Jak szerokiej grupy podmiotów będzie dotyczył niedawny wyrok TSUE ws. Fashion ID? Czy to wyjątkowy przypadek, czy też dotknie wszystkich administratorów stron posiadających wtyczki do mediów społecznościowych?
/>
Wyrok dotyczy statusu operatorów stron umieszczających wtyczki innych serwisów, a to duża grupa podmiotów. Mieliśmy już wcześniej podobne wyroki, np. ten dotyczący administratorów fanpage’y na Facebooku. Wyrok ws. Fashion ID nie jest akurat zaskoczeniem, bo i rzecznik generalny wypowiadał się w opinii podobnie. Ma on jednak na pewno bardzo duże znaczenie praktyczne. Oznacza bowiem, że taki podmiot jak Fashion ID, czyli administrator strony posiadający wtyczkę do portalu społecznościowego, również jest administratorem i w tym zakresie powinien legitymować się podstawą prawną dla gromadzenia i udostępniania danych serwisowi oraz wykonywać obowiązki wynikające z rozporządzenia. Z uwagi na zakres pytań prejudycjalnych TSUE ograniczył się do obowiązku informacyjnego. Czyli np. sklep internetowy używający takich wtyczek musi poinformować o tym, że także dane osób, które nie klikną w przycisk, są przekazywane Facebookowi czy innemu podmiotowi tego typu.
Wyrok wydano na podstawie nieobowiązującej już dyrektywy. Czy broni się w świetle obecnych przepisów o ochronie danych osobowych?
W większości tak. Jedyna rzecz, która się zmieniła, to kwestia legitymacji procesowej stowarzyszenia konsumenckiego – ale w RODO akurat wprost wskazano, że mogą one występować w tego typu sprawach. W pozostałym zakresie tezy wyroku zachowują ważność pod rządami RODO.
TSUE uznał, że w kontekście gromadzenia danych i ich udostępniania serwisowi dochodzi do wspólnego ustalania celów przetwarzania. Wskazał, że operator strony ma również własny cel przetwarzania danych, bo kliknięcie „lajka” będzie lepiej pozycjonowało Fashion ID na Facebooku. A więc operator strony ma wyraźny interes w tym, by tę wtyczkę umieścić i poprzez nią zbierać i udostępniać dane. W takim przypadku obecnie zastosowanie będzie miał art. 26 RODO dotyczący uzgodnień co do współadministrowania. To, co jeszcze jest ważne w tym wyroku, a mało podkreślane, to fakt, że dotyczy on także danych osób, które nie mają konta na Facebooku, a ich dane też są portalowi przekazywane. To jednak oddzielny temat. Wracając do współadministrowania – jeśli, tak jak mówi trybunał, dochodzi do wspólnego ustalania celu zbierania danych, to trzeba będzie dokonać uzgodnień co do zasad działania współadministratorów. Będą musieli podzielić się zadaniami – np. jeden informuje użytkowników, a drugi zabezpiecza dane itp. Czasem też podział zadań może wynikać z mocy prawa. Nasz ustawodawca w ustawie wdrażającej RODO w kilku przypadkach taki podział określił. Obaj administratorzy powinni ustalić wspólny punkt kontaktowy.
Jako jedną z podstaw prawnych wskazano uzasadniony interes. Chodzi w tym wypadku właśnie o to lepsze pozycjonowanie?
Tego trybunał nie mówi wprost, ale dopuszcza korzystanie z tej przesłanki w takiej sytuacji. Pamiętać należy, że zarówno pod rządami starych przepisów, jak i RODO administrator powinien wykonać „test równowagi interesu”.
Czyli sprawdzić, że jego cel nie narusza praw podmiotów danych. Jako inną podstawę przetwarzania dopuszcza się zgodę. Ale musi ona spełniać warunki z RODO – czyli być świadoma, konkretna itd. Z tym jest powiązany obowiązek informacyjny, który w RODO został znacznie rozszerzony w porównaniu ze stanem prawnym, którego dotyczy wyrok. Trzeba przekazać wszystkie informacje wymagane w RODO, w tym tę, że dane będą przekazywane do Facebooka lub innego podmiotu. Ważne jest też jednak – co podkreślił TSUE – że to, co FB zrobi z tymi danymi później, nie jest już sprawą strony internetowej takiej jak Fashion ID. To jest już zmartwienie tego serwisu.