Firma | Prawo i regulacje

RODO, wtyczki, lajki – co zrobi TSUE?

Piotr Gałązka | Adwokat| Dyrektor przedstawicielstwa Związku Banków Polskich w Brukseli
RODO, wtyczki, lajki – co zrobi TSUE?
Fot. Pixabay.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ciekawą opinię opublikował 19 grudnia Rzecznik Generalny Trybunału Sprawiedliwości UE w sprawie dotyczącej oceny prawnej strony internetowej, na której znajduje się wtyczka osoby trzeciej.

#PiotrGałązka: Sprawa może być istotna dla banków, zwłaszcza tych, które tworząc nowe rozwiązania na stronach internetowych oferują na nich wtyczki od podmiotów trzecich #RODO #TSUE

Wtyczka narusza przepisy o ochronie danych osobowych?

W przedmiotowej sprawie – Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV – sklep internetowy z odzieżą umieszczał na swoich stronach wtyczki w postaci facebookowego przycisku „Lubię to”. Skutkowało to tym, że dane użytkownika danej strony -o adresie  IP i identyfikatorze jego przeglądarki były przekazywane stronie trzeciej automatycznie po załadowaniu się strony, nawet jeśli przycisk nie został użyty. Stowarzyszenie konsumenckie Verbraucherzentrale NRW skierowało do operatora strony – Fashion ID – powództwo o zaniechanie tej praktyki jako naruszające przepisy o ochronie danych osobowych.

Rzecznik generalny w swojej opinii ocenił i doradził TSUE, by orzekł, że przepisy o ochronie danych osobowych obowiązujące do czasu wejścia w życie RODO, tj. Dyrektywa 95/46/WE  Parlamentu Europejskiego  i  Rady  z  dnia  24  października  1995  r.  w sprawie  ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, operatora strony  internetowej, który umieścił na tej stronie wtyczkę podmiotu trzeciego, co skutkuje gromadzeniem i przekazywaniem danych osobowych użytkownika tej strony, należy uznać za współadministratora tych danych, administrującego nimi wraz  z  tym podmiotem trzecim. Odpowiedzialność tegoż współadministratora ograniczona jest jednak do operacji przetwarzania danych, w przypadku których określa on cele przetwarzania i sposoby przetwarzania danych osobowych.

Wtyczki i problem dla banków

Należy zatem właściwie ocenić, czy istnieją podstawy przetwarzana danych – w tym przypadku uzasadniony interes – po stronie obu administratorów oraz czy nie ma pierwszeństwa praw i wolności osób, których dane dotyczą. W ocenie Rzecznika, TSUE powinien także zwrócić uwagę na to, że jeśli istnieje obowiązek uzyskania zgody użytkownika strony, powinna być ona wyrażona wobec operatora strony, a nie tylko na rzecz podmiotu trzeciego. Wtórną kwestią jest odpowiednie poinformowanie podmiotu danych o udostępnianiu danych.

Wyrok tej sprawie rzecz jasna jeszcze nie zapadł, lecz sprawa może być istotna dla banków, zwłaszcza tych, które tworząc nowe rozwiązania na stronach internetowych oferują na nich wtyczki od podmiotów trzecich. Wówczas analizy wymaga zakres, cel i sposób przetwarzania danych oraz ustawienia stron www i ewentualnie potrzeba aktualizacji klauzul informacyjnych wobec podmiotów danych.