Administratorii de pagini de facebook – operatori de date cu caracter personal. O spune Curtea de Justiție a Uniunii Europene

0

Articol disponibil în: Română

Administratorul unei pagini pentru fani pe Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele vizitatorilor paginii sale, spune într-un comunicat de presa Curtea de Justiție a Uniunii Europene. Autoritatea de protecție a datelor din statul membru în care își are sediul acest administrator poate, în temeiul Directivei 95/461, acționa atât împotriva acestuia cât și împotriva filialei Facebook stabilite în același stat.

Ce trebuie sa înțelegi dacă administrezi o pagină de Facebook?

Dacă administrezi una sau mai multe pagini de Facebook și, în afara statisticilor generale, din secțiunea ”Insights” folosești coduri de urmărire precum Facebook Pixel, trebuie să reții că nu poți plasa responsabilitatea doar pe umerii rețelei sociale, notează e-juridic.manager.ro.

Potrivit interpretării Curții ești asimilat cu un ”operator” și ai obligația să informezi vizitatorii că aduni și prelucrezi date personale, mai cu seamă dacă folosești segmentări avansate ale audienței.

În urma unei dispute mai vechi deschisă într-un tribunal german de o companie de servicii din domeniul educației pentru că reprezentanții acesteia au fost nemulțumiți de faptul ca au fost obligați să își închidă pagina de Facebook de către autoritatea regionala de control în domeniul protecției datelor, s-a ajuns la sesizarea CJUE.

Este vorba despre Societatea germană Wirtschaftsakademie Schleswig-Holstein, specializată în domeniul educaţiei. Ea oferă servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook la adresa www.facebook.com/wirtschaftsakademie.

Administratorii paginilor pentru fani, precum Wirtschaftsakademie, pot obţine date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcţii intitulate Facebook Insight, puse în mod gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate.

Aceste date sunt colectate cu ajutorul unor fişiere-martori („cookies”) care conţin fiecare câte un cod de utilizator unic, active timp de doi ani şi salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani. Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor pentru fani.

Prin decizia din 3 noiembrie 2011, Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein (autoritate regională independentă de protecţie a datelor din Schleswig-Holstein, Germania), în calitatea sa de autoritate de supraveghere, în sensul Directivei 95/46 privind protecția datelor responsabilă cu supravegherea aplicării pe teritoriul landului Schleswig-Holstein a dispoziţiilor adoptate de Germania în temeiul acestei directive, a somat Wirtschaftsakademie să dezactiveze pagina sa pentru fani. Astfel, potrivit Unabhängiges Landeszentrum, nici Wirtschaftsakademie nici Facebook nu au informat vizitatorii paginii pentru fani că Facebook colecta, cu ajutorul unor cookies, informaţii cu caracter personal care îi vizau și că acestea prelucrau apoi respectivele informaţii.

Wirtschaftsakademie a introdus o acțiune împotriva acestei decizii la instanțele administrative germane susţinând că prelucrarea datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea nici nu a însărcinat Facebook să procedeze la prelucrarea unor date pe care le-ar controla sau pe care le-ar putea influența.

Wirtschaftsakademie deducea din aceasta că Unabhängiges Landeszentrum ar fi trebuit să se îndrepte direct împotriva Facebook iar nu împotriva sa.

În acest context Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania) solicită Curții de Justiție să interpreteze Directiva 95/46 privind protecția datelor.

În hotărârea sa (click aici), Curtea de Justiție observă mai întâi că aspectul că societatea americană Facebook și, în ceea ce priveşte Uniunea, filiala sa irlandeză Facebook Ireland trebuie să fie considerate ca fiind „operatori” ai datelor cu caracter personal ale utilizatorilor Facebook precum şi ale persoanelor care au vizitat paginile pentru fani găzduite pe Facebook nu este pus la îndoială în prezenta cauză. Într-adevăr, aceste societăți stabilesc, cu titlu principal, scopurile şi mijloacele de prelucrare a acestor date.

În continuare, Curtea constată că un administrator precum Wirtschaftsakademie trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce privește prelucrarea datelor în discuție.

Într-adevăr, un asemenea administrator participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii.

Potrivit Curții, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal.

Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani, în conformitate cu cerinţele Directivei 95/46 privind protecția datelor.

În plus, Curtea constată că Unabhängiges Landeszentrum este competent, pentru a asigura respectarea pe teritoriul german a normelor în materie de protecție a datelor cu caracter personal, să pună în aplicare, nu numai în privinţa Wirtschaftsakademie ci și în privinţa Facebook Germany, ansamblul competențelor de care dispune în temeiul dispozițiilor naţionale de transpunere a Directivei 95/46. Într-adevăr, atunci când o întreprindere stabilită în afara Uniunii (precum societatea americană Facebook) dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competenţele pe care i le conferă Directiva 95/463 în privinţa unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deşi, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu (în speță Facebook Germany) răspunde doar de vânzarea de spaţii publicitare şi de alte activităţi de marketing pe teritoriul statului membru menţionat şi, pe de altă parte, răspunderea exclusivă a colectării şi a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii, unui sediu situat într-un alt stat membru (în speță Facebook Ireland).

Curtea mai precizează că, atunci când autoritatea de supraveghere a unui stat membru (în speță Unabhängiges Landeszentrum în Germania) intenţionează să exercite în privinţa unui organism stabilit pe teritoriul acestui stat membru (în speță Wirtschaftsakademie) competenţele de intervenţie prevăzute de Directiva 95/464 ca urmare a unor atingeri aduse normelor referitoare la protecţia datelor cu caracter personal, săvârşite de un terţ operator al acestor date care are sediul în alt stat membru (în speță Facebook Ireland), această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru (Irlanda), legalitatea unei astfel de prelucrări de date şi îşi poate exercita competenţele de intervenţie în privinţa organismului stabilit pe teritoriul său fără a solicita în prealabil autorităţii de supraveghere a celuilalt stat membru să intervină.


Sursa: ZPN

Spune ce crezi

Adresa de email nu va fi publicata

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy