W dniu 29 lipca 2019 r. Trybunał Sprawiedliwości wydał wyrok w sprawie C-40 /17, dotyczącej zamieszczenia przez operatora witryny internetowej wtyczki „Lubię to” umożliwiającej transfer danych osobowych użytkowników strony do spółki Facebook Ireland.
Dwóch administratorów
Trybunał uznał, że właściciel takiej strony może być, niezależnie od Facebooka, administratorem danych osobowych, w odniesieniu do gromadzenia i przesyłania do tego portalu społecznościowego danych osobowych osób odwiedzających stronę internetową. Taki podmiot nie jest natomiast, co do zasady, administratorem danych w odniesieniu do dalszego przetwarzania realizowanego przez Facebooka już samodzielnie. Wyrok, choć wydany jeszcze na tle poprzedniego stanu prawnego (dyrektywa 95/46) stanowi kolejną, po wyroku w sprawie C‑210/16 Wirtschaftsakademie Schleswig‑Holstein, wypowiedź Trybunału na temat procesów przetwarzania danych osobowych, w które zaangażowany jest Facebook oraz podmiot prowadzący działalność gospodarczą na lokalnym rynku wykorzystujący funkcjonalności udostępniane przez tego światowego giganta. Choćby z tego powodu wyrok zasługuje na omówienie na naszych łamach.
Stan faktyczny
Wyrok został wydany na tle następującego stanu faktycznego. Fashion ID, spółka zajmująca się sprzedażą odzieży online, umieściła w swojej witrynie internetowej wtyczkę społecznościową „Lubię to” serwisu społecznościowego Facebook. Wtyczka powodowała automatyczne przeniesienie adresu IP danego użytkownika do Facebooka za każdym razem, gdy taki użytkownik wchodził na stronę Fashion ID. Przeniesienie informacji o użytkowniku następowało automatycznie po załadowaniu strony internetowej Fashion ID i – w zdecydowanej większości przypadków – bez wiedzy użytkownika. Co ważne, do przekazywania danych dochodziło także w sytuacjach, gdy użytkownik nie kliknął przycisku „Lubię to” lub nie ma konta na Facebooku. Warto nadmienić, że zamieszczanie tego rodzaju wtyczek stanowi działanie praktykowane przez bardzo wiele podmiotów, także w Polsce.
Verbraucherzentrale NRW, niemieckie stowarzyszenie użyteczności publicznej ochrony interesów konsumentów, zarzuciło Fashion ID przekazywanie Facebookowi danych osobowych należących do osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody, a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych. W odpowiedzi na te zarzuty, Fashion ID zakwestionowała legitymację Verbraucherzentrale NRW do działania w sprawie (stowarzyszenie nie jest bowiem ani podmiotem danych, ani organem nadzorczym właściwym w sprawach ochrony danych osobowych), a także wskazała, że nie jest administratorem danych przekazywanych do Facebooka, ponieważ nie ma żadnego wpływu na dane przekazywane przez przeglądarkę osoby odwiedzającej jej witrynę internetową ani na okoliczność, czy i ewentualnie jak Facebook będzie je dalej wykorzystywać.
Pytania prejudycjalne
Z uwagi na zaistniałe w sprawie wątpliwości interpretacyjne, w ramach procedury prejudycjalnej, wyższy sąd krajowy w Düsseldorfie zwrócił się do Trybunału Sprawiedliwości z kilkoma pytaniami dotyczącymi zarówno legitymacji organizacji takiej jak Verbraucherzentrale NRW do działania w sprawie, jak i przesądzenia, kogo należy uważać w takim procesie za administratora danych oraz – co za tym idzie –
- kto jest odpowiedzialny za realizację obowiązku informacyjnego wobec podmiotów danych,
- na czyją rzecz powinna zostać wyrażona zgoda na przetwarzanie danych (o ile jest wymagana) oraz
- czyje (tj. Fashion ID czy Facebooka) uzasadnione interesy powinny być brane pod uwagę w sytuacji, gdy podstawą prawną przetwarzania jest uzasadniony interes administratora.
Ustalenie administratora danych osobowych
Po stwierdzeniu, że dyrektywa 96/46 nie uniemożliwia państwom członkowskim przyznania organizacjom konsumenckim takim jak Verbraucherzentrale NRW prawa do wniesienia skargi przeciwko administratorom, Trybunał zajął się głównym wątkiem postępowania. Odwołując się do wyroku ws. C‑210/16 Wirtschaftsakademie Schleswig‑Holstein oraz do definicji administratora danych, Trybunał wskazał, że pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych. Trybunał uznał również, że osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych, nawet jeśli nie ma do takich danych dostępu.
