„Lubię to” – spory problem z małą wtyczką, czyli jak Trybunał Sprawiedliwości UE ocenia relację Facebook’a z firmami korzystającymi z narzędzi serwisu

19.08.2019
Autor: Michał Rogoziński
Analizy

29 lipca br. TSUE wydał wyrok w sprawie, której stan faktyczny powinien interesować wszystkich administratorów danych prowadzących swoje firmowe strony na Facebook’u. Niemiecki sklep internetowy Fashion ID zamieścił na swojej stronie wtyczkę „Lubię to” Facebook’a i został pozwany przez niemieckie stowarzyszenie broniące praw konsumentów.

Stowarzyszenie zarzuciło Fashion ID, że stosowany mechanizm bez wiedzy i zgody użytkowników odwiedzających stronę internetową przesyła ich dane osobowe do spółki Facebook w Irlandii. W ramach prowadzonego postępowania rozpatrywano dwie istotne kwestie: status Fashion ID w odniesieniu do danych osobowych przekazywanych Facebook’owi oraz kwestię podstawy prawnej do przetwarzania tych danych.

Tło faktyczne

Jak w wielu innych podobnych przypadkach Fashion ID nie miał wpływu na to jakie dane są zbierane i przesyłane do Facebook’a przy użyciu wtyczki. Najczęściej firmy korzystające z tej możliwości chcą w ten sposób zwiększyć zasięg swojej strony na Facebook’u oraz budować wokół niej społeczność użytkowników tego serwisu. Realnie nie mają one jednak wpływu na to jakie dane są przez Facebook’a rejestrowane – najczęściej jest to adres IP, dane techniczne dotyczące przeglądarki użytkownika lub jego aktywność na stronie internetowej. Bez połączenia tych danych z danymi osobowymi konkretnego klienta w bazie sklepu trudno mówić o możliwości jego identyfikacji przez Fashion ID.

Niestety przedmiotem wyroku Trybunału nie było udzielenie odpowiedzi na pytanie, czy z punktu widzenia Fashion ID zestaw danych przesyłanych do Facebook’a można uznać za zestaw danych osobowych, a więc informacji, które pozwalają na identyfikację użytkownika. Wyrok nie zawiera również informacji o ustaleniu zakresu przekazywanych danych w tej konkretnej sprawie. W mojej ocenie są to pytania bardzo istotne, aby dobrze zrozumieć „charakterystyczne cechy Internetu”, na które powołuje się Trybunał w treści wyroku.

Co to znaczy „ustalić z kimś wspólne cele przetwarzania danych”?

Trybunał uznał, że z uwagi na szeroką definicję „administratora” oraz w świetle definicji „przetwarzania danych” Fashion ID wspólnie z Facebookiem ustalają cele przetwarzania danych, polegające na gromadzeniu danych osób odwiedzających stronę internetową sklepu oraz ujawnianiu ich poprzez transmisję. Z samego faktu, że Fashion ID poprzez instalację wtyczki na swojej stronie internetowej umożliwił Facebook’owi zbieranie danych osobowych użytkowników strony wynika – w ocenie Trubunału – że Fashion ID jest administratorem danych i wspólnie z Facebookiem określa cele ich przetwarzania: Co się tyczy celów wspomnianych operacji przetwarzania danych osobowych, wydaje się, że umieszczenie przez Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła – jak się zdaje – zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID.

W takich okolicznościach można uznać – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – że Fashion ID i Facebook Ireland określają wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym i ich ujawniania poprzez transmisję.

Niestety Trybunał nie wziął pod uwagę realnej możliwości wpływania przez Fashion ID na ustalanie tych celów z Facebookiem. Nie ma dla Trybunały znaczenia, czy firma korzystająca z wtyczki jest w stanie zidentyfikować użytkownika, którego dane są zbierane przez Facebook’a. Z powyższego wynika, że wystarczy istnienie wspólnego, a właściwie podobnego, celu gospodarczego aby określić firmę jako administratora danych osobowych. Z treści wyroku nie wynika również czy firmy korzystające z wtyczki „Lubię to” spełniają wspólnie z Facebookiem definicję współadministratorów w rozumieniu art. 26 RODO, a w związku z tym czy powinny wspólnie z Facebookiem ustalić odpowiednie zakresy swojej odpowiedzialności (wyrok został wydany jeszcze na podstawie Dyrektywy 95/46/WE). W tym kontekście należy zwrócić uwagę, że wszelkie umowy zawierane przez firmy z Facebook’iem mają charakter umów adhezyjnych i w praktyce nie ma możliwości wpływania na ich treść – firma albo przyjmuje postanowienia i modele proponowane przez Facebook’a, albo nie korzysta z narzędzi dostarczanych przez serwis. Można mieć zatem słuszne wątpliwości czy taki model spełnia przesłanki wspólnego ustalania celów przetwarzania danych.

Prawnie uzasadniony interes, a może jednak zgoda?

Istotną kwestią dla administratorów danych jest podstawa prawna, na której mogą przetwarzać dane. Trybunał odpowiedział na pytanie czy w tym stanie faktycznym należy wziąć pod uwagę uzasadnione interesy firmy prowadzącej stronę internetową, czy też uzasadnione interesy Facebook’a. Niestety treść wyroku w tym zakresie nie daje administratorom jednoznacznej odpowiedzi na pytanie o właściwą podstawę prawną przetwarzania danych.

Z jednej strony Trybunał wskazuje, że: Przy uwzględnieniu powyższych rozważań na pytanie czwarte należy odpowiedzieć, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.

Z drugiej strony, na kolejne pytanie sądu powszechnego Trybunał odpowiada, że przepisy należy interpretować w ten sposób, że Fashion ID powinno zarówno zebrać zgodę na przetwarzanie danych użytkownika przy użyciu wtyczki, jak również spełnić obowiązek informacyjny – oba obowiązki mają dotyczyć tylko operacji, którymi Fashion ID administruje (gromadzenie i transmisja).

Pojawia się zatem pytanie czy podstawą prawną Fashion ID do przetwarzania tych danych jest prawnie uzasadniony interes, czy jednak wymagana jest zgoda użytkownika strony?

Podsumowanie

W mojej ocenie wyrok Trybunału, choć wpisuje się w dotychczasową linię orzeczniczą, to nadal nie odpowiada na kluczowe pytania i sprawia wrażenie (również ze względu na częste sformułowania „wydaje się, że…”, „można uznać…”), że sąd niezbyt szczegółowo zbadał aspekty techniczne przetwarzania danych przy użyciu wtyczki Facebook’a. Powoduje to, że trudno wydedukować z treści wyroku stwierdzenia, które mogłyby mieć praktyczne przełożenie na dotychczasowy sposób korzystania przez firmy z narzędzi Facebooka, zakres udostępnianych danych lub zwiększenie ochrony prywatności użytkowników Internetu.

Autor

Michał Rogoziński

Specjalista w dziedzinie ochrony danych osobowych - Inspektor Ochrony Danych (Data Protection Officer), doświadczony praktyk. Doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu.

Z tej samej kategorii

RODO w logistyce Więcej

Monitoring wizyjny w placówkach medycznych Więcej

Ochrona danych osobowych w Prawie komunikacji elektronicznej Więcej

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia RODO
Wydarzenia
Regulamin
Polityka prywatności
Raportowanie ESG

Blog

Inspektor Ochrony Danych
Dopuszczalność cold calling i cold mailing na gruncie RODO
Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO
Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
Ochrona medycznych danych osobowych

Czytaj dalej >>