Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Sprawa Fashion ID a współadministrowanie danymi

20-09-2019 Autor: Paweł Litwiński

Czy pojedynczy wyrok Trybunału Sprawiedliwości Unii Europejskiej może zmienić interpretację pojęcia współadministrowania danymi? W tekście analizujemy wyrok w sprawie C-40/17 Fashion ID oraz co z niego wynika dla konstrukcji współadministrowania danymi.

 

Skutki wyroku Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie C-40/17 Fashion ID dość powszechnie sprowadzane są do stanów faktycznych analogicznych do tego, w którym zapadł wyrok – do posługiwania się tzw. wtyczkami społecznościowymi serwisu Facebook (przycisk „Lubię to”). Głębsza analiza poglądów zaprezentowanych w tym oraz we wcześniejszym wyroku w sprawie C-210/16 Wirtschaftsakademie Schleswig-Holstein prowadzi do wniosku, że TSUE dokonuje interpretacji pojęcia współadministrowania danymi i jest to interpretacja odmienna od tej, która dotychczas była powszechnie przyjmowana w Polsce.

 

Definiowanie współadministrowania

Współadministrowanie danymi osobowymi jest instytucją znaną dyrektywie 95/46/WE, ale nieznaną prawu polskiemu w czasach poprzedzających stosowanie rodo. Zarówno w dyrektywie, jak i w rodo współadministrowanie zdefiniowano tak samo: jako podejmowanie decyzji o celach i sposobach przetwarzania danych osobowych „wspólnie z innymi podmiotami”1. To „wspólnie” oznacza, że administrator danych osobowych nie podejmuje decyzji sam, ale podejmują je również inne podmioty – tylko jak rozumieć owo „wspólnie”? (patrz: Wspólne podejmowanie decyzji).

W polskiej literaturze zdaje się dominować stanowisko, zgodnie z którym współadministrowanie zachodzi wtedy, gdy wszyscy współadministratorzy łącznie, czyli wspólnie, podejmują wszystkie decyzje o celach i sposobach przetwarzania danych. W tym kontekście stwierdzano wprost, że „[w] przypadku współadministrowania dochodzić więc musi do sprawowania swoistej pluralistycznej kontroli nad przetwarzaniem danych. Analiza zagadnienia współadministrowania prowadzi do wniosku, że podział zadań i obowiązków między administratorami nie może prowadzić do pozbawienia współadministratorów kontroli nad przetwarzaniem”2. Ujmowano ten problem także od strony wspólnych decyzji, uznając, że wspólną decyzją powinny być objęte zarówno cele przetwarzania danych, jak i sposoby ich przetwarzania3. Wreszcie od strony negatywnej przyjmowano, że „możliwe jest również wykorzystywanie danych zawartych w tych samych zbiorach przez podmioty, które realizują inne cele i samodzielnie decydują o przetwarzaniu danych – podmioty takie nie będą uznawane za współadministratorów, a jedynie za odrębnych administratorów”4.

W polskiej nauce prawa reprezentowany jest także pogląd odmienny, który zakłada, że „[r]elacja współadministratorów nie musi (…) pozostawać symetryczna. Nie jest też wymagane, by wspólnie ustalane cele i sposoby przetwarzania były takie same w przypadku każdego z administratorów, nie wymaga się też, by się one pokrywały”5. Autorka konsekwentnie pisze o „wspólnie” ustalanych celach, wydaje się zatem, że różne cele i sposoby przetwarzania danych osobowych powinny być jednak ustalane wspólnie przez współadministratorów.

Sprawa Fashion ID

Trybunał Sprawiedliwości Unii Europejskiej odniósł się do tych kwestii w wyroku w sprawie C-40/17 Fashion ID, w którym badał wzajemne relacje pomiędzy podmiotem prowadzącym serwis społecznościowy Facebook a niezależnym od niego podmiotem posługującym się tzw. wtyczkami społecznościowymi serwisu Facebook. W odniesieniu do sposobów przetwarzania danych TSUE uznał, że „[u]mieszczając taką wtyczkę społecznościową w swojej witrynie internetowej, Fashion ID wpływa (…) w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających wspomnianą witrynę na rzecz dostawcy wspomnianej wtyczki, w niniejszym przypadku Facebook Ireland, co w razie braku umieszczenia wspomnianej wtyczki nie miałoby miejsca”6. Jest przy tym kwestią oczywistą, że sposoby przetwarzania danych przekazanych do Facebooka są określane samodzielnie przez ten podmiot. Z kolei w odniesieniu do celów przetwarzania TSUE przyjął, że „umieszczenie przez Fashion ID przycisku Lubię to Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk”, a więc przetwarzanie danych pozostaje „w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID”.

Trybunał Sprawiedliwości Unii Europejskiej jeszcze dobitniej odniósł się do kwestii współadministrowania danymi osobowymi we wcześniejszych wyrokach dotyczących pojęcia administratora danych. W sprawie C-210/16 Wirtschafts­akademie Schleswig-Holstein TSUE przyjął, że „administrator fanpage’a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a”. Administrator „uczestniczy w określaniu celów i sposobów” przetwarzania, a więc przysługuje mu zdaniem TSUE status współadministratora w stosunku do tych danych.

Z kolei w sprawie C-25/17 Jehovan todistajat TSUE posłużył się pojęciem wpływania na przetwarzanie danych – „osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych”. Mamy zatem jasność co do stanowiska TSUE: aby dwa (lub więcej) podmioty zostały uznane za współadministratorów danych, nie jest konieczne, aby wszystkie decyzje o celach i sposobach przetwarzania danych, były podejmowane przez te podmioty na drodze wspólnych ustaleń. Wystarczy, że każdy z nich będzie uczestniczył w podejmowaniu tych decyzji, które łącznie będą się składały na całość decyzji wymaganych w danym procesie przetwarzania danych.

Takie stanowisko było już wcześniej wyrażane w literaturze europejskiej, jednak trudno tutaj było mówić o jednolitym podejściu do tematu. Z jednej strony bowiem przyjmowano, że „[w] przepisach nie stwierdza się wyraźnie, czy w celu współadministracji wymagane jest, aby wspólny cel był taki sam w przypadku każdego z administratorów, czy też wystarczy, aby ich cele pokrywały się tylko częściowo”7. Sformułowany został nawet pogląd, który zakłada możliwość istnienia współadministrowania danymi w sytuacji, w której nie istnieje wspólny cel przetwarzania, a wspólnie określane są sposoby przetwarzania danych8. Z drugiej strony natomiast podkreślano, że wspólne podejmowanie decyzji o celach i sposobach przetwarzania danych oznacza, że muszą istnieć wspólne dla współadministratorów cele przetwarzania danych, a bez nich relacja między dwoma podmiotami powinna zostać uznana za relację między dwoma niezależnymi administratorami danych9.

 

[...]

 

Autor jest doktorem prawa, adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.