A skoro wczoraj na tutejszych łamach było kilka akapitów o świeżutkim wyroku TSUE dotyczącym samplingu niemieckiej muzyki, to dziś czas na kilka akapitów o wyroku, z którego się dowiecie, że wtyczka Facebooka na własnej stronie internetowej czyni administratorem danych osobowych, zatem na takim usługodawcy spoczywa obowiązek udzielenia prawidłowych informacji o przekazywaniu danych do serwisu społecznościowego.
wyrok Trybunału Sprawiedliwości EU z 29 lipca 2019 r. w sprawie Fashion ID / Facebook (C‑40/17)
2) (…) Operatora witryny internetowej, który umieszcza w witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych (…). Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję. (…)
4) [Jeśli] operator witryny internetowej umieszcza w witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wtyczki i przekazywanie w tym celu dostawcy danych osobowych osoby odwiedzającej, zgoda powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa. (…) Obowiązek informacyjny ciąży również na operatorze, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.
Dla przypomnienia: rzecz dotyczy niemieckiego sklepu internetowego, w którym zamieszczono przycisk „Lubię to” — wskutek czego pewne dane osobowe każdego użytkownika odwiedzającego stronę internetową spływały do Facebooka — ale żaden użytkownik nie był poinformowany o przekazywaniu danych osobowych. Sprawę o zaniechanie tej praktyki wniosło pewne stowarzyszenie, ale sąd nabrał pewnych wątpliwości — czy może być administratorem danych osobowych e-sklep, który nie przetwarza i nie ma wpływu na przetwarzanie danych osobowych użytkowników? czy zatem udostępnianie danych poprzez wtyczkę wymaga uzyskania od użytkownika zgody na przetwarzanie jego danych? no i czy taka organizacja społeczna w ogóle mogła występować do sądu w takich — jeszcze sprzed RODO — sprawach? (por. „Masz przycisk „Lubię to!” na swojej stronie internetowej? Więc jesteś współ-administratorem (razem z Facebookiem) danych osobowych!”)
We wczorajszym wyroku TSUE podkreślił, iż prawo EU nie zakazuje stowarzyszeniom zajmującym się ochroną danych osobowych i praw konsumentów wnoszenia powództw do sądu przeciwko sprawcom naruszenia przepisów o ochronie danych osobowych. Owszem, na gruncie (uchylonej już) dyrektywy 95/46 istniał wyłącznie obowiązek przyjmowania skarg bezpośrednio od osób, których prawa zostały naruszone — ale jeśli państwo chciało wyposażyć, w prawie krajowym, organizacje społeczne do występowania w takich sprawach, to dyrektywa tego nie zakazywała.
Odnosząc się natomiast do meritum sprawy TSUE stwierdził, że wydawcę witryny internetowej, który zamieścił w witrynie wtyczkę społecznościową, można uznać za administratora danych osobowych — jednak jego odpowiedzialność ograniczona jest tylko do operacji przetwarzania, których cele i sposoby zależą od niego — czyli do zbierania tych danych i ich przekazywania do serwisu społecznościowego.
Istotą regulacji jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, zwłaszcza ich prywatności w zakresie przetwarzania danych osobowych, zaś definicja administratora danych osobowych (ten kto samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych) jest na tyle szeroka, że nie wyklucza współodpowiedzialności kilku podmiotów, nawet jeśli nie każdy z nich ma dostęp do przetwarzanych danych osobowych. Jest zgoła odmiennie: każdy z współadministratorów może być zaangażowany na różnych etapach przetwarzania, w różnym stopniu — zaś na przetwarzanie mogą składać się nawet różne operacje — więc poziom odpowiedzialności każdego z nich musi uwzględniać specyfikę działalności.
Skoro zatem sklep internetowy umieścił na swej stronie wtyczkę „Lubię to”, pozwalając, by Facebook uzyskiwał dane osobowe osób odwiedzających witrynę, to chociaż nie ma wpływu na cele i sposoby późniejszego przetwarzania tych danych przez Facebooka, ale przecież prawdopodobnie miał świadomość, że taka wtyczka służy gromadzeniu i przekazywaniu danych osobowych. Nie ma zatem wątpliwości, że e-sklep wpływa w decydujący sposób na gromadzenie i przetwarzanie danych osobowych — bo gdyby nie zamieścił tej wtyczki, to dane osobowe odwiedzających (nawet tych, którzy nie mają konta na Facebooku) nie wypływałyby na zewnątrz.
W takim przypadku właściciel strony internetowej powinien odebrać od użytkownika odwiedzającego jego stronę internetową zgodę na przekazanie danych osobowych Facebookowi, a także odebrać zgodę odwiedzającego użytkownika na przetwarzanie danych osobowych — oczywiście jeszcze przed ich gromadzeniem. Nie jest bowiem wystarczające, iżby taka zgoda była odbierana dopiero na późniejszym etapie (np. po przekazaniu danych do odbiorcy danych).
Na pocieszenie dodać warto, iż w ocenie TSUE powyższe obowiązki wydawcy dotyczą tylko zakresu, w jakim sam ma wpływ na przetwarzanie tych danych osobowych (przypomnijmy, że ma wpływ na to, że umieszczona przezeń wtyczka przesyła informacje do serwisu społecznościowego) — a więc nie musi informować o celach przetwarzania danych przez odbiorcę tych danych (przez Facebooka, Instagrama, etc. etc.), ponieważ ten obowiązek spoczywa już na serwisie społecznościowym.