CJUE. C-40/17, Fashion ID/Verbraucherzentrale. Operatorul paginii de internet trebuie să obțină consimțământul utilizatorilor înainte ca datele să fie colectate și transferate. Concluziile avocatului general. UPDATE: Decizia. Prof. univ. dr. Camelia Toader, membru în completul de judecată
29 iulie 2019 | JURIDICE.roAdministratorul unui site internet echipat cu butonul „îmi place” al Facebook poate fi operator, împreună cu Facebook, în privința colectării și a transmiterii către Facebook a datelor cu caracter personal ale vizitatorilor site-ului său. În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a acestor date de către Facebook singur, potrivit unui comunicat.
Prof. univ. dr. Camelia Toader, judecătorul român la Curtea de Justiție a Uniunii Europene, a fost membru al completului de judecată.
Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.
Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.
Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor[1] (care rămâne aplicabilă acestei cauze și care a fost înlocuită de regulamentul general din 2016 privind protecția datelor[2] aplicabil de la 25 mai 2018).
În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.
Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.
În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele.[3]
Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit, pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.
Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de (co)operator în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării.
Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.
Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este (co)operator, și anume colectarea și transmiterea datelor.
În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de (co)operator în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.
[1] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).
[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (JO 2016, L 119, p. 1).
[3] Amintim că, în Hotărârea 5 iunie 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16; a se vedea și CP 81/18), Curtea a statuat că administratorul unei pagini pentru fani pe Facebook are calitatea de operator împreună cu Facebook în privința prelucrării datelor vizitatorilor paginii sale.
***
19 decembrie 2018: Fashion ID este un comerciant online de articole de modă. Acesta a integrat un plugin pe pagina sa de internet: butonul Facebook „Îmi place”. În consecință, atunci când un utilizator ajunge pe pagina de internet a Fashion ID, informații referitoare la adresa sa IP a utilizatorului și la şirul de caractere al navigatorului acestuia sunt transferate către Facebook. Acest transfer are loc automat atunci când este accesată pagina de internet a Fashion ID, indiferent dacă utilizatorul a făcut click pe butonul „Îmi place” sau dacă are sau nu un cont Facebook.
Verbraucherzentrale NRW, o asociație germană de protecţie a consumatorilor, a introdus o acțiune în încetare împotriva Fashion ID pentru motivul că utilizarea butonului Facebook „Îmi place” determină o încălcare a legislației privind protecția datelor.
Fiind sesizată cu această cauză, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) urmărește interpretarea mai multor dispoziții din fosta directivă privind protecția datelor din 19951 (care rămâne aplicabilă în această cauză, dar care a fost înlocuită de noul Regulament general privind protecția datelor din 20162 începând din 25 mai 2018).
În concluziile sale citite astăzi, avocatul general Michal Bobek propune Curții de Justiție să declare, mai întâi, că directiva nu se opune unei reglementări naționale care conferă asociațiilor fără scop lucrativ calitate procesuală activă pentru introducerea unei acţiuni în instanţă împotriva presupusului autor al unei încălcări legislației privind protecția datelor, pentru a proteja interesele consumatorilor.
Avocatul general propune apoi să se declare că, în temeiul directivei privind protecția datelor, operatorul unei pagini de internet (precum Fashion ID) care a integrat pe pagina sa de internet un plugin al unui terț (precum butonul Facebook „Îmi place”), care determină colectarea și transmiterea de date cu caracter personal ale utilizatorului, este considerat a fi un operator asociat, alături de un astfel de terț (în acest caz, Facebook Ireland).
Cu toate acestea, răspunderea (în solidar) a operatorului este limitată la acele operațiuni pentru care participă efectiv la decizia privind mijloacele și scopurile prelucrării datelor cu caracter personal.
Acest lucru înseamnă că un operator (asociat) este responsabil de acea operațiune sau de acel set de operațiuni ale căror scopuri și mijloace le partajează sau le stabilește în comun cu privire la o anumită operațiune de prelucrare a datelor. În schimb, această persoană nu poate fi considerată răspunzătoare nici pentru stadiile anterioare, nici pentru cele ulterioare ale lanțului integral de prelucrare, pentru care aceasta nu era în măsură să stabilească nici scopurile, nici mijloacele
Cu privire la situația de fapt în speță, rezultă, așadar, că Fashion ID și Facebook Ireland decid în comun asupra mijloacelor și a scopurilor prelucrării datelor în etapa de colectare și de transmitere a datelor cu caracter personal, aflată în discuție. Sub rezerva verificării de către instanța de trimitere, atât Facebook Ireland, cât și Fashion ID par să fi cauzat în mod voluntar etapa de colectare și de transmitere a prelucrării datelor și chiar dacă nu sunt identice, există o unitate a obiectivelor: există un scop comercial și publicitar (decizia Fashion ID de a integra butonul Facebook „Îmi place” pe pagina sa de internet pare să fie inspirată de dorința de a spori vizibilitatea produselor pârâtei prin intermediul rețelei sociale).
În consecință, în ceea ce privește etapa de colectare și de transmitere a datelor, Fashion ID acționează în calitate de operator şi răspunde, tot în acest cadru, în solidar cu Facebook Ireland.
În ceea ce privește legitimitatea prelucrării datelor cu caracter personal în lipsa consimțământului utilizatorului paginii de internet3, avocatul general amintește că o astfel de prelucrare este licită dacă sunt îndeplinite trei condiții cumulative: în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții terți cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca acest interes să nu prejudicieze drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor.
În această privință, avocatul general propune Curții să declare că interesele legitime ale ambilor operatori asociați în discuţie (Fashion ID și Facebook Ireland) trebuie să fie luate în considerare și puse în balanță cu drepturile utilizatorilor paginii de internet.
Avocatul general propune de asemenea să se declare că consimțământul utilizatorului paginii de internet, atunci când acesta este necesar, trebuie să fie acordat operatorului paginii de internet (Fashion ID) care a integrat conținutul unui terț. De asemenea, obligația de a furniza utilizatorului paginii de internet informațiile minime necesare se aplică operatorului paginii de internet (Fashion ID).
Judecătorii Curții urmează să delibereze în această cauză. Hotărârea va fi pronunțată la o dată ulterioară.
[1] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).
[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).
[3] Avocatul general observă totuși că, în cazul în care sunt plasate cookies pe dispozitivele utilizatorilor, consimțământul acestora este necesar în orice caz în temeiul Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63).
:: Concluziile avocatului general
