Finał problematycznej wtyczki. Wyrok TSUE w sprawie „Lubię to”

autor: Konrad Makar

13.08.2019

Finał problematycznej wtyczki. Wyrok TSUE w sprawie „Lubię to”

Pod koniec ubiegłego roku pisałem o pytaniach prejudycjalnych skierowanych do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie wtyczki społecznościowej „Lubię to”. 29 lipca 2019 r. światło dzienne ujrzał wyrok TSUE rozwiewający wątpliwości podniesione przez Wyższy Sąd Krajowy w Düsseldorfie[1]. Stanowi on istotne narzędzie interpretacji przepisów o ochronie danych osobowych, pod kątem korzystania z podobnych wtyczek przez inne podmioty. Określił bowiem operatora witryny internetowej oraz dostawcę wtyczki mianem współadministratorów.

Dla przypomnienia wskażę, iż całe postępowanie przeciwko niemieckiej spółce zajmującej się sprzedażą rzeczy przez internet, która zamieściła na swojej stronie internetowej wtyczkę „Lubię to” rozpoczęło się w 2017 roku, a więc w okresie obowiązywania dyrektywy 95/46/WE[2] (dalej: dyrektywa). Jednakże z uwagi na fakt, że przepisy objęte pytaniem do TSUE istnieją w zbliżonej formie w RODO[3], wywód TSUE pozostaje aktualnym w obecnym porządku prawnym. Wśród 6 pytań skierowanych do trybunału, na szczególną uwagę pod kątem stosowania RODO zasługują następujące:

1) Czy podmiot, który zamieszcza na swojej stronie internetowej wtyczkę społecznościową, na skutek czego przekazywane są podmiotowi trzeciemu (Facebook’owi) adres IP i identyfikator przeglądarki, należy uznać za administratora danych w odniesieniu do przetwarzania tych danych?

2) Wobec kogo powinna zostać wyrażona zgoda na przetwarzanie danych osobowych wskazanych powyżej?

3) Kto powinien zrealizować obowiązek informacyjny?

Odpowiedź na pierwsze pytanie znalazła się w pkt 84 i 85 wyroku. Trybunał wskazał w nim, że operator witryny internetowej, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej (np. IP, identyfikator przeglądarki), jest administratorem danych w rozumieniu dyrektywy. Ponosi on jednak odpowiedzialność jedynie w zakresie operacji lub do zestawu operacji, której lub których cele i sposoby rzeczywiście określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję dostawcy (np. Facebook). W efekcie oba podmioty uznać należy za współadministratorów.

Z kolei w odniesieniu do kolejnych pytań, TSUE podzielił opinię Rzecznika Generalnego Michała Bobeka[4], wskazującą na konieczność poprzedzenia przetwarzania danych osobowych uzyskaniem stosownej zgody osoby fizycznej umożliwiającej przetwarzanie tych danych. Tylko w takim wypadku uznać można przetwarzanie danych osobowych za w pełni legalne.

Przekładając to bezpośrednio na opisywaną sytuację, operator witryny internetowej, umieszczając rzeczoną wtyczkę społecznościową na swoim portalu, powinien zadbać o uzyskanie zgody na przetwarzanie danych osobowych obejmujące gromadzenie tych danych i ich transfer do dostawcy wtyczki, jednocześnie pamiętając, iż obowiązek informacyjny należy realizować w momencie zbierania danych osobowych (art. 10 dyrektywy, art. 13 RODO) tzn. natychmiastowo po wejściu na taką stronę internetową. Wynika to z faktu, że dane takie jak wspomniane już adresy IP lub identyfikatory przeglądarek, przeważnie gromadzone są i przekazywane zanim użytkownik „naciśnie” wtyczkę.

W pkt 106 TSUE wskazał jednak, że informacja jaką operator witryny internetowej musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa – tzn. operacji gromadzenia i przekazania danych dostawcy wtyczki.

Zalecałbym zatem aby podmioty, które korzystają z wtyczek społecznościowych zweryfikowały przede wszystkim, czy na ich stronach internetowych znajdują się odpowiednie zgody lub klauzule informacyjne obejmujące swoim zakresem przekazywanie dostawcy wtyczki danych o odwiedzających portal osobach fizycznych, a także czy modyfikacji nie wymagają polityki bezpieczeństwa (w oparciu o postanowienia art. 26 RODO). Zachęcam również do zapoznania się w wolnej chwili z komentarzem Urzędu Ochrony Danych Osobowych do wyroku, umieszczonym na jego oficjalnej stronie[5].

 

[1]http://curia.europa.eu/juris/document/document.jsf;jsessionid=CE0BBBE0BAA8CC9267296BAA597F04F8?text=&docid=216555&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6162768 – dostęp 13.08.2019 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[4] Opinia Rzecznika Generalnego Michala Bobeka przedstawiona w dniu 19 grudnia 2018 r., Sprawa C‑40/17

http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=2918620 - dostęp 13.08.2019 r.

[5] https://uodo.gov.pl/pl/138/1140

Kontakt z nami

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, iż:

  • Administratorem Danych Osobowych jest Tomasz Dauerman prowadzący działalność gospodarczą pod nazwą Kancelaria Radcy Prawnego Tomasz Dauerman, z siedzibą przy al. Śląskiej 1, 54-118 Wrocław, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, pod numerem NIP: 8861359830, REGON: 891091900, e-mail: info@dauerman.com.pl, tel.: +48 501 157 280;
  • podanie przez Ciebie danych osobowych w korespondencji e-mail, rozmowie telefonicznej lub formularzu kontaktowym jest dobrowolne, lecz niezbędne do celów udzielenia odpowiedzi na przedstawione zagadnienie;
  • przetwarzanie Twoich danych osobowych w celu udzielenia odpowiedzi na przedstawione zagadnienie odbywa się na podstawie art. 6 ust. 1 lit. f) Ogólnego Rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. i zgodnie zasadami określonymi w niniejszym Rozporządzeniu;
  • posiadasz prawo dostępu do treści swoich danych, uzyskania ich kopii, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych;
  • Twoje dane osobowe będą przechowywane do momentu udzielenia odpowiedzi bądź załatwienia sprawy, w której zostały zebrane;
  • nie będziemy udostępniać innym podmiotom Twoich danych osobowych, uzyskanych w związku z wyżej wymienionymi celami;
  • masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uznasz, iż przetwarzanie danych osobowych dotyczących Ciebie narusza przepisy Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
  • Polityka prywatności

