Curtea de Justiție a Uniunii Europene, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629
Litigiul principal
Fashion ID, întreprindere care comercializează online articole de modă, a inserat pe site‑ul său internet modulul social „îmi place” al rețelei sociale Facebook.
Atunci când un vizitator consultă site‑ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt, ca urmare a faptului că acest site integrează butonul menționat, transmise societății Facebook Ireland. Se pare că această transmitere se efectuează fără ca vizitatorul menționat să fie conștient de ea și indiferent dacă acesta este membru al rețelei Facebook sau a clicat pe butonul „îmi place” al Facebook.
Verbraucherzentrale NRW, asociație de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site‑ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.
Verbraucherzentrale NRW a introdus o acțiune în încetare la Tribunalul Regional din Düsseldorf, Germania împotriva societății Fashion ID pentru ca aceasta din urmă să pună capăt acestei practice, iar instanța a admis în parte acțiunea.
KIT GDPR Premium
Fashion ID a atacat această decizie la Tribunalul Regional Superior din Düsseldorf, Germania, instanța de trimitere. Facebook Ireland a intervenit în acest apel în susținerea Fashion ID. Verbraucherzentrale NRW a formulat, la rândul său, un apel incident prin care solicită extinderea condamnării societății Fashion ID pronunțate în primă instanță.
Instanța a suspendat judecarea cauzei și a adresat Curții șapte întrebări preliminare.
Hotărârea și argumentele Curții de Justiție
Cu privire la prima întrebare preliminară, CJUE a răspuns că legislația privind protecția datelor nu se opune unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal (pct. 63).
***
Cu privire la cea de a doua întrebare preliminară, CJUE răspuns că Facebook și Fashion ID sunt operatori asociați și a statuat că „administratorul unui site internet precum Fashion ID, care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46. Această calitate de operator este însă limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele, și anume colectarea și dezvăluirea prin transmitere a datelor în cauză” (pct. 85).
Te-ar putea interesa și:
Enumerăm, în cele ce urmează, o argumente reținute de CJUE respectiv (i) noțiunea de „operator” vizează persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal (pct. 65), obiectivul acestei dispoziții fiind „asigurarea, printr‑o definiție largă a noțiunii de „operator”, a unei protecții eficiente și complete a persoanelor în cauză” (pct. 66); (ii) „o persoană fizică sau juridică ce influențează, în scopuri proprii, prelucrarea datelor cu caracter personal și participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective poate fi considerată operator” (pct. 68); (iii) „responsabilitatea comună a mai multor actori pentru aceeași prelucrare, în temeiul acestei dispoziții, nu presupune ca fiecare dintre aceștia să aibă acces la datele cu caracter personal vizat” (pct. 69); (iv) „existența unei responsabilități comune nu înseamnă în mod necesar o răspundere echivalentă a diferitor actori pentru aceeași prelucrare a datelor cu caracter personal” (pct. 70); (v) „acești actori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere a fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței” (pct. 70), iar „o prelucrare de date cu caracter personal poate să fie constituită din una sau din mai multe operațiuni, fiecare dintre acestea vizând una dintre diversele etape pe care le poate cuprinde o prelucrare de date cu caracter personal” (pct. 72); (vi) „atunci când mai mulți actori stabilesc împreună scopurile și mijloacele unei prelucrări de date cu caracter personal, ei participă, în calitate de operatori, la această prelucrare” (pct. 73); (vii) „prin inserarea pe site‑ul său internet a butonului „îmi place” al Facebook, Fashion ID pare să fi oferit societății Facebook Ireland posibilitatea de a obține date cu caracter personal ale vizitatorilor site‑ului său internet” (pct. 75); (viii) noțiunea de prelucrare de date personale include colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site‑ului său internet (pct. 76); (ix) prin inserarea butonului de „like” („îmi place”) „Fashion ID influențează, pe de altă parte, în mod decisiv colectarea și transmiterea datelor cu caracter personal ale vizitatorilor site‑ului menționat în favoarea furnizorului respectivului modul, în speță Facebook Ireland, care, în absența inserării modulului menționat, nu ar fi avut loc” (pct. 78); (x) „inserarea de către Fashion ID a butonului „îmi place” al Facebook pe site‑ul său internet îi permite să optimizeze publicitatea pentru produsele sale și le face mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site‑ului său internet clichează pe butonul respectiv” (pct. 80); (xi) Facebook și Fashion ID sunt operatori asociați deoarece Fashion ID și Facebook Ireland „stabilesc, împreună, scopurile operațiunilor de colectare și de dezvăluire prin transmitere a datelor cu caracter personal” (pct. 81).
***
Cu privire la cea de a patra întrebare preliminară, CJUE a răspuns că într-o situație în care un administrator de site inserează pe site un buton de „like” („îmi place”) de la Facebook sau alt modul extern asemănător, atât administratorul site-ului, cât și furnizorul modulului sunt obligați să urmărească, fiecare în parte, un interes legitim (pct. 97).
Printre argumentele reținute de CJUE se numără (1) orice prelucrare a datelor cu caracter personal trebuie, printre altele, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor (pct. 93); (2) prelucrarea datelor cu caracter personal este legală dacă prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate (pct. 94).
***
La a cincea și a șasea întrebare, CJUE a răspuns că într-o situație în care un administrator de site inserează pe site un buton de „like” („îmi place”) de la Facebook sau alt modul extern asemănător, acest administrator trebuie (1) să obțină consimțământul persoanelor vizate numai în ceea ce privește operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora administratorul menționat le stabilește scopurile și mijloacele; și (2) informeze persoana vizată doar cu privire la operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora el le stabilește scopurile și mijloacele (pct. 106).
Pentru a se pronunța în sensul celor indicate anterior, CJUE a reținut, printre alte argumente, următoarele (1) calitate de operator este limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele (pct. 99); (2) obligația de a obține consimțământul persoanei vizate și obligația de a informa persoana vizată trebuie să privească operațiunea sau ansamblul operațiunilor de prelucrare de date cu caracter personal cărora operatorul le stabilește efectiv scopurile și mijloacele (pct. 100), iar aceste obligații nu se extind „operațiunile de prelucrare a datelor cu caracter personal care vizează celelalte stadii, anterioare sau ulterioare operațiunilor menționate, pe care le implică, eventual, prelucrarea de date cu caracter personal în cauză” (pct. 101).
Te-ar putea interesa și:
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]