A skoro wczoraj na łamach „New York Timesa” ukazał się bardzo ciekawy tekst o umownych lukach, które pozwalały Facebookowi zasilać danymi osobowymi użytkowników pewnych odbiorców (m.in. Microsoft, Apple, Sony, Spotify, Netflix, Yahoo — „As Facebook Raised a Privacy Wall, It Carved an Opening for Tech Giants”), to dziś na tutejszych łamach będzie o opinii Rzecznika Generalnego TSUE, z której wynika, że właściciel strony internetowej, który umieścił na niej wtyczkę „Lubię to” — co prowadzi do gromadzenia i przekazywania danych osobowych do Facebooka — jest współodpowiedzialny za przetwarzanie danych osobowych na tym etapie.
opinia Rzecznika Generalnego TSUE Michala Bobeka w sprawie Fashion ID GmbH & Co. KG vs. Verbraucherzentrale NRW eV (C-40/17)
Osobę, która umieszcza na swojej stronie internetowej wtyczkę osoby trzeciej (która to osoba trzecia udostępniła ową wtyczkę), co skutkuje gromadzeniem i przekazywaniem danych osobowych użytkownika, należy uznać za administratora danych. (Współ)odpowiedzialność tego administratora danych jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych osobowych. (…) Otrzymana zgoda osoby, której dane dotyczą, musi zostać wyrażona wobec operatora strony internetowej, który umieścił treść osoby trzeciej. (…) Do wyrażenia zgody osoby, której dane dotyczą, oraz przekazania informacji, musi dojść przed rozpoczęciem gromadzenia i przekazywania tych danych. (…)
Sprawa dotyczy niemieckiego e-sklepu z odzieżą, który w swoim serwisie umieścił przycisk „Lubię to” — dzięki czemu dane o adresie IP i identyfikatorze przeglądarki każdego użytkownika odwiedzającego stronę są przekazywane Facebookowi, a także serwowane jest mu cookie (automatycznie, bez konieczności klikania owego przycisku).
Zdaniem stowarzyszenia zajmującego się ochroną prywatności internautów brak informacji o pobieraniu i sposobie wykorzystywania danych oraz przetwarzanie danych bez zgody osoby oznaczały naruszenie przepisów o ochronie danych osobowych, zatem wytoczył sklepowi powództwo o zaniechanie tej praktyki.
Badający spór sąd powziął pewne wątpliwości — czy wydawca serwisu internetowego, który umieszcza skrypt inicjujący ściąganie od użytkownika danych i przesyłanie osoby trzeciej, jest administratorem danych osobowych, skoro nie ma wpływu na ich przetwarzanie? czy zatem przekazywanie danych Facebookowi wymaga uzyskania zgody użytkownika odwiedzającego stronę internetową? — z którymi zwrócił się w trybie prejudycjalnym do TSUE.
W wydanej dziś opinii rzecznik generalny stwierdził, iż skoro zamieszczenie na stronie internetowej przycisku „Lubię to” skutkuje zbieraniem i przekazywaniem danych osobowych do Facebooka, to właściciel tej strony jest współadministratorem danych osobowych (razem z Facebookiem) — aczkolwiek jego odpowiedzialność ograniczona jest do operacji, w ramach których rzeczywiście współokreśla on sposoby i cele przetwarzania danych osobowych (czyli nie odpowiada za to, co Facebook robi z danymi dalej). W takim przypadku wydawca serwisu internetowego powinien przekazywać użytkownikom wymagane informacje (m.in. o celach przetwarzania danych osobowych, o odbiorcach danych, etc.) oraz odbierać stosowną zgodę.
(Dla jasności: spór dotyczy dyrektywy 95/46, uchylonej przez RODO, ale generalna reguła się nie zmienia.)