Korzystający z wtyczki „Lubię to” mają obowiązek informacyjny

19.8.2019

Trybunał Sprawiedliwości Unii Europejskiej dnia 29 lipca 2019 r. wydał wyrok w sprawie C-40/17 - Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV. Wynika z niego, że operator witryny internetowej wyposażonej w przycisk „Lubię to” Facebooka może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych osób odwiedzających jego witrynę. Natomiast nie jest on co do zasady administratorem w odniesieniu do późniejszego przetwarzania tych danych dokonywanego przez samego Facebooka.

Czego dotyczyła sprawa?

Fashion ID, niemiecka spółka zajmująca się sprzedażą modnej odzieży online, umieściła w swojej witrynie internetowej przycisk „Lubię to” serwisu Facebook. Wydaje się, że wskutek tego umieszczenia, gdy osoba odwiedzająca przegląda witrynę internetową Fashion ID, dane osobowe tej osoby są przekazywane spółce Facebook Ireland. Wydaje się również, że to przekazywanie następuje bez świadomości tego ze strony wspomnianej osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to”.

Verbraucherzentrale NRW, stowarzyszenie użyteczności publicznej zajmujące się ochroną interesów konsumentów, zarzuca spółce Fashion ID przekazywanie Facebook Ireland danych osobowych osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody, a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożył Oberlandesgericht Düsseldorf. Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy), rozpatrujący ten spór, zwrócił się zatem do Trybunału Sprawiedliwości o wykładnię kilku przepisów już nieobowiązującej dyrektywy z 1995 r. o ochronie danych (tj. dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. 1995, L 281, s. 31, która ma nadal zastosowanie w tej sprawie i która została zastąpiona ogólnym rozporządzeniem z 2016 r. o ochronie danych, tj. rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Dz.U. 2016, L 119, s. 1, stosującym się od dnia 25 maja 2018 r.).

Co orzekł TSUE?

W wydanym wyroku Trybunał uściślił najpierw, że już nieobowiązująca dyrektywa o ochronie danych nie stoi na przeszkodzie temu, by stowarzyszeniom ochrony interesów konsumentów przysługiwało prawo występowania przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych. Trybunał wskazał, że nowe ogólne rozporządzenie o ochronie danych przewiduje teraz wyraźnie taką możliwość.

Trybunał stwierdził następnie, że wydaje się, iż Fashion ID nie można uznać za administratora w odniesieniu do operacji przetwarzania danych dokonywanych przez Facebook Ireland po przekazaniu tych danych tej ostatniej spółce. Wydaje się bowiem prima facie wykluczone, by spółka Fashion ID określała cele i sposoby tych operacji.

Natomiast Fashion ID można uznać za administratora, wspólnie z Facebook Ireland, w odniesieniu do operacji gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję spółce Facebook Ireland, jako że można uznać (z zastrzeżeniem dokonania odpowiednich ustaleń przez Oberlandesgericht Düsseldorf), iż Fashion ID i Facebook Ireland wspólnie określają sposoby i cele tych operacji (np. w wyroku z dnia 5 czerwca 2018 r. w sprawie C-210/16 - Wirtschaftsakademie Schleswig-Holstein, Trybunał orzekł, że administrator fanpage’a prowadzonego na Facebooku ponosi z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających jego stronę).

Wydaje się w szczególności, że umieszczenie przez spółkę Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej, spółka Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej – jak się zdaje – wyraziła zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję. Zatem te operacje przetwarzania wydają się dokonywane w interesie gospodarczym zarówno spółki Fashion ID, jak i spółki Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID.

TSUE podkreślił, że operator witryny internetowej taki jak Fashion ID, jako (współ)administrator w odniesieniu do niektórych operacji przetwarzania danych osób odwiedzających jego witrynę, takich jak gromadzenie danych i ich przekazywanie Facebook Ireland, musi przekazać w momencie gromadzenia danych pewne informacje tym osobom odwiedzającym, na przykład na temat swojej tożsamości i celów przetwarzania danych.