    1. Zakres obowiązywania
      1. Administratorem Danych Osobowych jest Kancelaria Radcy Prawnego Tomasz Dauerman, 54-118 Wrocław, Al. Śląska 1, NIP: 886-135-98-30, e-mail: info@dauerman.com.pl, tel. +48 71 784-77-83 (lub -84) (dalej: Administrator, ADO).
      2. Celem niniejszej Polityki Prywatności jest określenie działań podejmowanych przez Administratora w zakresie ochrony danych osobowych przetwarzanych, w tym zbieranych za pośrednictwem strony internetowej http://www.dauerman.com.pl
      3. Dane osobowe to wszelkie informacje, które mogą Cię identyfikować, na przykład Twoje imię i nazwisko, numer telefonu i adres poczty elektronicznej przekazywane przez Ciebie za pomocą formularzy kontaktowych i formularzy zgłoszeń. Kiedy w poniższym dokumencie odwołujemy się do terminu „przetwarzać” albo „przetwarzanie”, mamy na myśli wszelkie czynności i operacje wykonywane na Twoich danych osobowych (np. ich przechowywanie czy analizowanie na potrzeby świadczenia Ci usługi).
    2. Informacje dotyczące ADO
      Kontakt z ADO może się odbywać pocztą tradycyjną na adres siedziby, mailowo lub telefonicznie. Dane kontaktowe wskazane zostały w pkt. 1.1 niniejszej Polityki Prywatności.
    3. Cel, podstawa prawna i zasady przetwarzania danych osobowych
      1. Dane osobowe osób fizycznych korzystających z formularzy kontaktowych i formularzy zgłoszeń (dalej zwanymi: Użytkownikami) przetwarzane są w celu:
        1. zawarcia i wykonywania umów w ramach usług prowadzonych przez ADO (art. 6 ust. 1 lit. b) RODO);
        2. prowadzenia działań marketingu bezpośredniego w formie e-mailowego newslettera, na podstawie udzielonej zgody (art. 6 ust. 1 lit. a) RODO);
        3. udzielenia odpowiedzi na przedstawione zagadnienie, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO);
        4. ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).
      2. Dane osobowe przetwarzane są przez następujący okres:
        1. w celu zawarcia i wykonywania umowy – przez okres prowadzenia negocjacji oraz trwania umowy, a po jej ustaniu do upływu okresów przedawnienia wszelkich roszczeń z niej wynikających,
        2. w celu prowadzenie działań marketingu bezpośredniego w formie e-mailowego newslettera – do czasu cofnięcia zgody przez Użytkownika,
        3. w celu udzielenia odpowiedzi na przedstawione zagadnienie - do czasu załatwienia sprawy, w której zostały zebrane.
      3. Podanie danych osobowych w celu, o którym mowa w pkt. 3.1 lit. a) jest dobrowolne jednakże jest warunkiem zawarcia umowy. W przypadku niepodania danych możemy odmówić złożenia Tobie oferty i zawarcia umowy.
        Podanie danych osobowych w celu, o którym mowa w pkt. 3.1. lit. b), c) jest dobrowolne. Jeżeli nie podasz danych lub nie wyrazisz zgody nie będziemy mogli w przyszłości informować Cię bezpośrednio o naszej bieżącej ofercie lub udzielić odpowiedzi na przedstawione zagadnienia.
      4. Dane osobowe Użytkowników nie są przekazywane poza teren Polski, Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
      5. Dane osobowe użytkowników nie są powierzane przez ADO do przetwarzania żadnym podmiotom. Dane osobowe mogą być także udostępnione: odpowiednim organom państwowym na ich żądanie na podstawie odpowiednich przepisów prawa.
    4. Prawa osoby, której dane dotyczą
      1. Każdy Użytkownik ma prawo dostępu do treści swoich danych i otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu oraz prawo do przenoszenia danych.
      2. Jeżeli przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo cofnąć zgodę na przetwarzanie danych osobowych. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
      3. Użytkownik ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy prawa o ochronie danych osobowych.
      4. W przedmiocie realizacji swoich praw oraz cofnięcia zgody można skontaktować się z ADO przy użyciu danych wskazanych w pkt 1.1 niniejszej Polityki Prywatności.
    5. Cookies
      1. Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, „długość życia” ciasteczka (to znaczy czas jego istnienia), oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.
      2. W związku z udostępnianiem zawartości strony internetowej dauerman.com.pl stosuje się  tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. Opisane w niniejszym punkcie Polityki Prywatności, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych stron internetowych. Pliki cookies (tzw."ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika strony internetowej dauerman.com.pl. Cookies zazwyczaj zawierają nazwę domeny strony internetowej, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
      3. Pliki cookies wykorzystywane są w celu:
        1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy strony korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
        2. utrzymania sesji użytkownika strony internetowej (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie strony internetowej ponownie wpisywać loginu i hasła,
      4. W ramach strony internetowej dauerman.com.pl możemy stosować następujące rodzaje plików cookies:
        1. "niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach strony internetowej, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach strony,
        2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach strony,
        3. pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych.
      5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy strony dauerman.com.pl mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika strony internetowej. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
      6. Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych strony internetowej, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych na stronie internetowej dauerman.com.pl z zastrzeżeniem tych, do których dostęp wymaga logowania. Poniżej informacja jak wyłączyć pliki cookie w przeglądarce:

        Jak wyłączyć pliki cookie w przeglądarce ?

        1. Przeglądarka Opera
        2. Przeglądarka Firefox
        3. Przeglądarka Chrome
        4. Przeglądarka Internet Explorer
        5. Przeglądarka Safari
    6. Postanowienia końcowe
      1. ADO dokłada wszelkich starań, aby zapewnić wszelkie środki fizyczne, techniczne i organizacyjne ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
      2. ADO zastrzega sobie prawo do zmiany treści niniejszej Polityki Prywatności.