DPO On Demand

Sodišče EU: Pravobranilec trdi, da podjetje odgovarja tudi za zbirke, ki se ustvarjajo na njegovem Facebook profilu

Sklepni predlogi Generalnega pravobranilca Sodišča EU: ni vrzeli v odgovornosti skrbnikov strani oboževalcev na Facebooku v skladu z nemškim zakonom o varstvu osebnih podatkov – Zadeva C‑210/16.

Gre za zadevo Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein proti Wirtschaftsakademie Schleswig-Holstein GmbH, ob udeležbi Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht.

Ali lahko podjetje upravlja s Facebook stranjo (stran oboževalcev), ne da bi zagotovilo, da Facebook ravna skladno z zakonodajo EU o varstvu osebnih podatkov? To je temeljno vprašanje v postopku, ki se je začel že leta 2011 in v katerem je nemško zvezno upravno sodišče (Bundesverwaltungsgericht) vložilo predlog za sprejetje predhodne odločbe na Sodišču Evropske unije. Po obravnavi 27. junija 2017 je generalni pravobranilec, Yves Bot, 24. oktobra, podal svoje mnenje. Pričakuje se, da bo veliki senat podal predhodno odločbo v nekaj mesecih.

Predlog je bil vložen v okviru spora med Wirtschaftsakademie Schleswig‑Holstein GmbH, družbo zasebnega prava, specializirano za področje izobraževanja, in Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, deželnim organom za varstvo osebnih podatkov dežele Schleswig-Holstein (v nadaljevanju: ULD), v zvezi z zakonitostjo odredbe, ki jo je ULD izdal proti Wirtschaftsakademie za izklop „strani oboževalcev“ (Fanpage), gostujoče na spletnem mestu družbe Facebook Ireland Ltd.

Zvezno upravno sodišče je 25. februarja 2016 tekom sodnega spora predložilo šest predhodnih vprašanj Sodišču EU. V sodnem postopku se je med drugim namreč pojavilo vprašanje odgovornosti v okviru zakonodaje o varstvu osebnih podatkov v primerih, ko podjetje za svoje namene uporablja ponudnika storitev, kot je družabno omrežje. Poleg tega rešitev sodnega spora zahteva tudi ugotovitev pristojnosti v čezmejnih primerih, saj bi bili lahko pristojni različni evropski organi za varstvo osebnih podatkov.

V postopku pred Sodiščem EU je generalni pravobranilec podal predlog za predhodno odločbo, ki temelji na ustaljeni sodni praksi Sodišča EU. Sodišče sicer pogosto upošteva sklepne predloge generalnih pravobranilcev, vendar pa ga ne zavezujejo.

Generalni pravobranilec je v svojem sklepnem predlogu med drugim v 42. odstavku ugotovil, da je Za Wirtschaftsakademie treba namreč šteti, da je skupno odgovorna za fazo obdelave, ki zajema zbiranje osebnih podatkov, ki ga izvaja Facebook.

Četudi administator, skrbnik strani, nima dostopa do osebnih podatkov, to »ne izključuje [možnosti], da ga je mogoče šteti za upravljavca, ker je prostovoljno sprejel pogodbene klavzule, s čimer je prevzel polno odgovornost zanje. Po zgledu delovne skupine iz člena 29 je treba priznati tudi, da morebitno neravnovesje v razmerju sil med ponudnikom in prejemnikom storitve ne preprečuje, da je prejemnik lahko opredeljen kot „upravljavec“.

Generalni pravobranilec je tudi menil, da skrbnika strani oboževalcev dejstvo, da uporablja platformo, ki jo ponuja Facebook, in z njo povezane storitve, ne razrešuje obveznosti, ki jih ima na področju varstva osebnih podatkov. V zvezi s tem ugotavljam, da če Wirtschaftsakademie svojega spletnega mesta ne bi odprla na Facebooku in bi za pripravo statističnih podatkov o uporabnikih uporabila orodje, podobno „Facebook Insights“, bi se štela za upravljavca, odgovornega za obdelavo, ki je potrebna za pripravo takih podatkov.

Po mojem mnenju tak gospodarski subjekt ne bi smel biti oproščen upoštevanja pravil o varstvu osebnih podatkov, ki izhajajo iz Direktive, samo zato, ker za oglaševanje svojih dejavnosti uporablja platformo družabnega omrežja Facebook. Kot pravilno navaja sámo predložitveno sodišče, ponudnik storitev ne sme imeti možnosti, da se z izbiro določenega ponudnika infrastrukture izogne obveznostim, ki jih ima na podlagi prava, ki se uporablja za varstvo podatkov, do uporabnikov svoje ponudbe informacij in ki bi jih moral izpolnjevati, če bi bil samo ponudnik vsebine. Nasprotna razlaga bi povzročila tveganje izogibanja pravilom o varstvu osebnih podatkov.

Po mnenju generalnega pravobranilca ima tako skrbnik, administator strani oboževalcev odločilen vpliv na obdelavo osebnih podatkov, pa tudi moč, da obdelavo konča z zaprtjem Facebook strani. Generalni pravobranilec ni našel nobene razlike med skrbnikom strani oboževalcev in upraviteljem spletnega mesta, ki vsebuje storitev spletnega sledenja, in s tem posledično podpira nastavitev piškotkov in obdelavo osebnih podatkov s strani ponudnika spletnega sledenja.

Poleg tega je generalni pravobranilec potrdil, da je v tem primeru pristojen ULD in je pravilno uporabil nemški zakon o varstvu osebnih podatkov v obravnavanem primeru. » Nadzorni organ države članice, v kateri je poslovna enota upravljavca, sme torej svoja pooblastila za posredovanje proti temu upravljavcu (Facebook) izvajati samostojno in ne da bi moral nadzorni organ države članice, v kateri je navedeni upravljavec, predhodno zaprositi za izvajanje njegovih pooblastil.»

Objavil/a

Info hiša