Social media i technologie umożliwiające śledzenie użytkowników a współadministrowanie danymi osobowymi
dr hab. Jan Byrski, Henryk Hoser
W artykule przedstawiona została problematyka dotycząca współadministrowania danymi osobowymi w ramach działalności prowadzonej w Internecie. Główny nacisk położony został na operacje przetwarzania danych osobowych, w których biorą udział różne podmioty. Uwzględniona została specyfika dotycząca działalności prowadzonej przy udziale portali społecznościowych oraz innych podmiotów korzystających z technologii umożliwiających śledzenie użytkowników Internetu. W ramach analizy przedstawiono aktualne orzecznictwo TSUE, które wskazuje kierunki interpretacyjne w zakresie pojęcia współadministratora w ramach operacji przetwarzania danych prowadzonych przez różne podmioty.
Wprowadzenie
Zagadnienia związane ze śledzeniem użytkowników Internetu od dawna budzą wiele wątpliwości. Większość procesów przetwarzania danych w Internecie odbywa się „w tle”, tj. bez wiedzy poszczególnych osób, a użytkownicy Internetu widzą niekiedy jedynie skutki niektórych operacji przetwarzania danych (takie jak wyświetlane banery reklamowe produktów, które oglądali wcześniej na innej witrynie internetowej, czy wiadomości mailowe z ofertami sklepów internetowych, w których oglądali określone produkty).
W ostatnim czasie pojawiły się nowe orzeczenia Trybunału Sprawiedliwości Unii Europejskiej odnoszące się do współdziałania różnych podmiotów uczestniczących w operacjach przetwarzania danych osobowych, które wzbudziły duże kontrowersje. Orzeczenia te idą w kierunku istotnego rozszerzenia wykładni pojęcia współadministratora danych. W zakresie, w jakim w ramach operacji przetwarzania danych rola jednego z podmiotów ma marginalne znaczenie, opowiadanie się za koncepcją współadministrowania należy – w ocenie autorów – ocenić negatywnie.
Śledzenie użytkownika Internetu a przetwarzanie danych osobowych – dane pochodzące z plików cookies
Nowe technologie dają obecnie ogromne możliwości wykorzystywania rozwiniętych technicznie środków przetwarzania informacji. W dobie big data i społeczeństwa informacyjnego, w którym informacja traktowana jest jako cenne dobro niematerialne, każdego dnia na całym świecie przetwarzane są ogromne ilości danych, których liczba stale wzrasta1 . W Polsce już ponad 84% gospodarstw domowych posiada dostęp do sieci2 , a z badania przeprowadzonego przez Gemius w lutym 2018 r. wynika, że statystyczny Polak spędza codziennie 2 godziny i 6 minut na przeglądaniu Internetu3 .
Dostęp do wartościowych danych dotyczących użytkowników Internetu (w tym informacji o ich wyborach w sieci, lokalizacji, zachowaniach, oglądanych treściach, itp.) daje szereg możliwości, w szczególności przy okazji targetowania reklam. Trafnie wskazuje się w literaturze, że: „Marketingowa przewaga mediów internetowych nad tradycyjną prasą i telewizją wzięła się z nieporównanie lepszych możliwości targetowania przekazu. Czasy, w których reklamodawcy inwestowali w kampanie kierowane do »kobiet z dużych miast« czy »mężczyzn w pewnym przedziale wiekowym«, są daleko za nami. Wygrywa reklama targetowana, skierowana do zdefiniowanego odbiorcy – i to w momencie, w którym jest szansa, że ten konkretny człowiek kupi oferowany mu produkt”4 . Z raportu „Reklama w Internecie” wynika, że rynek reklamy internetowej na świecie w 2018 r. wart był prawie 100 mld dolarów (blisko 30 mld dolarów więcej niż rynek reklamy telewizyjnej)5 .
Niewątpliwie dane pozostawiane przez użytkowników Internetu (np. powiązane z historią przeglądanych produktów, stron internetowych, itp.), pozyskiwane dzięki plikom cookies lub podobnym technologiom, są powszechnie wykorzystywane przez różne podmioty w celu prowadzenia szeroko pojętej działalności marketingowej, w tym dla celów profilowania. Na marginesie warto jednak wspomnieć, że samo śledzenie aktywności użytkownika Internetu nie musi w każdym przypadku wiązać się z profilowaniem6 .
