Πολύ σημαντική απόφαση ενόψει GDPR – Από κοινού υπεύθυνοι επεξεργασίας οι διαχειριστές σελίδων και το Facebook
Μία εξαιρετικά σημαντική απόφαση σχετικά με την προστασία δεδομένων στις πλατφόρμες κοινωνικές δικτύωσης, ειδικά με δεδομένη την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), εξέδωσε το Δικαστήριο της Ευρωπαϊκής Ένωσης.
Ειδικότερα, το ΔΕΕ έκρινε ότι ο διαχειριστής σελίδας (fan page) στο Facebook είναι υπεύθυνος από κοινού με το Facebook για την επεξεργασία των δεδομένων των επισκεπτών της σελίδας του.
Υπενθυμίζεται ότι στην ίδια κατεύθυνση είχαν κινηθεί και οι προτάσεις του Γενικού Εισαγγελέα του Δικαστηρίου για τις οποίες είχατε ενημερωθεί πριν λίγους μήνες από το Lawspot.
Ενημερωθείτε για ζητήματα που αφορούν τα προσωπικά δεδομένα στο Lawspot.gr/GDPR
Όπως αναφέρει στη σημερινή του απόφαση το ΔΕΕ, ο διαχειριστής αυτός συμμετέχει, μέσω της επιλογής των σχετικών ρυθμίσεων (η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού-στόχου, καθώς και των σκοπών διαχείρισης ή προώθησης των δραστηριοτήτων του), στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.
Ειδικότερα, το Δικαστήριο επισημαίνει συναφώς ότι ο διαχειριστής της σελίδας μπορεί να ζητήσει να λάβει (σε ανωνυμοποιημένη μορφή) —και άρα να ζητήσει να τύχουν επεξεργασίας— δημογραφικά δεδομένα που αφορούν το κοινό-στόχο (ιδίως δεδομένα σχετικά με τα κυρίαρχα χαρακτηριστικά του από απόψεως ηλικίας, φύλου, προσωπικής και επαγγελματικής κατάστασης), πληροφορίες σχετικά με τον τρόπο ζωής και τα ενδιαφέροντα του κοινού-στόχου (συμπεριλαμβανομένων των πληροφοριών σχετικά με τις αγορές και την αγοραστική συμπεριφορά στο διαδίκτυο των επισκεπτών της σελίδας του καθώς και με τις κατηγορίες προϊόντων ή υπηρεσιών που τους ενδιαφέρουν περισσότερο), καθώς και γεωγραφικά δεδομένα που παρέχουν στον διαχειριστή της σελίδας τη δυνατότητα να αποφασίζει πού θα πραγματοποιήσει ειδικές προσφορές ή πού θα διοργανώσει εκδηλώσεις και, γενικότερα, να κατευθύνει αποτελεσματικότερα τις προτεινόμενες από αυτόν πληροφορίες.
Παράλληλα το ΔΕΕ έκρινε ότι η αρχή προστασίας των δεδομένων του κράτους μέλους στο οποίο ο διαχειριστής αυτός έχει την έδρα του μπορεί, δυνάμει της οδηγίας 95/46 , να στραφεί τόσο κατά του διαχειριστή αυτού όσο και κατά της θυγατρικής της Facebook που είναι εγκατεστημένη στο ίδιο κράτος. [Οδηγία 95/46/ΕΚ]
Ιστορικό
Η γερμανική εταιρία Wirtschaftsakademie Schleswig-Holstein είναι ειδικευμένη στον τομέα της εκπαίδευσης. Παρέχει εκπαιδευτικές υπηρεσίες ιδίως μέσω σελίδας (fan page, στο εξής: σελίδα1) στο Facebook στη διεύθυνση www.facebook.com/wirtschaftsakademie.
Οι διαχειριστές σελίδων, όπως είναι η Wirtschaftsakademie, μπορούν να λαμβάνουν ανώνυμα στατιστικά στοιχεία σχετικά με τους επισκέπτες των σελίδων αυτών, με τη βοήθεια του εργαλείου Facebook Insight, το οποίο τίθεται δωρεάν στη διάθεσή τους από το Facebook σύμφωνα με όρους χρήσης που δεν μπορούν να τροποποιηθούν. Τα στοιχεία αυτά συλλέγονται χάρη σε αναγνωριστικά αρχεία («cookies») τα οποία διαθέτουν καθένα τον δικό του κωδικό χρήσης, παραμένουν ενεργά επί δύο έτη και αποθηκεύονται από το Facebook στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή ή σε οποιαδήποτε άλλη συσκευή των επισκεπτών της σελίδας.
Ο κωδικός χρήσης, ο οποίος μπορεί να συσχετιστεί με τα δεδομένα σύνδεσης των εγγεγραμμένων χρηστών του Facebook, συλλέγεται και υποβάλλεται σε επεξεργασία κατά το άνοιγμα των σελίδων.
Με απόφαση της 3ης Νοεμβρίου 2011, η Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ανεξάρτητη περιφερειακή αρχή προστασίας δεδομένων του SchleswigHolstein, Γερμανία), ως αρχή ελέγχου επιφορτισμένη, δυνάμει της οδηγίας 95/46 περί προστασίας των δεδομένων, με την εποπτεία της εφαρμογής στο έδαφος του Land Schleswig-Holstein (Γερμανία) των διατάξεων που έχει θεσπίσει η Γερμανία κατ’ εφαρμογήν της οδηγίας αυτής, διέταξε την Wirtschaftsakademie να απενεργοποιήσει τη σελίδα της αυτή. Ειδικότερα, κατά την Unabhängiges Landeszentrum, ούτε η Wirtschaftsakademie ούτε το Facebook ενημέρωναν τους επισκέπτες της σελίδας ότι το Facebook συνέλεγε, με τη χρήση cookies, πληροφορίες προσωπικού χαρακτήρα που τους αφορούν και ότι, στη συνέχεια, πραγματοποιούνταν επεξεργασία των πληροφοριών αυτών.
Η Wirtschaftsakademie προσέφυγε κατά της ως άνω απόφασης ενώπιον των γερμανικών διοικητικών δικαστηρίων, διατεινόμενη ότι δεν είναι δυνατόν να της καταλογιστεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα που εξετέλεσε το Facebook και ότι δεν ανέθεσε στο Facebook να προβεί σε επεξεργασία δεδομένων την οποία η ίδια ελέγχει ή μπορεί να επηρεάσει. Με βάση τα ανωτέρω, η Wirtschaftsakademie υποστήριξε ότι η Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein όφειλε να ενεργήσει απευθείας κατά της Facebook και όχι εναντίον της.
Σε αυτό ακριβώς το πλαίσιο, το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο, Γερμανία) ζητεί από το Δικαστήριο να ερμηνεύσει την οδηγία 95/46 περί προστασίας των δεδομένων.
Απόφαση
Με τη σημερινή απόφασή του, το Δικαστήριο παρατηρεί καταρχάς ότι, στην υπό κρίση υπόθεση, δεν αμφισβητείται ότι η αμερικανική εταιρία Facebook. και, σε επίπεδο Ένωσης, η ιρλανδική θυγατρική της, Facebook Ireland, πρέπει να θεωρηθούν ως «υπεύθυνες της επεξεργασίας» των δεδομένων προσωπικού χαρακτήρα των χρηστών του Facebook καθώς και των επισκεπτών των σελίδων που φιλοξενούνται στο Facebook.
Πράγματι, οι εταιρίες αυτές είναι εκείνες που, κατά κύριο λόγο, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων αυτών.
Στη συνέχεια, το Δικαστήριο διαπιστώνει ότι διαχειριστής σελίδας, όπως είναι η Wirtschaftsakademie, πρέπει να χαρακτηριστεί ως υπεύθυνος σε επίπεδο Ένωσης, από κοινού με την Facebook Ireland, για την επεξεργασία των επίμαχων δεδομένων.
Πράγματι, ο διαχειριστής αυτός συμμετέχει, μέσω της επιλογής των σχετικών ρυθμίσεων (η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού-στόχου, καθώς και των σκοπών διαχείρισης ή προώθησης των δραστηριοτήτων του), στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.
Ειδικότερα, το Δικαστήριο επισημαίνει συναφώς ότι ο διαχειριστής της σελίδας μπορεί να ζητήσει να λάβει (σε ανωνυμοποιημένη μορφή) —και άρα να ζητήσει να τύχουν επεξεργασίας— δημογραφικά δεδομένα που αφορούν το κοινό-στόχο (ιδίως δεδομένα σχετικά με τα κυρίαρχα χαρακτηριστικά του από απόψεως ηλικίας, φύλου, προσωπικής και επαγγελματικής κατάστασης), πληροφορίες σχετικά με τον τρόπο ζωής και τα ενδιαφέροντα του κοινού-στόχου (συμπεριλαμβανομένων των πληροφοριών σχετικά με τις αγορές και την αγοραστική συμπεριφορά στο διαδίκτυο των επισκεπτών της σελίδας του καθώς και με τις κατηγορίες προϊόντων ή υπηρεσιών που τους ενδιαφέρουν περισσότερο), καθώς και γεωγραφικά δεδομένα που παρέχουν στον διαχειριστή της σελίδας τη δυνατότητα να αποφασίζει πού θα πραγματοποιήσει ειδικές προσφορές ή πού θα διοργανώσει εκδηλώσεις και, γενικότερα, να κατευθύνει αποτελεσματικότερα τις προτεινόμενες από αυτόν πληροφορίες.
