Προσωπικά δεδομένα και ιστοσελίδες: Ο διαχειριστής ιστοσελίδας με ενσωματωμένο plugin τρίτου, όπως η επιλογή «Mου αρέσει», μπορεί να θεωρηθεί από κοινού υπεύθυνος επεξεργασίας δεδομένων
Με μία πολύ ενδιαφέρουσα σημερινή του απόφαση, το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε ότι ο διαχειριστής ιστοσελίδας στην οποία έχει ενσωματωθεί η επιλογή «Μου αρέσει!» του Facebook μπορεί να είναι υπεύθυνος από κοινού με τη Facebook για τη συλλογή και τη διαβίβαση στη Facebook δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας του.
Ειδικότερα, σύμφωνα με το Δικαστήριο, ο διαχειριστής μπορεί να θεωρηθεί υπεύθυνος επεξεργασίας, εφόσον μπορεί να γίνει δεκτό ότι καθορίζει από κοινού με τη Facebook Ireland τους σκοπούς και τον τρόπο της επεξεργασίας ως προς τις πράξεις συλλογής και ανακοίνωσης με διαβίβαση των επίμαχων δεδομένων.
Όπως αναφέρει το Δικαστήριο, η προσθήκη της επιλογής «Μου αρέσει!» του Facebook σε μία ιστοσελίδα βελτιστοποιεί την προβολή των προϊόντων της στο μέσο κοινωνικής δικτύωσης Facebook, αυξάνοντάς την όταν επισκέπτης της ως άνω ιστοσελίδας κάνει κλικ στην επιλογή αυτή.
Προκειμένου η ιστοσελίδα να έχει αυτό το εμπορικό πλεονέκτημα μέσω της προσθήκης της επιλογής αυτής, φαίνεται ότι συγκατατέθηκε, τουλάχιστον σιωπηρά, στη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της.
Συνεπώς, οι πράξεις αυτές επεξεργασίας δεδομένων γίνονται κατά τα φαινόμενα προς το οικονομικό συμφέρον τόσο της ίδιας όσο και της Facebook Ireland, για την οποία η δυνατότητα χρήσης των δεδομένων αυτών για τους δικούς της επιχειρηματικούς σκοπούς αποτελεί την αντιπαροχή για το πλεονέκτημα που παρέχεται στην ιστοσελίδα.
Αντιθέτως, το Δικαστήριο τονίζει ότι ο διαχειριστής δεν είναι κατ’ αρχήν υπεύθυνος για την εκ των υστέρων επεξεργασία των δεδομένων αυτών από μόνη τη Facebook, καθώς, εκ πρώτης όψεως, αποκλείεται το ενδεχόμενο να καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας ως προς τις πράξεις αυτές.
Ιστορικό της υπόθεσης
Η Fashion ID, γερμανική επιχείρηση η οποία πωλεί ενδύματα μέσω του διαδικτύου, ενσωμάτωσε στην ιστοσελίδα της την επιλογή «Μου αρέσει!» του Facebook. Η ενσωμάτωση αυτή έχει κατά τα φαινόμενα ως συνέπεια, όταν ένας χρήστης του διαδικτύου επισκέπτεται την ιστοσελίδα της Fashion ID, να διαβιβάζονται στη Facebook Ireland δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Φαίνεται ότι η διαβίβαση αυτή γίνεται χωρίς ο εν λόγω χρήστης να το γνωρίζει και ανεξαρτήτως του αν είναι μέλος του Facebook ή αν έχει κάνει κλικ στην επιλογή «Μου αρέσει!».
H Verbraucherzentrale NRW, γερμανική μη κερδοσκοπική ένωση προστασίας των καταναλωτών, προσάπτει στη Fashion ID ότι διαβίβασε στη Facebook Ireland δεδομένα προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της, αφενός, χωρίς τη συγκατάθεσή τους και, αφετέρου, κατά παράβαση των υποχρεώσεων που προβλέπουν οι διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.
Το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ, Γερμανία), το οποίο επιλήφθηκε της διαφοράς, ζήτησε από το Δικαστήριο να ερμηνεύσει διάφορες διατάξεις της προϊσχύουσας οδηγίας του 1995 (Οδηγία 95/46/ΕΚ) για την προστασία των δεδομένων (η οποία έχει μεν εφαρμογή στην υπόθεση αυτή, αλλά καταργήθηκε και αντικαταστάθηκε από τον γενικό κανονισμό του 2016 για την προστασία των δεδομένων ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018, GDPR).
Η απόφαση του Δικαστηρίου της ΕΕ
Με τη σημερινή απόφασή του, το Δικαστήριο διευκρινίζει, κατ’ αρχάς, ότι η προϊσχύουσα οδηγία για την προστασία των δεδομένων δεν απαγορεύει να παρέχεται στις ενώσεις προστασίας των καταναλωτών το δικαίωμα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβεί την προστασία των δεδομένων προσωπικού χαρακτήρα. Το Δικαστήριο επισημαίνει ότι ο νέος γενικός κανονισμός για την προστασία των δεδομένων προβλέπει πλέον ρητά τη δυνατότητα αυτή.