W wielu przypadkach podmioty wykorzystujące tego typu dane nie są w stanie w łatwy sposób jednoznacznie zidentyfikować konkretnej osoby fizycznej (użytkownika), o ile nie podała ona innych danych (np. nie założyła konta w sklepie internetowym czy w serwisie społecznościowym), a jedynie identyfikują urządzenie tego użytkownika (np. smartfon, tablet czy komputer). Występujące w praktyce stany faktyczne mogą się jednak znacząco różnić. Powstaje zatem pytanie, czy dane, np. pochodzące z plików cookies lub zebrane przy pomocy innych, podobnych technologii, należy zawsze traktować jako dane osobowe w rozumieniu art. 4 pkt 1 ogólnego rozporządzenia o ochronie danych7 .
Obecnie powszechnie przyjmuje się, że dane takie jak identyfikatory plików cookies należy uznać (przynajmniej potencjalnie) za dane osobowe, w szczególności mając na uwadze, że dane te w połączeniu z unikatowymi identyfikatorami i innymi informacjami mogą być wykorzystywane do tworzenia profili i identyfikowania osób. Pewne wskazówki w tym zakresie zawiera motyw 24 RODO, w którym wskazano, że „monitorowanie zachowania” osoby, której dane dotyczą może być także związane z jej obserwowaniem w Internecie, przy czym należałoby ustalić, czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Nie należy jednak z góry zakładać, że w każdym przypadku dane z plików cookies powinny być uznawane za dane osobowe, ponieważ nie w każdym przypadku dane te umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej: „W motywie 30 RODO wskazano, że mogą to być adresy IP, identyfikatory plików cookie – generowane przez urządzenia, aplikacje, narzędzia i protokoły czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Przywołanie wprost tego rodzaju identyfikatorów w definicji danych osobowych nie oznacza, że będą one zawsze uznawane za dane osobowe – do tego rodzaju informacji znajdzie zastosowanie, na ogólnych zasadach, definicja danych osobowych zawarta w komentowanym przepisie”8 .
Tym samym można racjonalnie przyjąć, że dane pochodzące z plików cookies należy uznać za dane osobowe, jeśli na podstawie tych danych lub innych okoliczności (np. czasu i miejsca zapisu) z dużym prawdopodobieństwem możliwe jest zidentyfikowanie osoby fizycznej. Zatem nie sam plik cookie (per se), ale jego zawartość, może stanowić dane osobowe. Warto zwrócić przy tym uwagę na motyw 26 RODO, w którym wprost wskazano, że dla celów ustalenia, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Natomiast aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
W praktyce występują jednak różnego rodzaju wyzwania interpretacyjne. Po pierwsze, wątpliwości mogą dotyczyć tego, czy w konkretnych okolicznościach faktycznych dane pochodzące z cookies w ogóle stanowią dane osobowe. Po drugie, jeśli uzna się, że dane pochodzące z cookies stanowią dane osobowe, problematyczne jest to, które podmioty powinny być uznane za administratorów danych, a które za podmioty przetwarzające9 . Wiele trudności może sprawić ponadto określenie właściwych podstaw prawnych przetwarzania danych pochodzących z cookies, jak również ustalenie sposobu pozyskiwania zgód na przetwarzanie danych (jeśli nie ma możliwości powołania się na inne podstawy prawne). Wysoce problematyczne jest także zwięzłe i przejrzyste realizowanie obowiązku informacyjnego zwłaszcza w przypadku, gdy w procesach przetwarzania danych bierze udział bardzo duża liczba podmiotów. Rozbudowane komunikaty dotyczące przetwarzania danych osobowych, połączone z informacjami na temat wykorzystywania plików cookies, dla wielu osób pozostają niestety niezrozumiałe lub też z uwagi na rozbudowaną formę są pomijane przez użytkowników.Niejednokrotnie trudno uznać, że takie komunikaty spełniają wymóg zwięzłości i przejrzystości, o którym mowa w art. 12 ust. 1 RODO, zwłaszcza jeśli informacje są bardzo rozbudowane i ogólnikowe.
W tym aspekcie zasadne wydaje się opracowanie standardowych znaków graficznych, o których mowa w art. 12 ust. 7 RODO, które w widoczny, zrozumiały i czytelny sposób przedstawiałyby sens zamierzonego przetwarzania. W celu wypracowania spójnych rozwiązań w tym zakresie, słuszne wydaje się podjęcie stosownych prac przez Komisję Europejską. Zgodnie z art. 12 ust. 8 RODO, ma ona prawo przyjmowania aktów delegowanych w celu określenia informacji przedstawianych za pomocą znaków graficznych i procedur ustanowienia standardowych znaków graficznych.
