Nieznajomość prawa szkodzi. To powszechnie wiadomo. Prawo ochrony danych osobowych  uczy też, że niewinna instalacja  wtyczki,  na stronie  może szkodzić podobnie. A nawet bardziej, bo  możesz zostać administratorem danych osobowych  nawet o tym nie wiedząc. Do czasu kiedy do Twych drzwi zapuka inspektor ochrony danych osobowych, oczywiście.

Tak przynajmniej wynika z najnowszego wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie  C-40/17 z 29 lipca 2019 r. Wyrok zapadł w oparciu o  przepisy starej dyrektywy o ochronie danych osobowych, ale nie daj się zwieść pozorom:  co orzekł  Trybunał ma pełne zastosowanie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE czyli sławetnego RODO.  Niestety  instalacja  jednej, feralnej wtyczki  może mieć dla Ciebie fatalne skutki.  

CO TO SĄ DANE OSOBOWE?

Zacznijmy od tego czym są dane osobowe. W  największym skrócie wszelkie informacje dotyczące człowieka dzięki którym da się go zidentyfikować czyli ustalić  kim konkretna osoba jest. Chodzi przy tym o informacje dzięki którym da się taką osobę zidentyfikować  bezpośrednio (np. imię, nazwisko, nr PESEL)  lub pośrednio ( np.adres IP  komputera).

CO TO JEST ADMINISTRATOR I PRZETWARZANIE DANYCH OSOBOWYCH?

Żeby pojąć grozę sytuacji  musisz wiedzieć  kim według RODO jest administrator  i czym jest przetwarzanie danych osobowych. Administrator, to ten, który określa cele i sposoby przetwarzania danych. Natomiast przetwarzanie to każda operacja na danych osobowych. W zasadzie możesz założyć, każdy kontakt z cudzymi danymi osobowymi to ich przetwarzanie, chyba, że z przepisów RODO wynika, że coś przetwarzaniem nie jest.

KARY ZA PRZETWARZANIE DANYCH OSOBOWYCH NIEZGODNIE Z RODO

No to teraz jeszcze musisz wiedzieć, co ci grozi za naruszenie RODO . Otóż rozporządzenie  przewiduje, w zależności od rodzaju naruszenia, kary pieniężne w wysokości do 10 000 000 euro w sprawach mniejszej wagi lub kary w wysokości do 20 000 000 euro przy poważniejszych naruszeniach. W przypadku przedsiębiorstwa, gdzie wysokość kary również zależy od wagi naruszenia, kary mogą wynieść  2% lub 4% całkowitego, rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, chyba, że kara ustalona kwotowo jest wyższa – wtedy ona znajduje zastosowanie. Innymi słowy złamie przepisów RODO  może niejednego puścić z torbami.

A „wpaść” bardzo łatwo. Jak się zaraz  przekonasz, możesz nawet zostać administratorem danych osobowych nie do końca świadomie.

 

Jedna, niewinna wtyczka "lubię to!" Facebook ai juz mamy naruszenie ochrony danych osobowych

ID Fashion zainstalowało sobie na stronie niewinną wtyczkę do facebookowych lajków.

 

WTYCZKA ZBIERA DANE OSOBOWE NA TWOJEJ STRONIE ?

Cała sprawa zaczęła się niewinnie.  Niemiecka firma ID Fashion  sprzedawała w sieci  ubrania i zainstalowała sobie na stronie  facebookowego  lajka. Czyli ujmując sprawę fachowo, zainstalował sobie na stronie internetową wtyczkę „Lubię to” Facebooka.  Chodziło o to, żeby kupujący mogli polubić facebookowy fan page ID Fashion podczas zakupów na ich „zwykłej” stronie internetowej. Wiele firm robi podobnie i nam w tym niczego niezwykłego.

Ale ID Fashion miała pecha, ponieważ  jedna z niemieckich  organizacji broniących praw  konsumentów  uznała, że firma narusza  prawo do ochrony danych osobowych klientów robiących zakupy w witrynie ID Fashion. Sprawa wylądował w sądzie, a ID Fashion została oskarżona o przekazywanie Facebookowi danych osobowych klientów bez ich zgody a do tego  bez informowania ich po co  i w jakim zakresie  ich dane osobowe będą przetwarzane.

ID Fashion  kompletnie się nie zgodziła z  zarzutami, że instalując sobie w witrynie wtyczkę Facebooka przetwarza czyjeś dane osobowe. Tłumaczyła, że nie ma absolutnie żadnego wpływu na to,  czy Facebook zbiera jakieś dane osobowe klientów odwiedzających jej stronę ani na to co z nimi później robi.

Niemiecki sąd   miał wątpliwości , jak w tej sytuacji interpretować  unijne prawo dotyczące ochrony danych osobowych  i tak sprawa zawisła przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE) pod sygnaturą C-40/17

 

Dla Facebooka ochorona danych nie istnieje

Nie oszukuj się: Facebook ma gdzieś ochronę danych osobowych.

 

INSTALUJESZ WTYCZKĘ I ZOSTAJESZ ADMINISTRATOREM  DANYCH OSOBOWYCH

Wyrok jest dość zaskakujący. Po pierwsze zdaniem TSUE możesz zostać administratorem danych osobowych  nic o tym nie wiedząc. Wystarczy, że zainstalujesz sobie na  swojej prywatnej lub firmowej stronie internetowej wtyczkę, która zbiera dane osobowe odwiedzających.  Tak, tak zdaniem  TSUE możesz  administratorem danych osobowych nawet jeśli nie masz  żadnego wpływu na to co  taka wtyczka potem robi z zebranymi danymi. Czyli mówiąc fachowo nie masz wpływu na to jak i dlaczego te zabrane dane osobowe są potem przetwarzane.   

Dlaczego? Ano dlatego, że i stara dyrektywa o ochronie danych osobowych i  RODO,  nie wyklucza wspólnej odpowiedzialność   dwóch i więcej podmiotów za przetwarzanie danych  osobowych.  I w ten oto sposób,zdaniem  TSUE, możesz zostać współadministratorem danych  nawet wtedy, kiedy tylko wpływasz dla własnych interesów  na przetwarzanie danych osobowych przez kogoś innego.

Czyli instalując sobie na stronie wtyczkę „lajków” wpływasz na przetwarzanie danych osobowych przez Facebooka i z tego powodu zostajesz administratora danych osobowych, bo z automatu uczestniczysz  w określeniu celów i sposobów przetwarzania  tych danych.

Żeby Cię jeszcze pognębić dodam, że nie ma żadnego znaczenia czy w ogóle masz dostęp do danych zbieranych przez wtyczkę Facebooka czy nie.    Liczy się to czy masz świadomość, że wtyczka  umieszczona na Twojej stronie zbiera dane osobowe.

Naturalnie jeśli sobie instalujesz  przycisk do lajków Facebooka na  stronie, z góry  można założyć, że taką świadomość masz.  Wszak robisz to po to, żeby zwiększyć swoją widoczność  na Facebooku.  A to  Ci się zawsze przekłada na co najmniej jedną  korzyść: reklamę. Reklamujesz siebie albo  swoje produkty.  Czyli realizujesz własne interesy wpływając na przetwarzanie danych osobowych  osób odwiedzających  Twoją stronę przez Facebooka, który te dane gromadzi.

Niezbyt kusząca perspektywa  jeśli weźmiesz pod uwagę  kary za niezgodne z RODO przetwarzanie danych osobowych, ale mam  dla Ciebie dobrą wiadomość : Twoja odpowiedzialność   jest ograniczona.

 

odpowiedzialność współadministratora danych osobowych jest ograniczona

ODPOWIEDZIALNOŚĆ „WTYCZKOWEGO” ADMINA  JEST OGRANICZONA

Zdaniem TSUE, ograniczona do  tych operacjach  na zebranych danych osobowych, których cel i sposoby  faktycznie określasz. W przypadku instalacji na stronie wtyczki do lajków Facbooka,  Twoja odpowiedzialność  ogranicza się do: gromadzenia danych osobowych klientów odwiedzających stronę oraz ich ujawniania przez transmisję tych danych  na Facebook. Czyli co prawda działacie wspólnie z Facebookiem ale  jednak Twoja odpowiedzialność ma granice.

  Podobnie z  obowiązkiem informacyjnym  i uzyskaniem zgody. Tutaj też są  pewne granice.

informacja o zakresie przetwarzania danych osobowych jest neizbędnajest niezbe

 

 

WSPÓŁADMINISTRATOR MUSI   INFORMOWAĆ I UZYSKAĆ ZGODĘ

 

 Po pierwsze, co do zasady dane osobowe każdego  z nas mogą  być przetwarzane tylko  jeśli wyrazimy na to zgodę. Oczywiście zgoda musi  być wyraźna, a nie dorozumiana i zawierać wszystkie elementy wskazane w art. 10 dyrektywy 95/96  (a teraz także w art. 7-23 RODO). Naturalnie zgodę musisz uzyskać  od klienta  odwiedzającego Twoją stronę  tylko w zakresie do jakiego jest ograniczona  Twoja odpowiedzialność za przetwarzanie danych osobowych. Czyli w przypadku wtyczki „Lubię to” Facebooka,  musisz uzyskać od odwiedzających stronę zgodę na  zbieranie ich  danych osobowych oraz  ich transmisję do Facebooka.   Z tym, że musisz się wywiązać z pozostałych obowiązków administratora danych  jakie ciążyły na administratorze w dyrektywie i teraz zgodnie z RODO.  Podstawowe to obowiązek informacyjny co do celu i sposobu przetwarzania danych, musisz też poinformować o  tym kto jest administratorem, o prawie  żądania usunięcia danych, prawie żądania sprostowania danych  oraz o prawie   cofnięcia zgody na przetwarzanie danych  itd. Trochę tego jest.  Poza tym pamiętaj, że ciążą na Tobie wszystkie obowiązki administratora jakie wskazano w Rozdziale IV  RODO zatytułowanym „Administrator  i podmiot przetwarzający”.

Wnioski z wyroku C-40/17? Uważaj co  instalujesz na swojej stronie, bo  bardzo łatwo zostać administratorem danych  osobowych nawet o tym nie wiedząc, za to ze wszystkimi tego konsekwencjami zgodnie z RODO.

Pozdrawiam i do następnego razu, Prawstoria


Prawstoria

Prawstoria

Lepiej próbować i się mylić, niż siedzieć na czterech literach i narzekać. Jestem  typem, któremu zawsze mało. Stawiam na jakość , krytyczne myślenie i poczucie humoru. Nie chadzam na skróty, chyba, że nie mam wyboru. Jako kompletny  analfabeta techniczny zdecydowałam, że sama poprowadzę bloga. Strona techniczna tak  mnie wciągnęła, że  zaczęłam się na poważnie interesować prawem IT  i w ogóle nowych technologii.  W realnym świecie pracuję  w bardzo innowacyjnej branży, trzymam kilka srok za ogon i  nie zajmuję się wyłącznie prawem, bo umarłabym z nudów.

0 Komentarzy

Dodaj komentarz

Twój adres email nie zostanie opublikowany.