Administrator fanpage na Facebooku ponosi odpowiedzialność za przetwarzanie danych osobowych swoich użytkowników

Szum dotyczący RODO nieco ucichł, co nie oznacza, że tryby sprawiedliwości nie mielą spraw dawniejszych. Dziś zatem kilka zdań o wyroku TSUE, z którego wynika, że administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka.


administrator fanpage facebook przetwarzanie danych osobowych

Administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka (wyrok TSUE C-210/16)


wyrok TSUE z 5 czerwca 2018 r. w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16)
Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym. (…)

Orzeczenie wydano w sporze pomiędzy organem ochrony danych osobowych z landu Szlezwik-Holsztyn a spółką, która świadczy usługi edukacyjne poprzez fanpage na Facebooku.
Decyzją z 2011 r. organ nakazał dezaktywację fanpage, a to ze względu na brak informacji, że nikt — ani spółka, ani Facebook — nie informowali o gromadzeniu i przetwarzaniu danych osobowych poprzez cookies (chodziło o usługę Facebook Insights, która pozwala na powiązanie użytkownika poprzez przechowywany na jego urządzeniu plik — prowadzący fanpage ma z tego tylko anonimowe dane statystyczne, ale serwis otrzymuje komplet informacji o aktywności odwiedzającego stronkę).

W odwołaniu do sądu podmiot stwierdził, że nie może odpowiadać za ewentualne przetwarzanie danych osobowych przez Facebooka, zwłaszcza, że nie powierzono serwisowi przetwarzania danych, zaś spółka nie ma kontroli ani wpływu na przetwarzane dane osobowe.

Wniosek w trybie prejudycjalnym o wykładnię dyrektywy 95/46/WE z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (czyli tej uchylonej przez RODO) trafił do TSUE, który orzekł, że oczywiście Facebook jest administratorem danych osobowych użytkowników serwisu oraz osób, które odwiedzają strony tam prowadzone — ale na poziomie EU wspólnie odpowiedzialnymi za przetwarzanie danych są administrator fanpage oraz spółka Facebook Ireland.

Jest to konsekwencją tego, że to administrator podejmuje działania polegające na ustaleniu parametrów usługi — czyli określa cele i sposoby przetwarzania danych osobowych osób odwiedzających jego fanpage. Przetwarzanie danych dotyczących osób (danych demograficznych, o stylu życia i zainteresowaniach, danych geograficznych) odwiedzających fanpage następuje wyłącznie na podstawie jego dyspozycji.
Nie ma przy tym znaczenia, że korzysta z narzędzi dostarczanych przez Facebooka — skoro decyduje się na przetwarzanie danych osobowych w określonych przez siebie celach, ma obowiązek udzielić użytkownikom stosownych informacji oraz odebrać ewentualną zgodę.

Równocześnie TSUE orzekł, że organ nadzorczy może podejmować — w przypadku spółki z siedzibą poza EU — także decyzje w odniesieniu do lokalnych spółek zależnych od Facebooka (w tym przypadku Facebook Germany, jako odpowiedzialnej za działania marketingowe i sprzedaż powierzchni reklamowej) — zatem wykonując swoje uprawnienia interwencyjne wobec niemieckiego podmiotu nie musi zwracać się uprzednio do irlandzkiego regulatora.

Q.E.D.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

14 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze