Wyrok TSUE – jakie konsekwencje niesie wtyczka „Lubię to”?

29 lipca 2019 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie C-40/17, zgodnie z którym podmioty zamieszczające wtyczkę „Lubię to” na swoich stronach internetowych stają się, wspólnie z Facebookiem, administratorami danych osobowych.

Orzeczenie jest efektem skargi złożonej przez stowarzyszenie Verbraucherzentrale NRW eV, które zarzuciło spółce Fashion ID GmbH & Co.KG przekazywanie danych osobowych jej klientów do Facebook Ireland.

Stowarzyszenie zarzuciło spółce brak podstawy prawnej takiego przetwarzania, a także nierealizowanie obowiązku informacyjnego wobec osób, których dane dotyczą.

TSUE: LIKE = OBOWIĄZKI

Trybunał Sprawiedliwości Unii Europejskiej orzekł:

„Operator witryny internetowej wyposażonej w przycisk „Lubię to” Facebooka może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych osób odwiedzających jego witrynę. Natomiast nie jest on co do zasady administratorem w odniesieniu do późniejszego przetwarzania tych danych dokonywanego przez samego Facebooka”.

TSUE uznał więc, że spółkę Fashion ID można uznać za administratora danych wspólnie z Facebook Ireland, spółka nie ponosi jednak odpowiedzialności za to, jak później Facebook przetwarza dane.

Obowiązek informacyjny

Zgodnie z art. 13 RODO administrator podczas pozyskiwania danych osobowych musi przekazać osobie, której dane dotyczą szereg informacji dot. przetwarzania danych. Osoba odwiedzająca witrynę wyposażoną w „Lubię to” musi wiedzieć, że operator przekazuje jej dane (adres IP i identyfikator przeglądarki użytkownika) Facebookowi, a informacje te muszą być przekazane przed zgromadzeniem i przekazaniem tych danych.

Co zrobić, aby korzystać z wtyczki?

Przede wszystkim należy dokonać sprawdzenia stosowanych polityk i odpowiedzieć na pytania:

  • czy w polityce bezpieczeństwa została uregulowana kwestia przekazywania danych osobowych podmiotowi zewnętrznemu za pomocą wtyczki „Lubię to”?
  • czy wobec osób, których dane dotyczą, został zrealizowany obowiązek informacyjny wynikający z art. 13 RODO?
  • czy zostały określone zakresy odpowiedzialności współadministratorów (art. 26 ust. 1 RODO)?

Rozstrzygnięcie TSUE w sprawie C-40/17 Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV jest istotne, ponieważ wskazuje, jak określać role podmiotów biorących udział w procesie przetwarzania danych oraz jest wiążące dla wszystkich sądów w Unii Europejskiej, które będą mierzyć się z podobnym problemem.

Pełna treść wyroku w wersji polskiej dostępna jest tutaj.

Nina Kowalik

Kancelaria Wyrzykowscy sp. z o.o.