Κατά το Δικαστήριο, η εκ μέρους του διαχειριστή της σελίδας χρήση της πλατφόρμας που παρέχει το Facebook με σκοπό την αξιοποίηση των σχετικών υπηρεσιών δεν τον απαλλάσσει από την τήρηση των υποχρεώσεών του όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.
Το Δικαστήριο υπογραμμίζει ότι η αναγνώριση της από κοινού ευθύνης του φορέα εκμετάλλευσης του μέσου κοινωνικής δικτύωσης και του διαχειριστή σελίδας φιλοξενούμενης στο μέσο αυτό για την επεξεργασία των προσωπικών δεδομένων των επισκεπτών της σελίδας αυτής συμβάλλει στη διασφάλιση πληρέστερης προστασίας των δικαιωμάτων των προσώπων που επισκέπτονται μια τέτοια σελίδα, συμφώνως προς τις απαιτήσεις της οδηγίας 95/46 περί προστασίας των δεδομένων.
Επιπλέον, το Δικαστήριο διαπιστώνει ότι η Unabhängiges Landeszentrum είναι αρμόδια, προς τον σκοπό της διασφάλισης, στο γερμανικό έδαφος, της τήρησης των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, να ασκήσει όχι μόνο έναντι της Wirtschaftsakademie, αλλά και έναντι της Facebook Germany, το σύνολο των εξουσιών που διαθέτει δυνάμει των εθνικών διατάξεων με τις οποίες η οδηγία 95/46 έχει μεταφερθεί στην εθνική έννομη τάξη. Πράγματι, όταν μια επιχείρηση εγκατεστημένη εκτός της Ένωσης (όπως η αμερικανική εταιρία Facebook) διαθέτει πλείονες εγκαταστάσεις εντός διαφόρων κρατών μελών, η αρχή ελέγχου ενός κράτους μέλους δύναται αρμοδίως να ασκήσει τις εξουσίες που της παρέχει η οδηγία 95/462 , έναντι εγκατάστασης της ως άνω επιχείρησης ευρισκόμενης στο έδαφος του κράτους μέλους αυτού, μολονότι, δυνάμει της ενδοομιλικής κατανομής δραστηριοτήτων, αφενός, η εγκατάσταση αυτή (εν προκειμένω, η Facebook Germany) είναι επιφορτισμένη αποκλειστικώς με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες μάρκετινγκ στο έδαφος του εν λόγω κράτους μέλους και, αφετέρου, αποκλειστικώς υπεύθυνη για τη συλλογή και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, σε ολόκληρο το έδαφος της Ένωσης, είναι εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος (εν προκειμένω η Facebook Ireland).
Το Δικαστήριο διευκρινίζει ακόμη ότι, σε περίπτωση που η αρχή ελέγχου κράτους μέλους (εν προκειμένω η Unabhängiges Landeszentrum στη Γερμανία) προτίθεται να ασκήσει έναντι φορέα εγκατεστημένου στο έδαφος του κράτους μέλους αυτού (εν προκειμένω έναντι της Wirtschaftsakademie) τις εξουσίες παρέμβασης που προβλέπονται με την οδηγία 95/464 , λόγω παράβασης των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα από τρίτο υπεύθυνο της επεξεργασίας των δεδομένων αυτών που έχει την έδρα του σε άλλο κράτος μέλος (εν προκειμένω από τη Facebook Ireland), η εν λόγω αρχή ελέγχου είναι αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με την αρχή ελέγχου του τελευταίου αυτού κράτους μέλους (της Ιρλανδίας), τη νομιμότητα της προαναφερθείσας επεξεργασίας δεδομένων και δύναται να ασκήσει τις εξουσίες παρέμβασης που διαθέτει έναντι του φορέα που είναι εγκατεστημένος στο έδαφος της δικαιοδοσίας της χωρίς προηγουμένως να καλέσει την αρχή ελέγχου του άλλου κράτους μέλους να παρέμβει.
Το πλήρες κείμενο της αποφάσεως είναι διαθέσιμο στην ιστοσελίδα CURIA
- 1.Οι σελίδες αυτές είναι λογαριασμοί χρηστών που μπορούν να δημιουργούνται στο Facebook από ιδιώτες ή από επιχειρήσεις. Συγκεκριμένα, ο δημιουργός της σελίδας, ο οποίος έχει προηγουμένως εγγραφεί στο Facebook, μπορεί να χρησιμοποιήσει την πλατφόρμα του εν λόγω μέσου κοινωνικής δικτύωσης για να προβάλει τις δραστηριότητές του στους χρήστες του μέσου αυτού, καθώς και στα πρόσωπα που επισκέπτονται τη σελίδα του, και να διοχετεύει κάθε είδους ανακοινώσεις στην αγορά των μέσων επικοινωνίας και της δημόσιας έκφρασης.
- 2.Πιο συγκεκριμένα, το άρθρο 28, παράγραφος 3, της οδηγίας 95/46