Jak z vás Facebook udělá správce osobních údajů | Marwick.cz
Marwick.cz

Jak z vás Facebook udělá správce osobních údajů

Právo 26.2.2019 Ondřej Vykoukal
Jak z vás Facebook udělá správce osobních údajů
Podle rozhodnutí Soudního dvora Evropské unie (SDEU) je administrátor fanouškovských stránek provozovaných na Facebooku v postavení správce osobních údajů. To také znamená, že je odpovědný za zpracování osobních údajů návštěvníků stránek, ačkoli toto zpracování reálně provádí pouze Facebook. SDEU nyní projednává obdobný případ týkající se největší sociální sítě a využívání jejich služeb. V centru pozornosti soudců je tentokrát samotné tlačítko „like“.

Německý e-shop, jako ostatně milióny dalších digitálních obchodníků, začlenil do svého webu facebokové tlačítko „like“. Kromě všemi předpokládané funkce lajkování nabízeného produktu však má tlačítko i funkci skrytou. Vždy, když uživatel vstoupí na web s lajkovacím tlačítkem, dojde k odeslání informace o jeho IP adrese a názvu jeho prohlížeče Facebooku. K odeslání údajů dochází automaticky a ihned při načtení stránky, bez ohledu na to, zda uživatel na tlačítko „like“ klikne, či zda má či nemá účet na Facebooku. Německé sdružení na ochranu spotřebitelů podalo na e-shop žalobu s odůvodněním, že použitím pluginu e-shop porušuje předpisy na ochranu osobních údajů. Německý soud se nyní ptá soudního dvora, zda je e-shop odpovědný za zpracování osobních údajů prostřednictvím tlačítka a tedy zda je i ve vztahu k takovému zpracování správcem osobních údajů se všemi souvisejícími povinnostmi.

Před koncem roku 2018 přednesl své stanovisko k případu generální advokát SDEU Michal Bobek. Generální advokáti nejsou soudci, ale nestranní a nezávislí poradci, kteří jsou pověřeni přednesením právního názoru k věcem, které jsou jim soudem předloženy. Názor generálního advokáta nemusí být nutně stejný s pozdějším rozsudkem, ale v drtivé většině případu se soud názorem advokáta řídí. Je tedy velice pravděpodobné, že názor Michala Bobka v tomto případu bude i názorem soudu v konečném rozsudku. Bobek ve svém stanovisku uvádí, že podle jeho názoru je správcem osobních údajů nejen Facebook, což asi nikoho nepřekvapí, ale i společnost provozující web, na němž je umístěno lajkovací tlačítko. Konkrétně píše: „Na základě skutkových okolností projednávané věci se tedy jeví, že žalovaná (tj. provozovatel webu – pozn. aut.) a společnost Facebook Ireland spolurozhodují o prostředcích a účelech tohoto zpracování ve fázi shromažďování a předávání předmětných osobních údajů. V tomto rozsahu tedy žalovaná působí jako správce a v tomto rozsahu také nese se společností Facebook Ireland společnou odpovědnost.“

Nutno dodat, že odpovědnost provozovatele webu za zpracování osobních údajů a plnění souvisejících povinností je omezena pouze na tu fázi zpracování údajů, na níž se provozovatel podílí. Obchodník tak nemůže být odpovědný za pozdější fáze zpracovávání údajů, pokud probíhá mimo jeho kontrolu a bez jeho vědomí. Pokud SDEU potvrdí názor generálního advokáta (což očekáváme), bude každý provozovatel internetových stránek, který začlení obsah třetí osoby umožňující zpracování osobních údajů návštěvníků stránek, považován za správce takových osobních údajů se všemi s tím spojenými povinnostmi. Provozovatel webu tak bude muset mj. získat souhlas návštěvníků se shromážděním jejich údajů a následným odesláním údajů Facebooku, rovněž bude muset návštěvníky o veškerém zpracování jejich údajů informovat. To vše ještě před jakoukoli operací s předmětnými osobními údaji.

Jak uvádí sám německý soud, rozhodnutí v této věci bude mít dopady, jež dalece přesahují projednávanou věc a sociální síť Facebook. Citelně může zasáhnout praxi užívání webových pluginů třetích osob. Je zcela běžné, že řada internetových stránek začleňuje obsah třetích osob různé povahy. Je také častou praxí, že provozovatelé webů s takto začleněným pluginem vůbec netuší, že v souvislosti s užitím např. lajkovacího tlačítka mají nějaké povinnosti.

autor
Ondřej Vykoukal
Advokát, KPMG Legal

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.
Bude regulace umělé inteligence následovat GDPR?

Bude regulace umělé inteligence následovat GDPR?

Evropská unie vydala rámcový dokument týkající se etických aspektů umělé inteligence (AI), robotiky a souvisejících technologií. Přiklání se v něm k přísné regulaci.