Koliko stane »všeček«? (Zadeva št. C-40/17 – Fashion ID)

Koliko stane »všeček«? (Zadeva št. C-40/17 – Fashion ID)

Razvoj in množična uporaba spletnega družbenega omrežja Facebook (v nadaljevanju »Facebook«) sta botrovala ne samo spremembam v dinamiki družbenih odnosov, temveč sta – skupaj z drugimi spletnimi platformami in orodji – spremenila način oglaševanja podjetij. Čedalje več podjetij posega po vedno novih oglaševalskih taktikah, ki so usmerjene predvsem v prepoznavnost njihovih izdelkov. Glede na masovno razširjenost Facebooka se ta pokaže kot idealna platforma, kjer podjetja (še posebej spletni trgovci) lahko dosežejo svoj cilj brez velikih vlaganj – vsaj na prvi pogled.

Da lahko tovrstno povezovanje spletnih trgovin z vsebinami na Facebooku prinese s seboj tudi nekaj posledic – še posebej z vidika varstva potrošnikov in (zadnje čase neogibnega) varstva osebnih podatkov – pa ilustriramo s primerom v zadevi št. C-40/17, o katerem je odločalo Sodišče EU v svoji sodbi z dne 29. julija 2019 (v nadaljevanju »Sodba«)[1].

Ozadje primera in odstop v postopek predhodnega odločanja

Povzetek relevantnih dejanskih okoliščin v zadevi na podlagi Sodbe je sledeč: Družba Fashion ID GmbH & Co. KG (v nadaljevanju »Fashion ID«) upravlja spletno trgovino z modnimi artikli. Na svojo spletno stran je namestila vtičnik, ki ga upravlja družba Facebook Ireland Ltd in ki je tehnično predstavljen z gumbom »za všečkanje« (t. i. ‘like’ button). Posledica tako nameščenega vtičnika je, da se, ko obiskovalec obišče spletno trgovino Fashion ID, Facebooku samodejno posredujeta IP naslov in identifikacijski niz brskalnika, ki ga obiskovalec uporablja, ne da bi Fashion ID izvedel kakršenkoli dodaten postopek. Tako posredovanje podatkov se izvede (i) ne glede na to, ali konkretni obiskovalec uporabi gumb za »všečkanje«, (ii) neodvisno od tega, ali je obiskovalec spletne strani tudi uporabnik Facebooka ali ne in (iii) ne glede na to, da obiskovalec ni seznanjen s posredovanjem njegovih osebnih podatkov Facebooku niti ni privolil vanj. Fashion ID pa ne sodeluje pri določanju namenov in sredstev obdelave tako posredovanih osebnih podatkov obiskovalcev spletne strani v kasnejših fazah (torej, ko so podatki že pri Facebooku), niti nima dostopa do njih.

Nemško združenje za varstvo potrošnikov (Verbraucherzentrale NRW e.V.) je zoper Fashion ID vložilo opustitveno tožbo iz razloga kršitve zakonodaje o varstvu osebnih podatkov. Zadeva je bila v pritožbenem postopku predložena v odločanje Višjemu deželnemu sodišču v Düsseldorfu, Nemčija (Oberlandesgericht Düsseldorf), ki je nato pred Sodiščem EU sprožilo postopek predhodnega odločanja skladno z 267. členom PDEU[2] in nanj naslovilo šest vprašanj, ki zadevajo razlago 2., 7., 10., 22., 23. in 24. člena Direktive 95/46[3] ter nekaterih členov Direktive o zasebnosti in elektronskih komunikacijah[4].[5]

Direktiva 95/46 je bila s 25. majem 2018 nadomeščena s Splošno uredbo o varstvu podatkov (v nadaljevanju »GDPR«)[6], vendar se glede na obdobje, v katerem je prihajalo do zatrjevanih kršitev, uporablja Direktiva 95/46 in ne GDPR.

V prispevku se bomo osredotočili predvsem na tri od šestih zastavljenih vprašanj (tj. drugo, peto in šesto vprašanje), saj so po našem mnenju ta relevantna tudi zdaj, ko je Direktivo 95/46 nadomestil GDPR, in sicer:

  •  »2. Ali je v primeru, kakršen je ta iz obravnavane zadeve, v katerem subjekt v svojo spletno stran vstavi programsko kodo, zaradi katere uporabnikov brskalnik izvede zahtevo za pridobitev vsebin od tretje osebe in tej za ta namen posreduje osebne podatke, ta subjekt »upravljavec« v smislu člena 2(d) Direktive 95/46, če sam na ta proces obdelave podatkov nima vpliva?
  • 5. Komu mora biti v primeru, kakršen je ta iz obravnavane zadeve, dana privolitev, zahtevana v skladu s členoma 7(a) in 2(h) Direktive 95/46?
  •  6. Ali ima v položaju, kakršen je ta iz obravnavane zadeve, obveznost zagotovitve informacij iz člena 10 Direktive 95/46 tudi upravljavec spletne strani, ki je vanjo vstavil vsebino tretje osebe in s tem povzročil obdelavo osebnih podatkov s strani tretje osebe?«
Odločitev Sodišča EU

Sodišče EU je pri pripravi odgovorov in utemeljevanju le-teh povsem sledilo sklepnim predlogom Generalnega pravobranilca M. Bobka z dne 19. decembra 2018[7], ki se sklicuje predvsem na dve nedavni sodbi Sodišča EU v zadevah (i) Wirtschaftsakademie Schleswig-Holstein[8] in (ii) Jehovan todistajat[9].
Sodišče EU je zaključilo[10] sledeče:

  • 2. vprašanje

Primarni cilj Direktive 95/46 oz. določbe d) točke 2. člena[11], ki vsebuje definicijo upravljavca, je, da se s široko opredelitvijo pojma »upravljavec« zagotovi učinkovito in popolno varstvo posameznikov.[12] Bistvene skupne lastnosti upravljavcev so, med drugim[13]:

  • to je organ (oz. fizična ali pravna oseba, javni organ, agencija), ki sam ali skupaj z drugimi določa namene in sredstva obdelave[14] osebnih podatkov. S tem zasleduje določene lastne cilje in je zato zainteresiran, da vpliva na obdelavo osebnih podatkov;
  • ta pojem se lahko nanaša tudi na več akterjev, udeleženih pri določeni obdelavi, pri čemer za vsakega od njih veljajo določbe, ki se uporabijo na področju varstva podatkov;
  • skupna odgovornost več subjektov za isto obdelavo v skladu z določbo d) točke 2. člena Direktive 95/46 ni pogojena s tem, da ima vsak od njih dostop do zadevnih osebnih podatkov.

Osebo pa je mogoče šteti za upravljavca, skupaj z drugimi, le glede postopkov obdelave osebnih podatkov, za katere sodoloči namene in sredstva. Ne moremo pa tega upravljavca šteti za upravljavca skladno z določbo d) točke 2. člena Direktive 95/46 glede prejšnjih ali poznejših postopkov v verigi obdelave, za katere ne določa niti namenov, niti sredstev obdelave.[15]

Glede odgovornosti skupnih upravljalcev je Sodišče EU ponovno[16] pojasnilo, da obstoj skupne odgovornosti ne pomeni nujno, da so različni subjekti za isto obdelavo osebnih podatkov enako odgovorni. Ker so posamezni izmed skupnih upravljavcev lahko udeleženi v različnih fazah obdelave in v različnih obsegih, je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera.[17]

Tako je Sodišče EU v konkretnem primeru zaključilo, da je mogoče Fashion ID šteti za skupnega upravljavca skladno s določbo d) točke 2. člena Direktive 95/46 zgolj glede zbiranja in posredovanja podatkov obiskovalcev spletnega mesta Facebooku, ne pa tudi glede nadaljnjih obdelav, ki potekajo zatem. Fashion ID je s tem, ko je na svoje spletno mesto vstavila Facebookov gumb »za všečkanje«, optimizirala oglaševanje svojih izdelkov, tako da so ti postali vidnejši na Facebooku. S tem, ko je vstavila omenjeni gumb, je Fashion ID vsaj implicitno privolila v zbiranje in posredovanje s prenosom osebnih podatkov obiskovalcev svojega spletnega mesta Facebooku, z namenom izkoristiti komercialno prednost, ki jo omogoča povečano oglaševanje njenih izdelkov. Ti postopki obdelave se izvajajo v gospodarskem interesu tako Fashion ID kot družbe Facebook Ireland. Slednja namreč lahko s temi podatki razpolaga za svoje komercialne namene, kar ji predstavlja zameno za prednost, ki jo ponuja družbi Fashion ID.

  • 5. in 6. vprašanje

Bistvo teh dveh vprašanj je (i) kdo mora v konkretnem primeru pridobiti privolitev za obdelavo osebnih podatkov in (ii) kdo je dolžan obiskovalcem spletne strani, na kateri je nameščen vtičnik tretje osebe, posredovati podatke, ki jih zahteva relevantna zakonodaja s področja varstva osebnih podatkov: upravljavec spletne strani (tj. Fashion ID) ali ponudnik vtičnika (tj. Facebook).

Pri odgovoru na ti dve vprašanji se je Sodišče EU navezalo na svoj odgovor, podan v zvezi z vprašanjem 2 – torej, da se kot upravljavec v smislu d) točke 2. člena Direktive 95/46 šteje upravljavec spletnega mesta, ki na določeno spletno mesto namesti socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika, in da ponudniku vtičnika v ta namen posreduje osebne podatke obiskovalca, pri čemer je njegova odgovornost kot upravljavca omejena na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva.

Zato je po mnenju Sodišča EU obveznost takšnega upravljavca (v našem primeru Fashion ID), da:

  • od obiskovalcev svoje spletne strani zagotovi privolitev skladno s h) točko 2. člena[18] in a) točko 7. člena[19] Direktive 95/46 in
  • obiskovalcem svoje spletne strani zagotovi informacij iz 10. člena[20] Direktive 95/46.

Takšno privolitev oz. informacije je treba zagotoviti pred zbiranjem in posredovanjem s prenosom osebnih podatkov posameznika, na katerega se osebni podatki nanašajo, saj postopek obdelave osebnih podatkov sproži že to, da obiskovalec obišče spletno mesto Fashion ID.[21]

Nadalje je po mnenju Sodišča EU očitno, da se lahko ti dve obveznosti nanašata zgolj na postopek ali niz postopkov obdelave osebnih podatkov, za katere ta upravljavec dejansko določa namene in sredstva (v konkretnem primeru je to zbiranje in posredovanje podatkov Facebooku). Te obveznosti pa ne zajemajo postopkov obdelave osebnih podatkov, ki se nanašajo na druge faze, prejšnje ali poznejše od navedenih postopkov, ki po potrebi vključujejo obdelavo zadevnih osebnih podatkov (tj. ko so podatki že pri Facebooku in ta sam določa nadaljnje namene in sredstva obdelave le-teh).[22]

Sklep

In kaj lahko Sodba prinese družbam in podjetnikom (še posebej malim in srednjim podjetjem)? Predvsem zavedanje, da načrtovanje oglaševalskih strategij ni samo vprašanje marketinških ved, statistik, konverzij itn. Gre za širša vprašanja, ki zahtevajo upoštevanje pomislekov tudi s pravnega vidika (vključno z neogibnim branjem splošnih pogojev različnih platform, vtičnikov, spletnih orodij itn., ki jih nameravajo podjetja vključiti v svojo oglaševalsko kampanjo).

Kot že omenjeno, Direktiva 95/46 ne velja več. Vendar so ključna vprašanja, ki so bila izpostavljena v Sodbi (definicija upravljavca, vprašanje privolitve in informiranja posameznikov, katerih osebni podatki se obdelujejo) še kako veljavna – in morda celo še bolj pomembna – tudi po 25. maju 2018. Bistveni pojmi, načela obdelave osebnih podatkov in obveznosti upravljavcev in drugih akterjev so ostala enaka tudi v GDPR oz. so bile nekatere izmed obveznosti upravljavcev še podrobneje določene (npr. nabor informacij, ki jih je treba zagotoviti posameznikom pred začetkom obdelave oz. preden podajo privolitev za obdelavo osebnih podatkov[23]).
Globe za kršitve, ki jih je uvedel GDPR, lahko marsikateremu podjetju posežejo v precejšen del prihodkov. Kaznovano podjetje bo moralo vzpostaviti poslovanje v skladu zakoni in predpisi ter odpraviti kršitve, kar pa je lahko takrat, ko so strategije in procesi že vpeljani, kompleksno in drago.

Zgolj zasledovanje prepoznavnosti in »všečkov« brez upoštevanja zakonskih zahtev torej lahko podjetje veliko stane. Zato svetujemo, da se pred implementacijo bistvenih sprememb v načinu poslovanja, trženja, oglaševanja in komuniciranja z uporabniki storitev (še posebej potrošniki), podjetja posvetujejo z ustrezno usposobljenimi strokovnjaki.

 

[1] Sodba je v celoti dostopna na tej povezavi.

[2] Pogodba o delovanju Evropske unije (UL C 326, 26. oktober 2012, str. 47–390).

[3] Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

[4] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL 2002, L 201, str. 37 – 47).

[5] Originalno besedilo zastavljenih vprašanj je vsebovano v točki 42 Sodbe.

[6] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL 2016, L 119, str. 1).

[7] Sklepni predlog je dostopen na enaki povezavi kot Sodba.

[8] C‑210/16, EU:C:2018:388, sodba z dne 5. junija 2018 (v nadaljevanju »Wirtschaftsakademie Schleswig-Holstein«).

[9] C‑25/17, EU:C:2018:551, sodba z dne 10. julija 2018 (v nadaljevanju »Jehovan todistajat«).

[10] Vsi zaključki so izvedeni pod pogojem, da se v postopku pred nacionalnim sodiščem dodatno oz. dokončno ugotovi dejansko stanje.

[11] »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja Skupnosti, lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja Skupnosti.

[12] Sodba Wirtschaftsakademie Schleswig-Holstein, točka 28.

[13] Točke 67–69 Sodbe.

[14] »Obdelava« pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje (b) točka 2. člena Direktive 95/46).

[15] Vendar, in brez poseganja v morebitno civilno odgovornost, ki jo v zvezi s tem določa nacionalna zakonodaja (točka 74 Sodbe).

[16] Kot že prej pojasnjeno v sodbi Jehovan todistajat, točka 66.

[17] 70. točka Sodbe.

[18] »Privolitev posameznika, na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno dano posebno in informirano izjavo volje, s katero posameznik, na katerega se osebni podatki nanašajo, izrazi soglasje, da se osebni podatki o njem obdelujejo.

[19] »Države članice določijo, da se lahko osebni podatki obdelujejo samo, če: […] (a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev; ali…«.

[20] »Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima: (a) istovetnost upravljavca ali njegovega predstavnika, če obstaja; (b) namene obdelave podatkov; (c) vse nadaljnje informacije, npr. prejemnike ali vrste prejemnikov podatkov, ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori, obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj, kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.«

[21] 102. točka Sodbe.

[22] 100. točka Sodbe.

[23] Glej 13. in 14. člen GDPR.

Arhiv