Trybunał Sprawiedliwości Unii Europejskiej orzekł, że administrator fanpage’a ponosi taką samą odpowiedzialność za przetwarzanie danych użytkowników jak sam Facebook. Ma bowiem dostęp do anonimowych danych statystycznych, zbieranym dzięki plikom cookies. A te - w niektórych okolicznościach - można już uznać za dane osobowe.
Orzeczenie Trybunału dotyczyło firmy Wirtschaftsakademie. Regionalny organ ds. ochrony danych kraju związkowego Szlezwik-Holsztyn nakazał zamknięcie fanpage'a, po tym jak okazało się, że nie informowała ona użytkowników o tym, że za pomocą plików cookies gromadzi ich dane osobowe, a następnie przetwarza je w celach marketingowych.
Firma odwołała się od decyzji urzędu, twierdząc, że dane były zanonimizowane i nie miała nad nimi kontroli, wobec czego trudno uznać jej odpowiedzialność za równoznaczną z tą, jaką ponosi Facebook. Po latach sprawa trafiła do Trybunału, który nie zgodził się jednak z tą argumentacją i podtrzymał poprzednie orzeczenie.
Uznał, że korzystanie z platformy oferowanej przez Facebooka, nie zwalnia z obowiązków chronienia danych, tym bardziej, że już samo ustalenie parametrów np. kampanii marketingowych na podstawie dostępnych o użytkownikach informacji, opiera się na przetwarzaniu danych. Z tym wnioskiem nie zgadzają się jednak nie tylko - co oczywiste - administratorzy stron, ale także niektórzy eksperci.
Jakie są prawne konsekwencje orzeczenia TSUE ws. administratorów fanpage'y?
Magdalena Czaplińska partner w SBC Kancelarii Radców Prawnych, przypominając, że pliki cookies rzeczywiście mogą zostać uznane ze dane osobowe, wymienia wszystkie aspekty związane z RODO. Zgodnie z wymogami Rozporządzenia, administratorzy będą więc musieli zadbać o wszystkie zgody, spełnienie obowiązków informacyjnych i odpowiednią ochronę danych.
- Konsekwencje prawne posiadania statusu podmiotowego administratora danych oznaczają konieczność wdrożenia w firmie systemu ochrony danych zgodnego z RODO. Wprowadzenie systemu ochrony danych osobowych zgodnie z RODO będzie wymagało podjęcia aktywności firmy w obszarach dotyczących wykonania obowiązków informacyjnych, analizy klauzul zgód, zawarcia umów powierzenia przetwarzania danych, dokonania oceny ryzyka, przygotowania dokumentacji wykazującej spełnienie zasady rozliczalności danych osobowych, zaprojektowania procedury zgłaszania naruszeń i obsługi wniosków osób, których prawa dotyczą i sporządzenia rejestru czynności przetwarzania. W zależności od skali działalności firmy będą musiały podjąć decyzje co do wyznaczenia Inspektora Ochrony Danych.
- Magdalena Czaplińska, radca prawny, partner w SBC Kancelarii Radców Prawnych.
[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]
Zasadność orzeczenia Trubunału, który - mimo że RODO nie jest w tym względnie precyzyjne - uznał, że pliki cookie są daną osobową, budzi jednak wątpliwości wśród ekspertów. dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy, uważa, że Trybunał, zrównując odpowiedzialność administratorów fanpage'y i Facebook, poszedł w swojej interpretacji zbyt daleko.
Administrator fanpage’a nie ma dostępu do danych osobowych użytkowników takiej strony internetowej. Statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane administratorowi fanpage’a wyłącznie w formie zanonimizowanej.
- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.
[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]
Czy orzeczenie TSUE jest wiążące dla sądów?
Bez względu na samą treść orzeczenia i ocenę jej interpretacji, dla europejskich przedsiębiorców istotne jest także to, czy jest ono wiążące. Niestety, sprawa nie jest prosta, bo choć - jak podkreśla dr. Matuszczak - wyrok zapadł w trybie prejudycjalnym, a takie orzeczenia nie stanowią formalnie precedensów, to w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.
Wyrok w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH zapadł w trybie prejudycjalnym. W tym trybie sądy państw członkowskich Unii Europejskiej zwracają się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami dotyczącymi wykładni Traktatów i innych aktów prawa europejskiego. Orzeczenia prejudycjalne wiążą sąd w danej sprawie, w której sąd zadał Trybunałowi pytanie, co do interpretacji przepisów prawa europejskiego. Orzeczenia te nie mają powszechniej mocy wiążącej (wobec wszystkich) i nie stanowią formalnie precedensów. Jednak w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.
W tym przypadku nie mamy jeszcze do czynienia z linią orzecznictwa TSUE. Nic nie stoi na przeszkodzie, aby któryś z sądów krajowych zwrócił się do Trybunału z pytaniem prawnym dotyczącym zagadnienia wcześniej rozstrzygniętego przez TSUE. Trybunał może w takim przypadku zmodyfikować swoje wcześniejsze stanowisko, choć w praktyce nie jest to częste. Komentowane orzeczenie TSUE nie jest zatem na pewno obowiązującym prawem, ale stanowi istotny sygnał dla przedsiębiorców korzystających aktywnie z portali społecznościowych jako administratorzy profili (fanpage’ów) firmowych.
- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.
Dodaj komentarz
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo zalogować przez Facebooka