Wychodzą kolejne absurdy z ochroną danych osobowych

Wychodzą kolejne absurdy związane z ochroną danych osobowych. Zarządca firmowego profilu na Facebooku, może odpowiadać za ochronę danych na równi z Facebookiem. Nie istotne, że ma dostęp jedynie do zanonimizowanych danych. To może dotyczyć, każdego kto prowadzi firmowy profil na fb, a więc także hotelarzy, restauracje, biura podróży, czy firmy transportowe.


Organ ds. ochrony danych państwa członkowskiego, w którym administrator ma swą siedzibę, może podjąć działania, na podstawie dyrektywy 95/461, zarówno w stosunku do tego administratora, jak i w stosunku do spółki zależnej od Facebooka mającej siedzibę w tym samym państwie - orzekł Trybunał Sprawiedliwości Unii Europejskiej.

Niemiecka spółka Wirtschaftsakademie Schleswig-Holstein specjalizuje się w dziedzinie edukacji. Świadczy ona usługi kształcenia w szczególności przy użyciu fanpage a prowadzonego na Facebooku.

Administratorzy fanpage ów, tacy jak Wirtschaftsakademie, mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji "Facebook Insights" udostępnionej im nieodpłatnie przez Facebooka stosownie do niepodlegających zmianie warunków korzystania. Dane te są gromadzone dzięki plikom cookies, z których każdy zawiera niepowtarzalny kod użytkownika; są one aktywne przez dwa lata
i zapisywane przez Facebooka na twardym dysku komputera lub na każdym innym nośniku osób odwiedzających fanpage a. Kod użytkownika, który można powiązać z danymi połączenia użytkowników zarejestrowanych na Facebooku, zostaje pobrany i przetworzony w chwili otwarcia
fanpage ów.

Decyzją z dnia 3 listopada 2011 r. Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein Holstein (niezależny regionalny organ ds. ochrony danych kraju związkowego SzlezwikHolsztyn, Niemcy), jako organ nadzorczy odpowiedzialny na podstawie dyrektywy 95/46 o ochronie danych za monitorowanie stosowania na terytorium kraju związkowego SzlezwikHolsztyn przepisów przyjętych przez Niemcy na podstawie tej dyrektywy, nakazał Wirtschaftsakademie dezaktywację jej fanpage a. Zdaniem Unabhängiges Landeszentrum ani Wirtschaftsakademie, ani Facebook nie informowali bowiem osób odwiedzających fanpage a o tym, że Facebook gromadził za pomocą plików cookies dotyczące ich dane osobowe oraz że
następnie przetwarzano te informacje.

Wirtschaftsakademie wniosła skargę na tę decyzję do niemieckich sądów administracyjnych, podnosząc, że nie można jej przypisać przetwarzania danych osobowych dokonywanego przez Facebooka oraz że nie powierzyła ona również Facebookowi przetwarzania danych, które byłoby przez nią kontrolowane lub na które mogłaby wywierać wpływ. Wirtschaftsakademie doszła na tej podstawie do wniosku, że Unabhängiges Landeszentrum powinien był podjąć działania bezpośrednio przeciwko Facebookowi, a nie przeciwko niej.

W tych właśnie okolicznościach Bundesverwaltungsgericht (federalny sąd administracyjny w Niemczech) zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni dyrektywy 95/46 o ochronie danych. W ogłoszonym wyroku Trybunał Sprawiedliwości zauważył przede wszystkim, że
w omawianej sprawie nie ulega wątpliwości, iż amerykańska spółka Facebook oraz, jeśli chodzi o Unię, zależna od niej irlandzka spółka Facebook Ireland muszą zostać uznane za "administratorów" danych osobowych użytkowników Facebooka oraz osób, które odwiedziły fanpage e prowadzone na Facebooku. Spółki te określają bowiem w pierwszej kolejności cele i sposoby przetwarzania tych danych osobowych.

Następnie Trybunał stwierdził, że należy uznać, iż administrator fanpage a, taki jak Wirtschaftsakademie, ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych.

Taki administrator uczestniczy bowiem, podejmując działania polegające na ustaleniu parametrów (zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności), w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage a. W szczególności Trybunał wskazał w tym względzie, że administrator fanpage a może zwrócić się o udzielenie (w formie zanonimizowanej) - a zatem o przetworzenie - danych demograficznych dotyczących jego użytkowników docelowych (między innymi tendencji w zakresie wieku, płci, stanu cywilnego i statusu zawodowego), informacji na temat stylu życia i zainteresowań jego użytkowników docelowych (w tym informacji dotyczących zakupów i zachowań w zakresie zakupów w sieci osób odwiedzających jego stronę oraz kategorii produktów lub usług, które najbardziej ich interesują), jak również danych geograficznych, które pozwalają administratorowi fanpage a ustalić, gdzie należy przeprowadzić specjalne promocje lub zorganizować wydarzenia, a bardziej ogólnie, jak najlepiej ukierunkować swą ofertę informacyjną.

Zdaniem Trybunału okoliczność, iż administrator fanpage a korzysta z platformy oferowanej przez Facebooka i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych.

Trybunał podkreślił, że uwzględnienie wspólnej odpowiedzialności operatora portalu społecznościowego i administratora fanpage a prowadzonego na tym portalu w związku z przetwarzaniem danych osobowych osób odwiedzających ów fanpage przyczynia się do zapewnienia bardziej kompleksowej ochrony praw przysługujących osobom, które odwiedzają fanpage a, zgodnie z wymogami dyrektywy 95/46 o ochronie danych.

Ponadto Trybunał stwierdził, że w celu zapewnienia przestrzegania na terytorium Niemiec przepisów w dziedzinie ochrony danych osobowych Unabhängiges Landeszentrum jest właściwy do wykonania nie tylko w stosunku do Wirtschaftsakademie, ale również w stosunku do Facebook Germany, wszystkich uprawnień, jakimi dysponuje on zgodnie z krajowymi przepisami transponującymi dyrektywę 95/46.

W przypadku bowiem, gdy przedsiębiorstwo z siedzibą poza Unią (takie jak amerykańska spółka Facebook) ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez dyrektywę 95/46 w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego, nawet jeżeli zgodnie z podziałem zadań w obrębie grupy, po pierwsze, ów oddział (w omawianej sprawie Facebook Germany) jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium owego państwa członkowskiego, a po drugie, wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych ponosi w zakresie całego terytorium Unii oddział położony w innym państwie członkowskim (w omawianej sprawie
Facebook Ireland).

Trybunał wyjaśnił też, że w przypadku, gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w dyrektywie 95/464, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.




Komentarze

(kiedy jest to możliwe, sugerujemy podpisanie się)

(akceptacja regulaminu)



Tagi:




Ta strona przetwarza dane osobowe oraz używa COOKIES. Szczegóły przetwarzania danych osobowych są opisane w polityce prywatności. Korzystając z tej strony wyrażasz zgodę na wykorzystywanie cookies zgodnie z ustawieniami Twojej przeglądarki i akceptujesz regulamin strony. Wszelkie szczegóły w regulaminie, polityce prywatności oraz polityce cookies.
  Akceptuję