Administrator fanpage'a odpowiada za dane ta samo jak Facebook - uznał TSUE. Jakie konsekwencje rodzi to orzeczenie?

Jest ono kontrowersyjne nie tylko z punktu widzenia administratorów.

Trybunał Sprawiedliwości Unii Europejskiej orzekł, że administrator fanpage’a ponosi taką samą odpowiedzialność za przetwarzanie danych użytkowników jak sam Facebook. Ma bowiem dostęp do anonimowych danych statystycznych, zbieranym dzięki plikom cookies. A te - w niektórych okolicznościach - można już uznać za dane osobowe.

Orzeczenie Trybunału dotyczyło firmy Wirtschaftsakademie. Regionalny organ ds. ochrony danych kraju związkowego Szlezwik-Holsztyn nakazał zamknięcie fanpage'a, po tym jak okazało się, że nie informowała ona użytkowników o tym, że za pomocą plików cookies gromadzi ich dane osobowe, a następnie przetwarza je w celach marketingowych.

Firma odwołała się od decyzji urzędu, twierdząc, że dane były zanonimizowane i nie miała nad nimi kontroli, wobec czego trudno uznać jej odpowiedzialność za równoznaczną z tą, jaką ponosi Facebook. Po latach sprawa trafiła do Trybunału, który nie zgodził się jednak z tą argumentacją i podtrzymał poprzednie orzeczenie.

Uznał, że korzystanie z platformy oferowanej przez Facebooka, nie zwalnia z obowiązków chronienia danych, tym bardziej, że już samo ustalenie parametrów np. kampanii marketingowych na podstawie dostępnych o użytkownikach informacji, opiera się na przetwarzaniu danych. Z tym wnioskiem nie zgadzają się jednak nie tylko - co oczywiste - administratorzy stron, ale także niektórzy eksperci. 

Jakie są prawne konsekwencje orzeczenia TSUE ws. administratorów fanpage'y? 

Magdalena Czaplińska partner w SBC Kancelarii Radców Prawnych, przypominając, że pliki cookies rzeczywiście mogą zostać uznane ze dane osobowe, wymienia wszystkie aspekty związane z RODO. Zgodnie z wymogami Rozporządzenia, administratorzy będą więc musieli zadbać o wszystkie zgody, spełnienie obowiązków informacyjnych i odpowiednią ochronę danych. 

- Konsekwencje prawne posiadania statusu podmiotowego administratora danych oznaczają konieczność wdrożenia w firmie systemu ochrony danych zgodnego z RODO. Wprowadzenie systemu ochrony danych osobowych zgodnie z RODO będzie wymagało podjęcia aktywności firmy w obszarach dotyczących wykonania obowiązków informacyjnych, analizy klauzul zgód, zawarcia umów powierzenia przetwarzania danych, dokonania oceny ryzyka, przygotowania dokumentacji wykazującej spełnienie zasady rozliczalności danych osobowych, zaprojektowania procedury zgłaszania naruszeń  i obsługi wniosków osób, których prawa dotyczą i sporządzenia rejestru czynności przetwarzania. W zależności od skali działalności firmy będą musiały podjąć decyzje co do wyznaczenia Inspektora Ochrony Danych.

- Magdalena Czaplińska, radca prawny, partner w SBC Kancelarii Radców Prawnych.

[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]

Zasadność orzeczenia Trubunału, który - mimo że RODO nie jest w tym względnie precyzyjne - uznał, że pliki cookie są daną osobową, budzi jednak wątpliwości wśród ekspertów. dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy, uważa, że Trybunał, zrównując odpowiedzialność administratorów fanpage'y i Facebook, poszedł w swojej interpretacji zbyt daleko. 

Administrator fanpage’a nie ma dostępu do danych osobowych użytkowników takiej strony internetowej. Statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane administratorowi fanpage’a wyłącznie w formie zanonimizowanej. 

- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.

[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]

Czy orzeczenie TSUE jest wiążące dla sądów?

