Jak szerokiej grupy podmiotów będzie dotyczył niedawny wyrok TSUE ws. Fashion ID? Czy to wyjątkowy przypadek, czy też dotknie wszystkich administratorów stron posiadających wtyczki do mediów społecznościowych?
DR ARWID MEDNIS radca prawny, WPiA Uniwersytetu Warszawskiego / DGP
Wyrok dotyczy statusu operatorów stron umieszczających wtyczki innych serwisów, a to duża grupa podmiotów. Mieliśmy już wcześniej podobne wyroki, np. ten dotyczący administratorów fanpage’y na Facebooku. Wyrok ws. Fashion ID nie jest akurat zaskoczeniem, bo i rzecznik generalny wypowiadał się w opinii podobnie. Ma on jednak na pewno bardzo duże znaczenie praktyczne. Oznacza bowiem, że taki podmiot jak Fashion ID, czyli administrator strony posiadający wtyczkę do portalu społecznościowego, również jest administratorem i w tym zakresie powinien legitymować się podstawą prawną dla gromadzenia i udostępniania danych serwisowi oraz wykonywać obowiązki wynikające z rozporządzenia. Z uwagi na zakres pytań prejudycjalnych TSUE ograniczył się do obowiązku informacyjnego. Czyli np. sklep internetowy używający takich wtyczek musi poinformować o tym, że także dane osób, które nie klikną w przycisk, są przekazywane Facebookowi czy innemu podmiotowi tego typu.
Wyrok wydano na podstawie nieobowiązującej już dyrektywy. Czy broni się w świetle obecnych przepisów o ochronie danych osobowych?
W większości tak. Jedyna rzecz, która się zmieniła, to kwestia legitymacji procesowej stowarzyszenia konsumenckiego – ale w RODO akurat wprost wskazano, że mogą one występować w tego typu sprawach. W pozostałym zakresie tezy wyroku zachowują ważność pod rządami RODO.
TSUE uznał, że w kontekście gromadzenia danych i ich udostępniania serwisowi dochodzi do wspólnego ustalania celów przetwarzania. Wskazał, że operator strony ma również własny cel przetwarzania danych, bo kliknięcie „lajka” będzie lepiej pozycjonowało Fashion ID na Facebooku. A więc operator strony ma wyraźny interes w tym, by tę wtyczkę umieścić i poprzez nią zbierać i udostępniać dane. W takim przypadku obecnie zastosowanie będzie miał art. 26 RODO dotyczący uzgodnień co do współadministrowania. To, co jeszcze jest ważne w tym wyroku, a mało podkreślane, to fakt, że dotyczy on także danych osób, które nie mają konta na Facebooku, a ich dane też są portalowi przekazywane. To jednak oddzielny temat. Wracając do współadministrowania – jeśli, tak jak mówi trybunał, dochodzi do wspólnego ustalania celu zbierania danych, to trzeba będzie dokonać uzgodnień co do zasad działania współadministratorów. Będą musieli podzielić się zadaniami – np. jeden informuje użytkowników, a drugi zabezpiecza dane itp. Czasem też podział zadań może wynikać z mocy prawa. Nasz ustawodawca w ustawie wdrażającej RODO w kilku przypadkach taki podział określił. Obaj administratorzy powinni ustalić wspólny punkt kontaktowy.
Jako jedną z podstaw prawnych wskazano uzasadniony interes. Chodzi w tym wypadku właśnie o to lepsze pozycjonowanie?
Tego trybunał nie mówi wprost, ale dopuszcza korzystanie z tej przesłanki w takiej sytuacji. Pamiętać należy, że zarówno pod rządami starych przepisów, jak i RODO administrator powinien wykonać „test równowagi interesu”.
Czyli sprawdzić, że jego cel nie narusza praw podmiotów danych. Jako inną podstawę przetwarzania dopuszcza się zgodę. Ale musi ona spełniać warunki z RODO – czyli być świadoma, konkretna itd. Z tym jest powiązany obowiązek informacyjny, który w RODO został znacznie rozszerzony w porównaniu ze stanem prawnym, którego dotyczy wyrok. Trzeba przekazać wszystkie informacje wymagane w RODO, w tym tę, że dane będą przekazywane do Facebooka lub innego podmiotu. Ważne jest też jednak – co podkreślił TSUE – że to, co FB zrobi z tymi danymi później, nie jest już sprawą strony internetowej takiej jak Fashion ID. To jest już zmartwienie tego serwisu.