ochrona danych osobowych w internecie

W dniu 29 lipca 2019 r. Trybunał Sprawiedliwości wydał wyrok (C-40/17) w sprawie dotyczącej m.in. przetwarzania danych osobowych przez operatora witryny internetowej, który umieścił w niej wtyczkę społecznościową (a dokładnie wtyczkę Facebooka „Lubię to”) umożliwiającą ujawnianie dostawcy tej wtyczki danych osobowych osoby odwiedzającej witrynę.

***

Nie masz czasu przeczytać całego wpisu? Zobacz nasze e-booki kancelarii, które możesz pobrać i przeczytać w wolnej chwili, w drodze do pracy, w drodze po dzieci, w podróży itp.

***

Wyrok zapadł na gruncie przepisów dyrektywy 95/46, która została uchylona i zastąpiona ze skutkiem od dnia 25 maja 2018 r. rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).

Wyrok ten jest o tyle istotny, że przecież większość obecnie funkcjonujących serwisów internetowych zawiera w swojej treści kody umożliwiające korzystanie z wtyczek typu „lubię to” oferowanej przez Facebook.

Czego dotyczyły pytania sądu krajowego?

Pytania prejudycjalne zadane przez sąd krajowy w Düsseldorfie, na które odpowiedział Trybunał Sprawiedliwości we wspomnianym na wstępie wyroku, wynikały z umieszczenia przez niemiecką spółkę Fashion ID w swojej witrynie internetowej wtyczki społecznościowej „Lubię to” serwisu społecznościowego Facebook.

Z pkt 26 wyroku dowiadujemy się, że:

z postanowienia odsyłającego wynika, że charakterystyczną cechą Internetu jest to, że przeglądarka osoby odwiedzającej witrynę internetową może przedstawiać treści pochodzące z różnych źródeł. I tak, tytułem przykładu, mogą zostać powiązane z daną witryną internetową i być w niej przedstawione zdjęcia, filmy wideo, aktualne informacje oraz rozpatrywany w niniejszej sprawie przycisk „Lubię to” Facebooka. Jeżeli operator witryny internetowej zamierza wstawić takie treści zewnętrzne, zamieszcza on w tej witrynie odnośnik do treści zewnętrznych. Gdy przeglądarka osoby odwiedzającej wspomnianą witrynę natrafia na taki odnośnik, pobiera ona treści zewnętrzne i wstawia je na wskazanym miejscu wyświetlanej witryny. W tym celu przeglądarka przekazuje do serwera dostawcy zewnętrznego adres IP komputera wspomnianej osoby odwiedzającej oraz dane techniczne przeglądarki, tak aby serwer mógł ustalić, w jakim formacie i pod jakim adresem dana treść ma być przesłana. Poza tym przeglądarka przekazuje również informacje dotyczące pożądanych treści. Operator witryny internetowej, który proponuje treści zewnętrzne, umieszczając je w tej witrynie, nie ma możliwości określenia, jakie dane przekazuje przeglądarka ani co dostawca zewnętrzny zrobi z tymi danymi, w szczególności, czy postanowi je przechować i wykorzystać.

Ponadto, z pkt 27 wyroku wynika z kolei, że:

gdy osoba odwiedzająca przegląda witrynę internetową Fashion ID, dane osobowe tej osoby odwiedzającej, ze względu na okoliczność, że witryna ta zawiera wspomniany przycisk, są przekazywane Facebook Ireland. Wydaje się, że to przekazywanie następuje bez wiedzy wspomnianej osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to” Facebooka.

Pytania prejudycjalne – ogólnie rzecz ujmując – dotyczyły zagadnienia administratora danych osobowych oraz legalności przetwarzania danych osobowych. We wpisie nie będziemy wchodzić w szczegóły prawne, skąd pojawiły się wątpliwości sądu odsyłającego, ponieważ wpis ten sprowadzałby się do cytowania zawiłych przepisów prawnych.

ochrona danych osobowych
photo: succo from Pixabay

Jakie były odpowiedzi Trybunału?

Trybunał Sprawiedliwości po przeanalizowaniu przepisów prawa unijnego i krajowego (w przypadku tego sporu prawa niemieckiego) odpowiedział na pytania prejudycjalne m.in. w zakresie administrowania danymi osobowymi i legalności przetwarzania danych osobowych.

Odpowiedzi te były następujące:

2)      Operatora witryny internetowej, takiego jak Fashion ID GmbH & Co. KG, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję.

3)      W sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.

4)      Artykuł 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa. Ponadto art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży również na wspomnianym operatorze, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.

co wynika z wyroku
photo: Lynn Greyling from Pixabay

Co wynika z najnowszego wyroku Trybunału?

W tej sprawie ostatnio wypowiedział się już Urząd Ochrony Danych Osobowych. Dla operatorów stron internetowych wykorzystujących wtyczki społecznościowe ważne jest, aby odpowiednio w tym zakresie wypełniali obowiązek informacyjny wynikający z przepisów RODO (ten akt prawny zastąpił dyrektywę, której dotyczył wyrok). Użytkownik strony internetowej musi wiedzieć bowiem, że jego dane przekazywane są właścicielom serwisów internetowych typu Facebook. Do tego istotne jest, aby przejrzeć dotychczas opublikowane na stronach internetowych polityki bezpieczeństwa i dostosować ich treści w zakresie obowiązków wobec osób fizycznych a związanych z umieszczeniem wspomnianych wtyczek na stronie internetowej. Jeżeli polityka bezpieczeństwa jest częścią regulaminu świadczenia usług drogą elektroniczną, to również tutaj trzeba przejrzeć i w razie konieczności dostosować treść takiego dokumentu.

***

W ramach usług kancelarii oferujemy pomoc prawną w zakresie ochrony danych osobowych, w tym tworzenia odpowiednich dokumentów niezbędnych do zapewnienia legalności działań w zakresie przetwarzania danych osobowych przez przedsiębiorców prowadzących strony internetowe. W razie problemów prawnych zapraszamy do kontaktu.

***

Przeczytaj więcej wpisów na blogu z zakresu prawa związanego z prowadzeniem działalności gospodarczej:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *