wtorek, 3 lipca 2018

Guest post: Administrator fanpage’a współodpowiedzialny za przetwarzanie danych na Facebooku

W dnia 5 czerwca 2018 r., zaledwie kilka dni po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych („RODO”), Trybunał Sprawiedliwości Unii Europejskiej wydał długo wyczekiwany wyrok w sprawie C-210/16 - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) przeciwko Wirtschaftsakademie Schleswig-Holstein Gmbh, który ma fundamentalne znaczenie dla administratorów fanpage’y prowadzonych na Facebooku.

Zgodnie z wyrokiem TSUE, administratorzy fanpage’y prowadzonych na Facebooku ponoszą z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających ich strony. Warto przy tym podkreślić, że choć wyrok zapadł na gruncie dyrektywy 95/46/WE, ustalenia poczynione przez TSUE pozostają aktualne również pod rządami RODO. 

Stan faktyczny sprawy

Sprawa dotyczyła niemieckiej spółki Wirtschaftsakademie Schleswig-Holstein („Wirtschaftsakademie”), która świadczy usługi kształcenia przy użyciu fanpage'a prowadzonego na Facebooku. 

Administratorzy fanpage’ów (tacy jak Wirtschaftsakademie) mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji „Facebook Insights”. Dane te są gromadzone dzięki plikom szpiegującym („pliki cookies”), które są zapisywane na osobistych urządzeniach osób odwiedzających fanpage’e i pozostają aktywne przez okres dwóch lat. W praktyce Facebook otrzymuje, zapisuje i przetwarza dane przechowywane w plikach cookies, gdy osoba korzysta z usług Facebooka, w tym również, gdy odwiedza fanpage’e.

Ze względu na fakt, że ani Wirtschaftsakademie, ani Facebook nie informowali osób odwiedzających fanpage’a o tym, że Facebook gromadził za pomocą plików cookies dotyczące ich dane osobowe oraz że ich dane były przez nich następnie przetwarzane, ULD jako związkowy organ nadzorczy odpowiedzialny za monitorowanie stosowania krajowych przepisów implementujących dyrektywę 95/46/WE, nakazał Wirtschaftsakademie, dezaktywację fanpage’a prowadzonego przez nią na Facebooku.

Wirtschaftsakademie odwołała się od tej decyzji, wskazując, że nie można uznać jej za podmiot odpowiedzialny za przetwarzanie danych osób odwiedzających fanpage dokonywane przez Facebooka, ani za zainstalowane przez niego pliki cookies. W ocenie spółki, ULD powinien podjąć działania bezpośrednio przeciwko Facebookowi, a nie przeciwko Wirtschaftsakademie, która jedynie korzystała z funkcjonalności, którą udostępnia Facebook. 

Sprawa dotarła do Federalnego Sądu Administracyjnego (Bundesverwaltungsgericht), który zawiesił postępowanie i skierował pytania prejudycjalne do TSUE, zmierzając m.in. do ustalenia, czy Wirtschaftsakademie (administrator fanpage’a na Facebooku) może zostać pociągnięty do odpowiedzialności za naruszenie przepisów ochrony danych osobowych, w tym w szczególności, czy może zostać uznany za administratora danych. 

Rozstrzygnięcie TSUE

TSUE nie przychylił się do argumentów Wirtschaftsakademie i stwierdził, że ponosi ona odpowiedzialność za przetwarzanie danych osobowych osób odwiedzających fanpage wspólnie z Facebookiem. Fakt, że administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych.

W ocenie TSUE administrator fanpage’a prowadzonego na Facebooku przyczynia się w ramach tego fanpage’a do określenia, wspólnie z Facebookiem, celów i sposobów przetwarzania danych osobowych osób odwiedzających ów fanpage, co czyni go „administratorem danych” w rozumieniu przepisów o ochronie danych osobowych. 

Zdaniem TSUE, świadczy o tym przede wszystkim fakt, że tworząc fanpage na Facebooku administrator musi podjąć szereg działań polegających m.in. na ustaleniu parametrów zależnych od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a.

Za pomocą filtrów udostępnionych przez Facebook, administrator może również zdefiniować kryteria, na podstawie których sporządzane będą statystyki, w tym określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. Czynniki te sprawiają, że administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.

TSUE zwrócił jednocześnie uwagę, że administrator fanpage’a może zwrócić się o udzielenie (tj. przetworzenie) danych demograficznych dotyczących jego użytkowników docelowych, w tym m.in. tendencji w zakresie wieku, płci, stanu cywilnego i statusu zawodowego, informacji na temat stylu życia czy zainteresowań jego użytkowników docelowych, co pozwala mu ustalić, jak najlepiej ukierunkować swoją ofertę informacyjną (np. jakie produkty przecenić, jakie wydarzenia zorganizować, itp.).

TSUE odróżnił zwykłych użytkowników Facebooka od administratorów fanpage’y, wskazując, że wyłączenie ci ostatni są współodpowiedzialni za przetwarzanie danych osobowych dokonywane przez ten portal. Tworząc taką stronę umożliwiają oni Facebookowi możliwość zapisania plików cookies na komputerze lub na innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie.

Wspólna odpowiedzialność nie zawsze będzie jednak oznaczać jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie. TSUE zgodził się w tym zakresie z rzecznikiem generalnym (opinia), który w swojej opinii wskazał, że zakres odpowiedzialności każdego z tych podmiotów (tutaj: Facebooka i administratora fanpage’a) powinien być oceniany w oparciu o wszystkie istotne okoliczności danej sprawy. W szczególności, należy uwzględnić, że stopień oraz zakres, w jakim te podmioty mogą wpływać na proces i etapy przetwarzania.

Aktualność wyroku pod rządami RODO (art. 26 RODO)

Omawiany wyrok, który uznaje operatorów fanpage’y na Facebooku za współadministratorów wraz z Facebookiem może mieć daleko idące konsekwencje również pod rządami RODO. Definicje administratora i podmiotu przetwarzającego przewidziane w RODO nie różnią się bowiem zasadniczo od tych, przyjętych na gruncie dyrektywy 95/46/WE. Art. 26 RODO definiuje współadministratorów jako administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania, i nakłada na nich nowe obowiązki, w szczególności zobowiązuje ich do określenia w przejrzysty sposób w drodze wspólnych uzgodnień zakresów swojej odpowiedzialności dotyczącej wypełniania poszczególnych obowiązków wynikających z RODO, a także udostępnienia podmiotom, których dane dotyczą, zasadniczej treści tych uzgodnień. 

Powstaje przy tym zasadnicze pytanie o to, jak w praktyce Facebook i poszczególni administratorzy fanpage’y będą wywiązywać się z tego obowiązku. Mając na względzie brak równowagi między stronami takich uzgodnień, wydaje się, że taka sytuacja daje potencjalne pole do nadużyć ze strony Facebooka i podobnych „nieodzownych” partnerów, którzy, mając ewidentną przewagę konkurencyjną i siłę przetargową, mogliby w drodze uzgodnień przenieść odpowiedzialność za wykonanie większości obowiązków na administratorów fanpage’y. Ci ostatni natomiast, których działalność uzależniona jest od obecności na Facebooku, nie mieliby innego wyjścia jak tylko zaakceptować warunki narzucone im przez dominujących graczy w uzgodnieniach („take-it-or-leave-it”). Wydaje się, że Trybunał nie dostrzega, że współadministrowanie mające na celu zapewnienie bardziej efektywnej ochrony danych osobowych, może wiązać się z poważnymi praktycznymi problemami w razie nierówności pozycji obu współadministratorów. 

Autorka: Iga Małobęcka-Szwast

Brak komentarzy: