SD EÚ: Máte fan pages na Facebooku? GDPR sa bude vzťahovať aj na Vás
Správca fanúšikovskej stránky na Facebooku je zodpovedný spolu s Facebookom za spracúvanie osobných údajov návštevníkov tejto stránky.
Tento rozsudok sa síce týka aplikácie vybraných ustanovení už neaktuálnej smernice o spracúvaní osobných údajov[1] vo vzťahu k určeniu subjektov, ktoré môžu byť považované za prevádzkovateľov pri spracúvaní osobných údajov, jeho závery sú však plne aplikovateľné aj na aktuálny právny stav platný od 25. mája 2018 podľa GDPR.
Predmet sporu
Predmetom sporu pred Súdnym dvorom bola otázka, či správca firemnej fanúšikovskej stránky na Facebooku je zodpovedný za porušenie pravidiel ochrany osobných údajov pri prevádzkovaní tejto fanúšikovskej stránky. S touto otázkou úzko súvisí otázka určenia postavenia jednotlivých subjektov pri spracúvaní osobných údajov, t. j. určenia, ktorý subjekt možno považovať za prevádzkovateľa pri spracúvaní osobných údajov návštevníkov tejto fanúšikovskej stránky na Facebooku.
Správca fanúšikovskej stránky na Facebooku môže používať platformu Facebook na to, aby sa prezentoval užívateľom tejto sociálnej siete, ako aj osobám, ktoré túto stránku navštevujú, a šíril na mediálnom trhu akéhokoľvek informácie a názory. Správcovia fanúšikovských stránok môžu získavať anonymné štatistické údaje o návštevníkoch týchto stránok. Tieto údaje sa spracúvajú z osobných údajov zbieraných Facebookom prostredníctvom skrytých súborov cookies, pričom každý z týchto súborov obsahuje jedinečný kód užívateľa, ktorý Facebook ukladá na pevnom disku počítača alebo na inom zariadení návštevníkov fanúšikovskej stránky. Kód užívateľa sa zbiera a spracúva pri otvorení fanúšikovských stránok. V tejto súvislosti z rozhodnutia vnútroštátneho súdu vyplýva, že Wirtschaftsakademie ako správca fanúšikovskej stránky ani spoločnosť Facebook neinformovali o ukladaní a funkcii tohto súboru cookie ani o následnom spracúvaní údajov.
Spracúvanie osobných údajov v kontexte použitej platformy
Ako uvádza samotný Súdny dvor, Facebook je v zásade bez výhrad považovaný za prevádzkovateľa pri spracúvaní osobných údajov užívateľov Facebooku ako aj osôb, ktoré navštívili fanúšikovské stránky na Facebooku, pretože určuje účely a prostriedky spracúvania osobných údajov používateľov svojich služieb.
Ako zložitejšia sa javí otázka, či sa správca fanúšikovskej stránky (v prejednávanej veci spoločnosť Wirtschaftsakademie) podieľa na určovaní účelov a prostriedkov spracúvania osobných údajov návštevníkov jeho fanúšikovskej stránky, a to vrátane návštevníkov, ktorí nie sú registrovanými užívateľmi Facebooku.
Facebook vykonáva spracúvanie údajov v zásade prostredníctvom umiestňovania súborov cookies na počítači alebo akomkoľvek inom zariadení osôb, ktoré navštívili fanúšikovskú stránku. Z uvedeného taktiež vyplýva, že Facebook v skutočnosti získava, zaznamenáva a spracúva informácie uložené v súboroch cookies od osôb, ktoré využívajú služby Facebooku alebo služby ponúkané inými podnikmi, ktoré používajú služby Facebooku. Okrem toho súbory cookies týkajúce sa služieb Facebooku môžu používať aj iné subjekty, ako sú partneri Facebooku alebo dokonca tretie osoby, a to na účely ponúkania služieb priamo na Facebooku, ako aj ponúkania služieb podnikom prevádzkujúcim reklamu na Facebooku.
Účelom tohto spracúvania osobných údajov je jednak zlepšenie systému reklamy pre Facebook a jednak, aby správca fanúšikovskej stránky získaval štatistické údaje, ktoré Facebook získava na základe návštev tejto stránky, čo správcovi fanúšikovskej stránky napríklad umožňuje zistiť profil návštevníkov, ktorí kladne hodnotia jeho fanúšikovskú stránku, alebo ktorí využívajú jeho aplikácie, s cieľom ponúknuť im relevantnejší obsah a rozvinúť funkcie, o ktoré by títo návštevníci mohli mať väčší záujem.
Správca fanúšikovskej stránky na Facebooku vytvorením takej stránky teda umožňuje Facebooku umiestňovať cookies na počítači alebo akomkoľvek inom zariadení osoby, ktorá jeho fanúšikovskú stránku navštívila, bez ohľadu na to, či táto osoba má alebo nemá účet na Facebooku.
Podľa Súdneho dvora[2]: „...vytvorenie fanúšikovskej stránky na Facebooku zo strany jej správcu znamená, že nastavil parametre okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, čo má vplyv na spracúvanie osobných údajov na účely vypracovania štatistík získaných na základe návštev fanúšikovskej stránky. Tento správca môže pomocou filtrov, ktoré mu poskytuje spoločnosť Facebook, vymedziť kritériá, na základe ktorých majú byť tieto štatistiky vypracované a tiež vymedziť kategórie osôb, ktorých osobné údaje budú využívané spoločnosťou Facebook. Správca fanúšikovskej stránky umiestnenej na Facebooku preto prispieva k spracúvaniu osobných údajov návštevníkov svojej stránky.“
Správca fanúšikovskej stránky môže požiadať Facebook o získanie, tzn. o spracovanie viacerých údajov, najmä demografických údajov jeho cieľovej skupiny ako údaje týkajúce sa veku, pohlavia, rodinného stavu, povolania, životného štýlu a záujmov návštevníkov fanúšikovskej stránky, ako aj informácie ohľadom ich internetových nákupov a kategórií nakupovaných výrobkov a služieb, alebo geografických údajov.
Aj keď správca fanúšikovskej stránky dostáva tieto štatistické údaje v anonymizovanej podobe, uvedené anonymné štatistické údaje však Facebook vytvára na základe spracúvania osobných údajov, ktoré získava o jednotlivých návštevníkoch fanúšikovskej stránky prostredníctvom využitia súborov cookies, ktoré uložil do ich zariadení.
Podľa Súdneho dvora správca fanúšikovskej stránky umiestnenej na Facebooku sa svojím nastavením parametrov, okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, podieľa na určení účelov a prostriedkov spracúvania osobných údajov návštevníkov svojej fanúšikovskej stránky, a preto je považovaný za prevádzkovateľa spolu so spoločnosťou Facebook.
„Skutočnosť, že správca fanúšikovskej stránky využíva platformu, ktorú ponúka spoločnosť Facebook, aby mal prospech zo služieb, ktoré sú s ňou spojené, ho totiž nezbavuje jeho povinností v oblasti ochrany osobných údajov.“[3]
Závery vyplývajúce z rozhodnutia Súdneho dvora
Zo záverov Súdneho dvora vyplýva, že za vyššie uvedených okolností je možné za prevádzkovateľa považovať nielen spoločnosť Facebook ako subjekt reálne prevádzkujúci platformu spracúvajúcu osobné údaje návštevníkov jednotlivých fanúšikovských stránok, ale správcov fanúšikovských stránok prevádzkovaných prostredníctvom platformy spoločnosti Facebook.
Podľa záveru Súdneho dvora existencia spoločnej zodpovednosti prevádzkovateľov neznamená nevyhnutne rovnakú mieru zodpovednosti jednotlivých prevádzkovateľov. Mieru zodpovednosti každého prevádzkovateľa je potrebné hodnotiť individuálne, a to v kontexte všetkých relevantných individuálnych okolností príslušnej veci.
V kontexte spoločnej zodpovednosti prevádzkovateľov ako aj miery zodpovednosti správcu fanúšikovskej stránky je vhodné poukázať na konštatovanie Súdneho dvora v predmetnom rozhodnutí[4], kde Súdny dvor uvádza „Navyše treba zdôrazniť, že fanúšikovské stránky umiestnené na Facebooku môžu navštevovať aj osoby, ktoré nie sú užívateľmi Facebooku a ktoré teda nemajú užívateľský účet na tejto sociálnej sieti. V tomto prípade sa zdá byť zodpovednosť správcu fanúšikovskej stránky týkajúca sa spracúvania osobných údajov týchto osôb ešte väčšia, keďže samotné navštívenie fanúšikovskej stránky návštevníkmi automaticky vedie k spracúvaniu ich osobných údajov.“
Závery Súdneho dvora i napriek skutočnosti, že sa týkajú aplikácie smernice o spracúvaní osobných údajov, ktorá bola zrušená všeobecným nariadením o ochrane osobných údajov (GDPR)[5], sú stále aktuálne. Pravidlá ohľadom určenia osoby prevádzkovateľa ako aj ohľadom možnej spoločnej zodpovednosti viacerých prevádzkovateľov sú plne aplikovateľné aj na aktuálny právny stav platný od 25. mája 2018, teda od začatia uplatňovania GDPR.
Uvedené rozhodnutie Súdneho dvora by teda mali zobrať do úvahy všetky subjekty, ktoré využívajú služby Facebooku pri prevádzke svojich fanúšikovských stránok.
SEMANČÍN & PARTNERS s. r. o.
Vajnorská 100/A
831 04 Bratislava
Tel.: +421 2 32 609 451
e-mail: office@semancin.sk
______________________________
[1] Smernica Európskeho parlamentu a Rady 95/46/EHS o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov
[2] Bod 36 rozsudku Súdneho dvora vo veci samej
[3] Bod 40 rozsudku Súdneho dvora vo veci samej
[4] Bod 41 rozsudku Súdneho dvora vo veci samej
[5] Nariadenie Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk