Fashion ID, intreprindere germana care comercializeaza online articole de moda, a inserat pe siteul sau internet butonul ``imi place`` al Facebook. Aceasta inserare pare sa fi avut drept consecinta faptul ca, atunci cand un vizitator consulta site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise catre Facebook Ireland. Se pare ca aceasta transmitere se realizeaza fara ca respectivul vizitator sa fie constient de ea si indiferent daca el este membru al retelei sociale Facebook sau daca a clicat pe butonul ``imi place``.
Verbraucherzentrale NRW, asociatie germana de utilitate publica pentru apararea intereselor consumatorilor, reproseaza societatii Fashion ID ca a transmis societatii Facebook Ireland date cu caracter personal apartinand vizitatorilor site-ului sau internet, pe de o parte, fara consimtamantul acestora din urma si, pe de alta parte, cu incalcarea obligatiilor de informare prevazute de dispozitiile referitoare la protectia datelor personale.
Sesizat cu litigiul, Oberlandesgericht DA�sseldorf (Tribunalul Regional Superior din DA�sseldorf, Germania) solicita Curtii sa interpreteze mai multe dispozitii ale vechii directive din 1995 privind protectia datelor1 (care ramane aplicabila acestei cauze si care a fost inlocuita de Regulamentul general din 2016 privind protectia datelor2 aplicabil de la 25 mai 2018).
In hotararea sa Curtea precizeaza, mai intai, ca vechea directiva privind protectia datelor nu se opune ca asociatiilor pentru apararea intereselor consumatorilor sa li se confere dreptul de a introduce actiuni in justitie impotriva autorului prezumat al unei atingeri aduse protectiei datelor cu caracter personal. Curtea arata ca noul regulament general privind protectia datelor prevede in prezent in mod expres o asemenea posibilitate.
Curtea constata in continuare ca Fashion ID pare sa nu poata fi considerata operator in privinta operatiunilor de prelucrare de date efectuate de Facebook Ireland dupa transmiterea lor catre aceasta din urma. Astfel, este exclus, la prima vedere, ca Fashion ID sa stabileasca scopurile si mijloacele acestor operatiuni .
In schimb, Fashion ID poate fi considerata operator impreuna cu Facebook Ireland in privinta operatiunilor de colectare si de dezvaluire prin transmitere catre Facebook Ireland a datelor in cauza, din moment ce se poate considera (sub rezerva verificarilor pe care urmeaza sa le efectueze Oberlandesgericht DA�sseldorf) ca Fashion ID si Facebook Ireland le determina impreuna scopurile si mijloacele .
Se pare printre altele ca inserarea de catre Fashion ID a butonului ``imi place`` al Facebook pe siteul sau internet ii permite sa optimizeze publicitatea pentru produsele sale facandu-le mai vizibile pe reteaua sociala Facebook atunci cand un vizitator al site-ului sau internet clicheaza pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul sau internet, pare sa isi fi dat consimtamantul, cel putin implicit, pentru colectarea si dezvaluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului sau.
Astfel, aceste operatiuni de prelucrare par sa fie efectuate in interesul economic atat al Fashion ID, cat si al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date in propriile scopuri comerciale constituie contrapartida avantajului oferit societatii Fashion ID. Curtea subliniaza ca administratorul unui site internet, cum este Fashion ID, in calitate de (co)operator in privinta anumitor operatiuni de prelucrare a datelor vizitatorilor site-ului sau, precum colectarea datelor si transmiterea lor catre Facebook Ireland, trebuie sa furnizeze, la momentul colectarii, anumite informatii acestor vizitatori, cum ar fi, de exemplu, identitatea sa si scopurile prelucrarii.
Curtea ofera de asemenea precizari in privinta a doua dintre cele sase cazuri de prelucrare legitima a datelor cu caracter personal, prevazute de directiva. Astfel, in ceea ce priveste cazul in care persoana vizata si-a dat consimtamantul, Curtea decide ca administratorul unui site internet, cum este Fashion ID, trebuie sa obtina acest consimtamant in prealabil (numai) pentru operatiunile in privinta carora este (co)operator, si anume colectarea si transmiterea datelor.
In ceea ce priveste cazurile in care prelucrarea de date este necesara pentru realizarea unui interes legitim, Curtea decide ca fiecare dintre persoanele care au calitatea de (co)operator in privinta prelucrarii, si anume administratorul site-ului internet si furnizorul modulului social, trebuie sa urmareasca, prin intermediul colectarii si al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operatiuni sa fie justificate in privinta sa.
Hotararea in cauza C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
1 Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (JO 1995, L 281, p. 31, Editie speciala, 13/vol. 17, p. 10).
2 Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (JO 2016, L 119, p. 1).
3 Amintim ca, in Hotararea 5 iunie 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16; a se vedea si CP 81/18), Curtea a statuat ca administratorul unei pagini pentru fani pe Facebook are calitatea de operator impreuna cu Facebook in privinta prelucrarii datelor vizitatorilor paginii sale.
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Lipsa consimtamantului persoanei vizate pentru transmiterea de date personale catre instanta de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmiterea unor date personale in cadrul unui dosar aflat pe rolul instantelor de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmitere de mesaje de catre o banca, desi relatia contractuala aceasta entitate era incheiata Sursa: Raportul pe anul 2020 al ANSPDCP
Publicarea numelui reclamantului in cuprinsul listei debitorilor, ulterior stingerii obligatiei de plata si anularii titlurilor de creanta. Nerespectarea dispozitiilor legale privind protectia datelor cu caracter personal Pronuntaţă de: Judecatoria Iasi - Sentinta civila nr. 13391 din data de 27 Noiembrie 2019
Raspundere civila delictuala. Postarea unor afirmatii cu caracter defaimator pe o retea de socializare Pronuntaţă de: I.C.C.J., Sectia I civila, decizia nr. 319 din 5 februarie 2020
ICCJ: Excluderea asociatului din cauza neintelegerilor grave intre asociati Pronuntaţă de: Inalta Curte de Casatie si Justitie
Sanctionarea disciplinara ca urmare a unei postari pe retelele sociale. Netemeinicia deciziei angajatorului Pronuntaţă de: Curtea de Apel Bucuresti - Decizia civila nr. 608 din data de la 6 martie 2020
Sanctionarea salariatului pentru neindeplinirea obligatiilor de serviciu. Masura legala si temeinica Pronuntaţă de: Tribunalul Bucuresti, Sectia a VIII-a Conflicte de munca si asigurari sociale, Sentinta nr. 2783 din 15.03.2016