Umieszczasz facebookowy przycisk „Lubię to” na swej stronie internetowej czy blogu? W ten sposób automatycznie stajesz się współadministratorem danych osobowych, nawet jeśli sam ich nie zbierasz. Tak uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej w przedstawionej w środę opinii.
Sprawa dotyczy niemieckiego sklepu internetowego Fashion ID. Na swej stronie internetowej umieścił on facebookową wtyczkę – przycisk „Lubię to”. Dzięki niej klienci już z poziomu sklepu mogą zalajkować jego profil na Facebooku. Oczywiście jest to wygodne, ale jednocześnie wtyczka ta zbiera informacje o klientach sklepu internetowego i przesyła je Facebookowi. Chodzi przede wszystkim o adres IP. Co ciekawe, Facebook pozyskuje te dane nie tylko od swoich użytkowników, którzy posiadają konto w tym serwisie społecznościowym, ale od wszystkich internautów odwiedzających stronę sklepu Fashion ID. Nie muszą oni nawet klikać na przycisk „Lubię to”.
Nie ulega wątpliwości, że Facebook przetwarza w ten sposób dane osobowe i jest ich administratorem. Pytanie natomiast, które nurtuje niemiecki sąd, dotyczy statusu Fashion ID. To jedna z kwestii, którą poruszył we wniosku prejudycjalnym skierowanych do TSUE.
Opinię w tej sprawie przedstawił rzecznik generalny Michal Bobek. Jego zdaniem operator strony internetowej, decydując się na umieszczenie przycisku „Lubię to”, staje się współadministratorem danych. I nie ma tu znaczenia, że sam nie ma dostępu do danych gromadzonych przez Facebook.
Osoba, która umieszcza na blogu przycisk „Lubię to”, zostaje administratorem danych osobowych
Jednocześnie jednak rzecznik generalny zaznaczył, że Fashion ID uczestniczy jedynie w gromadzeniu danych i ich przekazywaniu. Nie ma natomiast wpływu na to, co dalej z nimi robi Facebook. Dlatego też nie może ponosić odpowiedzialności za te kolejne etapy.
„Odpowiedzialność pozwanej musi zostać ograniczona do tego etapu przetwarzania danych, w którym ona uczestniczy, i nie może się rozciągać na żadne ewentualne późniejsze etapy przetwarzania danych, skoro takie przetwarzanie pozostaje poza kontrolą pozwanej i, jak się zdaje, nie ma ona o nim wiedzy” – podkreślił rzecznik w swej opinii.
Kolejne pytanie dotyczyło tego, czy przetwarzanie danych jest możliwe w oparciu o przesłankę uzasadnionego interesu. Oznaczałoby to, że nie trzeba uzyskiwać zgody użytkowników strony. Rzecznik uznał, że brakuje informacji, by rozstrzygnąć to wprost w tej sprawie. Dlatego też poprzestał na stwierdzeniu, że oceniając podstawy prawne do przetwarzania danych, należy uwzględnić uzasadnione interesy obu współadministratorów i wyważyć je względem praw przysługujących osobom, których dane dotyczą.
A co, jeśli zgoda byłaby jednak wymagana? Musiałby ją wówczas uzyskiwać operator strony internetowej, czyli w tej sprawie sklep Fashion ID.
„Zgodę tę należy wyrazić wobec pozwanej, ponieważ to z chwilą odwiedzenia jej strony internetowej inicjowana jest operacja przetwarzania. Z pewnością nie dałoby się zapewnić skutecznej i terminowej ochrony praw osób, których dane dotyczą, jeśli zgoda miałaby być wyrażana wyłącznie wobec współadministratora biorącego udział w przetwarzaniu na późniejszym etapie, po zgromadzeniu i przekazaniu danych” – można przeczytać w opinii.
Rozpoznawana sprawa jest niejako odwrotnością innej, w której TSUE określił zasady wspólnego administrowania danymi osobowymi. W czerwcu tego roku uznał, że firma prowadząca fanpage na Facebooku również jest współadministratorem danych (sprawa nr C-210/16). Musi więc ona informować osoby odwiedzające jej stronę o przetwarzaniu ich danych.
orzecznictwo
Opinia rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej z 19 grudnia 2018 r. w sprawie C-40/17. www.serwisy.gazetaprawna.pl/orzeczenia