Dacă integrezi un plugin pe un site care colectează date personale, răspunzi pentru acea prelucrare în calitate de operator asociat
6 minute • Ana-Maria Udriste • 18 ianuarie 2019
Operatorul paginii de internet trebuie să furnizeze utilizatorilor, în raport cu operațiunile de prelucrare a datelor, informațiile minime necesare și să obțină, în cazurile în care este necesar, consimțământul lor înainte ca datele să fie colectate și transferate (vezi ghidul nostru complet si gratuit spre datele personale).
Concluziile Avocatului General BOBEK în
Fashion ID GmbH & Co. KG
împotriva
Verbraucherzentrale NRW e.V.
interveniente:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen
Când integrezi pe site un plugin care colectează date ești operator asociat
Fashion ID este un comerciant online de articole de modă. Acesta a integrat un plugin pe pagina sa de internet: butonul Facebook „Îmi place”. În consecință, atunci când un utilizator ajunge pe pagina de internet a Fashion ID, informații referitoare la adresa sa IP a utilizatorului și la şirul de caractere al navigatorului acestuia sunt transferate către Facebook. Acest transfer are loc automat atunci când este accesată pagina de internet a Fashion ID, indiferent dacă utilizatorul a făcut click pe butonul „Îmi place” sau dacă are sau nu un cont Facebook.
Verbraucherzentrale NRW, o asociație germană de protecţie a consumatorilor, a introdus o acțiune în încetare împotriva Fashion ID pentru motivul că utilizarea butonului Facebook „Îmi place” determină o încălcare a legislației privind protecția datelor.
Fiind sesizată cu această cauză, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) urmărește interpretarea mai multor dispoziții din fosta directivă privind protecția datelor din 1995 (care rămâne aplicabilă în această cauză, dar care a fost înlocuită de noul Regulament general privind protecția datelor din 2016 începând din 25 mai 2018).
În concluziile sale, avocatul general Michal Bobek propune Curții de Justiție să declare, mai întâi, că directiva nu se opune unei reglementări naționale care conferă asociațiilor fără scop lucrativ calitate procesuală activă pentru introducerea unei acţiuni în instanţă împotriva presupusului autor al unei încălcări legislației privind protecția datelor, pentru a proteja interesele consumatorilor.
Avocatul general propune apoi să se declare că, în temeiul directivei privind protecția
datelor, operatorul unei pagini de internet (precum Fashion ID) care a integrat pe pagina sa de internet un plugin al unui terț (precum butonul Facebook „Îmi place”), care determină colectarea și transmiterea de date cu caracter personal ale utilizatorului, este considerat a fi un operator asociat, alături de un astfel de terț (în acest caz, Facebook Ireland).
Vrei să fii conform GDPR cât mai simplu? Vezi instrumentele pe care le-am dezvoltat până acum:
- Cum se desfasoara investigatiile in GDPR? (gratis)
- KIT complet de implementare pe care ți-o faci singur
- Documentele de care ai nevoie pentru a presta servicii DPO
Răspunderea acestui operator asociat este limitată doar la prelucrarea efectivă în momentul dat
Cu toate acestea, răspunderea (în solidar) a operatorului este limitată la acele operațiuni
pentru care participă efectiv la decizia privind mijloacele și scopurile prelucrării datelor cu caracter personal.
Acest lucru înseamnă că un operator (asociat) este responsabil de acea operațiune sau de acel set de operațiuni ale căror scopuri și mijloace le partajează sau le stabilește în comun cu privire la o anumită operațiune de prelucrare a datelor. În schimb, această persoană nu poate fi considerată răspunzătoare nici pentru stadiile anterioare, nici pentru cele ulterioare ale lanțului integral de prelucrare, pentru care aceasta nu era în măsură să stabilească nici scopurile, nici mijloacele.
Cu privire la situația de fapt în speță, rezultă, așadar, că Fashion ID și Facebook Ireland decid în comun asupra mijloacelor și a scopurilor prelucrării datelor în etapa de colectare și de transmitere a datelor cu caracter personal, aflată în discuție. Sub rezerva verificării de către instanța de trimitere, atât Facebook Ireland, cât și Fashion ID par să fi cauzat în mod voluntar etapa de colectare și de transmitere a prelucrării datelor și chiar dacă nu sunt identice, există o unitate a obiectivelor: există un scop comercial și publicitar (decizia Fashion ID de a integra butonul Facebook „Îmi place” pe pagina sa de internet pare să fie inspirată de dorința de a spori vizibilitatea produselor pârâtei prin intermediul rețelei sociale).
În consecință, în ceea ce privește etapa de colectare și de transmitere a datelor, Fashion ID acționează în calitate de operator şi răspunde, tot în acest cadru, în solidar cu Facebook Ireland.
Dacă mergem pe interes legitim, avem niște condiții de îndeplinit
În ceea ce privește legitimitatea prelucrării datelor cu caracter personal în lipsa
consimțământului utilizatorului paginii de internet, avocatul general amintește că o astfel de prelucrare este licită dacă sunt îndeplinite trei condiții cumulative:
- urmărirea unui interes legitim de către operator sau de către terțul sau terții terți cărora le sunt comunicate datele (citeste aici ghidul nostru complet privind interesul legitim),
- necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului
legitim urmărit - acest interes să nu prejudicieze drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor.
În această privință, avocatul general propune Curții să declare că interesele legitime ale
ambilor operatori asociați în discuţie (Fashion ID și Facebook Ireland) trebuie să fie luate în considerare și puse în balanță cu drepturile utilizatorilor paginii de internet.
Informarea utilizatorului și obținerea consimțământului acestuia sunt în sarcina deținătorului site-ului
Avocatul general propune de asemenea să se declare că consimțământul utilizatorului
paginii de internet, atunci când acesta este necesar, trebuie să fie acordat operatorului
paginii de internet (Fashion ID) care a integrat conținutul unui terț. De asemenea, obligația de a furniza utilizatorului paginii de internet informațiile minime necesare se aplică operatorului paginii de internet (Fashion ID).