Sari direct la conținut

CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate răspunde pentru prelucrările de date făcute prin intermediul platformei sociale

STOICA & Asociatii
Constantin-Cosmin PINTILIE, Associate, Foto: STOICA & Asociatii
Constantin-Cosmin PINTILIE, Associate, Foto: STOICA & Asociatii

„Facebook poate contribui la dezvoltarea afacerii tale, indiferent de dimensiunea acesteia”. Așa sună un anunț pentru promovarea serviciului „Facebook business” adresat companiilor care doresc să își dezvolte o „pagină pentru fani”. În lumina unei hotărâri a Curții de Justiție a Uniunii Europene („CJUE” ), publicată în data de 5 iunie 2018, anunțul ar trebui să fie completat în mod corespunzător: (…), dar trebuie să fii pregătit să-ți asumi responsabilitatea pentru prelucrarea datelor cu caracter personal! Cu alte cuvinte, prin hotărârea pronunțată în cauza C-210/16 („ULD Schleswig-Holstein împotriva Wirtschaftsakademie”) CJUE a stabilit că noțiunea de „operator” înglobează administratorul unei pagini pentru fani găzduite de o rețea socială, iar acesta nu este exonerat de răspundere în mod automat pentru prelucrările realizate de Facebook prin intermediul pagini sale asupra datelor cu caracter personal ale vizitatorilor.

• Care este contextul în care a fost pronunțată această hotărâre?

În anul 2011, o autoritate regională pentru protecția datelor cu caracter personal (i.e., ULD Schleswig-Holstein) a solicitat unei companii care oferea servicii în domeniul educației (i.e., Wirtschaftsakademie) să își închidă pagina de Facebook. ULD Schleswig-Holstein susținea faptul că nici Facebook, nici Wirtschaftsakademie nu îi informau în mod corespunzător pe vizitatorii paginii respective asupra faptului că Facebook colecta informații cu caracter personal cu ajutorul cookie-urilor, informații care erau ulterior prelucrate și puse într-o manieră anonimizată la dispoziția administratorului paginii sub formă de statistici și analize („Facebook Insights”).

Administratorul paginii a contestat decizia autorității în fața instanțelor judecătorești, litigiul ajungând în fața Curții Administrative Federale din Germania. În esență, Wirtschaftsakademie s-a apărat arătând că nu poate fi considerat un organism responsabil pentru datele care erau colectate și prelucrate de Facebook. În acest context, instanța germană a sesizat CJUE cu o întrebare preliminară, solicitând o interpretare a dispozițiilor cuprinse în Directiva 95/46 privind, pe de o parte, răspunderea în cazul în care mai multe entități sunt implicate într-o operațiune de prelucrare a datelor cu caracter personal și, pe de altă parte, competențele pe care le au autoritățile de supraveghere din statele membre în raport cu companiile care au sediul în afara Uniunii Europene.

• Ce a decis CJUE?

Plecând de la definiția noțiunii de operator cuprinsă în Directiva 95/46 ca fiind organismul care „singur sau împreună cu altele” stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal, CJUE a subliniat că la o operațiune de prelucrare pot participa mai mulți actori, fiecare dintre aceștia fiind suspus dispozițiilor aplicabile în materie de protecția datelor.

Astfel, în situația descrisă anterior, CJUE a apreciat că nu este contestat faptul că în cea mai mare măsură Facebook a stabilit scopurile și mijloacele de prelucrare a datelor cu caracter personal ale utilizatorilor rețelei de socializare și a altor persoane care vizitau pagina respectivă. Prelucrarea de date se realizează prin plasarea de cookies astfel încât, pe baza datelor colectate, pe de o parte, Facebook își îmbunătățește serviciile de publicitate și, pe de altă parte, se permite administratorului paginii accesul la statistici și i se oferă o serie întreagă de informații pe baza cărora ajunge să cunoască profilul vizitatorilor paginii sale.

Este important de subliniat că CJUE a statuat că simplul fapt de a utiliza o rețea socială nu conduce în mod automat la transformarea administratorului respectivei pagini în operator, ci trebui să se țină seama de o serie întreagă de alte elemente, cum ar fi: faptul că administratorul paginii oferă Facebook posibilitatea a de a plasa cookies, indiferent dacă vizitatorul are sau nu cont de Facebook; crearea unei pagini pentru fani implică o acțiune de stabilire a unor obiective de către administratorul paginii, obiective care afectează prelucrarea datelor în vederea furnizării statisticilor; administratorul paginii poate solicita date privind profilul vizitatorilor cum ar fi: tendințele în materie de vârstă, sex, date demografice, date privind opțiunile personale, preferințele în materie de cumpărături, toate aceste date putând fi utilizate pentru ca administratorul paginii să-și dirijeze acțiunile (de exemplu, să ofere promoții anumitor categorii de persoane).

Pe cale de consecință, administratorul unei pagini pentru fani, găzduite de Facebook, poate participa la stabilirea scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor. Faptul că se utilizează platforma Facebook nu îl poate exonera pe administratorul paginii de la respectarea obligațiilor care îi incumbă în calitate de operator de date cu caracter personal.

Cu toate acestea, CJUE a statuat că răspunderea solidară a operatorului rețelei sociale și cea a administratorului unei pagini nu sunt răspunderi echivalente. Astfel, va trebui să se analizeze de la caz la caz gradul de implicare al celor două părți în operațiunile de prelucrare a datelor cu caracter personal, pentru a putea fi evaluat nivelul de răspundere al fiecăreia.

• Care este impactul acestei hotărâri prin raportare la dispozițiile GDPR?

Cu toate că, prin hotărârea menționată, CJUE a fost chemată să interpreteze dispozițiile din Directiva 95/46 (i.e., fostul act normativ general aplicabil la nivel european cu privire la protecția datelor cu caracter personal), credem că și sub imperiul Regulamentului general privind protecția datelor („GDPR”) decizia și considerentele CJUE sunt pe deplin aplicabile.

În primul rând, hotărârea tranșează cel puțin în parte o discuție de actualitate privind răspunderea pentru prelucrările de date care sunt realizate de către, împreună cu sau prin intermediul unul partener. Astfel, după această hotărâre a CJUE, vor trebui să fie analizate mult mai atent raporturile pe care o entitate le are cu diferiți parteneri care prelucrează date cu caracter personal mai ales în contextul activităților de promovare și, în mod particular, în ceea ce privește promovarea în mediul online.

Ținând seama de prevederile GDPR, de la caz la caz, va trebui stabilită foarte atent relația existentă între două sau mai multe entități care sunt implicate într-un set de operațiuni de prelucrare a datelor cu caracter personal pentru a identifica obligațiile pe care le au diferitele părți, în funcție de calitatea lor: operatori, operatori asociați sau persoane împuternicite de operator. Prin această hotărâre, CJUE a extins și mai mult sfera noțiunii de operator.

În al doilea rând, hotărârea nu este numai despre Facebook. La o simplă cercetare a serviciului „Facebook business”, putem observa că administratorul unei pagini dedicate are acces la analize și statistici care implică colectarea unei cantități foarte mari de date cu caracter personal (de exemplu, informații despre vârsta, sexul, locația utilizatorilor care accesează pagina, acțiunile pe care vizitatorii le fac pe pagina respectivă, momentul în care aceștia accesează pagina și multe altele). În niciun caz nu trebuie să se ajungă la concluzia că un asemenea serviciu este ilegal. Dimpotrivă, dacă drepturile persoanelor vizate sunt respectate, mai ales în ceea ce privește obligațiile de informare și obținerea unui consimțământ valabil, astfel de servicii de analizare a comportamentului vizitatorilor unei pagini ar trebui să poată fi utilizate și în viitor.

În plus faţă de Facebook, mai există multe alte aplicații care colectează datele vizitatorilor unei pagini web și îi oferă rapoarte și analize administratorului acesteia (e.g., Google Analytics, Piwik, Clicky, Adobe Analytics). Deși CJUE nu o spune expres, concluzia la care se poate ajunge este aceea că o entitate este responsabilă atât pentru prelucrările de date făcute prin intermediul unui site propriu, dar și pentru prelucrările efectuate cu privire la paginile folosite și care sunt administrate de aceasta în cadrul rețelelor sociale. De asemenea, nu doar rețelele sociale ar trebui să fie luate în discuție ci, de exemplu, credem că inclusiv utilizarea unor platforme de e-commerce, comune mai multor vânzători, poate fi o situație în care considerentele CJUE să își găsească aplicarea în mod corespunzător, în ceea ce priveşte răspunderea solidară pentru prelucrarea datelor personale.

Nu doar „paginile pentru fani” ridică problema responsabilității pentru prelucrarea datelor cu caracter personal, ci și grupurile de Facebook sau altele asemenea. De exemplu, în unele situații, administratorii grupurilor de Facebook solicită date cu caracter personal suplimentare. Dacă opțiunea de a fi parte într-un grup, opțiune care se manifestă prin apăsarea butonului „join”, poate fi interpretată ca o exprimare a consimțământului, nu mai puțin important este faptul că acest consimțământ trebuie să fie unul dat în cunoștință de cauză. În astfel de situații, în care administratorul unui grup prelucrează date cu caracter personal într-o manieră prin care se depășește simpla idee de parte la o comunitate online (e.g., solicită date suplimentare, realizează o evidență sistematică a membrilor grupului), considerăm că acesta are obligația de a informa persoanele vizate cu privire la scopurile și temeiurile prelucrării.

Nu în ultimul rând, hotărârea CJUE a trebui să fie un semnal de alarmă pentru toți cei implicați în prelucrări de date care implică mai multe entități. Relațiile de afaceri se construiesc pe încredere, însă încrederea nu este întotdeauna de ajuns, mai ales atunci când o companie are obligația de a se asigura că partenerii săi respectă drepturile privind protecția datelor cu caracter personal.

Un articol semnat de Constantin-Cosmin PINTILIE, Associate, STOICA & Asociații

ARHIVĂ COMENTARII