Legal, Privacy & Tech Blog.

like

CJUE: Butonul de Like pe un site și obligațiile în materie de GDPR

Cauza C‑40/17, Fashion ID împotriva Verbraucherzentrale NRW eV, cu participarea Facebook Ireland Ltd., ECLI:EU:C:2019:629, 29.07.2019

 

Litigiul principal

Verbraucherzentrale NRW eV, o organizație de protecție a consumatorilor din Germania, s-a adresat instanței de judecată împotriva Fashion ID, un magazin online de modă, pe motivul plasării pe website-ul Fashion ID a unui buton de ”Like” al Facebook. Plasarea acestui buton implică o transmitere de date cu caracter personal ale vizitatorilor site-ului Fashion ID către serverele Facebook. Acest lucru se întâmplă:

a) Fără informarea vizitatorilor site-ului

b) Indiferent dacă vizitatorul este un utilizator Facebook

c) Indiferent dacă acesta apasă butonul de Like sau nu

Potrivit organizației germane de protecție a consumatorilor, Fashion ID (operatorul de date) nu furnizează persoanelor vizate informațiile necesare și nici nu le solicită acestora consimțământul la prelucrarea datelor lor cu caracter personal, potrivit Directivei (Directiva 95/46, înlocuită ulterior prin Regulamentul UE 2018/679).

În acest context, curtea din Dusseldorf a sesizat CJUE cu șase întrebări preliminare.

Cadrul legislativ relevant

Directiva 95/46 privind protecția datelor. Relevante sunt articolele 7 și 10 din această Directivă, care prevăd că prelucrarea datelor cu caracter personal se poate realiza numai dacă, printre altele, persoana vizată și-a dat consimțământul neechivoc sau prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. De asemenea, operatorul are obligația de a furniza persoanei vizate cel puțin informațiile următoare: „identitatea operatorului și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele; orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;  existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal.”

Directiva 2002/58/CE :  „Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete”.

Directiva 2009/22/CE privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor: organizațiile colective de protecție a consumatorilor se pot adresa instanțelor judecătorești pentru apărarea intereselor consumatorilor, în vederea  încetării sau interzicerii oricărei încălcări.

Regulamentul 2016/679 (GDPR):   Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile prevăzute de lege. Această entitate are, de asemenea, dreptul de a se adresa Autorității de Supraveghere.

KIT GDPR Premium

 

 

Întrebările preliminare

  1. Poate o organizație de protecție a intereselor consumatorilor să se adreseze unei instanțe cu o cerere în materia protecției datelor?
  2. Are calitatea de ”operator asociat” operatorul unui website pe care apare conținut al unui alt furnizor (precum butonul de ”Like” al Facebook afișat pe website-ul Fashion ID), determinând motorul de căutare al vizitatorului website-ului să transmită date cu caracter personal deținătorului conținutului afișat (Facebook), având în vedere că operatorul website-ului (Fashion ID) are o influență limitată asupra prelucrării datelor respective?
  3. Dacă se constată că cei doi (Facebook și Fashion ID) au calitatea de operatori asociați, care dintre ei este responsabil pentru furnizarea informațiilor necesare și pentru colectarea consimțământului vizitatorilor website-ului?

 

Te-ar putea interesa și:

 

Concluziile Curții

1. Referitor la prima întrebare, statele membre pot permite organizațiilor de consumatori să se adreseze instanțelor cu cereri în vederea protejării drepturilor și intereselor fundamentale ale persoanelor vizate. De asemenea, GDPR (art. 80) permite în mod explicit organizațiilor non-profit să se adreseze instanțelor, indiferent dacă sunt mandatate în acest sens de către persoanele vizate sau nu.

2. Facebook și Fashion ID sunt operatori asociați, având în vedere că Fashion ID are calitatea de operator, având influență asupra prelucrării datelor cu caracter personal și prelucrându-le în scopuri proprii. Prin decizia de a afișa pe site butonul de ”Like”, Fashion ID obține un avantaj comercial prin faptul că produsele sale se bucură de o publicitate crescută pe rețeaua de socializare Facebook. De asemenea, Fashion ID influențează, în mod decisiv, colectarea și transmiterea de date cu caracter personal către Facebook, aceste operațiuni neavând loc în lipsa butonului de ”Like”. Curtea precizează că o entitate poate avea calitatea de operator de date, chiar dacă nu are acces efectiv la acele date, ci doar le colectează și le transmite spre prelucrare unui terț.

3. Curtea concluzionează că Fashion ID este un operator asociat numai cu privire la două operațiuni de prelucrare: colectarea datelor și transmiterea acestora către Facebook, nu și în privința operațiunilor subsecvente de prelucrare realizate de către Facebook.

4. În privința partajării responsabilității între cei doi operatori asociați, Curtea decide că Fashion ID trebuie să îndeplinească obligația de informare a persoanelor vizate și să colecteze consimțământul acestora, deoarece aceste obligații trebuie îndeplinite înainte ca datele să fie colectate și transmise, iar aceste operațiuni se realizează în momentul în care o persoană vizitează website-ul Fashion ID. Aceste obligații sunt limitate la operațiunile de colectare și transmitere a datelor către Facebook.

Prin această hotărâre, curtea creează o abordare orientată către etapele prelucrării datelor cu caracter personal a noțiunii de ”operatori asociați”. Așadar, aceste etape, chiar și în cazul prelucrărilor complexe, trebuie să fie clar delimitate.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]


Ti-a placut articolul? Arată-le și celorlalți!

Share on facebook
Share on linkedin
Share on email
Maria Alexandra Enescu

Maria Alexandra Enescu

Numele meu este Maria-Alexandra Enescu, absolventă a Facultății de Drept, Universitatea "Transilvania" din Brașov, avocat stagiar în Baroul Brașov, Assistant for Social Media în cadrul ELSA Belgium, în prezent absolventă de master în cadrul Institutului de Studii Europene, Universitatea Vrije din Bruxelles. Am studiat drept internațional și european, cu specializare în Data Law. Prin articolele mele, sper să contribui la formarea unei înțelegeri mai detaliate a raționamentului legiuitorului european, a Regulamentului General privind Protecția Datelor și a implicațiilor legale ale unor aspecte și situații cotidiene.

Recomandăm

Cel mai vândut produs

Cărți recomandate

Abonează-te!

E gratuit! Primește articolele noastre direct pe mail. Te poți dezabona oricând.

Prin abonare declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate LegalUp (https://legalup.ro/confidentialitate/)

Recomandăm...

Cursuri online

Investește în tine!

Shop

KIT-uri GDPR și e-commerce, e-book-uri și alte produse digitale pentru siguranța online a afacerii tale

Recente

Mai multe articole

Ultimele articole

Law & Tech

© 2020 Toate drepturile rezervate

Made with ❤ by LegalUp.ro