La data de 29 iulie 2019, Curtea de Justiție a Uniunii Europene (C.J.U.E.) a pronunțat hotărârea în cauza C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV prin care a stabilit că administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate fi operator, împreună cu Facebook, în privința colectării și a transmiterii către Facebook a datelor cu caracter personal ale vizitatorilor site-ului său.
În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a acestor date de către Facebook singur.
Sumar
Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.
Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.
Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de regulamentul general din 2016 privind protecția datelor aplicabil de la 25 mai 2018).
În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.
Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.
În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele.
Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit, pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.
Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de (co)operator în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării.
Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.
Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este (co)operator, și anume colectarea și transmiterea datelor.
În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de (co)operator în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.
Concluzii
Administratorul unui site internet are în calitatea de (co)operator în privința operațiunilor de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către un furnizor al unui modul social pe siteul său internet.
Administratorul unui site internet însă, nu este operator în privința operațiunilor de prelucrare de date efectuate după transmiterea lor către furnizorul modulului social.
Este obligația administratorului site-ului de internet (și nu a furnizorului modulului social) să obțină consimțământul, în prealabil, (numai) pentru operațiunile în privința cărora este (co)operator.
Vizitatorii site-ului trebuie să fie informați la momentul colectării.
Pentru mai multe informații privind acest subiect, nu ezitați să contactați Ionaș Mihaela - Cabinet de Avocat
