Finał problematycznej wtyczki. Wyrok TSUE w sprawie ?Lubię to?

13.08.2019, 12:00

Pod koniec ubiegłego roku pisałem o pytaniach prejudycjalnych skierowanych do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie wtyczki społecznościowej „Lubię to”. 29 lipca 2019 r. światło dzienne ujrzał wyrok TSUE rozwiewający wątpliwości podniesione przez Wyższy Sąd Krajowy w Düsseldorfie[1]. Stanowi on istotne narzędzie interpretacji przepisów o ochronie danych osobowych, pod kątem korzystania z podobnych wtyczek przez inne podmioty. Określił bowiem operatora witryny internetowej oraz dostawcę wtyczki mianem współadministratorów.

Dla przypomnienia wskażę, iż całe postępowanie przeciwko niemieckiej spółce zajmującej się sprzedażą rzeczy przez internet, która zamieściła na swojej stronie internetowej wtyczkę „Lubię to” rozpoczęło się w 2017 roku, a więc w okresie obowiązywania dyrektywy 95/46/WE[2] (dalej: dyrektywa). Jednakże z uwagi na fakt, że przepisy objęte pytaniem do TSUE istnieją w zbliżonej formie w RODO[3], wywód TSUE pozostaje aktualnym w obecnym porządku prawnym. Wśród 6 pytań skierowanych do trybunału, na szczególną uwagę pod kątem stosowania RODO zasługują następujące:

1) Czy podmiot, który zamieszcza na swojej stronie internetowej wtyczkę społecznościową, na skutek czego przekazywane są podmiotowi trzeciemu (Facebook’owi) adres IP i identyfikator przeglądarki, należy uznać za administratora danych w odniesieniu do przetwarzania tych danych?

2) Wobec kogo powinna zostać wyrażona zgoda na przetwarzanie danych osobowych wskazanych powyżej?

3) Kto powinien zrealizować obowiązek informacyjny?

Odpowiedź na pierwsze pytanie znalazła się w pkt 84 i 85 wyroku. Trybunał wskazał w nim, że operator witryny internetowej, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej (np. IP, identyfikator przeglądarki), jest administratorem danych w rozumieniu dyrektywy. Ponosi on jednak odpowiedzialność jedynie w zakresie operacji lub do zestawu operacji, której lub których cele i sposoby rzeczywiście określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję dostawcy (np. Facebook). W efekcie oba podmioty uznać należy za współadministratorów.

Z kolei w odniesieniu do kolejnych pytań, TSUE podzielił opinię Rzecznika Generalnego Michała Bobeka[4], wskazującą na konieczność poprzedzenia przetwarzania danych osobowych uzyskaniem stosownej zgody osoby fizycznej umożliwiającej przetwarzanie tych danych. Tylko w takim wypadku uznać można przetwarzanie danych osobowych za w pełni legalne.

Przekładając to bezpośrednio na opisywaną sytuację, operator witryny internetowej, umieszczając rzeczoną wtyczkę społecznościową na swoim portalu, powinien zadbać o uzyskanie zgody na przetwarzanie danych osobowych obejmujące gromadzenie tych danych i ich transfer do dostawcy wtyczki, jednocześnie pamiętając, iż obowiązek informacyjny należy realizować w momencie zbierania danych osobowych (art. 10 dyrektywy, art. 13 RODO) tzn. natychmiastowo po wejściu na taką stronę internetową. Wynika to z faktu, że dane takie jak wspomniane już adresy IP lub identyfikatory przeglądarek, przeważnie gromadzone są i przekazywane zanim użytkownik „naciśnie” wtyczkę.

W pkt 106 TSUE wskazał jednak, że informacja jaką operator witryny internetowej musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa – tzn. operacji gromadzenia i przekazania danych dostawcy wtyczki.

Zalecałbym zatem aby podmioty, które korzystają z wtyczek społecznościowych zweryfikowały przede wszystkim, czy na ich stronach internetowych znajdują się odpowiednie zgody lub klauzule informacyjne obejmujące swoim zakresem przekazywanie dostawcy wtyczki danych o odwiedzających portal osobach fizycznych, a także czy modyfikacji nie wymagają polityki bezpieczeństwa (w oparciu o postanowienia art. 26 RODO). Zachęcam również do zapoznania się w wolnej chwili z komentarzem Urzędu Ochrony Danych Osobowych do wyroku, umieszczonym na jego oficjalnej stronie[5].

 

[1]http://curia.europa.eu/juris/document/document.jsf;jsessionid=CE0BBBE0BAA8CC9267296BAA597F04F8?text=&docid=216555&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6162768 – dostęp 13.08.2019 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[4] Opinia Rzecznika Generalnego Michala Bobeka przedstawiona w dniu 19 grudnia 2018 r., Sprawa C‑40/17

http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=2918620 - dostęp 13.08.2019 r.

[5] https://uodo.gov.pl/pl/138/1140

20.11.2024, 06:00

Zmiany w uchwale o członkostwie w PZPN

Lee mas
13.11.2024, 07:00

Transparentność w polskim sporcie

Lee mas

¿Tiene alguna pregunta??

Llame al +48 71 794 77 83

El sitio web utiliza cookies que son necesarias para un uso cómodo del sitio web. Puede modificar la configuración de cookies en su navegador en cualquier momento. ×