W dniu 5 czerwca 2018 r. Trybunał Sprawiedliwości Unii Europejskiej (zwany dalej „Trybunałem” lub „TS UE”) wydał wyrok w sprawie C-210/16 Wirtschaftsakademie Schleswig-Holstein.

Postępowanie dotyczyło określenia odpowiedzialności za zarządzanie fanpage’m na Facebooku oraz właściwości organów nadzorczych (organów ochrony danych) w sytuacji gdy kontrolowany podmiot działa w kilku państwach członkowskich Unii Europejskiej.

Fanpage to konta użytkowników, które mogą być skonfigurowane na Facebooku przez osoby fizyczne lub przedsiębiorstwa. W tym celu po zarejestrowaniu się na Facebooku autor fanpage’a może wykorzystywać platformę oferowaną przez Facebook do zaprezentowania się użytkownikom tego portalu społecznościowego, jak również osobom odwiedzającym fanpage’a oraz do zamieszczania wszelkiego rodzaju informacji.

Administratorzy fanpage’ów mogą również uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji „Facebook Insights” udostępnionej im nieodpłatnie przez Facebook, przy czym dane te są gromadzone za pomocą plików Cookies. W omawianej sprawie Trybunał uznał po pierwsze, że Facebook Inc. (główna siedziba Facebook’a w USA) oraz Facebook Ireland (uznana przez Facebook’a za główną siedzibę w UE) są administratorami danych użytkowników na Facebook’u. Natomiast odpowiedzialność przedsiębiorstwa lub osoby fizycznej zarządzającej fanpage’m zależy od tego „czy i w jakim zakresie […] przyczynia się [ta osoba lub przedsiębiorstwo] w ramach tego fanpage’a do określenia, wspólnie z Facebook Ireland
i Facebook Inc., celów i sposobów przetwarzania danych osobowych osób odwiedzających ów fanpage”
.

Co ciekawe, jak wskazał Trybunał: „utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.”

Z tego względu Trybunał orzekł, że podmiot zarządzający fanpage’m (administrator fanpage’a) jest również administratorem danych osobowych w rozumieniu dyrektywy 95/46/WE, przy czym jak zaznaczył „istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych.

Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy.”

Drugim elementem wyroku było potwierdzenie przez Trybunał, że organ nadzorczy w danym państwie członkowskim może podejmować działania wobec oddziału przedsiębiorstwa znajdującego się w tym państwie, nawet jeżeli z wewnętrznych ustaleń podjętych w ramach tego przedsiębiorstwa odpowiedzialność za przetwarzanie danych spoczywa na oddziale z innego państwa członkowskiego.