Ο διαχειριστής ιστοσελίδας με ενσωματωμένη την επιλογή «μου αρέσει» του Facebook, η οποία προκαλεί τη συλλογή και διαβίβαση προσωπικών δεδομένων των χρηστών, θεωρείται από κοινού υπεύθυνος για αυτό το στάδιο της επεξεργασίας δεδομένων
Σύμφωνα με τις
Προτάσεις του γενικού εισαγγελέα Βοbek στην υπόθεση C-40/17 Fashion ID
GmbH & Co. KG κατά Verbraucherzentrale NRW eV, ο διαχειριστής
ιστοσελίδας με ενσωματωμένο πρόσθετο (plugin) τρίτου, όπως η επιλογή «μου
αρέσει» του Facebook, το οποίο προκαλεί τη συλλογή και διαβίβαση δεδομένων
προσωπικού χαρακτήρα των χρηστών, θεωρείται από κοινού υπεύθυνος για αυτό το
στάδιο της επεξεργασίας δεδομένων. Ο διαχειριστής της ιστοσελίδας οφείλει να
παρέχει στους χρήστες, όσον αφορά τις εργασίες επεξεργασίας αυτών των
δεδομένων, τις απαιτούμενες ελάχιστες πληροφορίες και να λαμβάνει, εφόσον είναι
απαραίτητο, τη συγκατάθεσή τους πριν από τη συλλογή και διαβίβαση των
δεδομένων.
Σύμφωνα με το ιστορικό
της υπόθεσης, η Fashion ID είναι εταιρία διαδικτυακών πωλήσεων που εμπορεύεται
είδη μόδας. Στην ιστοσελίδα της έχει ενσωματώσει ένα πρόσθετο (plugin): την
επιλογή «μου αρέσει» του Facebook. Συνεπεία αυτού, κάθε φορά που κάποιος
χρήστης επισκέπτεται την ιστοσελίδα της Fashion ID, διαβιβάζονται στο Facebook
πληροφορίες σχετικά με τη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και τη
συμβολοσειρά του φυλλομετρητή του (browser string).
Η διαβίβαση αυτή
εκτελείται αυτόματα κάθε φορά που φορτώνεται η ιστοσελίδα της Fashion ID,
ανεξάρτητα από το εάν ο χρήστης έχει κάνει κλικ στην επιλογή «μου αρέσει» και
το εάν διατηρεί ή όχι λογαριασμό στο Facebook. Η Verbraucherzentrale NRW, μια
γερμανική ένωση προστασίας των συμφερόντων των καταναλωτών, άσκησε αγωγή
παραλείψεως κατά της Fashion ID, υποστηρίζοντας ότι η χρήση της επιλογής «μου
αρέσει» του Facebook έχει ως αποτέλεσμα την παραβίαση της νομοθεσίας για την
προστασία δεδομένων.
Το δικαστήριο που
επιλήφθηκε της υποθέσεως, ήτοι το Oberlandesgericht Düsseldorf (ανώτερο
περιφερειακό δικαστήριο του Düsseldorf, Γερμανία), ζήτησε την ερμηνεία διαφόρων
διατάξεων της πρώην οδηγίας για την προστασία των δεδομένων του 1995[1] (η οποία έχει μεν εφαρμογή στην υπό
κρίση υπόθεση, αλλά αντικαταστάθηκε από τον νέο Γενικό Κανονισμό για την
Προστασία των Δεδομένων του 2016[2] , ο οποίος τέθηκε σε ισχύ στις 25
Μαΐου 2018).
Με τις προτάσεις του,
οι οποίες δημοσιεύονται σήμερα, ο γενικός εισαγγελέας Michal Bobek προτείνει
στο Δικαστήριο να κρίνει, πρώτον, ότι η οδηγία δεν αντιτίθεται σε εθνική νομοθετική
ρύθμιση η οποία παρέχει σε μη κερδοσκοπικές ενώσεις το δικαίωμα να στρέφονται
δικαστικώς κατά των φερομένων παραβατών της νομοθεσίας προστασίας δεδομένων,
προκειμένου να προασπίσουν τα συμφέροντα των καταναλωτών.
Στη συνέχεια, ο
γενικός εισαγγελέας προτείνει στο Δικαστήριο να αποφανθεί ότι, σύμφωνα με την
οδηγία για την προστασία δεδομένων, διαχειριστής ιστοσελίδας (όπως η Fashion
ID) ο οποίος έχει ενσωματώσει στην ιστοσελίδα του πρόσθετο τρίτου (όπως η
επιλογή «μου αρέσει» του Facebook) από το οποίο προκαλείται η συλλογή και
διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών, θα πρέπει να θεωρείται
από κοινού υπεύθυνος της επεξεργασίας, μαζί με αυτόν τον τρίτο (εν προκειμένω,
τη Facebook Ireland).
Πάντως, η (από κοινού)
ευθύνη του εν λόγω υπευθύνου της επεξεργασίας πρέπει να περιορίζεται στις
εργασίες εκείνες για τις οποίες αυτός συναποφασίζει κατά τρόπο ουσιαστικό τον
τρόπο και τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
Τούτο σημαίνει ότι ο υπεύθυνος της επεξεργασίας ευθύνεται για εκείνη την
εργασία ή το σύνολο των εργασιών για τις οποίες αποφασίζει ή συγκαθορίζει τους
σκοπούς και τον τρόπο για συγκεκριμένη πράξη επεξεργασίας.
Αντιθέτως, το πρόσωπο
αυτό δεν μπορεί να θεωρείται υπεύθυνο ούτε για προηγούμενα ούτε για επόμενα
στάδια της συνολικής αλυσίδας της επεξεργασίας, για τα οποία δεν είναι σε θέση
να καθορίζει ούτε τους σκοπούς ούτε τον τρόπο επεξεργασίας. Κατά συνέπεια, επί
τη βάσει των πραγματικών περιστατικών της υπό κρίση υποθέσεως, η Fashion ID και
η Facebook Ireland φαίνεται ότι συναποφάσιζαν τους σκοπούς και τον τρόπο
επεξεργασίας των δεδομένων κατά το στάδιο συλλογής και διαβιβάσεως των επίμαχων
δεδομένων προσωπικού χαρακτήρα.
Υπό την
επιφύλαξη της επαληθεύσεως εκ μέρους του αιτούντος δικαστηρίου, τόσο η Facebook
Ireland όσο και η Fashion ID προκάλεσαν οικειοθελώς το στάδιο της συλλογής και
διαβιβάσεως των δεδομένων που υπόκεινται σε επεξεργασία και, παρά το γεγονός
ότι οι σκοποί τους δεν είναι ταυτόσημοι, εντούτοις, διαπιστώνεται ενότητα αυτών
των σκοπών: είναι οι σκοποί εμπορίας και διαφημίσεως (η απόφαση της Fashion ID
να ενσωματώσει την επιλογή «μου αρέσει» του Facebook στην ιστοσελίδα της
οφείλεται, κατά πάσα πιθανότητα, στην επιθυμία της να ενισχύσει την προβολή των
προϊόντων της μέσω του εν λόγω κοινωνικού δικτύου).
Ως εκ τούτου, όσον
αφορά το στάδιο συλλογής και διαβιβάσεως της επεξεργασίας δεδομένων, η Fashion
ID ενεργεί ως υπεύθυνος της επεξεργασίας και η ευθύνη της είναι, κατά το μέτρο
αυτό, κοινή με αυτήν της Facebook Ireland. Όσον αφορά τη νομιμότητα της
επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στην περίπτωση που ο χρήστης
δεν έχει παράσχει τη συγκατάθεση του[3] , ο γενικός εισαγγελέας υπενθυμίζει
ότι, κατά την οδηγία, η επεξεργασία θεωρείται σύννομη εάν πληρούνται τρεις
σωρευτικές προϋποθέσεις: πρώτον, η επιδίωξη εννόμου συμφέροντος εκ μέρους του
υπευθύνου της επεξεργασίας ή του τρίτου ή των τρίτων στους οποίους ανακοινώνονται
τα δεδομένα· δεύτερον, η αναγκαιότητα της επεξεργασίας των δεδομένων προσωπικού
χαρακτήρα για την επίτευξη του επιδιωκόμενου εννόμου συμφέροντος· και, τρίτον,
η προϋπόθεση ότι δεν προέχουν τα θεμελιώδη δικαιώματα και οι ελευθερίες του
προσώπου το οποίο αφορά η προστασία των δεδομένων.
Συναφώς, ο γενικός
εισαγγελέας προτείνει στο Δικαστήριο να αποφανθεί ότι τα έννομα συμφέροντα
αμφοτέρων των επίμαχων υπευθύνων της επεξεργασίας πρέπει να ληφθούν υπόψη και
να σταθμιστούν έναντι των δικαιωμάτων των χρηστών της ιστοσελίδας.
Ο γενικός εισαγγελέας
προτείνει επίσης στο Δικαστήριο να αποφασίσει ότι η συγκατάθεση των χρηστών της
ιστοσελίδας, εφόσον είναι αναγκαία, πρέπει να παρέχεται στο διαχειριστή της
ιστοσελίδας (ήτοι, στη FashionID), ο οποίος προέβη στην ενσωμάτωση περιεχομένου
τρίτου.Ομοίως, ο διαχειριστής της ιστοσελίδας (ήτοι, η FashionID) υπέχει επίσης
την υποχρέωση παροχής των απαιτούμενων ελάχιστων πληροφοριών στους χρήστες της
ιστοσελίδας.
Η υπόθεση τελεί υπό
διάσκεψη στο Δικαστήριο και αναμένεται η έκδοση της απόφασης.
[1] Οδηγία
95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου
1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ
1995, L 281, σ. 31).
[2] Κανονισμός
(ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου
2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την
Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1).
[3] Ο
γενικός εισαγγελέας παρατηρεί ωστόσο, ότι εάν στις συσκευές των χρηστών
τοποθετούνται cookies, η συγκατάθεσή τους μπορεί να απαιτείται ούτως ή άλλως
δυνάμει της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου,
της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού
χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών
επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)
(ΕΕ 2002, L 201, σ. 37).
Σχόλια