Στη συνέχεια, το Δικαστήριο διαπιστώνει ότι η Fashion ID δεν φαίνεται να μπορεί να θεωρηθεί υπεύθυνη των πράξεων επεξεργασίας δεδομένων που διενεργεί η Facebook Ireland μετά τη διαβίβαση των δεδομένων σε αυτήν. Ειδικότερα, εκ πρώτης όψεως, αποκλείεται το ενδεχόμενο η Fashion ID να καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας ως προς τις πράξεις αυτές.
Αντιθέτως, η Fashion ID μπορεί να θεωρηθεί υπεύθυνη, από κοινού με τη Facebook Ireland, για τις πράξεις συλλογής και ανακοίνωσης με διαβίβαση στη Facebook Ireland των επίμαχων δεδομένων, εφόσον μπορεί να γίνει δεκτό (βάσει του ελέγχου στον οποίο πρέπει να προβεί το Oberlandesgericht Düsseldorf) ότι η Fashion ID και η Facebook Ireland καθορίζουν από κοινού τους σκοπούς και τον τρόπο της επεξεργασίας ως προς τις πράξεις αυτές1.
Κατά τα φαινόμενα, η προσθήκη της επιλογής «Μου αρέσει!» του Facebook στην ιστοσελίδα της Fashion ID βελτιστοποιεί την προβολή των προϊόντων της στο μέσο κοινωνικής δικτύωσης Facebook, αυξάνοντάς την όταν επισκέπτης της ως άνω ιστοσελίδας κάνει κλικ στην επιλογή αυτή. Προκειμένου η Fashion ID να έχει αυτό το εμπορικό πλεονέκτημα μέσω της προσθήκης της επιλογής αυτής, φαίνεται ότι συγκατατέθηκε, τουλάχιστον σιωπηρά, στη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της. Συνεπώς, οι πράξεις αυτές επεξεργασίας δεδομένων γίνονται κατά τα φαινόμενα προς το οικονομικό συμφέρον τόσο της Fashion ID όσο και της Facebook Ireland, για την οποία η δυνατότητα χρήσης των δεδομένων αυτών για τους δικούς της επιχειρηματικούς σκοπούς αποτελεί την αντιπαροχή για το πλεονέκτημα που παρέχεται στη Fashion ID.
Το Δικαστήριο τονίζει ότι ο διαχειριστής ιστοσελίδας, όπως η Fashion ID, ως (συν)υπεύθυνοςορισμένων πράξεων επεξεργασίας δεδομένων των επισκεπτών της ιστοσελίδας του, όπως η συλλογή δεδομένων και η διαβίβασή τους στη Facebook Ireland, οφείλει να παρέχει, κατά τη συλλογή των δεδομένων, ορισμένες πληροφορίες στους επισκέπτες αυτούς, όπως, για παράδειγμα, την ταυτότητά του και τους σκοπούς της επεξεργασίας
Το Δικαστήριο παρέχει επίσης διευκρινίσεις ως προς δύο από τις έξι περιπτώσεις νόμιμης επεξεργασίας δεδομένων προσωπικού χαρακτήρα τις οποίες προβλέπει η οδηγία.
Ειδικότερα, όσον αφορά την περίπτωση όπου το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του, το Δικαστήριο κρίνει ότι ο διαχειριστής ιστοσελίδας όπως η Fashion ID οφείλει να λάβει τη συγκατάθεσή αυτή εκ των προτέρων(μόνο) για τις πράξεις για τις οποίες είναι (συν)υπεύθυνος, ήτοι για τη συλλογή και τη διαβίβαση των δεδομένων.
Όσον αφορά τις περιπτώσεις όπου η επεξεργασία δεδομένων είναι αναγκαία για την υλοποίηση ορισμένου εννόμου συμφέροντος, το Δικαστήριο κρίνει ότι καθένας από τους (συν)υπεύθυνους της επεξεργασίας, δηλαδή ο διαχειριστής της ιστοσελίδας και ο πάροχος του πρόσθετου (plugin) κοινωνικής δικτύωσης, πρέπει να επιδιώκει, με τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα, έννομο συμφέρον προκειμένου οι πράξεις αυτές να είναι δικαιολογημένες ως προς αυτόν.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στην ιστοσελίδα CURIA
- 1.Υπενθυμίζεται ότι, με την απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16· βλ. επίσης ΑΤ 81/18), το Δικαστήριο έκρινε ότι διαχειριστής σελίδας (fan page) στο Facebook είναι υπεύθυνος από κοινού με το Facebook για την επεξεργασίας των δεδομένων των επισκεπτών της σελίδας του