Bez względu na samą treść orzeczenia i ocenę jej interpretacji, dla europejskich przedsiębiorców istotne jest także to, czy jest ono wiążące. Niestety, sprawa nie jest prosta, bo choć - jak podkreśla dr. Matuszczak - wyrok zapadł w trybie prejudycjalnym, a takie orzeczenia nie stanowią formalnie precedensów, to w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.

Wyrok w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH zapadł w trybie prejudycjalnym. W tym trybie sądy państw członkowskich Unii Europejskiej zwracają się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami dotyczącymi wykładni Traktatów i innych aktów prawa europejskiego. Orzeczenia prejudycjalne wiążą sąd w danej sprawie, w której sąd zadał Trybunałowi pytanie, co do interpretacji przepisów prawa europejskiego. Orzeczenia te nie mają powszechniej mocy wiążącej (wobec wszystkich) i nie stanowią formalnie precedensów. Jednak w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.

W tym przypadku nie mamy jeszcze do czynienia z linią orzecznictwa TSUE. Nic nie stoi na przeszkodzie, aby któryś z sądów krajowych zwrócił się do Trybunału z pytaniem prawnym dotyczącym zagadnienia wcześniej rozstrzygniętego przez TSUE. Trybunał może w takim przypadku zmodyfikować swoje wcześniejsze stanowisko, choć w praktyce nie jest to częste. Komentowane orzeczenie TSUE nie jest zatem na pewno obowiązującym prawem, ale stanowi istotny sygnał dla przedsiębiorców korzystających aktywnie z portali społecznościowych jako administratorzy profili (fanpage’ów) firmowych.

- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.

Magdalena Czaplińska, radca prawny, partner w SBC Kancelarii Radców Prawnych:

Wyrok ETS w sprawie C 210/16 dla firm, którym na fanpage'u została przypisana rola administratora oznacza uznanie tych firm za samodzielnych administratorów danych osobowych w rozumieniu RODO. Poprzez stwierdzenie wyroku, że administrator na fanpage'u podejmując działania polegające na ustaleniu parametrów uczestniczy w określeniu celów i sposobów przetwarzania danych osób odwiedzających fanpage'a ETS odniósł się do definicji administratora z RODO, która poprzez odesłanie do celu i sposobu definiuje status podmiotowy administratora danych osobowych.

Konsekwencje prawne posiadania statusu podmiotowego administratora danych oznaczają konieczność wdrożenia w firmie systemu ochrony danych zgodnego z RODO. Wprowadzenie systemu ochrony danych osobowych zgodnie z RODO będzie wymagało podjęcia aktywności firmy w obszarach dotyczących wykonania obowiązków informacyjnych, analizy klauzul zgód, zawarcia umów powierzenia przetwarzania danych, dokonania oceny ryzyka, przygotowania dokumentacji wykazującej spełnienie zasady rozliczalności danych osobowych, zaprojektowania procedury zgłaszania naruszeń  i obsługi wniosków osób, których prawa dotyczą i sporządzenia rejestru czynności przetwarzania. W zależności od skali działalności firmy będą musiały podjąć decyzje co do wyznaczenia Inspektora Ochrony Danych.

„Cookies” identyfikują dane komputera i przeglądarki używanych do przeglądania stron internetowych. Z punktu widzenia definicji danych osobowych zawartej w RODO nie można wykluczyć sytuacji, w której będą mogły zostać uznane za informacje o możliwej do zidentyfikowania osobie, zwłaszcza, że definicja ta nie jest kazuistyczna. Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a możliwa do zidentyfikowania osoba fizyczna to osoba, która można pośrednio lub bezpośrednio zidentyfikować. Według takiego rozumienia to zakres informacji o osobach fizycznych posiadanych przez administratora w ramach prowadzonej działalności będzie decydował o tym jakie informacje będą ostatecznie danymi osobowymi.

dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy:

Wyrok w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH zapadł w trybie prejudycjalnym. W tym trybie sądy państw członkowskich Unii Europejskiej zwracają się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami dotyczącymi wykładni Traktatów i innych aktów prawa europejskiego. Orzeczenia prejudycjalne wiążą sąd w danej sprawie, w której sąd zadał Trybunałowi pytanie, co do interpretacji przepisów prawa europejskiego. Orzeczenia te nie mają powszechniej mocy wiążącej (wobec wszystkich) i nie stanowią formalnie precedensów. Jednak w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.

