Administratorul unui site internet echipat cu butonul „imi place” al Facebook poate fi operator, impreuna cu Facebook, in privinta colectarii si a transmiterii catre Facebook a datelor cu caracter personal ale vizitatorilor site-ului sau

Fashion ID, intreprindere germana care comercializeaza online articole de moda, a inserat pe siteul sau internet butonul ``imi place`` al Facebook. Aceasta inserare pare sa fi avut drept consecinta faptul ca, atunci cand un vizitator consulta site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise catre Facebook Ireland. Se pare ca aceasta transmitere se realizeaza fara ca respectivul vizitator sa fie constient de ea si indiferent daca el este membru al retelei sociale Facebook sau daca a clicat pe butonul ``imi place``.

Verbraucherzentrale NRW, asociatie germana de utilitate publica pentru apararea intereselor consumatorilor, reproseaza societatii Fashion ID ca a transmis societatii Facebook Ireland date cu caracter personal apartinand vizitatorilor site-ului sau internet, pe de o parte, fara consimtamantul acestora din urma si, pe de alta parte, cu incalcarea obligatiilor de informare prevazute de dispozitiile referitoare la protectia datelor personale.

Sesizat cu litigiul, Oberlandesgericht DA¼sseldorf (Tribunalul Regional Superior din DA¼sseldorf, Germania) solicita Curtii sa interpreteze mai multe dispozitii ale vechii directive din 1995 privind protectia datelor¹ (care ramane aplicabila acestei cauze si care a fost inlocuita de Regulamentul general din 2016 privind protectia datelor² aplicabil de la 25 mai 2018).

In hotararea sa Curtea precizeaza, mai intai, ca vechea directiva privind protectia datelor nu se opune ca asociatiilor pentru apararea intereselor consumatorilor sa li se confere dreptul de a introduce actiuni in justitie impotriva autorului prezumat al unei atingeri aduse protectiei datelor cu caracter personal. Curtea arata ca noul regulament general privind protectia datelor prevede in prezent in mod expres o asemenea posibilitate.

Curtea constata in continuare ca Fashion ID pare sa nu poata fi considerata operator in privinta operatiunilor de prelucrare de date efectuate de Facebook Ireland dupa transmiterea lor catre aceasta din urma. Astfel, este exclus, la prima vedere, ca Fashion ID sa stabileasca scopurile si mijloacele acestor operatiuni .

In schimb, Fashion ID poate fi considerata operator impreuna cu Facebook Ireland in privinta operatiunilor de colectare si de dezvaluire prin transmitere catre Facebook Ireland a datelor in cauza, din moment ce se poate considera (sub rezerva verificarilor pe care urmeaza sa le efectueze Oberlandesgericht DA¼sseldorf) ca Fashion ID si Facebook Ireland le determina impreuna scopurile si mijloacele .

Se pare printre altele ca inserarea de catre Fashion ID a butonului ``imi place`` al Facebook pe siteul sau internet ii permite sa optimizeze publicitatea pentru produsele sale facandu-le mai vizibile pe reteaua sociala Facebook atunci cand un vizitator al site-ului sau internet clicheaza pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul sau internet, pare sa isi fi dat consimtamantul, cel putin implicit, pentru colectarea si dezvaluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului sau.

Astfel, aceste operatiuni de prelucrare par sa fie efectuate in interesul economic atat al Fashion ID, cat si al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date in propriile scopuri comerciale constituie contrapartida avantajului oferit societatii Fashion ID. Curtea subliniaza ca administratorul unui site internet, cum este Fashion ID, in calitate de (co)operator in privinta anumitor operatiuni de prelucrare a datelor vizitatorilor site-ului sau, precum colectarea datelor si transmiterea lor catre Facebook Ireland, trebuie sa furnizeze, la momentul colectarii, anumite informatii acestor vizitatori, cum ar fi, de exemplu, identitatea sa si scopurile prelucrarii.

Curtea ofera de asemenea precizari in privinta a doua dintre cele sase cazuri de prelucrare legitima a datelor cu caracter personal, prevazute de directiva. Astfel, in ceea ce priveste cazul in care persoana vizata si-a dat consimtamantul, Curtea decide ca administratorul unui site internet, cum este Fashion ID, trebuie sa obtina acest consimtamant in prealabil (numai) pentru operatiunile in privinta carora este (co)operator, si anume colectarea si transmiterea datelor.

In ceea ce priveste cazurile in care prelucrarea de date este necesara pentru realizarea unui interes legitim, Curtea decide ca fiecare dintre persoanele care au calitatea de (co)operator in privinta prelucrarii, si anume administratorul site-ului internet si furnizorul modulului social, trebuie sa urmareasca, prin intermediul colectarii si al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operatiuni sa fie justificate in privinta sa.

Hotararea in cauza C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

¹ Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (JO 1995, L 281, p. 31, Editie speciala, 13/vol. 17, p. 10).

² Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (JO 2016, L 119, p. 1).

³ Amintim ca, in Hotararea 5 iunie 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16; a se vedea si CP 81/18), Curtea a statuat ca administratorul unei pagini pentru fani pe Facebook are calitatea de operator impreuna cu Facebook in privinta prelucrarii datelor vizitatorilor paginii sale.