Współadministrowanie danymi osobowymi. Konsekwencje wyroku Trybunału Sprawiedliwości w sprawie C-40/17 Fashion ID

Współadministrowanie danymi osobowymi nie jest instytucją nową. Przepisy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych^[1] przewidywały, że pomiędzy podmiotami wspólnie określającymi cele i sposoby przetwarzania danych może zachodzić relacja współadministrowania^[2]. Obecnie instytucja ta jest uregulowana w art. 26 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE^[3]. Jednak dopiero teraz, głównie za sprawą orzecznictwa Trybunału Sprawiedliwości^[4], współadministrowanie nabiera nowego, praktycznego znaczenia. Ważnych wskazówek w zakresie stosowania przepisów dotyczących współadministrowania dostarcza wyrok TS wydany w sprawie C-40/17 Fashion ID^[5].

Wyrok TS w sprawie C-40/17 Fashion ID 

Osią sporu pomiędzy niemiecką spółką Fashion ID GmbH & Co. KG, prowadzącą sprzedaż online artykułów odzieżowych, a Verbraucherzentrale NRW eV, czyli  niemieckim stowarzyszeniem zajmującym się ochroną konsumentów, była zamieszczona na stronie internetowej Fashion ID wtyczka „Lubię to”, której dostawcą jest portal społecznościowy Facebook Ireland. Niemieckie stowarzyszenie wniosło przeciwko Fashion ID powództwo o zaniechanie stosowania internetowej wtyczki, ponieważ korzystanie z niej prowadzi do naruszenia przepisów z zakresu ochrony danych osobowych. W toku postępowania dowodowego, prowadzonego przed niemieckim sądem, wykazano, że dzięki zamieszczeniu wtyczki „Lubię to” do Facebooka są przekazywane informacje o adresie IP oraz identyfikatorze przeglądarki osoby odwiedzającej witrynę Fashion ID, przy czym przekazanie tych danych następuje automatycznie po otwarciu strony internetowej Fashion ID oraz niezależnie od tego, czy osoba odwiedzająca stronę kliknęła przycisk „Lubię to”, a nawet czy jest posiadaczem konta na Facebooku^[6]. Ustalono też, że Fashion ID nie ma żadnego wpływu ani na to, jaki zakres danych jest przekazywany do dostawcy wtyczki, ani na to, jakie działania podejmie dostawca wtyczki w związku z pozyskanymi danymi. W tym kontekście niemiecki sąd powziął wątpliwości dotyczące m.in. tego, czy w tak ukształtowanym procesie przetwarzania operator witryny internetowej pełni rolę administratora, a jeśli tak, to jakie wynikają z tego konsekwencje związane z koniecznością zapewnienia ochrony danych osobowych użytkowników.

Odpowiadając na zadane pytania prejudycjalne, TS wskazał, że niewątpliwie Fashion ID pełni rolę administratora, ponieważ spełnia kryteria wynikające z art. 2 lit. d) dyrektywy 95/46^[7]. Trybunał odwołał się w tym zakresie do wcześniejszych orzeczeń^[8], ugruntowując tym samym własną linię orzeczniczą oraz potwierdzając, że tylko poprzez przyjęcie szerokiej definicji pojęcia „administratora” jest możliwe zapewnienie skutecznej i pełnej ochrony podmiotom danych. Trybunał zwrócił przy tym uwagę na fakt, że administrator nie musi działać samodzielnie, ponieważ w świetle przepisów dyrektywy 95/46 może on określać cele i sposoby przetwarzania danych osobowych wspólnie z innymi podmiotami. Wspólne administrowanie danymi oznacza zaś, że każdy z administratorów podlega przepisom z zakresu ochrony danych osobowych, nawet jeśli podmioty te nie uczestniczą w procesie przetwarzania danych w taki sam sposób, w szczególności gdy jeden z nich nie ma dostępu do przetwarzanych danych osobowych lub gdy podmioty te są zaangażowane na różnych etapach przetwarzania i w różnym stopniu^[9].

Powyższe rozważania TS odniósł do relacji pomiędzy Fashion ID a spółką Facebook, dochodząc do wniosku, że ze względu na zainstalowanie wtyczki „Lubię to” na stronie internetowej Fashion ID pomiędzy podmiotami powstała relacja współadministrowania w odniesieniu do danych przetwarzanych za pośrednictwem tejże wtyczki. Postępowanie dowodowe prowadzone przed sądem niemieckim wykazało bowiem, że dzięki umieszczeniu przycisku „Lubię to” na swojej witrynie, Fashion ID umożliwiła Facebookowi pozyskiwanie danych osób odwiedzających jej witrynę, przez co zyskała jednocześnie status administratora w zakresie gromadzenia danych osobowych i ich ujawniania spółce Facebook poprzez transmisję. Dla przyjęcia konstrukcji współadministrowania danymi kluczowy w ocenie TS był fakt, że Fashion ID prawdopodobnie miała świadomość, że wtyczka służy do gromadzenia i przekazywania danych osobowych osób odwiedzających witrynę, i to niezależnie od tego, czy osoby te są członkami portalu społecznościowego, czy nie^[10]. W konsekwencji Fashion ID umożliwiła poprzez swoje działanie przetwarzanie danych osobowych również przez spółkę Facebook, ponieważ bez zamieszczenia wtyczki „Lubię to” dalsze przetwarzanie danych nie miałoby miejsca. Co więcej Trybunał zwrócił uwagę, że za przyjęciem modelu współadministrowania przemawiają również cele operacji przetwarzania, tj. po stronie Fashion ID – optymalizacja reklamy produktów oferowanych przez spółkę poprzez uczynienie ich bardziej widocznymi na portalu Facebook, zaś po stronie spółki Facebook – możliwość dysponowania pozyskanymi danymi we własnych celach komercyjnych^[11]. Z względu na to, że przetwarzanie danych następuje zarówno w interesie gospodarczym Fashion ID, jak i Facebooka, należało więc przyjąć, że pomiędzy podmiotami zachodzi relacja współadministrowania danymi^[12].

Odpowiadając na kolejne pytania prejudycjalne, Trybunał wskazał, że w razie przyjęcia, iż podstawą prawną przetwarzanych danych osobowych za pomocą wtyczki „Lubię to” jest art. 7 lit. f dyrektywy 95/46^[13], przy ocenie, czy są spełnione przesłanki wynikające z tego przepisu należy brać pod uwagę prawnie uzasadnione interesy wszystkich współadministratorów^[14]. Trybunał nie przesądził przy tym, że przetwarzanie danych może następować w oparciu o powyższą podstawę prawną, gdyż ostateczne ustalenie w tym zakresie należy do sądu krajowego rozpoznającego spór^[15]. Ponadto TS uznał, że takie obowiązki administratora, jak ewentualne uzyskanie zgody na przetwarzanie danych osobowych oraz przekazanie informacji na temat przetwarzania danych, spoczywają na operatorze witryny internetowej, na której zainstalowano wtyczkę „Lubię to”^[16]. Obowiązki te dotyczą jednak operacji przetwarzania, za które ten operator jest odpowiedzialny, a zatem rozciągają się wyłącznie na operacje gromadzenia danych i ich ujawniania poprzez transmisję.

Konsekwencje współadministrowania danymi osobowymi

Jak wskazano na wstępie, wyrok wydany w sprawie Fashion ID zawiera wiele wskazówek w zakresie interpretacji przepisów dotyczących współadministrowania danymi. Mimo że orzeczenie zostało wydane w oparciu o uchylone już przepisy dyrektywy 95/46, rozważania Trybunału zachowują aktualność na gruncie obowiązujących przepisów ogólnego rozporządzenia o ochronie danych. Stąd stanowisko przyjęte przez Trybunał jawi się jako szczególnie ważne z perspektywy podmiotów stosujących podobny model biznesowy. Korzystanie z wtyczek internetowych lub innych narzędzi dostarczanych przez zewnętrznych dostawców jest obecnie bardzo popularne; przyciski odsyłające do portali typu Facebook, Twitter, Instagram czy YouTube, znajdują się na wielu stronach internetowych. Niestety osoby odwiedzające witryny, na których zostały zainstalowane tego rodzaju wtyczki, rzadko wiedzą, że narzędzia te mogą służyć do gromadzenia danych osobowych i przekazywania ich następnie do dostawcy wtyczki. Problem jest tym istotniejszy, że często sam operator witryny może nie mieć świadomości, że umożliwia on tego rodzaju operacje przetwarzania.

Zaproponowane przez TS rozwiązanie, czyli uznanie, że operator witryny internetowej, na której zamieszczono wtyczkę zewnętrznego serwisu, jest wspólnie z dostawcą tej wtyczki współadministratorem przetwarzanych w ten sposób danych osobowych, ma sprzyjać zapewnieniu szerokiej i skutecznej ochrony dla osób, których dane są przetwarzane. Jednym z celów uregulowania instytucji współadministrowania w przepisach ogólnego rozporządzenia o ochronie danych było bowiem zapewnienie należytej ochrony praw i wolności podmiotów danych poprzez nałożenie na współadministratorów odpowiednich obowiązków^[17]. Przyjęcie modelu współadministrowania rodzi więc określone konsekwencje w sferze działalności podmiotów dokonujących wspólnie operacji przetwarzania danych.

Na mocy art. 26 RODO prawodawca unijny zobowiązał współadministratorów do określenia, w sposób przejrzysty i w drodze wspólnych uzgodnień, podziału zadań i obowiązków wynikających z przepisów rozporządzenia, zwłaszcza w zakresie realizacji praw podmiotów danych oraz obowiązków informacyjnych. W dwóch przypadkach reguła ta doznaje wyjątku. Po pierwsze, w sytuacji gdy obowiązki współadministratorów są określone w prawie unijnym lub prawie państwa członkowskiego, któremu współadministratorzy podlegają; jako przykład można wskazać art. 24c ustawy z 8 września 2009 r. o Państwowym Ratownictwie Medycznym, w którym wskazano, pomiędzy jakimi podmiotami zachodzi stosunek współadministrowania i jakie obowiązki spoczywają w związku z tym na poszczególnych podmiotach. Po drugie, gdy wynika to z okoliczności przetwarzania; w niektórych przypadkach stan faktyczny może narzucać określony rozkład obowiązków współadministratorów^[18]. Wydaje się, że takie założenie poczynił również TS w wyroku w sprawie Fashion ID, przyjmując, iż obowiązek uzyskania zgody na przetwarzanie danych osobowych powinien spoczywać na operatorze witryny internetowej, a nie na dostawcy wtyczki, ponieważ proces przetwarzania danych zostaje zainicjowany wejściem osoby odwiedzającej witrynę^[19]. 

Poza wskazanymi powyżej wyjątkami, współadministratorzy mogą podzielić się obowiązkami według własnego uznania, w szczególności mogą dokonać ich podziału w oparciu o etapy przetwarzania. Jak zauważył TS w innym orzeczeniu wydanym w sprawie Wirtschaftsakademie, poszczególni administratorzy mogą być zaangażowani w przetwarzanie na różnych jego etapach i w różnym stopniu^[20]. Pogląd ten został powtórzony w wyroku w sprawie Fashion ID. Ponadto z przepisów rozporządzenia wynika, że zasadnicza treść poczynionych przez współadministratorów uzgodnień powinna być udostępniona podmiotom danych, przy czym przez „zasadniczą część” rozumie się informacje istotne z punktu widzenia osoby, której dane dotyczą, np. informacje o sposobie realizacji przysługujących jej praw^[21]. Dodatkowo współadministratorzy mogą ustalić jeden punkt kontaktowy dla podmiotów danych. Niemniej jednak osoby, których dane dotyczą, mogą wykonywać przysługujące im prawa wobec każdego z administratorów, niezależnie od treści udostępnionych uzgodnień.

Współadministrowanie danymi osobowymi w praktyce

Zastosowanie modelu współadministrowania danymi osobowymi zgodnie ze wskazówkami TS zawartymi w wyroku w sprawie Fashion ID powoduje wiele problemów praktycznych. Pojawiające się wątpliwości stawiają, moim zdaniem, pod znakiem zapytania proponowaną przez Trybunał koncepcję opartą na założeniu, że szerokie definiowanie pojęć „administratora” oraz „współadministratora” sprzyja zapewnieniu lepszej ochrony podmiotom danych. W niektórych sytuacjach stosowanie konstrukcji współadministrowania, zgodnie z poglądami TS, może okazać się bardzo utrudnione.

Aby przyjąć model współadministrowania, należy przede wszystkim ocenić, czy jest spełniona podstawowa przesłanka w postaci wspólnego ustalania celów i sposobów przetwarzania danych. Mając na uwadze treść wyroku w sprawie Fashion ID, powstaje więc pytanie, czy powyższe kryteria są spełnione w przypadku, gdy jeden ze współadministratorów pełni marginalną rolę w procesie przetwarzania lub nie posiada dostępu do przetwarzanych danych osobowych, przez co jego wpływ na określanie celów i sposobów przetwarzania jest znikomy. Wydaje się, że operator zamieszczający na swojej witrynie wtyczkę „Lubię to” lub inną, pełniącą podobną funkcję, ma wpływ jedynie na to, że w ogóle dochodzi do przetwarzania danych, nie zaś na to, w jaki sposób jest realizowane przetwarzanie, czy jakie dane osobowe są przetwarzane, zwłaszcza w zakresie operacji podejmowanych przez drugiego współadministratora. Co więcej w doktrynie wskazuje się, że dla zaistnienia stosunku współadministrowania jest wymagana tożsamość celów realizowanych przez współadministratorów oraz współdziałanie przy ustalaniu tych celów^[22]. Tymczasem analiza uzasadnienia wyroku w sprawie Fashion ID prowadzi do odmiennego wniosku, albowiem, jak wskazał TS, zarówno Fashion ID, jak i Facebook, przetwarzają dane osobowe w celu realizacji własnego interesu gospodarczego, przy czym interesy obydwu podmiotów są różne^[23].

Warto też zauważyć, że brak lub niewielki wpływ na określanie celów i sposobów przetwarzania danych zwykle jest równoznaczny z niemożnością dokonania wspólnych uzgodnień co do podziału zadań i obowiązków, o których mowa w art. 26 RODO. W rzeczywistości regulaminy lub polityki prywatności udostępniane przez dostawców wtyczek internetowych, za pomocą których dochodzi do przetwarzania danych osobowych, nie zawierają postanowień, które można byłoby zakwalifikować jako „wspólne uzgodnienia” współadministratorów.

Z kolei odnosząc się do przesłanek legalizujących przetwarzanie danych, wątpliwa jest możliwość prawidłowego przeprowadzenia testu równowagi w przypadku uznania, że podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO. W sytuacji, gdy administrator nie ma faktycznego dostępu do danych osobowych, w konsekwencji czego może nie mieć pewności, jakie dane są przetwarzane, nie będzie w stanie właściwie ocenić, czy interesy lub podstawowe prawa i wolności podmiotu danych, wymagające ochrony danych osobowych, mają nadrzędny charakter wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W ramach testu równowagi administrator jest obowiązany bowiem ocenić konieczność przetwarzania np. pod kątem zakresu przetwarzanych danych, weryfikując jednocześnie, czy jest spełniona zasada minimalizacji danych wynikająca z art. 5 ust. 1 lit. c RODO.  Analogiczna wątpliwość pojawia się w przypadku realizacji przez podmiot danych przysługujących mu praw – współadministrator niemający dostępu do danych nie spełni prawidłowo swoich zobowiązań, np. obowiązku wydania na żądanie osoby, której dane dotyczą, kopii przetwarzanych danych osobowych.

Reasumując, analiza wyroku TS w sprawie Fashion ID, jak również próba zastosowania przyjętych przez TS wytycznych w praktyce, prowadzą do wniosku, że współadministrowanie nadal pozostaje instytucją niezrozumiałą i może powodować wiele trudności. Szczególnie ostrożnie należy stosować wskazówki TS w innych, podobnych stanach faktycznych. Przyjęcie modelu współadministrowania danymi wymaga rzetelnej oceny całokształtu relacji, jaka istnieje pomiędzy podmiotami, a także poprawnej weryfikacji sposobu działania wtyczki lub innego narzędzia internetowego służącego do przetwarzania danych osobowych. Tylko w ten sposób współadministratorzy są w stanie zapewnić prawidłowe przestrzeganie przepisów ogólnego rozporządzenia o ochronie danych.

