BLOG
16 gru 2019
Operator witryny internetowej z wtyczką Facebooka współadministratorem danych osobowych
- E-Commerce
- Ochrona danych osobowych
- Polski Prawnik Adwokat Kancelaria Niemcy
Przyciski ‘’Lubię to‘‘ odsyłające ze strony internetowej do sieci społecznościowych, są szczególnie popularne wśród operatorów witryn internetowych, gdyż polubienia i udostępnianie zapewniają większą popularność, a więcej opinii i ‘’feedbacku’’ przyciąga nowych odbiorców, gwarantując jednocześnie bezpłatny marketing. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł w swojej decyzji z dnia 29.07.2019, że operator strony internetowej umieszczający aktywną wtyczkę „Lubię to” na swojej stronie jest tak samo odpowiedzialny za ochronę danych osobowych użytkowników jak Facebook. Oznacza to, że operator strony musi uzyskać zgodę użytkownika i poinformować go o przetwarzaniu danych przed zebraniem i przesłaniem danych do portalu społecznościowego.
Naruszenie europejskiego prawa o ochronie danych?
Niemiecka spółka handlowa Fashion ID należąca do przedsiębiorstwa Peek & Cloppenburg i zajmująca się m.in. sprzedażą odzieży w internecie, zamieściła na stronie internetowej swojego sklepu facebookową wtyczkę „Lubię to!”. Umieszczenie przycisku „Lubię to!” na stronie powodowało przekazywanie wspomnianemu portalowi społecznościowemu danych osobowych klientów takich jak adres IP lub pliki cookie w sposób automatyczny po załadowaniu się strony internetowej Fashion ID i bez wiedzy użytkownika. Portal otrzymywał dane użytkownika bez względu na to, czy był on w danym momencie zalogowany na swoim koncie na Facebooku, czy nawet w ogóle posiadał konto na wspomnianym portalu społecznościowym.
Niemieckie stowarzyszenie zajmujące się ochroną praw konsumenckich (Verbraucherzentrale Nordhein – Westfalen) uznało, że takie postępowanie może naruszać europejskie prawo o ochronie danych i wystosowało upomnienie (niem. Abmahnung) odnośnie umieszczania wtyczki ‚,Lubię to’’, bez uprzedniego uzyskania zgody użytkownika lub uprzedniego poinformowania go o przetwarzaniu danych.
Sąd okręgowy w Dusseldorfie rozstrzygający spór w pierwszej instancji przyznał rację stowarzyszeniu Verbraucherzentrale (por. LG Düsseldorf, wyrok z dnia 9.03.2016 r., sygn. 12 O 151/15). Pozwana Fashion ID odwołała się od wyroku, a sprawa trafiła do Wyższego Sądu Krajowego w Dusseldorfie (sygn. I-20 U 40/16). Ten z kolei zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) i złożył zapytania dotyczące interpretacji europejskich dyrektyw o ochronie danych (sygn. C-40/17).
Wspólna decyzja o celach i środkach – wspólna odpowiedzialność
TSUE rozpatrując sprawę przeanlizował poszczególne czynności przetwarzania danych. To co Facebook Irland robi z przekazanymi danymi po ich otrzymaniu od operator witryny internetowej jest poza sferą wpływu właściciela witryny i nie należy do zakresu jego odpowiedzialności. TSUE rozpatrzyło odrębnie czynności zbierania danych za pośrednictwem witryny internetowej i przekazywania ich portalowi społecznościowemu.
Trybunał uznał, że dzięki umieszczaniu takich ,,wtyczek społecznościowych” na stronie internetowej operator strony ma decydujący wkład w przekazywanie danych osobowych odwiedzających jego strony użytkowników na rzecz Facebooka. Już poprzez samo umieszczenie przycisku na swojej stronie operator umożliwia poniekąd gromadzenie danych i przesyłanie ich do Facebooka. Ponadto wbudowanie przycisku pozwala operatorowi witryny zoptymalizować reklamy produktów, które są następnie bardziej widoczne na Facebooku. Gdy odwiedzający witrynę kliknie przycisk, przynajmniej potencjalnie można zwiększyć obroty produktów operatora strony internetowej. Trybunał stwierdził również, że Fashion ID umieściła na swojej witrynie internetowej przycisk „Lubię to” Facebooka, prawdopodobnie mając świadomość, że służy on do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę niezależnie od okoliczności posiadania przez nich konta w serwisie społecznościowym. Ponieważ Fashion ID i Facebook zdecydowali „wspólnie o celach i środkach” transferu danych, zatem obydwoje są współodpowiedzialni prawnie względem odbiorców w rozumieniu Art. 26 ust. 1 RODO.
Zgoda na przetwarzanie danych osobowych
Nadto Trybunał orzekł, że operator witryny internetowej taki jak Fashion ID, musi zgodnie z Art. 13 RODO przed pozyskaniem danych osobowych przekazać użytkownikowi strony informacje dotyczące przetwarzania danych. W skład tego komunikatu powinny wejść takie informacje jak: nazwa administratora, cele, podstawa prawna ich przetwarzania, czas przechowywania danych oraz prawa przysługujące odwiedzającemu stronę. Ponadto musi on uzyskać zgodę na przetwarzanie danych dla operacji, w odniesieniu do których jest współadministratorem, czyli gromadzenia i przekazywania danych. W przypadku przetwarzania danych osobowych, do którego to zgodnie z Art. 4 Nr 2 RODO należy zbieranie, gromadzenie oraz przechowywanie danych, wymagana jest zgoda osoby, do której te dane należą (Art. 6 nr 1 lit. a RODO) lub uzasadniony interes odpowiedzialnego podmiotu, który przetwarza te dane, chyba że przeważają interesy właściciela danych osobowych (Art. 6 ust. 1 lit. f RODO). Osoba odwiedzająca witrynę wyposażoną w „Lubię to” musi wiedzieć, że operator przekazuje jej dane Facebookowi, a informacje te muszą być przekazane przed rozpoczęciem gromadzenia i przekazywania danych.
Znaczenie wyroku w praktyce
Rozstrzygnięcie TSUE w sprawie C-40/17 Fashion ID przeciwko Verbraucherzentrale NRW będąc wiążące dla wszystkich sądów w Unii Europejskiej, stanowi rodzaj drogowskazu dla wszystkich sądów, które w przyszłości będą mierzyć się z podobną problematyką. Jest to kwestia o tyle prawnie istotna, gdyż podobnymi wtyczkami odsyłającymi do sieci społecznościowych dysponują, chociażby Twitter, Instagram czy Pinterest. Rozstrzygnięcie TSUE wskazuje ponadto jak określać role podmiotów biorących udział w procesie przetwarzania danych – podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO zgodnie z Art. 26 ust. 1 RODO.
Najnowsze wpisy
Kategorie
- Bez kategorii
- Dochodzenie wierzytelności w Niemczech
- E-Commerce
- Kupno / sprzedaż nieruchomości w Niemczech
- Lietuvių teisininkas Advokatas Advokatų kontora Advokatų biuras Vokietija
- Niemieckie prawo budowlane
- Niemieckie prawo konkurencji
- Niemieckie prawo podatkowe
- Niemieckie prawo pracy
- Niemieckie prawo spółek
- Niemieckie prawo transportowe
- Ochrona danych osobowych
- Ochrona własności intelektualnej
- Polski Prawnik Adwokat Kancelaria Niemcy
- Spory sądowe w Niemczech
- Uncategorized