Administrator fanpage'a odpowiada za dane ta samo jak Facebook - uznał TSUE. Jakie konsekwencje rodzi to orzeczenie?

Trybunał Sprawiedliwości Unii Europejskiej orzekł, że administrator fanpage’a ponosi taką samą odpowiedzialność za przetwarzanie danych użytkowników jak sam Facebook. Ma bowiem dostęp do anonimowych danych statystycznych, zbieranym dzięki plikom cookies. A te - w niektórych okolicznościach - można już uznać za dane osobowe.

Orzeczenie Trybunału dotyczyło firmy Wirtschaftsakademie. Regionalny organ ds. ochrony danych kraju związkowego Szlezwik-Holsztyn nakazał zamknięcie fanpage'a, po tym jak okazało się, że nie informowała ona użytkowników o tym, że za pomocą plików cookies gromadzi ich dane osobowe, a następnie przetwarza je w celach marketingowych.

Firma odwołała się od decyzji urzędu, twierdząc, że dane były zanonimizowane i nie miała nad nimi kontroli, wobec czego trudno uznać jej odpowiedzialność za równoznaczną z tą, jaką ponosi Facebook. Po latach sprawa trafiła do Trybunału, który nie zgodził się jednak z tą argumentacją i podtrzymał poprzednie orzeczenie.

Uznał, że korzystanie z platformy oferowanej przez Facebooka, nie zwalnia z obowiązków chronienia danych, tym bardziej, że już samo ustalenie parametrów np. kampanii marketingowych na podstawie dostępnych o użytkownikach informacji, opiera się na przetwarzaniu danych. Z tym wnioskiem nie zgadzają się jednak nie tylko - co oczywiste - administratorzy stron, ale także niektórzy eksperci. 

Jakie są prawne konsekwencje orzeczenia TSUE ws. administratorów fanpage'y? 

Magdalena Czaplińska partner w SBC Kancelarii Radców Prawnych, przypominając, że pliki cookies rzeczywiście mogą zostać uznane ze dane osobowe, wymienia wszystkie aspekty związane z RODO. Zgodnie z wymogami Rozporządzenia, administratorzy będą więc musieli zadbać o wszystkie zgody, spełnienie obowiązków informacyjnych i odpowiednią ochronę danych. 

- Konsekwencje prawne posiadania statusu podmiotowego administratora danych oznaczają konieczność wdrożenia w firmie systemu ochrony danych zgodnego z RODO. Wprowadzenie systemu ochrony danych osobowych zgodnie z RODO będzie wymagało podjęcia aktywności firmy w obszarach dotyczących wykonania obowiązków informacyjnych, analizy klauzul zgód, zawarcia umów powierzenia przetwarzania danych, dokonania oceny ryzyka, przygotowania dokumentacji wykazującej spełnienie zasady rozliczalności danych osobowych, zaprojektowania procedury zgłaszania naruszeń  i obsługi wniosków osób, których prawa dotyczą i sporządzenia rejestru czynności przetwarzania. W zależności od skali działalności firmy będą musiały podjąć decyzje co do wyznaczenia Inspektora Ochrony Danych.

- Magdalena Czaplińska, radca prawny, partner w SBC Kancelarii Radców Prawnych.

[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]

Zasadność orzeczenia Trubunału, który - mimo że RODO nie jest w tym względnie precyzyjne - uznał, że pliki cookie są daną osobową, budzi jednak wątpliwości wśród ekspertów. dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy, uważa, że Trybunał, zrównując odpowiedzialność administratorów fanpage'y i Facebook, poszedł w swojej interpretacji zbyt daleko. 

Administrator fanpage’a nie ma dostępu do danych osobowych użytkowników takiej strony internetowej. Statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane administratorowi fanpage’a wyłącznie w formie zanonimizowanej. 

- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.

[PEŁNY KOMENTARZ PRZECZYTASZ TUTAJ]

Czy orzeczenie TSUE jest wiążące dla sądów?

Bez względu na samą treść orzeczenia i ocenę jej interpretacji, dla europejskich przedsiębiorców istotne jest także to, czy jest ono wiążące. Niestety, sprawa nie jest prosta, bo choć - jak podkreśla dr. Matuszczak - wyrok zapadł w trybie prejudycjalnym, a takie orzeczenia nie stanowią formalnie precedensów, to w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.

Wyrok w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH zapadł w trybie prejudycjalnym. W tym trybie sądy państw członkowskich Unii Europejskiej zwracają się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami dotyczącymi wykładni Traktatów i innych aktów prawa europejskiego. Orzeczenia prejudycjalne wiążą sąd w danej sprawie, w której sąd zadał Trybunałowi pytanie, co do interpretacji przepisów prawa europejskiego. Orzeczenia te nie mają powszechniej mocy wiążącej (wobec wszystkich) i nie stanowią formalnie precedensów. Jednak w praktyce sądy krajowe z reguły kierują się w późniejszym orzecznictwie linią wyznaczoną przez TSUE.

W tym przypadku nie mamy jeszcze do czynienia z linią orzecznictwa TSUE. Nic nie stoi na przeszkodzie, aby któryś z sądów krajowych zwrócił się do Trybunału z pytaniem prawnym dotyczącym zagadnienia wcześniej rozstrzygniętego przez TSUE. Trybunał może w takim przypadku zmodyfikować swoje wcześniejsze stanowisko, choć w praktyce nie jest to częste. Komentowane orzeczenie TSUE nie jest zatem na pewno obowiązującym prawem, ale stanowi istotny sygnał dla przedsiębiorców korzystających aktywnie z portali społecznościowych jako administratorzy profili (fanpage’ów) firmowych.

- dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy.