Cauza C‑40/17, Fashion ID împotriva Verbraucherzentrale NRW eV, cu participarea Facebook Ireland Ltd., ECLI:EU:C:2019:629, 29.07.2019
Litigiul principal
Verbraucherzentrale NRW eV, o organizație de protecție a consumatorilor din Germania, s-a adresat instanței de judecată împotriva Fashion ID, un magazin online de modă, pe motivul plasării pe website-ul Fashion ID a unui buton de ”Like” al Facebook. Plasarea acestui buton implică o transmitere de date cu caracter personal ale vizitatorilor site-ului Fashion ID către serverele Facebook. Acest lucru se întâmplă:
a) Fără informarea vizitatorilor site-ului
b) Indiferent dacă vizitatorul este un utilizator Facebook
c) Indiferent dacă acesta apasă butonul de Like sau nu
Potrivit organizației germane de protecție a consumatorilor, Fashion ID (operatorul de date) nu furnizează persoanelor vizate informațiile necesare și nici nu le solicită acestora consimțământul la prelucrarea datelor lor cu caracter personal, potrivit Directivei (Directiva 95/46, înlocuită ulterior prin Regulamentul UE 2018/679).
În acest context, curtea din Dusseldorf a sesizat CJUE cu șase întrebări preliminare.
Cadrul legislativ relevant
Directiva 95/46 privind protecția datelor. Relevante sunt articolele 7 și 10 din această Directivă, care prevăd că prelucrarea datelor cu caracter personal se poate realiza numai dacă, printre altele, persoana vizată și-a dat consimțământul neechivoc sau prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. De asemenea, operatorul are obligația de a furniza persoanei vizate cel puțin informațiile următoare: „identitatea operatorului și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele; orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului; existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal.”
Directiva 2002/58/CE : „Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete”.
Directiva 2009/22/CE privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor: organizațiile colective de protecție a consumatorilor se pot adresa instanțelor judecătorești pentru apărarea intereselor consumatorilor, în vederea încetării sau interzicerii oricărei încălcări.
Regulamentul 2016/679 (GDPR): Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile prevăzute de lege. Această entitate are, de asemenea, dreptul de a se adresa Autorității de Supraveghere.
Întrebările preliminare
- Poate o organizație de protecție a intereselor consumatorilor să se adreseze unei instanțe cu o cerere în materia protecției datelor?
- Are calitatea de ”operator asociat” operatorul unui website pe care apare conținut al unui alt furnizor (precum butonul de ”Like” al Facebook afișat pe website-ul Fashion ID), determinând motorul de căutare al vizitatorului website-ului să transmită date cu caracter personal deținătorului conținutului afișat (Facebook), având în vedere că operatorul website-ului (Fashion ID) are o influență limitată asupra prelucrării datelor respective?
- Dacă se constată că cei doi (Facebook și Fashion ID) au calitatea de operatori asociați, care dintre ei este responsabil pentru furnizarea informațiilor necesare și pentru colectarea consimțământului vizitatorilor website-ului?
Te-ar putea interesa și:
Concluziile Curții
1. Referitor la prima întrebare, statele membre pot permite organizațiilor de consumatori să se adreseze instanțelor cu cereri în vederea protejării drepturilor și intereselor fundamentale ale persoanelor vizate. De asemenea, GDPR (art. 80) permite în mod explicit organizațiilor non-profit să se adreseze instanțelor, indiferent dacă sunt mandatate în acest sens de către persoanele vizate sau nu.
2. Facebook și Fashion ID sunt operatori asociați, având în vedere că Fashion ID are calitatea de operator, având influență asupra prelucrării datelor cu caracter personal și prelucrându-le în scopuri proprii. Prin decizia de a afișa pe site butonul de ”Like”, Fashion ID obține un avantaj comercial prin faptul că produsele sale se bucură de o publicitate crescută pe rețeaua de socializare Facebook. De asemenea, Fashion ID influențează, în mod decisiv, colectarea și transmiterea de date cu caracter personal către Facebook, aceste operațiuni neavând loc în lipsa butonului de ”Like”. Curtea precizează că o entitate poate avea calitatea de operator de date, chiar dacă nu are acces efectiv la acele date, ci doar le colectează și le transmite spre prelucrare unui terț.
3. Curtea concluzionează că Fashion ID este un operator asociat numai cu privire la două operațiuni de prelucrare: colectarea datelor și transmiterea acestora către Facebook, nu și în privința operațiunilor subsecvente de prelucrare realizate de către Facebook.
4. În privința partajării responsabilității între cei doi operatori asociați, Curtea decide că Fashion ID trebuie să îndeplinească obligația de informare a persoanelor vizate și să colecteze consimțământul acestora, deoarece aceste obligații trebuie îndeplinite înainte ca datele să fie colectate și transmise, iar aceste operațiuni se realizează în momentul în care o persoană vizitează website-ul Fashion ID. Aceste obligații sunt limitate la operațiunile de colectare și transmitere a datelor către Facebook.
Prin această hotărâre, curtea creează o abordare orientată către etapele prelucrării datelor cu caracter personal a noțiunii de ”operatori asociați”. Așadar, aceste etape, chiar și în cazul prelucrărilor complexe, trebuie să fie clar delimitate.
