Απόφαση C-40/17 της 29/7/2019 (Fashion ID): Έννοια του όρου “υπεύθυνος της επεξεργασίας” – Νόμιμη επεξεργασία δεδομένων – Έννομο συμφέρον υπεύθυνου επεξεργασίας – Συγκατάθεση υποκειμένου – Εθνική κανονιστική ρύθμιση που παρέχει στις ενώσεις προστασίας καταναλωτών ενεργητική νομιμοποίηση για προσφυγή στη δικαιοσύνη στον τομέα προστασίας δεδομένων
Με την πολύ σημαντική αυτή απόφαση, το ΔΕΕ ερμηνεύει σειρά διατάξεων του GDPR, με αφορμή την περίσταση ενσωμάτωσης πρόσθετου (plug-in) του Facebook σε ιστοσελίδα, μέσω του οποίου μεταφέρονται προσωπικά δεδομένα του τελικού χρήστη στον πάροχο του μέσου κοινωνικής δικτύωσης. Το Δικαστήριο κάνει δεκτό, ότι εν προκειμένω ως υπεύθυνος επεξεργασίας θα πρέπει να εννοηθεί τόσο το Facebook, όσο και ο διαχειριστής του ιστοτόπου. Για να είναι λοιπόν νόμιμη η επεξεργασία των προσωπικών δεδομένων των χρηστών, θα πρέπει αυτή να δικαιολογείται από έννομο συμφέρον τόσο του Facebook, όσο και του διαχειριστή της ιστοσελίδας. Ειδάλλως, αμφότεροι πρέπει να ζητούν την συγκατάθεση του χρήστη κατά τον λόγο και στο βαθμό που ο καθένας προβαίνει σε επεξεργασία. Το ΔΕΕ δεν τοποθετείται βέβαια στο φλέγον ζήτημα, εάν εν προκειμένω μπορεί να νομιμοποιήσει την επεξεργασία η επίκληση εννόμου συμφέροντος εκ μέρους του υπευθύνου της επεξεργασίας, δεδομένου ότι ο GDPR υπαγορεύει σε τέτοια περίπτωση τη στάθμιση του επικαλούμενου συμφέροντος με τα δικαιώματα, τις ελευθερίες και τα συμφέροντα του υποκειμένου των δεδομένων. Αυτά θίγονται κατά κύριο λόγω μέσω των τεχνολογιών tracking στο διαδίκτυο.
Η σημαντικότερη πτυχή της απόφασης έγκειται, πάντως, στο ότι το Δικαστήριο δέχεται τη νομιμοποίηση καταναλωτικών ενώσεων να εγείρουν αξιώσεις επί προσβολής προσωπικών δεδομένων καταναλωτών. Επί του ζητήματος αυτού, μπορείτε να διαβάσετε σχόλιο της Ελένης Τζούλια (admin του Justina.gr) στα Χρονικά Ιδιωτικού Δικαίου τεύχος Μαίου 2020, εκδόσεις ΠΝ Σάκκουλας.