Przykre konsekwencje zbierania polubień na FB, czyli wyrok TSUE z 29 lipca 2019 r. w sprawie Fashion ID GmbH & Co. KG, C-40/17

O co poszło?

Fashion ID, niemiecka spółka zajmująca się sprzedażą odzieży online, umieściła na stronie internetowej swojego sklepu facebookową wtyczkę „Lubię to!”. O tym jak powszechne jest stosowanie tej wtyczki możecie się przekonać wchodząc teraz na trzy najczęściej przed Was odwiedzane strony. No właśnie.Kliknięcie przez użytkownika Fashion ID w przycisk „Lubię to!” powodowało, że od tego momentu jego adres IP tego był przesyłany do Facebooka za każdym razem, gdy użytkownik odwiedził tę stronę. Przesłanie tej informacji następowało automatycznie po załadowaniu się strony internetowej i bez wiedzy użytkownika. Nie miało przy tym znaczenia, czy użytkownik Fashion ID ma konto na Facebooku, czy też nie.

Verbraucherzentrale NRW (stowarzyszenie broniące praw konsumentów) zarzuciło Fashion ID przekazywanie Facebookowi danych osobowych użytkowników jej strony internetowej bez ich zgody i z naruszeniem obowiązków informacyjnych. Fashion ID zakwestionowała legitymację stowarzyszenia do działania w sprawie (co jednak nie jest przedmiotem naszego zainteresowania) oraz podniosła, że nie jest administratorem danych osobowych przekazywanych do Facebooka, ponieważ nie ma żadnego wpływu na przetwarzanie tych danych i sposób ich wykorzystania przez Facebooka. 

I tak oto, w związku z zaistniałymi na gruncie postępowania sądowego wątpliwościami, wyższy sąd krajowy w Düsseldorfie zwrócił się do Trybunału Sprawiedliwości UE z kilkoma pytaniami dotyczącymi m.in. tego:

  1. kto jest odpowiedzialny za realizację obowiązku informacyjnego wobec podmiotów danych?
  2. na czyją rzecz powinna zostać wyrażona zgoda na przetwarzanie danych (o ile jest wymagana)?
  3. czyje (tj. Fashion ID czy Facebooka) uzasadnione interesy powinny być brane pod uwagę w sytuacji, gdy podstawą prawną przetwarzania jest uzasadniony interes administratora?

Co na to Trybunał i dlaczego to ma znaczenie?

W ocenie TSUE wydawca (administrator) strony internetowej, który zamieścił na niej wtyczkę społecznościową stanowi administratora danych osobowych użytkowników jego strony internetowej, przy czym jego odpowiedzialność ograniczona jest tylko do operacji przetwarzania, których cele i sposoby zależą od niego — czyli do zbierania tych danych i ich przekazywania do serwisu społecznościowego. 

Wniosek pierwszy: TSUE przyjął, że administrator serwisu umieszczający w nim wtyczkę Facebooka jest świadomy faktu, że wtyczka służy do gromadzenia danych użytkowników. Zatem, administratorzy, macie świadomie zarządzać swoimi stronami!

Wniosek drugi: Powyższe w zupełności wystarcza do przyjęcia, że administrator tego serwisu decyduje o celach i sposobach przetwarzania danych użytkowników, które są przekazywane Facebookowi.

TSUE w swoim wyroku poszedł krok dalej, wskazując, że Fashion ID nie tylko decyduje o celach i sposobach przetwarzania danych użytkowników przekazywanych Facebookowi, ale nawet współadministruje nimi wraz z Facebookiem.

Współadministrowanie danymi osobowymi (uregulowane w art. 26 RODO) jest instytucją, która nie występowała we wcześniejszym stanie prawnym, choć była jak najbardziej dopuszczalna. Współadministrowanie jest stanem faktycznym, w którym dwóch lub więcej administratorów wspólnie ustala cele oraz sposoby przetwarzania danych osobowych. 

W praktyce oznacza to, że współadministratorzy powinni być równorzędni wobec siebie oraz ponosić taką samą odpowiedzialność wobec podmiotów przetwarzanych przez nie danych osobowych. Nie ma przy tym przeciwwskazań, aby występowali na różnych etapach przetwarzania, w różnym stopniu, aby dokonywali innych operacji przetwarzania, jak to ma miejsce w omawianym przypadku. 

Wszystko się zgadza. I tutaj urywają się dotychczasowe publikacje na temat tego wyroku.

To teraz przejdźmy do art. 26 ust. 1 zd. 2 RODO:

W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

Zagwozdka pierwsza: wspólne uzgodnienia. Współadministratorzy mają obowiązek dokonać wspólnych uzgodnień, w których w przejrzysty sposób określą zakresy swojej odpowiedzialności i pozostałe kwestie opisane powyżej. No i teraz pytanie za sto punktów – jak uzgodnić coś z Facebookiem? Czy zaakceptowanie enigmatycznych regulaminów i polityk Facebooka jest wystarczy, by móc wykazać spełnienie powyższego obowiązku? 

Zagwozdka druga: domniemane korzyści dla administratorów stron internetowych. TSUE w swoim wyroku stwierdził, że umieszczenie przez Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła – jak się zdaje – zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID.

W sumie tak, ale nie do końca. Po pierwsze, na to, jakie reklamy wyświetlają się użytkownikom Facebooka wpływ ma szereg czynników. To, na co reagował dany użytkownik jest tylko jednym z nich. 

Koncentrując się jednak na założeniu Trybunału masz korzyść – masz odpowiedzialność, warto zastanowić się, co w takim razie z użytkownikami serwisu, którzy nie mają konta na FB? Korzyść w tej sytuacji odnosi wyłącznie Facebook, który wzbogaca swoje bazy danych. Administrator serwisu internetowego w tej sytuacji tworzy wyłącznie kolejny tunel do zarabiania pieniędzy przez Facebooka. Skoro natomiast nie ma rzeczywistych korzyści po stronie administratora serwisu, to czy na pewno współadministruje on tymi danymi?

Przedmiotowy wyrok TSUE stanowi w zasadzie potwierdzenie dotychczasowej linii orzeczniczej Trybunału, zarysowanej już w wyroku C-210/16, Wirtschaftsakademie Schleswig‑Holstein. Trybunał potwierdził zatem, iż administrator strony internetowej jest administratorem danych osobowych użytkowników w zakresie, w jakim są one pozyskiwane i przekazywane dalej za pomocą np. wtyczki Facebooka, co z kolei wiąże się z obowiązkami informacyjnymi lub obowiązkiem pozyskania zgody na przetwarzanie danych osobowych. Jednocześnie, trochę między wierszami, Trybunał podkreślił, jak ważne jest świadome zarządzanie stroną internetową przez jej administratora oraz świadome korzystanie z dostępnych narzędzi, np. w zakresie reklamy. Szpiegującym reklamom poświęcę zresztą jeszcze dużo sporo czasu w przyszłości… 

Co robić jeśli wykorzystuję wtyczki Facebooka? 

  1. Zastanowić się, czy potrzebujesz tych wtyczek.
  2. Informować o ich stosowaniu, celach i konsekwencjach ich stosowania.
  3. Monitorować newsy na temat sposobu przetwarzania danych przez Facebooka.

PS Fashion ID usunęła przycisk ze swojej strony. 

Uwaga: wyrok zapadł na gruncie dyrektywy 95/46, jednak orzeczenie ma bezpośrednie przełożenie na obecny, RODO-wski stan prawny. 

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

%d blogerów lubi to: