Είναι υπεύθυνοι επεξεργασίας δεδομένων οι διαχειριστές ιστοσελίδων που χρησιμοποιούν plugins τρίτων;

Γεν. Εισαγγελέας Δικαστηρίου ΕΕ: Ο διαχειριστής ιστοσελίδας με ενσωματωμένο πρόσθετο (plugin) τρίτου, όπως η επιλογή «μου αρέσει», θεωρείται από κοινού υπεύθυνος επεξεργασίας δεδομένων

19/12/2018

28/01/2019

Με τις σημερινές του προτάσεις ο Γενικός Εισαγγελέας του Δικαστηρίου της Ευρωπαϊκής Ένωσης, Michal Bobek, υποστήριξε ότι ο διαχειριστής ιστοσελίδας με ενσωματωμένο πρόσθετο (plugin) τρίτου, όπως η επιλογή «μου αρέσει» του Facebook, το οποίο προκαλεί τη συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών, θεωρείται από κοινού υπεύθυνος για αυτό το στάδιο της επεξεργασίας δεδομένων.

Όπως επισημαίνει ο Εισαγγελέας, ο διαχειριστής της ιστοσελίδας οφείλει να παρέχει στους χρήστες, όσον αφορά τις εργασίες επεξεργασίας αυτών των δεδομένων, τις απαιτούμενες ελάχιστες πληροφορίες και να λαμβάνει, εφόσον είναι απαραίτητο, τη συγκατάθεσή τους πριν από τη συλλογή και διαβίβαση των δεδομένων.

Διαβάστε επίσης: ΕΔΔΑ: Πότε υπάρχει ευθύνη ιστοσελίδας για τη χρήση υπερσυνδέσμου (link) προς παράνομο περιεχόμενο;

 Παρά το γεγονός ότι οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο, πρόκειται για μία ιδιαιτέρως ενδιαφέρουσα εισήγηση αλλά και νομική ανάλυση της κατάστασης που αφορά πολλές ιστοσελίδες.

Ιστορικό της υπόθεσης

Η Fashion ID είναι εταιρία διαδικτυακών πωλήσεων που εμπορεύεται είδη μόδας. Στην ιστοσελίδα της έχει ενσωματώσει ένα πρόσθετο (plugin): την επιλογή «μου αρέσει» του Facebook. Συνεπεία αυτού, κάθε φορά που κάποιος χρήστης επισκέπτεται την ιστοσελίδα της Fashion ID, διαβιβάζονται στο Facebook πληροφορίες σχετικά με τη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και τη συμβολοσειρά του φυλλομετρητή του (browser string). Η διαβίβαση αυτή εκτελείται αυτόματα κάθε φορά που φορτώνεται η ιστοσελίδα της Fashion ID, ανεξάρτητα από το εάν ο χρήστης έχει κάνει κλικ στην επιλογή «μου αρέσει» και το εάν διατηρεί ή όχι λογαριασμό στο Facebook.

Η Verbraucherzentrale NRW, μια γερμανική ένωση προστασίας των συμφερόντων των καταναλωτών, άσκησε αγωγή παραλείψεως κατά της Fashion ID, υποστηρίζοντας ότι η χρήση της επιλογής «μου αρέσει» του Facebook έχει ως αποτέλεσμα την παραβίαση της νομοθεσίας για την προστασία δεδομένων.

Το δικαστήριο που επιλήφθηκε της υποθέσεως, ήτοι το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο του Düsseldorf, Γερμανία), ζήτησε την ερμηνεία διαφόρων διατάξεων της πρώην οδηγίας για την προστασία των δεδομένων του 1995  (η οποία έχει μεν εφαρμογή στην υπό κρίση υπόθεση, αλλά αντικαταστάθηκε από τον νέο Γενικό Κανονισμό για την Προστασία των Δεδομένων του 2016 , ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018).

Οι προτάσεις του Γενικού Εισαγγελέα του Δικαστηρίου

Με τις προτάσεις του, οι οποίες δημοσιεύονται σήμερα, ο γενικός εισαγγελέας Michal Bobek προτείνει στο Δικαστήριο να κρίνει, πρώτον, ότι η οδηγία δεν αντιτίθεται σε εθνική νομοθετική ρύθμιση η οποία παρέχει σε μη κερδοσκοπικές ενώσεις το δικαίωμα να στρέφονται δικαστικώς κατά των φερομένων παραβατών της νομοθεσίας προστασίας δεδομένων, προκειμένου να προασπίσουν τα συμφέροντα των καταναλωτών.

Στη συνέχεια, ο γενικός εισαγγελέας προτείνει στο Δικαστήριο να αποφανθεί ότι, σύμφωνα με την οδηγία για την προστασία δεδομένων, διαχειριστής ιστοσελίδας (όπως η Fashion ID) ο οποίος έχει ενσωματώσει στην ιστοσελίδα του πρόσθετο τρίτου (όπως η επιλογή «μου αρέσει» του Facebook) από το οποίο προκαλείται η συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών, θα πρέπει να θεωρείται από κοινού υπεύθυνος της επεξεργασίας, μαζί με αυτόν τον τρίτο (εν προκειμένω, τη Facebook Ireland).

Πάντως, η (από κοινού) ευθύνη του εν λόγω υπευθύνου της επεξεργασίας πρέπει να περιορίζεται στις εργασίες εκείνες για τις οποίες αυτός συναποφασίζει κατά τρόπο ουσιαστικό τον τρόπο και τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Τούτο σημαίνει ότι ο υπεύθυνος της επεξεργασίας ευθύνεται για εκείνη την εργασία ή το σύνολο των εργασιών για τις οποίες αποφασίζει ή συγκαθορίζει τους σκοπούς και τον τρόπο για συγκεκριμένη πράξη επεξεργασίας. Αντιθέτως, το πρόσωπο αυτό δεν μπορεί να θεωρείται υπεύθυνο ούτε για προηγούμενα ούτε για επόμενα στάδια της συνολικής αλυσίδας της επεξεργασίας, για τα οποία δεν είναι σε θέση να καθορίζει ούτε τους σκοπούς ούτε τον τρόπο επεξεργασίας. Κατά συνέπεια, επί τη βάσει των πραγματικών περιστατικών της υπό κρίση υποθέσεως, η Fashion ID και η Facebook Ireland φαίνεται ότι συναποφάσιζαν τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων κατά το στάδιο συλλογής και διαβιβάσεως των επίμαχων δεδομένων προσωπικού χαρακτήρα. Υπό την επιφύλαξη της επαληθεύσεως εκ μέρους του αιτούντος δικαστηρίου, τόσο η Facebook Ireland όσο και η Fashion ID προκάλεσαν οικειοθελώς το στάδιο της συλλογής και διαβιβάσεως των δεδομένων που υπόκεινται σε επεξεργασία και, παρά το γεγονός ότι οι σκοποί τους δεν είναι ταυτόσημοι, εντούτοις, διαπιστώνεται ενότητα αυτών των σκοπών: είναι οι σκοποί εμπορίας και διαφημίσεως (η απόφαση της Fashion ID να ενσωματώσει την επιλογή «μου αρέσει» του Facebook στην ιστοσελίδα της οφείλεται, κατά πάσα πιθανότητα, στην επιθυμία της να ενισχύσει την προβολή των προϊόντων της μέσω του εν λόγω κοινωνικού δικτύου).

Ως εκ τούτου, όσον αφορά το στάδιο συλλογής και διαβιβάσεως της επεξεργασίας δεδομένων, η Fashion ID ενεργεί ως υπεύθυνος της επεξεργασίας και η ευθύνη της είναι, κατά το μέτρο αυτό, κοινή με αυτήν της Facebook Ireland.

Όσον αφορά τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στην περίπτωση που ο χρήστης δεν έχει παράσχει τη συγκατάθεση του,  ο γενικός εισαγγελέας υπενθυμίζει ότι, κατά την οδηγία, η επεξεργασία θεωρείται σύννομη εάν πληρούνται τρεις σωρευτικές προϋποθέσεις: πρώτον, η επιδίωξη εννόμου συμφέροντος εκ μέρους του υπευθύνου της επεξεργασίας ή του τρίτου ή των τρίτων στους οποίους ανακοινώνονται τα δεδομένα· δεύτερον, η αναγκαιότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την επίτευξη του επιδιωκόμενου εννόμου συμφέροντος· και, τρίτον, η προϋπόθεση ότι δεν προέχουν τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου το οποίο αφορά η προστασία των δεδομένων.

Συναφώς, ο γενικός εισαγγελέας προτείνει στο Δικαστήριο να αποφανθεί ότι τα έννομα συμφέροντα αμφοτέρων των επίμαχων υπευθύνων της επεξεργασίας πρέπει να ληφθούν υπόψη και να σταθμιστούν έναντι των δικαιωμάτων των χρηστών της ιστοσελίδας.

Ο γενικός εισαγγελέας προτείνει επίσης στο Δικαστήριο να αποφασίσει ότι η συγκατάθεση των χρηστών της ιστοσελίδας, εφόσον είναι αναγκαία, πρέπει να παρέχεται στο διαχειριστή της ιστοσελίδας (ήτοι, στη FashionID), ο οποίος προέβη στην ενσωμάτωση περιεχομένου τρίτου.

Ομοίως, ο διαχειριστής της ιστοσελίδας (ήτοι, η FashionID) υπέχει επίσης την υποχρέωση παροχής των απαιτούμενων ελάχιστων πληροφοριών στους χρήστες της ιστοσελίδας.

ΥΠΟΜΝΗΣΗ: Οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο. Έργο του γενικού εισαγγελέα είναι να προτείνει στο Δικαστήριο, με πλήρη ανεξαρτησία, νομική λύση για την υπόθεση που του έχει ανατεθεί. Η υπόθεση τελεί υπό διάσκεψη στο Δικαστήριο. Η απόφαση θα εκδοθεί αργότερα.

Το πλήρες κείμενο των προτάσεων δημοσιεύεται στην ιστοσελίδα CURIA

Σύνδεση στο Lawspot

Enter your e-mail address or username.
Enter the password that accompanies your e-mail.
Ξεχάσατε τον κωδικό σας;
logo

Δεν έχετε λογαριασμό;

Μπορείτε να εγγραφείτε στο Lawspot ανεξαρτήτως ιδιότητας, ως δικηγόρος, συμβολαιογράφος ή και απλός χρήστης, συμπληρώνοντας τη σχετική φόρμα εδώ.

Αν είστε δικηγόρος, με την εγγραφή σας στο Lawspot.gr κερδίζετε σημαντικά οφέλη. Δείτε αναλυτικές πληροφορίες εδώ.

send