W tym przypadku nie mamy jeszcze do czynienia z linią orzecznictwa TSUE. Nic nie stoi na przeszkodzie, aby któryś z sądów krajowych zwrócił się do Trybunału z pytaniem prawnym dotyczącym zagadnienia wcześniej rozstrzygniętego przez TSUE. Trybunał może w takim przypadku zmodyfikować swoje wcześniejsze stanowisko, choć w praktyce nie jest to częste. Komentowane orzeczenie TSUE nie jest zatem na pewno obowiązującym prawem, ale stanowi istotny sygnał dla przedsiębiorców korzystających aktywnie z portali społecznościowych jako administratorzy profili (fanpage’ów) firmowych.

Odnosząc się do treści orzeczenia, Trybunał stwierdził, że „art. 2 lit. d) dyrektywy 95/46 powinien być interpretowany w ten sposób, iż pojęcie „administratora danych” w rozumieniu tego przepisu (art. 4 pkt 7 RODO formułuje definicję „administratora danych” bardzo podobnie) obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym”. Jednak jednocześnie wyjaśnił, że istnienie wspólnej odpowiedzialności (administratora fanpage’a oraz administratora portalu społecznościowego) niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy. Rozszerzająca interpretacja Trybunału – motywowana chęcią zabezpieczenia interesów osób, których dane są przetwarzane – odnosi się bardziej do wspólnej odpowiedzialności z administratora fanpage’a z administratorem portalu społecznościowego (w tym przypadku Facebook Ireland) za przetwarzanie danych, niż do zrównania obowiązków obu tych podmiotów w zakresie ochrony danych osobowych. Główny zarzut stawiany administratorowi fanpage’a polegał na nieinformowaniu użytkowników fanpage’a o zbieraniu danych na ich temat. Odpowiedź TSUE udzielona w orzeczeniu wskazywała, że spółka Wirtschaftsakademie Schleswig-Holstein GmbH miała taki obowiązek, jako administrator fanpage’a.

Niezależnie od powyższych zastrzeżeń łagodzących nieco wydźwięk orzeczenia TSUE, moim zdaniem, Trybunał poszedł zbyt daleko w swojej interpretacji. TSUE sam przyznaje, że fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal. Jednocześnie z faktu, że administrator fanpage’a prowadzonego na Facebooku, tworzy taką stronę i daje w ten sposób Facebookowi możliwość zapisania plików cookies na komputerze lub na innym urządzeniu osoby odwiedzającej jego fanpage’a (bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie), wywodzi wniosek, iż administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę, a zatem jest współodpowiedzialny za takie przetwarzanie. Jest to, w moim przekonaniu, wniosek nieuzasadniony. Administrator fanpage’a nie ma dostępu do danych osobowych użytkowników takiej strony internetowej. Statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane administratorowi fanpage’a wyłącznie w formie zanonimizowanej. Informacje anonimowe nie stanowią danych osobowych. Skoro sporządzanie tych statystyk opiera się na wcześniejszym gromadzeniu, za pomocą plików cookies instalowanych przez Facebook na komputerach lub na wszelkich innych urządzeniach osób odwiedzających tę stronę, i na przetwarzaniu przez Facebook danych osobowych tych osób w celach statystycznych, to podmiotem wyłącznie odpowiedzialnym za przetwarzanie danych osobowych powinien być Facebook.

Pobierz ebook "Ebook: Jak chronić dane w firmie. Kompendium wiedzy dla managerów"