baner na Portal IT - RODO

Wtyczka „Lubię to!” a współadministrowanie danymi

Dodano: Grudzień 4, 2019 Kategoria: Ochrona Danych Osobowych Autor: Julia Wawrzyńczak

Wraz z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”), pojawiło się wiele wątpliwości co do tego, jak traktować właścicieli portali społecznościowych, za pomocą których inni przedsiębiorcy prowadzą swoje działania marketingowe, np. fanpage. Pojawiły się głosy, że w takim przypadku mamy do czynienia z sytuacją, w której oba podmioty powinny być traktowane jako współadministratorzy danych osobowych osób odwiedzających taki fanpage.

Pojęcie współadministratora

Zgodnie z art. 26 RODO, współadministrowanie ma miejsce wtedy, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Pomimo jednak tego, że RODO obowiązuje już od ponad półtora roku, a pojęcie współadministrowania zostało zdefiniowane w nim wprost, w praktyce przedsiębiorcy wciąż mają problemy z rozpoznawaniem czy w konkretnym przypadku są współadministratorami.

Kluczowe kryteria oceny

Możliwość współadministrowania danymi osobowymi została przewidziana już na etapie definiowania pojęcia samego administratora. Art. 4 pkt. 7 RODO stanowi, że administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Co do zasady więc współadministratorami będą podmioty działające wspólnie przy określaniu celów i sposobów przetwarzania danych. Co ważne, każdy z tych podmiotów przetwarza dane we własnym imieniu, co odróżnia tę relację od powierzenia przetwarzania danych osobowych, w przypadku którego o celach i środkach przetwarzania decyduje administrator, zaś drugi podmiot (zwany procesorem) może przetwarzać te dane jedynie w imieniu administratora i na zasadach przez niego określonych. Kluczowymi kwestiami przy kwalifikacji danej relacji jako współadministrowanie są: kto sprawuje faktyczną kontrolę nad danymi, w czyich celach dane są przetwarzane oraz czy do przetwarzania danych dochodzi na wspólnych zasobach. Jeżeli przynajmniej dwa podmioty okażą się decyzyjne w którymś z wymienionych wyżej przypadków, najprawdopodobniej będzie to współadministrowanie.

Stanowisko TSUE

Najlepszym dowodem na to, że pojęcie współadministrowania rodzi wątpliwości interpretacyjne wśród administratorów danych jest fakt, że temat ten wielokrotnie był przedmiotem rozważań TSUE. W najnowszym wyroku[1] z dnia 29 lipca 2019 r. TSUE uznał, że podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób korzystających z witryn takich podmiotów. TSUE przyjął, że skoro Fashion ID miało decydujący wpływ na gromadzenie i przekazywanie na rzecz Facebook Ireland danych osobowych użytkowników, a przetwarzanie było dokonywane w interesie gospodarczym obu podmiotów, to zarówno Fashion ID jak i Facebook Ireland wspólnie ustalały cele i sposoby przetwarzania tych danych, co czyni ich współadministratorami.

Wpływ wyroku TSUE

Pomimo, że w praktyce ciężko sobie wyobrazić, aby jeden z największych serwisów społecznościowych jakim jest Facebook, faktycznie ustalał cele i sposoby przetwarzania danych wspólnie z małym lokalnym przedsiębiorcą, unijne orzecznictwo pokazuje, że każdy przypadek przetwarzania danych przez kilka różnych podmiotów trzeba rozpatrywać bardzo skrupulatnie. Szczególnie uważni powinni być administratorzy danych, którzy reklamują swoje produkty lub usługi przy pomocy portali społecznościowych. Tacy administratorzy powinni mieć świadomość, że w konsekwencji zamieszczenia wtyczki społecznościowej w swojej witrynie internetowej staną się współadministratorami danych osobowych, a tym samym podmiotami na które RODO nakłada wielu obowiązków związanych z tą funkcją.

 

[1] Wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17 Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV http://curia.europa.eu/juris/document/document.jsf;jsessionid=CE0BBBE0BAA8CC9267296BAA597F04F8?text=&docid=216555&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6162768

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant
julia.wawrzynczak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

NULL

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej