BLOG

16 gru 2019

Operator witryny internetowej z wtyczką Facebooka współadministratorem danych osobowych

  • E-Commerce
  • Ochrona danych osobowych
  • Polski Prawnik Adwokat Kancelaria Niemcy

(Foto von Pixabay von Pexels)

Przyciski ‘’Lubię to‘‘ odsyłające ze strony internetowej do sieci społecznościowych, są szczególnie popularne wśród operatorów witryn internetowych, gdyż polubienia i udostępnianie zapewniają większą popularność, a więcej opinii i ‘’feedbacku’’ przyciąga nowych odbiorców, gwarantując jednocześnie bezpłatny marketing. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł w swojej decyzji z dnia 29.07.2019, że operator strony internetowej umieszczający aktywną wtyczkę „Lubię to” na swojej stronie jest tak samo odpowiedzialny za ochronę danych osobowych użytkowników jak Facebook. Oznacza to, że operator strony musi uzyskać zgodę użytkownika i poinformować go o przetwarzaniu danych przed zebraniem i przesłaniem danych do portalu społecznościowego.

Naruszenie europejskiego prawa o ochronie danych?

Niemiecka spółka handlowa Fashion ID należąca do przedsiębiorstwa Peek & Cloppenburg i zajmująca się m.in. sprzedażą odzieży w internecie, zamieściła na stronie internetowej swojego sklepu facebookową wtyczkę „Lubię to!”. Umieszczenie przycisku „Lubię to!” na stronie powodowało przekazywanie wspomnianemu portalowi społecznościowemu danych osobowych klientów takich jak  adres IP lub pliki cookie w sposób automatyczny po załadowaniu się strony internetowej Fashion ID i bez wiedzy użytkownika. Portal otrzymywał dane użytkownika bez względu na to, czy był on w danym momencie zalogowany na swoim koncie na Facebooku, czy nawet w ogóle posiadał konto na wspomnianym portalu społecznościowym.

Niemieckie stowarzyszenie zajmujące się ochroną praw konsumenckich (Verbraucherzentrale Nordhein – Westfalen) uznało, że takie postępowanie może naruszać europejskie prawo o ochronie danych i wystosowało upomnienie (niem. Abmahnung) odnośnie umieszczania wtyczki ‚,Lubię to’’, bez uprzedniego uzyskania zgody użytkownika lub uprzedniego poinformowania go o przetwarzaniu danych.

Sąd okręgowy w Dusseldorfie rozstrzygający spór w pierwszej instancji przyznał rację stowarzyszeniu Verbraucherzentrale (por. LG Düsseldorf, wyrok z dnia 9.03.2016 r., sygn. 12 O 151/15). Pozwana Fashion ID odwołała się od wyroku, a sprawa trafiła do Wyższego Sądu Krajowego w Dusseldorfie (sygn. I-20 U 40/16). Ten z kolei zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) i złożył zapytania dotyczące interpretacji europejskich dyrektyw o ochronie danych (sygn. C-40/17).

Wspólna decyzja o celach i środkach – wspólna odpowiedzialność

TSUE rozpatrując sprawę przeanlizował poszczególne czynności przetwarzania danych. To co Facebook Irland robi z przekazanymi danymi po ich otrzymaniu od operator witryny internetowej jest poza sferą wpływu właściciela witryny i nie należy do zakresu jego odpowiedzialności. TSUE rozpatrzyło odrębnie czynności zbierania danych za pośrednictwem witryny internetowej i przekazywania ich portalowi społecznościowemu.

Trybunał uznał, że dzięki umieszczaniu takich ,,wtyczek społecznościowych” na stronie internetowej operator strony ma decydujący wkład w przekazywanie danych osobowych odwiedzających jego strony użytkowników na rzecz Facebooka. Już poprzez samo umieszczenie przycisku na swojej stronie operator umożliwia poniekąd gromadzenie danych i przesyłanie ich do Facebooka. Ponadto wbudowanie przycisku pozwala operatorowi witryny zoptymalizować reklamy produktów, które są następnie bardziej widoczne na Facebooku. Gdy odwiedzający witrynę kliknie przycisk, przynajmniej potencjalnie można zwiększyć obroty produktów operatora strony internetowej. Trybunał stwierdził również, że Fashion ID umieściła na swojej witrynie internetowej przycisk „Lubię to” Facebooka, prawdopodobnie mając świadomość, że służy on do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę niezależnie od okoliczności posiadania przez nich konta w serwisie społecznościowym. Ponieważ Fashion ID i Facebook zdecydowali „wspólnie o celach i środkach” transferu danych, zatem obydwoje są współodpowiedzialni prawnie względem odbiorców w rozumieniu Art. 26 ust. 1 RODO.

Zgoda na przetwarzanie danych osobowych

Nadto Trybunał orzekł, że operator witryny internetowej taki jak Fashion ID, musi zgodnie z Art. 13 RODO przed pozyskaniem danych osobowych przekazać użytkownikowi strony informacje dotyczące przetwarzania danych. W skład tego komunikatu powinny wejść takie informacje jak:  nazwa administratora, cele, podstawa prawna ich przetwarzania, czas przechowywania danych oraz prawa przysługujące odwiedzającemu stronę.  Ponadto musi on uzyskać zgodę na przetwarzanie danych dla operacji, w odniesieniu do których jest współadministratorem, czyli gromadzenia i przekazywania danych. W przypadku przetwarzania danych osobowych, do którego to zgodnie z Art. 4 Nr 2 RODO należy zbieranie, gromadzenie oraz przechowywanie danych, wymagana jest zgoda osoby, do której te dane należą (Art. 6 nr 1 lit. a RODO) lub uzasadniony interes odpowiedzialnego podmiotu, który przetwarza te dane, chyba że przeważają interesy właściciela danych osobowych (Art. 6 ust. 1 lit. f RODO). Osoba odwiedzająca witrynę wyposażoną w „Lubię to” musi wiedzieć, że operator przekazuje jej dane Facebookowi, a informacje te muszą być przekazane przed rozpoczęciem gromadzenia i przekazywania danych.

Znaczenie wyroku w praktyce

Rozstrzygnięcie TSUE w sprawie C-40/17 Fashion ID przeciwko Verbraucherzentrale NRW będąc wiążące dla wszystkich sądów w Unii Europejskiej, stanowi rodzaj drogowskazu dla wszystkich sądów, które w przyszłości będą mierzyć się z podobną problematyką. Jest to kwestia o tyle prawnie istotna, gdyż podobnymi wtyczkami odsyłającymi do sieci społecznościowych dysponują, chociażby Twitter, Instagram czy Pinterest. Rozstrzygnięcie TSUE wskazuje ponadto jak określać role podmiotów biorących udział w procesie przetwarzania danych  – podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO zgodnie z Art. 26 ust. 1 RODO.

Autorzy

Konrad Frycz

asystent prawny - Wissenschaftlicher Mitarbeiter - Teisininko asistentas

linkedinLogo

Jolanta Krzemińska

adwokat niemiecki - Rechtsanwalt - Vokietijos advokatas

linkedinLogo