GDPR. Ai o pagină de Facebook? Potrivit CJUE, ești operator asociat cu Zuckerberg
7 minute • Redactia • 05 iunie 2018
Administratorul unei pagini pentru fani pe Facebook are, împreună cu Facebook,
calitatea de operator care prelucrează datele vizitatorilor paginii sale
Societatea germană Wirtschaftsakademie Schleswig-Holstein este specializată în domeniul educaţiei. Ea oferă servicii de formare prin intermediul unei pagini pentru fani, găzduite de Facebook la adresa www.facebook.com/wirtschaftsakademie.
Administratorii paginilor pentru fani, precum Wirtschaftsakademie, pot obţine date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcţii intitulate Facebook Insight, puse în mod gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate.
Aceste date sunt colectate cu ajutorul unor fişiere-martori („cookies”) care conţin fiecare câte un cod de utilizator unic, active timp de doi ani şi salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani. Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor pentru fani.
Prin decizia din 3 noiembrie 2011, Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein (autoritate regională independentă de protecţie a datelor din Schleswig-Holstein, Germania), în calitatea sa de autoritate de supraveghere, în sensul Directivei 95/46 privind protecția datelor responsabilă cu supravegherea aplicării pe teritoriul landului Schleswig-Holstein a dispoziţiilor adoptate de Germania în temeiul acestei directive, a somat Wirtschaftsakademie să dezactiveze pagina sa pentru fani. Astfel, potrivit Unabhängiges Landeszentrum, nici Wirtschaftsakademie nici Facebook nu au informat vizitatorii paginii pentru fani că Facebook colecta, cu ajutorul unor cookies, informaţii cu caracter personal care îi vizau și că acestea prelucrau apoi respectivele informaţii.
Wirtschaftsakademie a introdus o acțiune împotriva acestei decizii la instanțele administrative germane susţinând că prelucrarea datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea nici nu a însărcinat Facebook să procedeze la prelucrarea unor date pe care le-ar controla sau pe care le-ar putea influența. Wirtschaftsakademie deducea din aceasta că Unabhängiges Landeszentrum ar fi trebuit să se îndrepte direct împotriva Facebook iar nuîmpotriva sa.
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10). Această directivă a fost abrogată de la 25 mai 2018 prin Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor) ( JO 2016, L 119, p. 1).
Paginile pentru fani sunt conturi de utilizatori care pot fi configurate pe Facebook de particulari sau de întreprinderi. În acest scop, autorul paginii pentru fani, odată înregistrat la Facebook, poate să utilizeze platforma amenajată de acesta
din urmă pentru a se prezenta utilizatorilor acestei rețele sociale, precum şi persoanelor care vizitează pagina pentru fani și să difuzeze comunicări de orice natură pe piaţa mediei şi a opiniei. www.curia.europa.eu
În acest context Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania) solicită Curții de Justiție să interpreteze Directiva 95/46 privind protecția datelor.
În hotărârea sa de astăzi, Curtea de Justiție observă mai întâi că aspectul că societatea americană Facebook și, în ceea ce priveşte Uniunea, filiala sa irlandeză Facebook Ireland trebuie să fie considerate ca fiind „operatori” ai datelor cu caracter personal ale utilizatorilor Facebook precum şi ale persoanelor care au vizitat paginile pentru fani găzduite pe Facebook nu este pus la îndoială în prezenta cauză. Într-adevăr, aceste societăți stabilesc, cu titlu principal, scopurile şi mijloacele de
prelucrare a acestor date.
În continuare, Curtea constată că un administrator precum Wirtschaftsakademie trebuie
considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce
privește prelucrarea datelor în discuție.
Într-adevăr, un asemenea administrator participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de
cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii.
Potrivit Curții, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal.
Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani, în conformitate cu cerinţele Directivei 95/46 privind protecția datelor.
În plus, Curtea constată că Unabhängiges Landeszentrum este competent, pentru a asigura respectarea pe teritoriul german a normelor în materie de protecție a datelor cu caracter personal, să pună în aplicare, nu numai în privinţa Wirtschaftsakademie ci și în privinţa Facebook Germany, ansamblul competențelor de care dispune în temeiul dispozițiilor naţionale de transpunere a Directivei 95/46.
Într-adevăr, atunci când o întreprindere stabilită în afara Uniunii (precum societatea americană Facebook) dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competenţele pe care i le conferă Directiva 95/463 în privinţa unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deşi, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu (în speță Facebook Germany) răspunde doar de vânzarea de spaţii publicitare şi de alte activităţi de marketing pe teritoriul statului membru menţionat şi, pe de altă parte, răspunderea exclusivă a colectării şi a prelucrării datelor cu caracter
personal incumbă, pentru întregul teritoriu al Uniunii, unui sediu situat într-un alt stat membru (în speță Facebook Ireland).
Curtea mai precizează că, atunci când autoritatea de supraveghere a unui stat membru (în speță Unabhängiges Landeszentrum în Germania) intenţionează să exercite în privinţa unui organism stabilit pe teritoriul acestui stat membru (în speță Wirtschaftsakademie) competenţele de intervenţie prevăzute de Directiva 95/464
ca urmare a unor atingeri aduse normelor referitoare la protecţia datelor cu caracter personal, săvârşite de un terţ operator al acestor date care are sediul în alt stat membru (în speță Facebook Ireland), această autoritate de supraveghere este
competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru (Irlanda), legalitatea unei astfel de prelucrări de date şi îşi poate exercita competenţele de intervenţie în privinţa organismului stabilit pe teritoriul său fără a solicita în prealabil autorităţii de supraveghere a celuilalt stat membru să intervină.
