Wtyczka „Lubię to” na stronie www a obowiązki przedsiębiorcy prowadzącego sklep internetowy
W ostatnim czasie Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok dotyczący wykorzystywania przez przedsiębiorców wtyczki społecznościowej „Lubię to” na swoich stronach internetowych (wyrok w sprawie C-40/17).
Mogłoby się wydawać, iż tak niewielki i powszechny zresztą przycisk, nie ma istotnego znaczenia dla przetwarzania danych osobowych użytkowników stron internetowych. Tymczasem sprawa dotycząca zamieszczenia owej wtyczki znalazła swój finał przed TSUE.
Fashion ID GmbH & Co. KG na swojej stronie internetowej, pod towarem przeznaczonym do sprzedaży, zamieściła wtyczkę Facebooka „Lubię to”. Każdy produkt przeznaczony do sprzedaży użytkownik strony internetowej mógł polubić i udostępnić na Facebooku. Stowarzyszenie zarejestrowane w Niemczech uznało ww. praktykę spółki za niezgodną z prawem i skierowało do sądu przeciwko niej pozew. Niemiecki sąd złożył do TSUE wniosek o wydanie orzeczenia w trybie prejudycjalnym.
Co to jest wtyczka "Lubię to"
Użytkownik, korzystający ze strony internetowej, na której zamieszono przycisk „Lubię to” Facebooka automatycznie przesyła informacje dotyczącej swojego adresu IP i identyfikatora przeglądarki do portalu. Informacje powyższe są przekazywane także bez konieczności kliknięcia przycisku „Lubię to”. Ponadto, co do zasady z chwilą wyświetlenia strony internetowej, na której dostępny jest przycisk „Lubię to” Faccebook zapisuje na urządzeniu użytkownika różnego rodzaju pliki cookies (ciasteczka). Portal społecznościowy pobiera te dane od użytkownika niezależnie od tego czy posiada on konto w prowadzonym przez niego serwisie.
TSUE podkreślił w swym orzeczeniu, że
poprzez umieszczenie w swojej witrynie internetowej przycisku „Lubię to” Facebooka Fashion ID umożliwiła Facebook Ireland uzyskiwanie danych osobowych osób odwiedzających jej witrynę internetową, przy czym taka możliwość pojawia się od momentu wejścia na taką witrynę i to niezależnie od tego, czy owe osoby odwiedzające są członkami serwisu społecznościowego Facebook lub czy kliknęły na przycisk „Lubię to” Facebooka, lub też czy wiedziały o takiej operacji.
Wpływ wyroku TSUE na ecommerce
Po pierwsze TSUE stwierdził, że zarówno właściciel strony internetowej, jak i Facebook są administratorami danych osobowych użytkowników danej strony internetowej. Każdy z nich w takim zakresie, w jakim decyduje o celach i sposobach przetwarzania tymi danymi;
Następnie, podstawą prawną przetwarzania danych osobowych przekazywanych przez ową wtyczkę, wg TSUE może być:
- zgodę użytkownika (każdy ze współadministatorów powinien pozyskać ja we własnym zakresie, przed rozpoczęciem gromadzenia i przekazywania danych) lub
- prawnie uzasadnionym interesie administratora, przy czym w tym przypadku konieczne jest, by w ramach operacji przetwarzania zarówno właściciel strony www, jak i Facebook dążyli do tego, aby operacje te były uzasadnione w ramach realizacji prawnie uzasadnionego interesu, Innymi słowy, przedsiębiorca powinien przeprowadzić test równowagi, który polega na porównaniu jego prawnie uzasadnionych interesów z interesami lub podstawowymi prawami i wolnościami osoby, której dane są przetwarzane).
Ponadto, każdy z podmiotów, który przetwarzają dane – czyli zarówno Facebook jak i właściciel strony internetowej, powinien spełnić wobec użytkownika obowiązek informacyjny. O obowiązku informacyjnym – w związku z ww. wyrokiem TSUE – przypomniał również na swojej stronie internetowej Prezes Urzędu Ochrony Danych Osobowych Urząd Ochrony Danych Osobowych. Osoba odwiedzająca taką witrynę sklepu internetowego, na którym zamieszczono wtyczkę „Lubię to” musi wiedzieć, że operator przekazuje jej dane portalowi społecznościowemu. Obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych.
RODO i ecommerce - zawsze razem?
Przedsiębiorca prowadzący sklep internetowy i zamieszczający na swojej stronie www wtyczkę do social media, powinien dokładnie zweryfikować treść swojej polityki prywatności i plików cookies nie tylko w zakresie spełnienia obowiązku informacyjnego, o którym przypomina Prezes UODO, ale także w jakim zakresie i w jaki celu przetwarza dane osobowe użytkowników. Zatem należy dodać do polityki postanowienia zawierające szczegółowe informacje dotyczące m.in. wtyczki „Lubię to”, współadministrowania danymi osobowymi. Przedsiębiorcy powinni również zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO). Następnie, przy pierwszym wejściu na stronę internetową powinien pojawić się komunikat dotyczący polityki prywatności i plików cookes (w tym aktywny link do owej polityki), obok zaś przycisk „zapoznałem/-am się” „zgadzam się” etc.
W przypadku, gdy na przedsiębiorcy spoczywa obowiązek prowadzenia rejestru czynności przetwarzania należy informacje dotyczące wtyczki „Lubię to”, czy o współadministrowaniu i danymi wraz z Facebookiem, powinny się w nim również znaleźć.
Dla zainteresowanych wyrok znajduje się pod poniższym linkiem: