Według orzeczenia Trybunału Sprawiedliwości z 29 lipca 2019 r. w sprawie C-40/17 Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV, podmioty które zamieszczają wtyczkę „Lubię to!” na swoich witrynach internetowych, są wspólnie z Facebookiem administratorami danych osobowych osób, które korzystają z witryn takich podmiotów. Po ogłoszeniu wyroku swoje stanowisko, w zgodzie z wyrokiem, przedstawił Prezes Urzędu Ochrony Danych Osobowych. Z tego względu można być pewnym, że administratorzy danych osobowych w Polsce, muszą dostosować się do wskazań Trybunału Sprawiedliwości, na co również wskazuje sam Prezes Urzędu Ochrony Danych Osobowych.
Co to oznacza w praktyce?
Jeżeli udostępniamy możliwość kliknięcia na swoich stronach internetowych przycisku „Lubię to!” lub innej oceny możliwej do wyrażenia za pośrednictwem Facebooka, to w zakresie danych dotyczących IP oraz identyfikatora przeglądarki użytkownika, stajemy się współadministratorem tych danych wraz z serwisem Facebook.
Współadministracja to w zgodzie z RODO sytuacja kiedy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych. Jeżeli dochodzi do współadminitraowania danymi osobowymi, na administratorach spoczywają określone obowiązki. Poza koniecznością spełniania praw osób których dane dotyczą, czy też przetwarzanie określonych powyżej danych w zgodzie z przepisami RODO i polskich ustaw, współadministratorzy muszą spełnić wobec osób których dane dotyczą tzw. obowiązek informacyjny.
Obowiązek informacyjny musi być przekazany w jasny sposób, w łatwo dostępnej i zrozumiałej formie. Najczęściej w przypadku stron internetowych obowiązek informacyjny spełniany jest w politykach prywatności. W praktyce oznacza, to że każdy z administratorów, który daje możliwość skorzystania z wtyczki „Lubię to!”, musi fakt ten odnotować w swojej polityce prywatności i uaktualnić ją o zapisy związane z tym sposobem przetwarzania danych osobowych. Minimum jakie należy uwzględnić to informacja o tym, jaka jest podstawa prawna do przetwarzania tego rodzaju danych osobowych, jaki jest cel przetwarzania tych konkretnych kategorii danych osobowych (IP oraz identyfikator przeglądarki użytkownika) oraz oznaczenie współadministratora, w tym przypadku spółki odpowiedzialnej za serwis Facebook.
Warto również pamiętać, że sam fakt współadministracji musi być wykazany w wewnętrznej dokumentacji administratora danych osobowych, bowiem w myśl zasady rozliczalności, musi być on w stanie wykazać w jaki sposób dane osobowe są przetwarzane. Ponadto współadministratorzy powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Sp.j.
Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, skontaktuj się ze mną: https://ensiskancelaria.com/jakub-szajdzinski/
Jeżeli chcesz pozostawać na bieżąco z nowymi przepisami zapraszamy do dołączenia do naszej grupy na Facebook
Chcesz dowiedzieć się więcej? Zapisz się do naszego newslettera!