Strony internetowe umieszczające u siebie przycisk "Lubię to!" Facebooka są odpowiedzialne za przetwarzanie zebranych w ten sposób danych osobowych - wynika z poniedziałkowego orzeczenia Trybunału Sprawiedliwości UE.

Sędziowie z Luksemburga stwierdzili, że operator witryny internetowej, wyposażonej w przycisk "Lubię to!", może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania temu portalowi społecznościowemu danych osób odwiedzających jego stronę.

Sprawa dotyczyła sporu, który rozpoczął się po tym jak internetowy sprzedawca odzieży, niemiecka spółka Fashion ID, umieściła w swojej witrynie przycisk "Lubię to!". Zamieszczenie takiego przycisku pozwala firmom na optymalizację reklamy produktów na Facebooku.

Reklama

Jednocześnie dane osób odwiedzających witrynę są przekazywane portalowi społecznościowemu. W tym konkretnym przypadku miało się to odbywać bez świadomości ze strony odwiedzających witrynę Fashion ID niezależnie czy miały one konto na Facebooku i czy kliknięty został przycisk "Lubię to!".

Niemieckie stowarzyszenie użyteczności publicznej zajmujące się ochroną interesów konsumentów zarzuciło Fashion ID przekazywanie Facebook Ireland danych osobowych osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody, a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych.

Sprawa dotyczyła jeszcze nieobowiązującej już dyrektywy o ochronie danych z 1995 r., ale sędziowie z Luksemburga wydali interpretację dla nowej dyrektywy RODO. TSUE orzekł, że spółkę Fashion ID można uznać za administratora danych wspólnie z Facebook Ireland. Nie ponosi ona jednak już później odpowiedzialności za to, jak przetwarza te dane sam Facebook.

Trybunał podkreślił, że operator strony internetowej współodpowiedzialny za przetwarzanie danych osób odwiedzających jego witrynę, musi przekazać informacje dotyczące np. celu takich działań.

Specjaliści zajmujący się kwestiami prywatności wskazują, że wiele firm nie zdaje sobie sprawy z potencjalnego ryzyka ponoszenia wraz z Facebookiem odpowiedzialności za dzielenie się danymi. Szeroka interpretacja TSUE może oznaczać, że w razie pozwu dotyczącego nadużycia wykorzystania danych osobowych odpowiedzialność spadnie nie tylko na Facebooka, ale też na mniejsze witryny internetowe.

Trybunał orzekł, że operator witryny internetowej taki jak Fashion ID musi uzyskać zgodę na przetwarzanie danych dla operacji, w odniesieniu do których jest współadministratorem, czyli gromadzenia i przekazywania danych.

Orzeczenie, które było odpowiedzią na pytanie prejudycjalne wyższego sądu krajowego w Duesseldorfie, jest wiążące dla innych sądów w UE, które spotkają się z podobnym problemem.

>>> Czytaj też: Facebook pozwala Brytyjczykom na zgłoszenie podejrzanych reklam