Odpowiedzialność za korzystanie z wtyczki „Lubię to” Facebooka

Operator witryny internetowej posiadającej wtyczki „Lubię to” Facebooka może być uznany za administratora danych w rozumieniu dyrektywy 95/46. Sprawa dotyczy przekazywania danych osobowych osób odwiedzających witrynę internetową do Facebook Ireland bez ich zgody, co wywołało kontrowersje. Trybunał Sprawiedliwości UE podjął decyzję odnośnie interpretacji przepisów dotyczących ochrony danych osobowych i odpowiedzialności operatora witryny w takiej sytuacji.

Tematyka: Lubię to, Facebook, administrator danych, ochrona danych osobowych, odpowiedzialność, operator witryny, przetwarzanie danych osobowych, dyrektywa 95/46, Trybunał Sprawiedliwości UE, interpretacja przepisów

Operator witryny internetowej posiadającej wtyczki „Lubię to” Facebooka może być uznany łącznie
z Facebookiem za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46 w odniesieniu do operacji
gromadzenia danych osobowych osób odwiedzających jego witrynę internetową i ich ujawniania poprzez
transmisję.
Stan faktyczny
S półka F. zajmująca się sprzedażą odzieży online, umieściła w swojej witrynie internetowej wtyczkę
społecznościową „Lubię to” Facebooka (dalej jako: przyciski „Lubię to”). W związku z tym gdy osoba odwiedzająca
przegląda witrynę internetową F. to jej dane osobowe są przekazywane Facebook Ireland. Przekazywanie to
następuje bez wiedzy osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu
społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to”.
V. stowarzyszenie użyteczności publicznej ochrony interesów konsumentów, zarzuciło F. przekazywanie Facebook
Ireland danych osobowych należących do osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody,
a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych
osobowych.
Pytania prejudycjalne
- Czy art. 22–24 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. 1995, L 281,
s. 31) należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu
stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu
sprawcy naruszenia ochrony danych osobowych?
- Czy operatora witryny internetowej, takiego jak F., który umieszcza w tej witrynie wtyczkę społecznościową
umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy owej wtyczki
i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora
danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, chociaż ten operator nie ma żadnego wpływu na przetwarzanie
danych przekazanych w ten sposób wspomnianemu dostawcy?
- Czy w sytuacji, w której operator witryny internetowej umieszcza w ww. witrynie wtyczkę społecznościową
umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki
i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, należy do celów stosowania
art. 7 lit. f) dyrektywy 95/46 wziąć pod uwagę uzasadnione interesy tego operatora, czy też uzasadnione interesy
tego dostawcy?
- Czy art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji, w której operator
witryny internetowej umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby
odwiedzającej tę witrynę pobieranie treści od dostawcy owej wtyczki i przekazywanie w tym celu temu dostawcy
danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez
tego operatora lub przez tego dostawcę oraz czy art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej
sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży na tym operatorze?
Stanowisko TS
Legitymacja procesowa
Zdaniem TS okoliczność, że państwo członkowskie ustanawia możliwość wniesienia przez stowarzyszenie ochrony
interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych,
w żaden sposób nie może zaszkodzić jej celom, lecz – przeciwnie – przyczynia się do ich realizacji.
Trybunał orzekł, że art. 22–24 dyrektywy 95/46 należy interpretować w ten sposób, iż nie stoją one na
przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów
na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych.
Administrator danych
Trybunał wskazał, że zgodnie z celem realizowanym przez dyrektywę 95/46 jakim jest zapewnienie wysokiego
poziomu ochrony podstawowych praw i wolności osób fizycznych, w art. 2 lit. d) tej dyrektywy zdefiniowano

w sposób szeroki pojęcie „administrator danych”. Jest to osoba fizyczna lub prawna, władza publiczna, agencja
lub inny organ, które samodzielnie lub wspólnie z innymi podmiotami określają cele i sposoby przetwarzania danych
osobowych (wyrok Wirtschaftsakademie Schleswig-Holstein, C-210/16, pkt 26, 27). Trybunał podkreślił, że pojęcie
„administrator danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi podmiotami” określa
cele i sposoby przetwarzania danych osobowych. Zatem to pojęcie nie odsyła jedynie do pojedynczego podmiotu
i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu. Zdaniem TS te podmioty mogą być
zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, a zatem poziom odpowiedzialności
każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (wyrok Jehovan
todistajat,C‑ 25/17,pkt 66).
W niniejszej sprawie F. umieściła w swojej witrynie internetowej przycisk „Lubię to”, udostępniony operatorom witryn
internetowych przez Facebook Ireland, prawdopodobnie mając świadomość, że służy on do gromadzenia
i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami
serwisu społecznościowego Facebook, czy nie. Trybunał wskazał, że umieszczając tę wtyczkę F. wpływa
w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających tę witrynę na rzecz
Facebook Ireland. W tych okolicznościach i z zastrzeżeniem ustaleń, których przeprowadzenie w tym względzie
należy do sądu odsyłającego, TS uznał, że Facebook Ireland i F. wspólnie określają sposoby dokonywania operacji
gromadzenia danych osobowych osób odwiedzających witrynę internetową F. i ich ujawniania poprzez transmisję.
Umieszczenie przez F. przycisku „Lubię to” w jej witrynie internetowej pozwala jej na optymalizację reklamy jej
produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba
odwiedzająca jej witrynę internetową klika na ten przycisk. Zdaniem TS aby skorzystać z tej korzyści handlowej
polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, F., umieszczając
ten przycisk, wyraziła zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób
odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, ponieważ te operacje przetwarzania są
dokonywane w interesie gospodarczym zarówno F., jak i Facebook Ireland, dla której możliwość dysponowania tymi
danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną F. W tych okolicznościach
TS uznał – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – że F. i Facebook Ireland
określają wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym i ich
ujawniania poprzez transmisję.
Trybunał orzekł, że operatora witryny internetowej, takiego jak F., który umieszcza w tej witrynie wtyczkę
społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy
danej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można
uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Jego odpowiedzialność jest
jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których
cele i sposoby rzeczywiście on określa, a mianowicie gromadzenia rozpatrywanych danych i ich ujawniania
poprzez transmisję.
Uwzględnienie uzasadnionego interesu administratora danych
Trybunał orzekł, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny
internetowej umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby
odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki i przekazywanie w tym celu temu
dostawcy danych osobowych osoby odwiedzającej, jest konieczne, aby w ramach tych operacji
przetwarzania zarówno ten operator, jak i dostawca dążyli do realizacji uzasadnionych interesów
w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.
Obowiązek informacyjny
Trybunał orzekł, iż art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej
jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza w tej witrynie wtyczkę
społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy ww.
wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa
w tych przepisach, powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do
zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa.
W ocenie TS art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny
przewidziany w tym przepisie ciąży również na tym operatorze, przy czym jednak informacja, jaką ten ostatni
musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu
operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.
Trybunał uznał w przedstawionym wyroku, że zamieszczając wtyczkę społecznościową, taką jak „Lubię to”
Facebooka, umożliwiającą przekazywanie Facebookowi danych osobowych osoby odwiedzającej witrynę
internetową, jej operator może zostać uznany za administratora w rozumieniu art. 2 lit. d) dyrektywy 95/46, wspólnie
z Facebookiem, w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających tę witrynę i ich

ujawniania poprzez transmisję. W związku z tym na operatorze spoczywają obowiązki związane z przetwarzaniem
danych osobowych, w tym powinien on zamieścić odpowiednią klauzulę informującą o tym, że witryna korzysta
z wtyczki „Lubię to”, a operator przekazuje te dane Facebookowi. Przy czym stosując wtyczki do innych mediów
społecznościowych operator powinien uzyskać odrębne zgody do każdej z nich.
Pomimo uchylenia dyrektywy 95/46/WE z dniem 25.8.2018 r. i wejściem w życie RODO tezy powyższego wyroku
pozostają aktualne.
Wyrok TS z 29.7.2019 r., Fashion ID, C-40/17

Trybunał uznał, że operator witryny internetowej umieszczający wtyczkę społecznościową „Lubię to” Facebooka może być traktowany jako administrator danych wraz z Facebookiem. To operator i Facebook wspólnie określają cele i sposoby przetwarzania danych osobowych odwiedzających witrynę. Decyzja TS ma istotne znaczenie dla regulacji związanych z ochroną danych osobowych i odpowiedzialnością za ich przetwarzanie.