W środku wakacji, nie spodziewając się niczego administratorzy stron internetowych zostali zaskoczeni.

Otóż 29 lipca br. Trybunał Sprawiedliwości UE wydał wyrok, który wydaje się będzie obowiązującą wykładnią w zakresie przetwarzania danych pozyskanych przez zewnętrzne wtyczki umieszczone na stronach (sprawa  C-40/17, link do pełnej treści TUTAJ).

Akurat omawiana sprawa dotyczyła wtyczki Facebooka, ale przecież analogiczna sytuacja może dotyczyć innych portali społecznościowych, których wtyczki zamieszczamy na portalach, blogach, czy tak, jak miało to miejsce sklepie internetowym.

 

A wszystko przez ten Facebook

 

Pewne pięknego dnia niemiecki serwis sprzedaży online Fashion ID umieścił na swojej witrynie internetowej wtyczkę „Lubię to!” serwisu społecznościowego Facebook.

I tak działalność Fashion ID toczyła się spokojnie do momentu, gdy pewne stowarzyszenie chroniące interesy konsumentów wniosło sprawę do sądu.

Stowarzyszenie domagało się wyłączenia w serwisie Fashion ID wtyczki „Lubię to” uznając, że wykorzystywanie jej narusza przepisy o ochronie danych.

 

Co na to Trybunał Sprawiedliwości UE

 

Sprawa przeszła przez sąd niemiecki, aż trafiła do Trybunały Sprawiedliwości UE, który swoje stanowisko zawarł na 23 stronach, a opinia rzecznika generalnego Michala Bobek obejmuje 35 stron!! (Gratuluję temu, kto przebrnął z lekturą. Koniecznie daj mi znać o tym 🙂 ).

Postaram się jednak napisać kilka najważniejszych wniosków. Trybunał uznał, że:

  • Jeżeli operator witryny internetowej zamierza wstawić treści zewnętrzne,  wówczas zamieszcza on w tej witrynie odnośniki do treści zewnętrznych (np. jeżeli zamieszczasz wtyczki do zewnętrznych odnośniki).
  • Poprzez wejście na taka stronę, przeglądarka osoby odwiedzającej pobiera treści zewnętrzne i wstawia je na wskazanym w miejscu wyświetlanej witryny.
  • W tym celu pobierane są takie dane jak IP komputera osoby odwiedzającej oraz dane techniczne przeglądarki.
  • Trybunał nie wskazał jednoznacznie, czy w sytuacji umieszczenia takiej wtyczki podstawą przetwarzania powinna być zgoda osoby odwiedzającej stronę, czy uzasadniony interes administratora (ograniczył się do stwierdzenia, że nie ma to znaczenia gdyż i tak w tej konkretnej sytuacji zgoda nie została uzyskana) 🙁
  • Jeżeli jednak uznać, że podstawą przetwarzania jest zgoda, to udzielenie jej powinno nastąpić po spełnieniu obowiązku informacyjnego (powinny się znaleźć klauzule informacyjne zaakceptowane przez odwiedzającego stronę).
  • Poprzez umieszczenie wtyczki społecznościowej, administrator wpływa na gromadzenie i przekazywanie danych osobowych osób odwiedzających witrynę na rzecz dostawy wtyczki.
  • Trybunał zaznaczył, że to sąd krajowy (tut. niemiecki) powinien ustalić, czy Facebook ma dostęp do informacji.
  • W omawianej sprawie Facebook Ireland i Fashion ID wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniania poprzez transmisję.
  • Fashion ID jako operatorowi witryny, mimo że sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych Facebooki, przysługuje przymiot administratora danych.
  • Konsekwencją uznania Fashiom ID za administratora danych, wówczas dochodzi do wspólnego administrowania z dostawcą wtyczki (czyli Fb), w odniesieniu do operacji gromadzenia danych osobowych osoby odwiedzającej i ich ujawnianie poprzez transmisję.

 

Podsumowując jednym zdaniem. No, może dwoma… trzema…

Jeśli masz na stronie wtyczkę portali społecznościowych, np. facbookowe „Lubię to!”, wówczas musisz mieć podstawę prawną do przetwarzania danych osób odwiedzających twoją stronę (nie jest konieczne, aby osoba lajkowała, wystarczą same odwiedziny na stronie).

Trybunał wspomniał o dwóch podstawach: zgoda oraz uzasadniony interes administratora, nie wskazując, która byłaby właściwsza.

Z tym wiąże się konieczność umieszczenia klauzuli informacyjnej oraz pozyskania zgody (jeśli taka będzie podstawa) zanim dane osoby zostaną pobrane.

 

(Nie)realne zbieranie zgód

 

Można toczyć uniwersyteckie dyskusje, czy taka zgoda jest niezbędna czy nie. Jednak dla właściciela serwisu najważniejsza kwestia jest taka: Jeśli jest konieczne to jak to zrobić praktycznie.

W sytuacji uznania, że niezbędna jest dobrowolna zgoda, a zatem taka, która została wyrażona w sposób jednoznaczny, świadomy, dobrowolny (a nie za pomocą ogólnej klauzuli zgody w regulaminie serwisu lub polityce prywatności), wówczas stajemy przed wyzwanie technicznym.

Znalezienie rozwiązania, dzięki któremu wejście na stronę internetową byłoby poprzedzone odebraniem zgody, wiązałoby się z problemami techniczno-informatycznymi.

Zadaj sobie teraz pytanie, ile firm prowadzących działalność w sieci dostosowało się do RODO? A zatem ile firm będzie teraz kombinować z umożliwieniem pozyskania zgody zaraz po wejściu na stronę? Jeśli nie poczują oddechu kontroli lub konsekwencji finansowych, to zapewne niewielka liczba się zdecyduje.

Oby jednak mój pesymizm  się nie sprawdził.

Zdjęcie: Freepik

 

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi: