesy Fashion ID, jak Facebook Ireland[8]. Z kolei w razie przyjęcia, że w takiej sytuacji do przetwarzania danych konieczna jest zgoda użytkownika, na każdym z administratorów ciąży obowiązek uzyskania takiej zgody w odniesieniu do operacji przetwarzania danych osobowych, których cele i sposoby rzeczywiście on określa; co więcej, zgoda powinna zostać wyrażona przed rozpoczęciem przetwarzania danych, a zatem musi ją uzyskać już właściciel strony internetowej, albowiem proces przetwarzania danych osobowych zostaje uruchomiony wejściem użytkownika na tę witrynę[9]. Podobnie jest z obowiązkiem informacyjnym – obciąża on każdego z administratorów w zakresie, w jakim każdy z nich jest odpowiedzialny za czynności przetwarzania; obowiązkiem informacyjnym nie są więc objęte inne etapy przetwarzania realizowane poza zakresem działania danego administratora[10].

 

Konsekwencje orzeczenia TS

Wyrok wydany przez TS w sprawie C-40/17 Fashion ID, obok wyroku w sprawie Wirtschaftsakademie[11], jest kolejnym orzeczeniem, w którym TS poszerza katalog podmiotów pełniących rolę administratora, tym razem przypisując ten przymiot właścicielowi witryny internetowej, który zamieszcza na niej wtyczkę, pochodzącą od zewnętrznego dostawcy usług, która gromadzi i transmituje dane osobowe. Oczywistym jest, że w analogiczny sposób należy traktować również operatorów wykorzystujących na swoich stronach internetowych inne podobne narzędzia zewnętrznych dostawców. Z tego względu wydane przez TS orzeczenie powinno być wnikliwie przeanalizowane przez wszystkie podmioty korzystające nie tylko z narzędzi biznesowych dostarczanych przez Facebooka, ale też oferowanych przez innych dostawców, ponieważ niewykluczone, że zakres ich odpowiedzialności powinien ulec zmianie. Uznanie za administratora pociąga za sobą również inne konsekwencje, jak choćby konieczność spełnienia obowiązku informacyjnego, czy wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania danych z przepisami RODO.

Mimo że udzielone przez TS odpowiedzi na pytania prejudycjalne zawierają bardzo konkretne wskazówki interpretacyjne, które na dodatek łatwo mogą być zastosowane w praktyce, poza rozważaniami Trybunału znalazło się kilka zagadnień, które nadal mogą budzić wątpliwości. Pierwszym tego rodzaju zagadnieniem jest kwestia podstawy prawnej przetwarzania danych. Choć sąd odsyłający nie zadał wprost takiego pytania, z całokształtu rozważań TS można wyciągnąć wniosek, że w przypadku gromadzenia i przekazywania danych osobowych za pośrednictwem wtyczki zewnętrznego dostawcy przesłanką legalizującą przetwarzanie może być zarówno zgoda użytkownika na przetwarzanie jego danych (art. 6 ust. 1 lit. a RODO), jak i realizacja prawnie uzasadnionych interesów administratora lub strony trzeciej (art. 6 ust. 1 lit. f RODO). Trybunał bowiem rozważał te dwie podstawy prawne, choć w innym kontekście, niemniej jednak jeśli któraś z nich nie powinna być brana pod uwagę, z pewnością Trybunał dałby temu wyraz. Wydaje się, że zwłaszcza przesłanka prawnie uzasadnionego interesu administratora mogłaby stanowić dogodne rozwiązanie w niniejszej sytuacji, aczkolwiek należy jednocześnie pamiętać, że jej zastosowanie wymaga każdorazowo przeprowadzenia testu równowagi. Poza tym, w związku z przetwarzaniem danych na podstawie art. 6 ust. 1 lit. f RODO należy zapewnić podmiotom danych możliwość skorzystania z prawa do sprzeciwu, co wiązałoby się również z koniecznością wdrożenia odpowiednich środków technicznych, aby w razie potrzeby rzeczywiście zaprzestać gromadzenia i przekazywania danych podmiotu, którego sprzeciw okaże się zasadny. Z kolei oparcie przetwarzania danych na zgodzie użytkownika odwiedzającego stronę sklepu internetowego wydaje się już bardziej skomplikowanym sposobem zalegalizowania przetwarzania, ponieważ administrator jest zobligowany nie tylko wykazać, że uzyskał zgodę podmiotu danych na operacje przetwarzania, ale też iż zgoda ta spełnia wszystkie kryteria wymienione w art. 7 RODO.

Ponadto, z wyroku TS wyraźnie wynika, że w analizowanym w toku postępowania przykładzie właściciel witryny internetowej i zewnętrzny dostawca wtyczki są współadministratorami w stosunku do danych osobowych przetwarzanych za pośrednictwem zamieszczonej na tej witrynie wtyczki[12]. Takie założenie rodzi problem natury praktycznej, ponieważ trudno wyobrazić sobie, aby potentat na rynku serwisów społecznościowych, jakim jest Facebook, faktycznie wspólnie ustalał cele i sposoby przetwarzania danych z innym, często mało znaczącym podmiotem, który korzysta z jego narzędzi biznesowych. Obecnie wykorzystywanie wtyczek i innych narzędzi oferowanych przez Facebooka odbywa się poprzez akceptację regulaminu serwisu lub po prostu rozpoczęcie korzystania z danego narzędzia biznesowego[13]. Warto przy okazji zauważyć, że dotychczas stosowany przez serwis regulamin korzystania z narzędzi biznesowych nie został zaktualizowany w związku z wydanym w sprawie Fashion ID wyrokiem, ponieważ nadal widnieje w nim informacja, iż podmiot korzystający z danego narzędzia jest administratorem przetwarzanych w ten sposób danych, zaś Facebook pełni w tej relacji rolę podmiotu przetwarzającego.

[1] Wyrok Trybunału z dnia 29 lipca 2019 r. w sprawie C-40/17 Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV, ECLI:EU:C:2019:629, dalej: wyrok TS.

[2] Wyrok TS, pkt 80.

[3] Wyrok został wydany w oparciu o przepisy uchylonej już dyrektywy 95/46/WE, jednak zachowuje aktualność na gruncie obecnie obowiązujących przepisów ogólnego rozporządzenia o ochronie danych (dalej: RODO).

[4] Wyrok TS, pkt 77.

[5] Wyrok TS, pkt 78-81.

[6] Wyrok TS, pkt 83.

[7] Wyrok TS, pkt 85.

[8] Wyrok TS, pkt 97.

[9] Wyrok TS, pkt 100, 102.

[10] Wyrok TS, pkt 101.

[11] Wyrok Trybunału z dnia 5 czerwca 2018 r. w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, ECLI:EU:C:2018:388.

[12] Wyrok TS, pkt 79, 81.

[13] Zob. Regulamin korzystania z narzędzi biznesowych Facebooka, dostępny na stronie: https://www.facebook.com/legal/terms/businesstools [dostęp: 9.08.2019 r.].

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

adrianna michalowicz

Adrianna Michałowicz
Aplikant
adrianna.michalowicz@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej