Sklep, który zamieścił na swojej stronie internetowej powiązany z Facebookiem przycisk „Lubię to!”, odpowiada wspólnie z portalem Marka Zuckerberga za gromadzenie i przekazywanie danych odwiedzających – uznał w poniedziałek Trybunał Sprawiedliwości Unii Europejskiej.
Sprawa dotyczyła niemieckiego internetowego sklepu z odzieżą Fashion ID, który umieścił na swojej witrynie faceboookowy przycisk „Lubię to!”. Powodowało to przekazanie danych użytkowników wchodzących na stronę portalowi społecznościowemu, i to niezależnie od tego, czy mieli oni konto na FB, a nawet czy kliknęli w sam przycisk. Działające w Niemczech stowarzyszenie zajmujące się obroną interesów konsumentów zarzuciło sklepowi, że przekazuje dane bez zgody internautów oraz nie dopełnia obowiązku informacyjnego.
Rozpatrujący sprawę sąd w Duesseldorfie zwrócił się do TSUE z pytaniem o interpretacje przepisów dyrektywy o ochronie danych osobowych z 1995 r. (która nadal ma zastosowanie w tej sprawie, choć została już zastąpiona przez RODO). Trybunał uznał, że Fashion ID nie może odpowiadać za przetwarzanie danych przez Facebooka po ich przekazaniu, gdyż nie określa celu i sposobu ich przetwarzania. Jest natomiast wspólnie z portalem administratorem danych w odniesieniu do operacji ich gromadzenia i przekazania Facebookowi, gdyż zdaniem TSUE obie strony wspólnie ustalają sposoby i cele tych operacji.
Ze strony Fashion ID takim celem jest lepsze dopasowanie reklam na Facebooku i uczynienie ich bardziej widocznymi dla osób, które kliknęły w przycisk „Lubię to!”. Umieszczając u siebie ten przycisk w celu osiągnięcia korzyści handlowych, sklep w sposób dorozumiany zgodził się na przekazywanie danych odwiedzających Facebookowi. Jest to rekompensata dla portalu za udogodnienia udzielone sklepowi. Działanie to leży więc w interesie obu spółek, dlatego obie należy uznać za administrujące danymi.
W związku z tym Fashion ID jako współadministrator danych musi w momencie ich gromadzenia przekazać użytkownikowi wymagane prawem informacje (np. kto i po co zbiera dane). Musi też uzyskać zgodę użytkownika na operacje na danych (ale tylko te, których jest współadministratorem, czyli zebranie i przekazanie ich Facebookowi). Jeśli zaś administratorzy chcieliby przetwarzać dane ze względu na konieczność realizacji swojego uzasadnionego interesu, każdy z nich musi wykazać go osobno.
Wyrok ten, choć wiążący tylko w tej konkretnej sprawie, w której złożono pytanie, jest ważny dla podmiotów w całej Unii. Wiele sklepów i witryn internetowych umieszcza bowiem na swojej stronie przyciski połączone z Facebookiem albo innymi portalami społecznościowymi. Ponadto orzeczenie to wpisuje się w linię przyjętą przez Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 5 czerwca 2018 r. (sygn. akt C-210/16), w którym uznał on, że także administrator facebookowego fanpage’a odpowiada wspólnie z samym portalem za przetwarzanie danych osób go odwiedzających.
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 29 lipca 2019 r. w sprawie C-40/17.