Πολύ σημαντική υπόθεση για την ευθύνη των διαχειριστών σελίδων, τα facebook insights, το profiling των χρηστών και την αρμοδιότητα ελέγχου και επιβολής κυρώσεων
Ο διαχειριστής μίας σελίδας (fanpage) στο Facebook πρέπει να θεωρείται από κοινού με τη Facebook Inc. και τη Facebook Ireland υπεύθυνος της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον γενικό εισαγγελέα του Δικαστηρίου της Ευρωπαϊκής Ένωσης, Yves Bot.
Όπως επισημαίνει στις προτάσεις του για την υπόθεση C-210/16, στην περίπτωση διάρθρωσης ομίλου (όπως η Facebook) που χαρακτηρίζεται από την παρουσία εγκαταστάσεων του υπευθύνου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε διάφορα κράτη μέλη καθώς και υπό το πρίσμα της ισχύουσας οδηγίας 95/46 και μέχρι την κατάργησή της από τον γενικό κανονισμό προστασίας προσωπικών δεδομένων:
Αφενός μεν, επιτρέπεται η εφαρμογή του δικαίου κράτους μέλους στη δικαιοδοσία του οποίου υπάγεται καθεμία από τις εν λόγω εγκαταστάσεις.
Αφετέρου δε, για την προστασία των δεδομένων προσωπικού χαρακτήρα ο εν λόγω υπεύθυνος της επεξεργασίας υπόκειται πλήρως στον έλεγχο περισσότερων της μίας αρχών ελέγχου όταν εφαρμόζονται τα δίκαια των κρατών μελών στα οποία υπάγονται οι εν λόγω αρχές, χωρίς οι εν λόγω αρχές να υποχρεούνται να ζητήσουν προηγουμένως από την αρχή ελέγχου του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εν λόγω υπεύθυνος να ασκήσει τις εξουσίες της (στην περίπτωση της Facebook, η εθνική αρχή της Ιρλανδίας) .
Πρόκειται για μία πολύ σημαντική εξέλιξη, η οποία καλύπτει μία σειρά ζητημάτων, όπως η ευθύνη του διαχειριστή σελίδας στο Facebook και η δυνατότητα λήψης μέτρων από τις εθνικές αρχές εις βάρος του Facebook, αλλά και γενικότερα σε σχέση με τις πρακτικές παρακολούθησης της online συμπεριφοράς των χρηστών, της κατάρτισης προφίλ (profiling) και την αξιοποίηση των δεδομένων αυτών για διαφημιστικούς σκοπούς.
Οι fanpages είναι λογαριασμοί χρηστών οι οποίοι μπορούν να δημιουργηθούν στο Facebook, κυρίως από ιδιώτες ή επιχειρήσεις.
Οι διαχειριστές των fanpages χρησιμοποιούν τη διαμορφωμένη από το Facebook πλατφόρμα για να παρουσιάζονται στους χρήστες του συγκεκριμένου κοινωνικού δικτύου και να αναρτούν κάθε είδους ανακοινώσεις, ιδίως με σκοπό την ανάπτυξη εμπορικής δραστηριότητας.
Οι διαχειριστές των fanpages μπορούν να εξασφαλίσουν στατιστικές επισκεψιμότητας κάνοντας χρήση του εργαλείου «Facebook Insights», το οποίο διατίθεται δωρεάν από το Facebook στο πλαίσιο των μη τροποποιήσιμων όρων χρήσεως.
Τις εν λόγω στατιστικές καταρτίζει το Facebook και εξατομικεύει ο διαχειριστής της fanpage με τη βοήθεια διάφορων κριτηρίων που αυτός μπορεί να επιλέξει, όπως η ηλικία ή το φύλο.
Με τον τρόπο αυτό, οι στατιστικές παρέχουν ανώνυμες πληροφορίες για τα χαρακτηριστικά και τις συνήθειες των προσώπων που επισκέφθηκαν τις fanpages, παρέχοντας τη δυνατότητα στους διαχειριστές των οικείων σελίδων να στοχοθετούν καλύτερα την επικοινωνία τους.
Για την κατάρτιση στατιστικών επισκεψιμότητας, το Facebook αποθηκεύει στον σκληρό δίσκο του προσώπου που επισκέφθηκε τη fanpage τουλάχιστον ένα cookie με μοναδικό αριθμό αναγνωρίσεως, το οποίο είναι ενεργό επί δύο έτη.
Ο αναγνωριστικός αριθμός, ο οποίος μπορεί να συσχετιστεί με τα δεδομένα συνδέσεως των εγγεγραμμένων χρηστών του Facebook, συλλέγεται και υποβάλλεται σε επεξεργασία κατά το άνοιγμα των σελίδων του Facebook.
Η πρακτική αυτή εντάσσεται στο ευρύτερο πλαίσιο του φαινομένου το οποίο καλείται «webtracking» και το οποίο συνίσταται στην παρατήρηση και στην ανάλυση της συμπεριφοράς των χρηστών του διαδικτύου, για εμπορικούς σκοπούς και σκοπούς μάρκετινγκ. Ειδικότερα, το webtracking παρέχει τη δυνατότητα προσδιορισμού των ενδιαφερόντων των χρηστών του διαδικτύου με την παρατήρηση της συμπεριφοράς τους κατά την πλοήγησή τους στο διαδίκτυο, καλούμενο κατ’ αυτό τον τρόπο και «συμπεριφορικό webtracking».
Η συλλογή και η αξιοποίηση δεδομένων προσωπικού χαρακτήρα για την κατάρτιση στατιστικών επισκεψιμότητας και τη διανομή στοχοθετημένων διαφημίσεων πρέπει να πληρούν ορισμένες προϋποθέσεις, προκειμένου να είναι σύμφωνες προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα που απορρέουν από την οδηγία 95/46 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ειδικότερα, οι επεξεργασίες αυτές δεν μπορούν να πραγματοποιούνται χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των ενδιαφερομένων.
Ιστορικό της υπόθεσης
Η Wirtschaftsakademie είναι εκπαιδευτικός οργανισμός διεπόμενος από το ιδιωτικό δίκαιο και παρέχει εκπαιδευτικές υπηρεσίες μέσω fanpage στο Facebook.
Με απόφαση της, η ULD (περιφερειακή αρχή προστασίας των δεδομένων του Schleswig-Holstein, Γερμανία), βάσει του ομοσπονδιακού νόμου περί της προστασίας των δεδομένων, διέταξε τη Wirtschaftsakademie να απενεργοποιήσει τη fanpage που δημιούργησε στο Facebook στη διεύθυνση https://www.facebook.com/wirtschaftsakademie, επί ποινή προστίμου σε περίπτωση μη εκτελέσεως της αποφάσεως εντός της ταχθείσας προθεσμίας, με την αιτιολογία ότι ούτε η Wirtschaftsakademie ούτε το Facebook ενημέρωναν τους επισκέπτες της fanpage ότι το Facebook συλλέγει, με τη χρήση cookies, τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, τα οποία ακολούθως επεξεργάζεται.
Η Wirtschaftsakademie υπέβαλε ένσταση κατά της εν λόγω αποφάσεως, με την οποία υποστήριξε, κατ’ ουσίαν, ότι δεν είναι υπεύθυνη, βάσει του εφαρμοστέου δικαίου προστασίας των δεδομένων, ούτε για την επεξεργασία των δεδομένων από το Facebook ούτε για τα cookies που αυτό εγκαθιστά.
Η ULD απέρριψε την ως άνω ένσταση εκτιμώντας ότι με το να δημιουργήσει τη fanpage, η Wirtschaftsakademie συνέβαλε ενεργά και οικειοθελώς στη συλλογή δεδομένων προσωπικού χαρακτήρα από το Facebook, από την οποία επρόκειτο να επωφεληθεί μέσω των στατιστικών επισκεψιμότητας που θέτει στη διάθεσή της το συγκεκριμένο κοινωνικό δίκτυο.
Η Wirtschaftsakademie προσέφυγε κατά της ως άνω αποφάσεως ενώπιον του Verwaltungsgericht (διοικητικού πρωτοδικείου, Γερμανία), υποστηρίζοντας ότι δεν είναι δυνατόν να καταλογιστούν σε αυτήν οι πράξεις επεξεργασίας των δεδομένων από το Facebook και ότι δεν ανέθεσε στο Facebook να πραγματοποιήσει επεξεργασία δεδομένων την οποία ελέγχει ή μπορεί να επηρεάσει. Επομένως, η Wirtschaftsakademie εκτιμά ότι κακώς η ULD στράφηκε εναντίον της και όχι απευθείας κατά του Facebook.
Το Verwaltungsgericht (διοικητικό πρωτοδικείο) ακύρωσε την προσβαλλόμενη απόφαση.
Στη συνέχεια, το Oberverwaltungsgericht (ανώτερο διοικητικό εφετείο, Γερμανία) απέρριψε ως αβάσιμη την έφεση που άσκησε η ULD κατά της πρωτόδικης αποφάσεως εκτιμώντας, κατ’ ουσίαν, ότι η απαγόρευση επεξεργασίας των δεδομένων που διατάσσεται με την προσβαλλόμενη απόφαση είναι παράνομη.
Το Bundesverwaltungsgericht (ομοσπονδιακό διοικητικό πρωτοδικείο, Γερμανία), το οποίο επελήφθη της υποθέσεως μετά από άσκηση αναίρεσης της ULD ζητεί, κατ’ ουσίαν, από το Δικαστήριο να διευκρινίσει εάν διαταγή εθνικής αρχής ελέγχου μπορεί να απευθύνεται σε πρόσωπο το οποίο δεν πληροί τα κριτήρια που καθορίζονται στην ως άνω οδηγία για τον «υπεύθυνο της επεξεργασίας». Επιπλέον, το αιτούν δικαστήριο ζητεί να διευκρινιστεί, αφενός, αν η γερμανική αρχή ελέγχου δικαιούται να ασκεί εξουσίες παρεμβάσεως με σκοπό τη διακοπή της επίμαχης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και, αφετέρου, έναντι ποίας εγκαταστάσεως μπορούν να ασκηθούν τέτοιες εξουσίες σε περίπτωση που μητρική εταιρία εγκατεστημένη εκτός της Ένωσης, όπως η Facebook Inc., παρέχει υπηρεσίες σχετικές με κοινωνικό δίκτυο στο έδαφος της Ένωσης μέσω περισσότερων εγκαταστάσεων. Τέλος, το εθνικό δικαστήριο, ερωτά αν η αρχή ελέγχου που υπάγεται στο κράτος μέλος στο οποίο ευρίσκεται η εγκατάσταση του υπευθύνου της επεξεργασίας (Facebook Germany) δικαιούται να ασκεί αυτοτελώς τις εξουσίες παρεμβάσεως που διαθέτει και χωρίς να υποχρεούται να ζητήσει πρώτα από την αρχή ελέγχου του κράτους μέλους στο οποίο ευρίσκεται ο υπεύθυνος της επεξεργασίας (Facebook Ireland) να ασκήσει τις δικές της εξουσίες.
Προτάσεις του γεν. εισαγγελέα
Με τις δημοσιευθείσες προτάσεις του, ο γεν. εισαγγελέας Yves Bot εκτιμά, καταρχάς, ότι, λαμβανομένης υπόψη της συμμετοχής της Facebook Inc. και, όσον αφορά ειδικότερα την Ένωση, της Facebook Ireland στον καθορισμό των σκοπών και του τρόπου της επίμαχης στην υπόθεση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι δύο αυτές εταιρίες πρέπει να θεωρούνται από κοινού υπεύθυνες της εν λόγω επεξεργασίας, όπως ορίζεται σχετικά στην οδηγία 95/46.
Ο γενικός εισαγγελέας ισχυρίζεται ότι στην από κοινού ευθύνη της Facebook Inc. και της Facebook Ireland, πρέπει να προστεθεί, στο στάδιο της επεξεργασίας που συνίσταται στη συλλογή των δεδομένων προσωπικού χαρακτήρα από το Facebook η ευθύνη του διαχειριστή fanpage, όπως η Wirtschaftsakademie.
Κατά τον γενικό εισαγγελέα, χρησιμοποιώντας το Facebook για τη διανομή των πληροφοριών που διακινεί, ο διαχειριστής της fanpage αποδέχεται την αρχή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του για τον σκοπό της καταρτίσεως στατιστικών επισκεψιμότητας. Ο γενικός εισαγγελέας κρίνει ότι ο ως άνω διαχειριστής, παρόλο που αναμφίβολα δεν είναι ο σχεδιαστής του εργαλείου «Facebook Insights», χρησιμοποιώντας το εργαλείο αυτό, συμμετέχει στον καθορισμό των στόχων και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.
Εξάλλου, συνεχίζει ο γενικός εισαγγελέας, ο διαχειριστής της fanpage αποδέχεται το σύστημα που έχει καθιερώσει το Facebook. Αποκτά κατ’ αυτόν τον τρόπο καλύτερη εικόνα του προφίλ των χρηστών της fanpage του και, ταυτόχρονα, παρέχει τη δυνατότητα στο Facebook να στοχοθετήσει καλύτερα τις διαφημίσεις που προβάλλονται στο πλαίσιο του συγκεκριμένου κοινωνικού δικτύου. Αποδεχόμενος τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως προκαθορίζονται από το Facebook, ο διαχειριστής της fanpage πρέπει να θεωρείται ότι συμμετέχει στον καθορισμό τους.
Ο γενικός εισαγγελέας διατυπώνει την άποψη πως ο διαχειριστής fanpage μπορεί, με τη χρήση φίλτρων, να καθορίσει ένα εξατομικευμένο κοινό, και τούτο του παρέχει τη δυνατότητα όχι μόνο να εξειδικεύσει την ομάδα προσώπων στα οποία θα διαδοθούν πληροφορίες σχετικά με την εμπορική προσφορά του, αλλά κυρίως να ορίσει τις κατηγορίες προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα θα συλλέξει το Facebook. Κατ’ αυτόν τον τρόπο, ο διαχειριστής fanpage διαδραματίζει εξέχοντα ρόλο στην πραγματοποίηση της επεξεργασίας από το Facebook.
Σύμφωνα με τον γενικό εισαγγελέα, το γεγονός ότι διαχειριστής fanpage χρησιμοποιεί την παρεχόμενη από το Facebook πλατφόρμα και επωφελείται των σχετικών υπηρεσιών δεν τον απαλλάσσει από τις υποχρεώσεις του όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα. Άλλωστε, αντίθετη ερμηνεία ενέχει κίνδυνο καταστρατηγήσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Ο γενικός εισαγγελέας διευκρινίζει επίσης πως η από κοινού ευθύνη στην επεξεργασία των δεδομένων του διαχειριστή fanpage, αφενός, και των Facebook Inc. και Facebook Ireland, αφετέρου, ουδόλως μειώνει τις υποχρεώσεις που υπέχουν οι δεύτερες υπό την ιδιότητα των υπευθύνων της επεξεργασίας και κατά συνέπεια συμβάλλει στη διασφάλιση πληρέστερης προστασίας των δικαιωμάτων των ατόμων που επισκέπτονται fanpages.
Ο γενικός εισαγγελέας συνάγει ότι ο διαχειριστής fanpage στο κοινωνικό δίκτυο Facebook πρέπει να θεωρείται, μαζί με τη Facebook Inc. και τη Facebook Ireland, υπεύθυνος της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για την κατάρτιση στατιστικών επισκεψιμότητας οι οποίες σχετίζονται με την εν λόγω σελίδα.
Στη συνέχεια, ο γενικός εισαγγελέας εκτιμά ότι η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της διαφημιστικής και εμπορικής δραστηριότητας της εγκαταστάσεως (Facebook Germany) των από κοινού υπευθύνων της επεξεργασίας (Facebook Inc. και Facebook Ireland) στο έδαφος κράτους μέλους, εν προκειμένω στο έδαφος της Γερμανίας.
Στο σημείο αυτό ο γενικός εισαγγελέας τονίζει ότι η οδηγία 95/46, σε αντίθεση με τον κανονισμό (ΕΕ) 2016/79 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ, δεν εισάγει ούτε «μηχανισμό μίας στάσεως» ούτε την αρχή της χώρας καταγωγής, αλλά εκφράζει τη βούληση των κρατών μελών να διατηρήσουν την εθνική εκτελεστική τους αρμοδιότητα και καθιστά με τον τρόπο αυτό εφικτή τη σώρευση εφαρμοστέων εθνικών νομοθεσιών, σε περίπτωση ύπαρξης περισσότερων εγκαταστάσεων ενός υπευθύνου επεξεργασίας εντός της Ένωσης. Εξ αυτού του λόγου, ο γενικός εισαγγελέας προτείνει στο Δικαστήριο να μην εφαρμόσει πρόωρα το καθεστώς που καθιερώνεται με τον ως άνω γενικό κανονισμό για την προστασία δεδομένων και ο οποίος θα τεθεί σε εφαρμογή από τις 25-05-2018.
Ο γενικός εισαγγελέας ισχυρίζεται ότι η διάρθρωση ομίλου (όπως η Facebook) που χαρακτηρίζεται από την παρουσία εγκαταστάσεων του υπευθύνου της επεξεργασίας σε διάφορα κράτη μέλη δεν πρέπει να έχει ως αποτέλεσμα να παρέχει σε αυτόν τη δυνατότητα να καταστρατηγεί το δίκαιο του κράτους μέλους στη δικαιοδοσία του οποίου υπάγεται καθεμία από τις εν λόγω εγκαταστάσεις.
Επιπλέον, κατά τον γενικό εισαγγελέα, ο τόπος στον οποίο πραγματοποιείται η επεξεργασία, όπως και ο τόπος στον οποίο έχει την έδρα του εντός της Ένωσης ο υπεύθυνος της επεξεργασίας δεν είναι καθοριστικοί, εάν υπάρχουν περισσότερες εγκαταστάσεις του συγκεκριμένου υπευθύνου εντός της Ένωσης, για τον προσδιορισμό του εφαρμοστέου εθνικού δικαίου σε επεξεργασία δεδομένων και για την αναγνώριση της αρμοδιότητας αρχής ελέγχου να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει.
Ο γενικός εισαγγελέας εκτιμά ότι η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως της Facebook Germany και ότι βάσει της οδηγίας 95/46 επιτρέπεται, σε κατάσταση όπως η επίμαχη εν προκειμένω, η εφαρμογή του γερμανικού δικαίου για την προστασία των δεδομένων προσωπικού χαρακτήρα. Κατά συνέπεια, ο γενικός εισαγγελέας θεωρεί ότι η γερμανική αρχή ελέγχου είναι αρμόδια να εφαρμόσει το εθνικό της δίκαιο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στην προκειμένη περίπτωση, ασκώντας το σύνολο των αποτελεσματικών εξουσιών παρεμβάσεως που διαθέτει έναντι του υπευθύνου της επεξεργασίας, ακόμη και όταν ο εν λόγω υπεύθυνος είναι εγκατεστημένος σε άλλο κράτος μέλος ή σε τρίτο κράτος.
Ο γενικός εισαγγελέας καταλήγει πως επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της εν λόγω επεξεργασίας στο έδαφος κράτους μέλους, κατά τα οριζόμενα στην οδηγία 95/46, όταν επιχείρηση η οποία είναι υπεύθυνη κοινωνικού δικτύου ιδρύει στο συγκεκριμένο κράτος μέλος θυγατρική με σκοπό την προώθηση και την πώληση διαφημιστικού χώρου που προτείνει η επιχείρηση αυτή, της οποίας η δραστηριότητα κατευθύνεται προς τους κατοίκους του εν λόγω κράτους μέλους.
Τέλος, ο γενικός εισαγγελέας εκτιμά ότι υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ο οποίος διαθέτει εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη υπόκειται πλήρως στον έλεγχο περισσότερων της μιας αρχών ελέγχου όταν εφαρμόζονται τα δίκαια των κρατών μελών στα οποία υπάγονται οι εν λόγω αρχές, χωρίς να υπάρχει υποχρέωση εναρμόνισης των απόψεων μεταξύ των συναρμοδίων αρχών έλεγχου.
Ο γενικός εισαγγελέας συμπεραίνει ότι σε περιστάσεις υπεύθυνων της επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίοι διαθέτουν εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη και δεδομένου ότι ακόμα δεν έχει τεθεί σε εφαρμογή ο νέος γενικός κανονισμός προστασίας δεδομένων, η αρχή ελέγχου που υπάγεται στο κράτος μέλος στο οποίο ευρίσκεται εγκατάσταση του υπευθύνου της επεξεργασίας μπορεί να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει έναντι του υπευθύνου αυτοτελώς και χωρίς να υποχρεούται να ζητήσει προηγουμένως από την αρχή ελέγχου του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εν λόγω υπεύθυνος να ασκήσει τις εξουσίες της.
Υπενθυμίζεται ότι οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο. Έργο του γενικού εισαγγελέα είναι να προτείνει στο Δικαστήριο, με πλήρη ανεξαρτησία, νομική λύση για την υπόθεση που του έχει ανατεθεί. Η υπόθεση τελεί υπό διάσκεψη στο Δικαστήριο, ενώ η απόφαση θα εκδοθεί αργότερα.
Το πλήρες κείμενο των προτάσεων δημοσιεύεται στον ιστότοπο CURIA