Trybunał przedstawił ponadto uściślenia dotyczące dwóch z sześciu przypadków legalnego przetwarzania danych osobowych przewidzianych przez dyrektywę.

Otóż, co się tyczy przypadku wyrażenia zgody przez osobę, której dane dotyczą, Trybunał orzekł, że operator witryny internetowej taki jak Fashion ID musi uzyskać tę zgodę uprzednio (jedynie) dla operacji, w odniesieniu do których jest (współ)administratorem, mianowicie dla gromadzenia i przekazywania danych.

Co się tyczy przypadków, w których przetwarzanie danych jest konieczne do realizacji uzasadnionych interesów, TSUE orzekł, że każdy ze (współ)administratorów danych, mianowicie operator witryny internetowej i dostawca wtyczki społecznościowej, musi w ramach gromadzenia i przekazywania danych osobowych dążyć do uzasadnionych interesów, aby te operacje były względem niego uzasadnione.

Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi

Z powyższego wyroku wynika więc, że podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób korzystających z witryn takich podmiotów. Przy czym odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka.

Rozstrzygnięcie to jest istotne z punktu widzenia określenia ról podmiotów biorących udział w procesie przetwarzania danych osobowych.

Obowiązek informacyjny to podstawa

Urząd Ochrony Danych Osobowych przypomniał przy tym podmiotom korzystającym z wtyczek społecznościowych Facebooka „Lubię to”, aby wypełniać wobec osób korzystających z witryn obowiązek informacyjny (art. 13 ogólnego rozporządzenia o ochronie danych ─ RODO). Osoba odwiedzająca taką witrynę musi wiedzieć, że operator przekazuje jej dane Facebookowi. Dane to informacje o adresie IP i identyfikatorze przeglądarki użytkownika.

Sklepy internetowe czy inne podmioty prowadzące działalność przez Internet powinny uzupełnić klauzule informacyjne na swoich stronach internetowych, jeżeli dotychczas takich informacji nie zamieściły, a korzystają z wtyczki „Lubię to”. Obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych Facebookowi.

Użytkownik musi wiedzieć, co dzieje się z jego danymi

Kolejna istotna dla operatorów witryn kwestia, to konieczność dysponowania przesłanką do przetwarzania danych osobowych w zakresie przekazywania tych danych portalowi społecznościowemu Facebook (zgoda, prawnie uzasadniony interes).

Zgoda osoby, której dane dotyczą musi być uprzednia, a więc wyrażona przed rozpoczęciem gromadzenia i przekazywania danych.

Co więcej, klauzula zgody na przekazywanie danych Facebookowi powinna być sformułowana odrębnie od klauzul zgód na przetwarzanie danych osobowych w innych celach i powinna spełniać wszystkie przesłanki o których mowa w RODO.

Warto przypomnieć, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO).

W myśl zaś motywu 43 RODO zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to właściwe.

Motyw 32 RODO stanowi, że zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jak orzekł Trybunał Sprawiedliwości w przypadkach, w których przetwarzanie jest konieczne do realizacji uzasadnionych interesów, każdy ze współadministratorów danych, mianowicie operator witryny internetowej i dostawca wtyczki społecznościowej, musi w ramach gromadzenia i przekazywania danych uzasadnić, dlaczego te operację są w jego działalności potrzebne.

Polityki bezpieczeństwa do przeglądu

Kolejna niezbędna czynność to uwzględnienie przez wspomnianych operatorów w ich politykach bezpieczeństwa kwestii przekazywania danych osobowych Facebookowi w związku z korzystaniem z wtyczki „Lubię to”.

Warto zauważyć także, że podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO (art. 26 ust. 1 RODO). Jest to istotne w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO.

Ponieważ operatorzy witryn internetowych wraz z dostawcą wtyczki społecznościowej (Facebook), w zakresie zbierania i transmisji danych Facebookowi, zostali uznani przez Trybunał Sprawiedliwości UE za współadministratoratorów danych osobowych osób odwiedzających te witryny muszą pamiętać o jeszcze jednej ważnej czynności. Powinni oni zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO).