Administrator fanpage na Facebooku ponosi odpowiedzialność za przetwarzanie danych osobowych swoich użytkowników

Szum dotyczący RODO nieco ucichł, co nie oznacza, że tryby sprawiedliwości nie mielą spraw dawniejszych. Dziś zatem kilka zdań o wyroku TSUE, z którego wynika, że administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka.


administrator fanpage facebook przetwarzanie danych osobowych

Administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka (wyrok TSUE C-210/16)


wyrok TSUE z 5 czerwca 2018 r. w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16)
Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym. (…)

Orzeczenie wydano w sporze pomiędzy organem ochrony danych osobowych z landu Szlezwik-Holsztyn a spółką, która świadczy usługi edukacyjne poprzez fanpage na Facebooku.
Decyzją z 2011 r. organ nakazał dezaktywację fanpage, a to ze względu na brak informacji, że nikt — ani spółka, ani Facebook — nie informowali o gromadzeniu i przetwarzaniu danych osobowych poprzez cookies (chodziło o usługę Facebook Insights, która pozwala na powiązanie użytkownika poprzez przechowywany na jego urządzeniu plik — prowadzący fanpage ma z tego tylko anonimowe dane statystyczne, ale serwis otrzymuje komplet informacji o aktywności odwiedzającego stronkę).

W odwołaniu do sądu podmiot stwierdził, że nie może odpowiadać za ewentualne przetwarzanie danych osobowych przez Facebooka, zwłaszcza, że nie powierzono serwisowi przetwarzania danych, zaś spółka nie ma kontroli ani wpływu na przetwarzane dane osobowe.

Wniosek w trybie prejudycjalnym o wykładnię dyrektywy 95/46/WE z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (czyli tej uchylonej przez RODO) trafił do TSUE, który orzekł, że oczywiście Facebook jest administratorem danych osobowych użytkowników serwisu oraz osób, które odwiedzają strony tam prowadzone — ale na poziomie EU wspólnie odpowiedzialnymi za przetwarzanie danych są administrator fanpage oraz spółka Facebook Ireland.

Jest to konsekwencją tego, że to administrator podejmuje działania polegające na ustaleniu parametrów usługi — czyli określa cele i sposoby przetwarzania danych osobowych osób odwiedzających jego fanpage. Przetwarzanie danych dotyczących osób (danych demograficznych, o stylu życia i zainteresowaniach, danych geograficznych) odwiedzających fanpage następuje wyłącznie na podstawie jego dyspozycji.
Nie ma przy tym znaczenia, że korzysta z narzędzi dostarczanych przez Facebooka — skoro decyduje się na przetwarzanie danych osobowych w określonych przez siebie celach, ma obowiązek udzielić użytkownikom stosownych informacji oraz odebrać ewentualną zgodę.

Równocześnie TSUE orzekł, że organ nadzorczy może podejmować — w przypadku spółki z siedzibą poza EU — także decyzje w odniesieniu do lokalnych spółek zależnych od Facebooka (w tym przypadku Facebook Germany, jako odpowiedzialnej za działania marketingowe i sprzedaż powierzchni reklamowej) — zatem wykonując swoje uprawnienia interwencyjne wobec niemieckiego podmiotu nie musi zwracać się uprzednio do irlandzkiego regulatora.

Q.E.D.

14
Dodaj komentarz

avatar
6 Comment threads
8 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Lech
Gość

Tak bez komentarza? 😊

Hoko
Gość

Skoro te dane takie ważne, to może by zacząć karać użytkowników portali, którzy wyrażają zgodę, nie czytając regulaminów. Pięć dych mandatu i zaraz będzie porządek.

Borek
Gość
Borek

No dobra, ale to by wymagało jakiegoś sposobu weryfikacji czy regulamin faktycznie został przeczytany, a na taką weryfikację pewnie też trzeba by uzyskać zgodę od potencjalnego użytkownika. To już prawie jak dowcip o TCP/IP. ;)

Lech
Gość

Ależ to bardzo proste. Powoła się policję RODO, która będzie chodziła po domach i sprawdzała komputery, jak się wykryje, że ktoś zakceptował regulamin, to się zrobi test z tego, co pamięta, jak nie, to mandat. Sugeruję tak co najmniej 5000zł, w końcu takie masowe wprowadzanie do obrotu jawnie fałszywych zgód to nie w kij dmuchał, a nako że rodo ma na celu doprowadzenie ludziom szczęścia i pomyślności (vide preambuła), to nie można się cackać z takimi fałszerzami.

blad201
Gość

Fanpage będą chyba zamykane – godzinę później o tym samym napisali na golem.de
https://www.golem.de/specials/eu-dsgvo/

gery
Gość
gery

u nich nawet strony impressum to pokaz siły informacji
Z tego co się orientuję to nakaz zamieszczania tych impressum dotyczy wszystkich jeśli robią strony w języku niemieckim lub w domenie .de. I ponoć Niemcy bardzo tego przestrzegają.

sjs
Gość

Facebook informuje o ciasteczkach:

„Używamy plików cookie, aby pomóc w personalizacji treści, dostosowywać i analizować reklamy oraz zapewnić bezpieczne korzystanie z serwisu. Klikając lub nawigując w tej witrynie, wyrażasz zgodę na gromadzenie przez nas informacji na Facebooku i poza nim przy użyciu plików cookie. Więcej informacji, łącznie z informacjami o dostępnych opcjach kontroli, znajdziesz w dokumencie : Zasady stosowania plików cookie.”