петък, 16 август 2019 г.

Отговорност на сайтовете при събиране на лични данни - решение на Европейския съд

Европейският съд излезе с решение по дело C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV. Делото касае следното:
Fashion ID, германско предприятие за онлайн продажба на модни дрехи, интегрира в уебсайта си фейсбук бутона „харесва ми“. Изглежда, че поради този факт, когато дадено лице посети уебсайта на Fashion ID, негови лични данни се предават на Facebook Ireland. Става ясно, че това се случва без знанието на посетителя и без значение дали същият е член на социалната мрежа Фейсбук и дали е натиснал фейсбук бутона „харесва ми“. 

Verbraucherzentrale NRW, действащо в обществена полза германско сдружение за защита на интересите на потребителите, упреква Fashion ID, че е предало на Facebook Ireland лични данни на посетителите на уебсайта му, без тяхното съгласие, от една страна, и в нарушение
на задълженията за предоставяне на информация, предвидени в разпоредбите за защита на личните данни, от друга страна.

Сезираният със спора Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф, Германия) иска от Съда да тълкува няколко разпоредби от старата Директива за защита на
данните от 1995 г.1 (която остава приложима към това дело, но считано от 25 май 2018 г. е заменена с Общия регламент за защита на данните от 2016 г.2 ). В постановеното днес решение 
Съдът уточнява най-напред, че старата Директива за защита на данните допуска сдруженията за защита на интересите на потребителите да бъдат оправомощавани да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни. 

Съдът отбелязва, че понастоящем новият Общ регламент за защита на данните изрично предвижда подобна възможност. По-нататък Съдът констатира, че Fashion ID изглежда не може да отговаря като администратор за обработването на лични данни, което Facebook Ireland извършва, след като данните са му предадени. Всъщност на пръв поглед е изключено Fashion ID да определя целите на тези операции и средствата за тях.

Fashion ID обаче може да отговаря като администратор съвместно с Facebook Ireland за операциите по събиране на въпросните данни и по тяхното разкриване чрез предаването им на Facebook Ireland, тъй като може да се приеме (освен ако при проверките, които Oberlandesgericht Düsseldorf следва да извърши, не се установи нещо различно), че Fashion ID и Facebook Ireland определят съвместно целите на тези операции и средствата за тях. 

Изглежда това, че Fashion ID е интегрирало в уебсайта си фейсбук бутона „харесва ми“, му позволява да оптимизира рекламата на своите стоки, правейки ги по-видими в социалната мрежа Фейсбук, когато посетител на уебсайта натисне този бутон. За да се възползва от посоченото търговско предимство, Fashion ID е интегрирало такъв бутон на своя уебсайт и с това изглежда се е съгласило, поне мълчаливо, лични данни на посетителите на сайта му да бъдат събирани и разкривани чрез предаване. Така тези операции по обработване явно се извършват в икономически интерес както на Fashion ID, така и на Facebook Ireland, което като насрещна престация за предоставеното на Fashion ID предимство получава и съответно може да разполага с тези данни за свои собствени търговски цели.

Съдът подчертава, че оператор на уебсайт като Fashion ID, който като (съвместен) администратор отговаря за някои операции по обработване на данни на посетителите на
сайта му, например за събирането на данни и предаването им на Facebook Ireland, трябва да предостави, в момента на събиране на данните, определена информация на тези посетители, като например за самоличността си и за целите на обработването. 

Съдът внася още уточнения във връзка с два от шестте предвидени в Директивата случаи на законно обработване на лични данни. Така, що се отнася до случая, в който съответното физическо лице е дало съгласието си, Съдът приема, че оператор на уебсайт като Fashion ID трябва да получи това съгласие предварително (само) за операциите, за които отговаря като (съвместен) администратор, а именно за събирането и предаването на данните. 

Що се отнася до случаите, в които обработването на данни е необходимо за реализацията на законни интереси, Съдът приема, че всеки от администраторите, а именно операторът на уебсайт и доставчикът на социална приставка, трябва със събирането и предаването на лични данни да преследват законни интереси, за да имат право да извършват тези операции.