Adrianna Michałowicz

doktorantka w Katedrze Europejskiego Prawa Gospodarczego na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego; aplikant adwokacki w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k. Autorka specjalizuje się w prawie ochrony danych osobowych, prawie gospodarczym i prawie własności intelektualnej.

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

^[1] Dz. Urz. UE L nr 281 z dn. 23 listopada 1995 r., s. 31 ze zm., dalej: „dyrektywa 95/46”.

^[2] Artykuł 2 lit. d dyrektywy 95/46.

^[3] Dz. Urz. UE L nr 119 z dn. 4 maja 2016 r., s. 1 ze zm., dalej: „RODO” lub „ogólne rozporządzenie o ochronie danych”.

^[4] Dalej: „TS” lub „Trybunał”.

^[5] Wyrok TS z dn. 29.7.2019 r. w sprawie C-40/17 Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV, dalej: „wyrok w sprawie Fashion ID”.

^[6] Opinia rzecznika generalnego Michała Bobeka z dn. 19 grudnia 2018 r. w sprawie C-40/17 Fashion ID, pkt 1.

^[7] Obecnie art. 4 pkt 7 RODO.

^[8] Zob. wyrok TS z dn. 13.5.2014 r. w sprawie C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mariowi Costesze Gonzálezowi; wyrok TS z dn. 5 czerwca 2018 r. w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, dalej: „wyrok w sprawie Wirtschaftsakademie”.

^[9] Wyrok w sprawie Fashion ID, pkt 67, 69–70.

^[10] Wyrok w sprawie Fashion ID, pkt 77.

^[11] Wyrok w sprawie Fashion ID, pkt 80.

^[12] Wyrok w sprawie Fashion ID, pkt 77–79.

^[13] Artykuł 7 lit. f dyrektywy 95/46 zezwalał na przetwarzanie danych osobowych, gdy „jest to konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych […], z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą […]”. W aktualnym stanie prawnym przetwarzanie danych osobowych w celach wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią umożliwia art. 6 ust. 1 lit. f RODO.

^[14] Wyrok w sprawie Fashion ID, pkt 96.

^[15] Wątpliwości dotyczyły tego, czy w analizowanym stanie faktycznym podstawą przetwarzania nie powinna być zgoda podmiotu danych. Stanowisko takie zaprezentowała Komisja Europejska, twierdząc że zgoda może być wymagana przepisami dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej ze względu na możliwość uzyskania przez dostawcę wtyczki dostępu do informacji przechowywanych na urządzeniu końcowym osoby odwiedzającej witrynę Fashion ID.

^[16] Wyrok w sprawie Fashion ID, pkt 101.

^[17] K. Witkowska-Nowakowska, Artykuł 26 [w:] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. “Ogólne rozporządzenie o ochronie danych. Komentarz”, Wolters Kluwer Polska, 2018.

^[18] I. Kowalczuk-Pakuła, M. Chołuj, “Współadministrowanie - nowy paradygmat w prawie ochrony danych osobowych”, Monitor Prawniczy – dodatek specjalny „Prawo nowych technologii”, 21/2019, s. 16.

^[19] Wyrok w sprawie Fashion ID, pkt 102; I. Kowalczuk-Pakuła, M. Chołuj, Współadministrowanie - nowy paradygmat…, s. 16.

^[20] Wyrok w sprawie Wirtschaftsakademie, pkt 43.

^[21] J. Byrski, H. Hoser, Social media oraz technologie umożliwiające śledzenie użytkowników Internetu a współadministrowanie danymi osobowymi, Monitor Prawniczy – dodatek specjalny „Prawo nowych technologii”, 21/2019, s. 11.

^[22] J. Byrski, H. Hoser, Social media…, s. 10.

^[23] J. Byrski, H. Hoser, Social media…, s. 12.