CJUE: Din nou despre Facebook

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate fi operator, împreună cu Facebook, în privința colectării și a transmiterii către Facebook a datelor cu caracter personal ale vizitatorilor site-ului său.

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a acestor date de către Facebook singur.

Astfel s-a pronunţat CJUE prin Hotărârea din data de 29.07.2019 în cauza C-40/17. 

Ce a declanşat litigiul principal în discuţie? 

Fashion ID (denumită în continuare „pârâta”) este un comerciant online de articole de modă. Aceasta vinde articole de modă pe pagina sa de internet. Pârâta a integrat în pagina sa de internet pluginul „Îmi place”, pus la dispoziție de Facebook Ireland Limited (denumită în continuare „Facebook Ireland”). În consecință, pe pagina de internet a pârâtei apare așa-numitul buton Facebook „Îmi place”.

În decizia de trimitere se arată în continuare cum funcționează partea (nevăzută) a pluginului: atunci când un vizitator ajunge pe pagina de internet a pârâtei pe care este plasat butonul Facebook „Îmi place”, browserul acestuia trimite în mod automat către Facebook Ireland informațiile referitoare la adresa sa IP și la șirul de caractere al navigatorului acestuia. Transmiterea acestor informații are loc fără să fie necesar ca butonul „Îmi place” să fie efectiv utilizat. Din decizia de trimitere pare să rezulte și că, atunci când este accesată pagina de internet a pârâtei, Facebook Ireland plasează diverse tipuri de cookie-uri (cookie-uri de tip session, datr și fr) pe dispozitivul utilizatorului.

Verbraucherzentrale NRW (denumită în continuare „reclamanta”), o asociație de protecție a consumatorilor, a chemat în judecată pârâta în fața Landgericht (Tribunalul Regional, Germania). Reclamanta a solicitat obligarea pârâtei să înceteze integrarea pluginului social „Îmi place” al Facebook, motivând că pârâta ar fi procedat astfel:

„– fără să informeze utilizatorii paginii de internet în mod expres și evident, înainte ca furnizorul pluginului să aibă acces la adresa IP și la șirul de caractere al navigatorului utilizatorului, cu privire la colectarea și la utilizarea datelor astfel transmise și/sau

– fără consimțământul utilizatorilor paginii de internet cu privire la accesarea adresei IP și a șirul de caractere al navigatorului de către furnizorul pluginului, exprimat înainte de accesare, și/sau

– fără să informeze utilizatorii care și-au exprimat consimțământul în sensul celui de al doilea capăt de cerere cu privire la posibilitatea permanentă a revocării acestuia cu efect pentru viitor și/sau

– [fără] să informeze că «Dacă sunteți utilizator al unei rețele de socializare și nu doriți ca rețeaua de socializare să colecteze prin intermediul paginii noastre de internet date despre dumneavoastră pe care să le asocieze cu datele dumneavoastră de utilizator stocate în rețeaua de socializare, trebuie să vă deconectați de la rețeaua de socializare înainte de a vizita pagina noastră de internet».”

Reclamanta a afirmat că Facebook Inc. sau Facebook Ireland stochează adresa IP și șirul de caractere al navigatorului, asociindu-le unui anumit utilizator (membru sau nemembru). Argumentul pârâtei în răspuns este necunoașterea în această privință. Facebook Ireland afirmă că adresa IP este transformată într-o adresă IP generică, fiind stocată doar sub această formă, și că nu are loc o asociere între adresa IP și șirul de caractere al navigatorului, pe de o parte, și conturile utilizatorilor, pe de altă parte.

Landgericht (Tribunalul Regional) a dispus obligarea pârâtei conform primelor trei capete de cerere.

Pârâta a atacat cu apel această hotărâre. Reclamanta a depus un apel incident cu privire la cel de al patrulea capăt de cerere.

În acest context factual și normativ, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) a hotărât să adreseze CJUE mai multe întrebări preliminare cu ajutorul cărora să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor[1](care rămâne aplicabilă acestei cauze și care a fost înlocuită de regulamentul general din 2016 privind protecția datelor[2] aplicabil de la 25.05.2018).

Ce trebuie să cunoaștem referitor la o trimitere preliminară? 

Trimiterea preliminară permite instantelor din statele membre ca, în cadrul unui litigiu cu care sunt sesizate, să adreseze CJUE întrebări cu privire la interpretarea dreptului Uniunii sau la validitatea unui act al Uniunii.

Retinem că CJUE nu solutionează litigiul national, insa instanta natională are obligatia de a solutiona cauza conform deciziei CJUE.

Decizia CJUE este obligatorie, în egală măsură, pentru celelalte instanțe naționale care sunt sesizate cu o problemă similară.

Cum a motivat în esenţă CJUE Hotărârea din data de 29.07.2019? 

În hotărârea sa din data de 29.07.2019, CJUE a precizat,mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. CJUE a arătat că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

CJUE a constatat în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook  Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele.

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe site-ul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-lemai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID,prin inserarea unui asemenea buton pe site-ul său internet, pare să își fidat consimțământul, cel puțin implicit, pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

CJUE a subliniat că administratorul unui site internet, cum este Fashion ID,în calitate de (co)operator în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării.

CJUE a oferit de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, CJUE a decis că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este (co)operator, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, CJUE a decis că fiecare dintre persoanele care au calitatea de (co)operator în privința prelucrării, și anumea administratorul site-ului internet și furnizorul modulului social,trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru caaceste operațiuni să fie justificate în privința sa.

Răspunsul mai sus formulat de CJUE ce a făcut obiectul Hotărârii din data.2019 în cauza C-40/17 îl puteţi consulta in extenso pe site-ul Curia