Когато оператор на уебсайт интегрира приставка на трето лице като Фейсбук бутона „харесва ми“, той предизвиква автоматичното събиране и предаване на лични данни на потребители на сайта към лицето, предоставящо приставката. Лична информация като IP адрес и потребителско поведение в даден сайт се изпраща от браузъра, независимо дали потребителят е натиснал бутона или дали има профил в сайта на третото лице. Тази практика предизвика съдебен спор в Германия след като Verbraucherzentrale NRW, обществено сдружение за защита на потребителските интереси, заведе съдебно производство срещу онлайн търговеца Fashion ID, който използва такава приставка и изпраща лични данни на своите потребители към Фейсбук Ирландия без да ги информира или да поиска съгласието им. След съдебно решение на първа инстанция в Дюселдорф, осъждащо Fashion ID, по-висшестоящият регионален съд Дюселдорф отнася делото до Съда на Европейския съюз с въпроси върху тълкуването на няколко разпоредби на предишната Директива за защита на данните от 1995 година.
Въпреки че Директивата беше заменена от Общия регламент за защита на данните (ОРЗД) миналата година, новото съдебно решение на Съда на ЕС може да доведе до по-добро разбиране на действащото европейско право за защита на данните.
Допустимост на иска
Съдът реши, че сдружения с нестопанска цел за защита на интересите на потребителите имат правомощие да предприемат правни действия срещу евентуален нарушител на сигурността на лични данни, както по смисъла на предишната Директива, така и според ОРЗД.
Обработване на данни
Съдът отреди, че Fashion ID се счита за съвместен администратор на данни по смисъла на ОРЗД, съвместно с Фейсбук Ирландия по отношение на събирането и предаването на лични данни, протичащо на неговия сайт. Онлайн търговецът не е отговорен обаче за обработването на данни от Фейсбук на по-късен етап, след като информацията вече е предадена.
Следователно операторите на уебсайтове са задължени да информират изчерпателно своите потребители за процесите, свързани с личните им данни. Освен това е необходимо законно основание за обработването на данни. Съдът предоставя интерпретация на две от условията на Чл.6 ОРЗД.
Операторът на уебсайт трябва да получи съгласието на потребителя по отношение на процесите, в които той действа като съвместен администратор, а именно събирането и предаването на лични данни чрез приставките на страницата му.
Що се отнася до наличието на легитимен интерес, то може да е основание само ако обработването на данни е необходимо за легитимните интереси и на двамата съвместни администратори.
Приставките на социалните мрежи носят множество ползи за операторите на уебсайтове, като повече публичност, присъствие в социалните мрежи, наблюдения върху популярността на съдържанието. За да ги използва и да избегне евентуална отговорност, операторът на уебсайта трябва да информира потребителите по всички точки в списъка на чл. 13 ОРЗД, като начините, целите и основанието на обработването на данни, както и крайните получатели на информацията. В повечето случаи това са Фейсбук и Гугъл като най-популярните доставчици на подобни приставки.
Възможно решение за противоречия със законодателството за защита на личните данни е интегрирането на приставките по начин, който предотвратява автоматичното предаване на данни. В случая с Фейсбук технологичният гигант предоставя бутона „харесва ми” под формата на програмен код. Вместо да се копира без промени, бутонът може да бъде поставен като линк към изскачащ прозорец – така наречения „Two-click method“ („метод на двата клика“). По този начин приставката и обработването на данни се активират не при отваряне на уебсайта, а едва след като потребителят натисне бутона и даде съгласието си за обработване на данните му. Този процес трябва да бъде описан в политиката за поверителност на уебсайта.
Източници:
Дело C-40/17, СЕС, Втори състав, 29 Юли 2019, достъпно тук: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C928F3FB3CCCF093027557F27F1CCD39?text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8508664