RODO

Wtyczka Facebooka a RODO (wyrok ws. Fashion ID)

Wielu z nas umieszcza na swoich stronach internetowych, blogach czy witrynach sklepów internetowych wtyczki Facebooka „Lubię to”. Umieszczenie takiej wtyczki zajmuje kilka chwil i może przynieść operatorowi strony internetowej wymierne korzyści biznesowe i sprzedażowe. Mimo tego, że Trybunał Sprawiedliwości Unii Europejskie już w lipcu 2019 r. wypowiedział się na temat obowiązków operatora witryny internetowej związanych z umieszczeniem i utrzymywaniem takiej wtyczki na stronie, niewielu operatorów nadal wie, co trzeba z tym zrobić.

O jaką wypowiedź TSUE chodzi? W dniu 29 lipca 2019 r. TSUE wydał bardzo głośny wyrok w sprawie Fashion ID (dla dociekliwych: sygnatura akt C-40/17). O co chodziło w tej sprawie?

Fashion ID to firma zajmująca się sprzedażą modnej odzieży online. Na swojej stronie internetowej umieściła (jak wielu z nas) wtyczkę społecznościową „Lubię to” Facebooka. Nie spodobało się to stowarzyszeniu Verbraucherzentrale NRW zajmującemu się ochroną interesów konsumentów. Zarzut był taki: Fashion ID poprzez umieszczenie na swojej stronie internetowej wtyczki „Lubię to” przekazuje Facebookowi dane osobowe osób odwiedzających stronę Fashion ID bez zgody tych osób i bez wykonania wobec tych osób obowiązku informacyjnego.

Czego zatem dotyczył spór?

Chodziło o rozstrzygnięcie czy Fashion ID odpowiada za przetwarzanie danych osobowych użytkowników swojej strony internetowej w związku umieszczeniem wtyczki „Lubię to” i przekazywanie danych tych osób do Facebooka. Poszło to jednak jeszcze dalej i dotarło aż do pojęcia współadministrowania i właśnie to czyni ten wyrok tak istotnym i tak… niebezpiecznym.

Fashion ID w odpowiedzi na zarzuty Verbraucherzentrale NRW powiedział wyraźnie: nie jestem administratorem danych osobowych w stosunku do danych osób przekazywanych do Facebooka, ponieważ nie mam żadnego wpływu na dane przekazywane przez przeglądarkę osoby odwiedzającej moją stronę ani na to czy i jak Facebook może te dane wykorzystywać. Logiczne na pierwszy rzut oka, prawda?

Otóż TSUE nie zgodził się z tym stanowiskiem, a w sumie to nie zgodził się z nim częściowo. TSUE postawił bardzo śmiałą tezę, że Fashion ID i Facebook wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniana poprzez transmisję. Teza jest o tyle śmiała, że wskazuje wyraźnie na to, że Fashion ID i Facebook są współadministratorami danych osobowych tych osób. Współadministrowanie nie ma tutaj jednak charakteru „totalnego”, a zatem nie obejmuje wszystkich operacji na danych osobowych. TSUE podkreśla, że Fashion ID nie może określać celów i sposobów późniejszych operacji przetwarzania danych osobowych dokonywanych przez Facebook po przekazaniu tych danych do Facebooka. Oznacza to, że Fashion ID nie jest administratorem w odniesieniu do operacji po przekazaniu danych do Facebooka. To ograniczenie odpowiedzialności Fashion ID jednak wcale nie upraszcza sprawy, bo nadal pozostaje obszar wspólnej odpowiedzialności Fashion ID i Facebooka za operacje związane z gromadzeniem danych osób, które odwiedzają stronę internetową Fashion ID i ujawniania tych danych poprzez transmisję.

Dlaczego jest to takie istotne?

Administrator ma szereg obowiązków na gruncie RODO. Jednym z nich jest wykonywanie obowiązku informacyjnego wobec osób, których dane dotyczą. Zatem każdy podmiot, który na swojej stronie internetowej korzysta z wtyczki Facebooka powinien zaktualizować klauzule informacje i informować wszystkie osoby, które wchodzą na jego stronę o tym, że korzysta z takiej wtyczki i przekazuje dane do Facebooka, a zatem przekazuje (po części) dane do Państwa Trzeciego. Dlaczego po części? Otóż Facebook Inc ma siedzibę w Menlo Park (Kalifornia) w Stanach Zjednoczonych, z kolei druga z firm Facebooka czyli Facebook Ireland Ltd ma siedzibę w Dublinie w Irlandii. Zatem przekazywanie danych do Państwa Trzeciego następuje jedynie do Facebook Inc. Na szczęście Facebook Inc jest uczestnikiem programu Tarcza Prywatności, a zatem podstawą przekazania danych będzie art. 45 RODO.

Aktualizacja obowiązku informacyjnego to jednak w sumie nic trudnego, choć wymaga przejrzenia wszystkich naszych klauzul. Najgorsze w wyroku TSUE jest to, że zakłada on (w pewnym wycinku operacji na danych osobowych) współadministrowanie administratora posiadającego stronę i Facebooka. Zaglądając do art. 26 RODO dotyczącego współadministrowania widzimy pewne dodatkowe obowiązki dla obu administratorów. Jednym z nich jest zawarcie uzgodnień dotyczących odpowiedzialności każdego ze współadministratorów. W praktyce najczęściej robi się to za pomocą odrębnych umów o współadministrowanie. Jest to o tyle istotne, że RODO wymusza na każdym administratorze dokumentowanie poszczególnych czynności, procedur czy ustaleń (słynna zasada rozliczalności). Jeśli zatem chcemy być w 100% zgodni z RODO, powinniśmy zawrzeć z Facebookiem umowę o współadministrowanie. Współadministrowanie wymaga również rozbudowania i zmiany klauzul informacyjnych. Jak to zrobić? Otóż odpowiedzi na to pytanie nie ma, bo trudno sobie wyobrazić, aby Facebook był zainteresowany zawieraniem z każdym z operatorów fanpage, który umieszcza wtyczkę na swojej stronie umowy o współadministrowanie.

Wyrok TSUE jest przełomowy jednak nie tylko dlatego, że „nakłada” nowe obowiązki i rodzi problemy, które w praktyce nie do końca da się rozwiązać. Przede wszystkim zrywa on z dotychczas snutym podejściem, że współadministrowania lepiej unikać. TSUE idzie w tym kierunku, że nawet jeśli wspólnie nie ustala się celów i sposobów przetwarzania danych osobowych, a jedynie jest jakaś łączność między administratorami na styku przetwarzania danych, to można mówić o współadministrowaniu. Czy to aby na pewno nie jest zbyt daleko idące?

 

Trzeba powiedzieć wprost: skoro współadministrowanie polega na WSPÓLNYM ustalaniu celów i sposobów przetwarzania przez administratorów (wprost mówi o tym art. 26 ust. 1 RODO), to w jaki sposób przypisać można Fashion ID i Facebookowi tę „wspólnotę”? W naszej ocenie nie jest to możliwe. Skoro tak, to czy wykładnia TSUE nie zahacza przypadkiem o wykładnie contra legem (przeciw prawu)? W końcu to dosłowne brzmienie przepisu powinno nas wiązać w pierwszej kolejności. Niestety TSUE stawia przede wszystkim na ochronę osób, których dane dotyczą, a zatem odrywa swoją interpretację od dosłownego brzmienia przepisu i patrzy na jego cel (którego i tak zbytnio nie widać, patrząc na argumentację TSUE). Czy zatem krytyka tego wyroku jest zasłużona? W naszej ocenie tak, a przynajmniej należy mu się wyraz silnego zdziwienia. Nie zmienia to jednak faktu, że absolutnym minimum dla każdego administratora, który korzysta z wtyczki Facebooka jest odpowiednia aktualizacja obowiązku informacyjnego.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s