Odwołując się z kolei do wyroku ws. C-25/17 Jehovan todistajat, Trybunał przypomniał, że istnienie wspólnej odpowiedzialności (dwóch administratorów danych) niekoniecznie przekłada się na jednakową odpowiedzialność tych podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy.
Tybunał uznał, że Fashion ID umieściła w swojej witrynie internetowej przycisk „Lubię to” Facebooka, udostępniony operatorom witryn internetowych przez Facebook Ireland, prawdopodobnie mając świadomość, że służy on do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami serwisu społecznościowego Facebook, czy nie. Umieszczając z kolei taką wtyczkę na swojej witrynie internetowej, Fashion ID wpłynęła – w ocenie Trybunału – w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających wspomnianą witrynę na rzecz dostawcy wspomnianej wtyczki (tj. Facebooka).
W konsekwencji, w pkt 79-81 uzasadnienia wyroku Trybunał wskazał, że Facebook Ireland i Fashion ID wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniania poprzez transmisję. Zdaniem Trybunału oba podmioty określają również wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym, choć cele te nie są dla nich tożsame. Patrząc z perspektywy Fashion ID, umieszczenie wtyczki „Lubię to” Facebooka w jej witrynie internetowej pozwala na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. Z kolei Facebook w zamian za korzyść zaoferowaną Fashion ID (możliwość zamieszczenia wtyczki) uzyskuje możliwość dysponowania danymi we własnych celach komercyjnych. W konsekwencji Trybunał zajął stanowisko, zgodnie z którym Fashion ID można uznać za administratora w rozumieniu art. 2 lit. d) dyrektywy 95/46, wspólnie z Facebook Ireland, w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających jej witrynę internetową i ich ujawniania poprzez transmisję. Odpowiedzialność Fashion ID jako administratora jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, a mianowicie do gromadzenia danych osobowych użytkowników i ich ujawniania Facebookowi poprzez transmisję.
Wykazanie uzasadnionego interesu, uzyskanie zgody i spełnienie obowiązku informacyjnego
Odpowiadając na dalsze pytania sądu odsyłającego Trybunał wskazał, że, po pierwsze, zarówno Fashion ID, jak i Facebook, powinny wykazać swój uzasadniony interes aby uznać, że dokonywane przez te podmioty operacje przetwarzania danych są względem każdego z nich uzasadnione. Po drugie, w zakresie wymogu uzyskania zgody na przetwarzanie danych osobowych (o ile jest to w ogóle konieczne), jak również wymogu realizacji względem podmiotów danych obowiązku informacyjnego, obowiązki takie powinny dotyczyć operacji lub zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście określa dany administrator. W realiach rozpatrywanej sprawy Trybunał podkreślił, że skoro Fashion ID może zostać uznana za administratora danych wyłącznie w zakresie gromadzenia danych osobowych użytkowników i ich ujawniania Facebookowi poprzez transmisję, to tylko w takim zakresie mogą spoczywać na tej spółce obowiązki administratora. Dlatego też nie rozciągają się one na operacje przetwarzania danych osobowych odnoszące się do pozostałych etapów przetwarzania (realizowanych samodzielnie przez Facebooka).
Podsumowanie
Orzeczenie w tej sprawie traktować można jako potwierdzenie dotychczasowej linii orzeczniczej Trybunału, zarysowanej zwłaszcza w wyroku ws. C‑210/16 Wirtschaftsakademie Schleswig‑Holstein. Wskazano, iż prowadzący witrynę jest administratorem danych osobowych, w zakresie w jakim są one pozyskiwane i przekazywane dalej za pośrednictwem wtyczki Facebooka, a także iż spoczywają na nim związane z tym obwiązki: uzyskania ewentualnej zgody i spełnienia obowiązku informacyjnego. Jednocześnie pośrednio wskazano na mechanizm działania Facebooka, jako podmiotu masowo pozyskującego dane osób tego nieświadomych i często nawet nie będących użytkownikami portalu. Nie powinno wiec dziwić, iż Facebook obok Google stanowi jedno z najistotniejszych wyzwań dla stojących na straży naszej prywatności organów nadzorczych w UE.
Autor: apl. adw. Piotr Wenski
