Znany z serwisu Facebook przycisk „Lubię to” (ang. „Like”) można obecnie spotkać w sieci już prawie wszędzie. Operatorzy stron internetowych integrują go jako tzw. wtyczkę (ang. „Plug-in”) w kodzie źródłowym stron internetowych, dzięki czemu jej użytkownicy mogą łatwiej udostępniać znajdujące się na nich treści na Facebooku.

W niedawnym orzeczeniu Trybunał Sprawiedliwości Unii Europejskiej (TSUE) rozpatrzył możliwość pociągnięcia operatora strony internetowej do odpowiedzialności za potencjalne naruszenia prawa w zakresie danych osobowych, gromadzonych za pomocą wtyczek. W efekcie, by uniknąć kar za naruszenie przepisów dotyczących ochrony danych osobowych, wielu operatorów  będzie musiało odpowiednio dopasować swoje strony internetowe.

Czytaj również: Masz przycisk „Like” Facebooka na stronie? Możesz być administratorem danych >>
 

Dane pobrane już na wejściu

Z perspektywy ochrony danych osobowych problematyczny jest mechanizm działania wtyczki społecznościowej „Lubię to”. Już samo wejście na stronę internetową, która zawiera taką wtyczkę, powoduje automatyczne przekazanie serwisowi społecznościowemu Facebook danych użytkownika, takich jak adres IP czy pliki typu cookie. Facebook otrzymuje w ten sposób dane użytkownika odwiedzającego stronę internetową, czego użytkownicy mogli dotychczas nie być świadomi. Dla przekazania danych Facebookowi nie jest przy tym nawet konieczne kliknięcie przycisku "Lubię to", ani nawet posiadanie konta na portalu Facebook.

Administrator współodpowiedzialny za przetwarzanie

Najnowsze orzeczenie TSUE z końca lipca 2019 r. wyraźnie wskazuje, że administratorzy stron internetowych są wspólnie z Facebookiem odpowiedzialni za przetwarzanie danych osobowych. Ostatecznie oba te podmioty wspólnie określają „cele i sposoby” gromadzenia, a następnie transmisji danych osobowych, mając nadzieję na uzyskanie dzięki temu dodatkowej reklamy, a w dalszej kolejności związanej z tym korzyści komercyjnej.
Oznacza to, że operatorzy stron internetowych mają obowiązek informować swoich użytkowników o przekazywaniu danych za pomocą wtyczki społecznościowej „Lubię to”. Według TSUE na operatorach stron internetowych nie ciąży jednak obowiązek informacyjny co do dalszego przetwarzania danych przez Facebook. 

 

Inne wtyczki też

Skutki orzeczenia dotyczą przy tym nie tylko wtyczki społecznościowej „Lubię to” Facebooka, ale także wtyczek innych portali społecznościowych (Twitter, LinkedIn, Pinterest etc.), które powodują automatyczne przekazanie danych do firmy z branży mediów społecznościowych, na tej samej zasadzie co wtyczka Facebooka. W przyszłości okaże się, czy oprócz obowiązku dostarczenia informacji o przetwarzaniu danych osobowych, konieczne będzie również uzyskanie zgody użytkowników. TSUE w swoim orzeczeniu świadomie pozostawił tę kwestię otwartą.
Należy dodać, że zgodnie z orzeczeniem, oprócz krajowych organów ochrony danych osobowych, do zgłaszania podobnych naruszeń uprawnione są także organizacje konsumenckie. Ponieważ organizacje te niejednokrotnie ścigają naruszenia prawa ochrony danych osobowych w sposób bardziej zdecydowany niż organy państwowe, administratorzy stron internetowych prawdopodobnie będą musieli w niedalekiej przyszłości stawić czoła większej niż dotychczas liczbie postępowań inicjowanych przez takie organizacje. W celu uniknięcia surowych kar wskazane jest uzyskanie przez przedsiębiorców porady prawnej w sprawie wymogów w zakresie ochrony danych osobowych.

Fundamentalna definicja administratora

Pytania rozstrzygane przez TSUE w opisanej sprawie dotyczyły co prawda jeszcze poprzedniego stanu prawnego i odpowiednich regulacji dyrektywy 95/46/WE obowiązującej przed wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO), tym niemniej Trybunał dokonał analizy fundamentalnego dla całego prawnego systemu ochrony danych osobowych pojęcia administratora danych osobowych, przez co jego rozważania pozostają aktualne także na gruncie obowiązujących obecnie przepisów RODO. Orzeczenie stanowi interesujący przykład szerokiej interpretacji, w ramach której Trybunał wyszedł ze słusznego założenia, że celem szerokiej definicji pojęcia administratora jest zapewnienie  osobom, których dane dotyczą, skutecznej i pełnej ochrony prawnej. 
Nawiązując do wcześniejszych wypowiedzi TSUE w tym zakresie, Trybunał potwierdził, że wbrew intuicyjnemu przekonaniu, brak dostępu do danych nie przekłada się automatycznie na pozbawienie przymiotu administratora, o ile dany podmiot (samodzielnie lub wspólnie z innymi podmiotami) określa cele i sposoby przetwarzania danych osobowych.

 

Cena promocyjna: 53.1 zł

|

Cena regularna: 59 zł

|

Najniższa cena w ostatnich 30 dniach: zł


Dwa podmioty określają zasady

Zdecydowanie ciekawsze są natomiast rozważania Trybunału zmierzające do uzasadnienia udziału operatora strony internetowej w określaniu celów i sposobów przetwarzania danych. Instalując wtyczkę dostarczoną przez popularną platformę społecznościową operator miałby – w ocenie TSUE – w sposób dorozumiany wyrażać zgodę na gromadzenie i transmisję danych użytkowników strony. Ta okoliczność jak również fakt, że proces ten realizuje gospodarcze interesy zarówno operatora strony internetowej jak i platformy społecznościowej, są zdaniem Trybunału wystarczające do uznania, że oba podmioty wspólnie określają cele i sposoby przetwarzania danych osobowych. Jeszcze bardziej dosadny w tym zakresie był rzecznik generalny Michal Bobek stwierdzając w swojej opinii, że operator strony internetowej  „(współ)ustala parametry odnoszące się do gromadzonych danych po prostu z tej przyczyny, że umieszcza na swojej stronie internetowej przedmiotową wtyczkę”.  

Dużo zależy od dostawcy wtyczki

Od strony technologicznej funkcjonowanie wtyczki jest niejako predefiniowane przez jej dostawcę, co ma bardzo istotne przełożenie zarówno na cele, jak i sposoby przetwarzania danych, które mogą być rzeczywiście realizowane przy użyciu wtyczki. W tym kontekście rola operatora strony internetowej jest zdecydowanie bardziej bierna i zasadniczo sprowadza się do skorzystania z kompletnego rozwiązania technologicznego dostarczonego przez podmiot trzeci (konkretnie do podjęcia, a następnie zrealizowania decyzji o zainstalowaniu wtyczki). Nie sposób więc oprzeć się wrażeniu, że przeprowadzony przez Trybunał wywód nie jest do końca spójny z charakterem analizowanej technologii i zasadami jej funkcjonowania. Reprezentowany przez TSUE pogląd nie jest więc wolny od kontrowersji i bez wątpienia istotne znaczenie będzie miał kierunek, w którym rozwinie się zaproponowana przez Trybunał wykładnia.
 
Autorzy: Andreas Schütz, LL.M., adwokat, partner w Taylor Wessing w Wiedniu,  Przemysław Walasek, LL.M., adwokat, partner w Taylor Wessing w Warszawie