Podstawy instalowania plików cookies na urządzeniu końcowym a podstawy prawne przetwarzania danych osobowych w związku z korzystaniem z tzw. third party cookies
Dla możliwości legalnego zainstalowania plików cookies na urządzeniu końcowym użytkownika niezbędne jest spełnienie wymogów określonych w art. 173 ust. 1–3 ustawy z 16.7.2004 r. – Prawo telekomunikacyjne10 . Przepis ten w praktyce od dawna budził wątpliwości interpretacyjne11 . Przykładowo, jeszcze przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679 w literaturze wskazywano, że wątpliwe jest dopuszczenie możliwości wyrażania przez abonenta lub użytkownika końcowego zgody za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym: „Możliwości zastosowania tego przepisu w praktyce budzą wątpliwości. Ustawodawca zakłada bowiem albo niezwykłą łatwość dokonania przez abonenta lub użytkownika końcowego zmian w ustawieniach przeglądarki uniemożliwiających przechowywanie i uzyskiwanie dostępu do wprowadzonych danych przez podmioty zewnętrzne bądź też powszechną wiedzę w tym zakresie. Biorąc pod uwagę wzór przeciętnego abonenta bądź użytkownika końcowego, można mieć co do tego założenia wątpliwości”12 . Wydaje się, że wątpliwości te w aktualnym stanie prawnym mogą się pogłębiać, zwłaszcza mając na uwadze aktualne brzmienie art. 174 PrTelekom13 . Niemniej jednak z uwagi na brzmienie art. 173 ust. 2 PrTelekom wyrażenie zgody w sposób wskazany w tym przepisie nadal wydaje się dopuszczalne14 15 .
Niezależnie od przepisów PrTelekom należy jednak rozpatrywać kwestie ewentualnych podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 1 RODO16 ). W zależności od celów przetwarzania danych pochodzących z cookies, najczęściej wskazywane podstawy prawne to:
1) prawnie uzasadniony interes administratora danych;
2) zgoda osoby, której dane dotyczą;
3) niezbędność przetwarzania dla możliwości zawarcia lub wykonania umowy17 .
W kontekście możliwości prowadzenia działalności marketingowej oraz śledzenia użytkownika Internetu kluczowe jest ustalenie, w jakich okolicznościach dopuszczalne jest powołanie się na prawnie uzasadniony interes administratora danych, a w jakich konieczna jest zgoda osoby, której dane dotyczą. Problem ten wydaje się istotny – w szczególności w świetle stanowisk prezentowanych przez Grupę Roboczą Art. 29 w Opinii nr 6/201418 i Wytycznych 17/PL WP 251 rev. 0119 , zgodnie z którymi inwazyjne profilowanie i stosowanie praktyk umożliwiających śledzenie danej osoby (w tym polegających na śledzeniu aktywności danej osoby za pośrednictwem różnych stron internetowych, czy w różnych lokalizacjach) nie powinno opierać się na przesłance prawnie uzasadnionego interesu administratora. Wydaje się zatem, że w tych przypadkach, w którychdane zbierane są z różnych źródeł (np. przy pomocy tzw. third party cookies lub wtyczek portali społecznościowych), a następnie wykorzystywane w celach marketingowych, w tym profilowania konkretnych osób przez różne podmioty, właściwą podstawą prawną przetwarzania danych powinna być zgoda osoby, której dane dotyczą. Należy mieć tutaj na uwadze zarówno potencjalną daleko idącą ingerencję w prywatność osoby fizycznej, jak również uzasadnione oczekiwania podmiotów danych co do dalszego wykorzystywania danych.
Natomiast w odniesieniu do danych pozyskanych przy udziale własnych plików cookies (first party cookies) dla ewentualnej możliwości skorzystania z przesłanki prawnie uzasadnionego interesu administratora kluczowe wydaje się przeprowadzenie tzw. testu równowagi, mającego na celu wyważenie podstawowych praw i wolności osoby, której dane dotyczą, względem prawnie uzasadnionych interesów administratora lub strony trzeciej. Ponadto w niektórych przypadkach, mając w szczególności na uwadze Komunikat Prezesa Urzędu Ochrony Danych Osobowych z 17.6.2019 r. w sprawie wykazu rodzajów przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony20 , zasadne wydaje się rozważenie przeprowadzenia oceny, o której mowa w art. 35 RODO. Jako przykłady operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności osób fizycznych skutkujące obowiązkiem dokonania takiej oceny w ww. komunikacie wskazano m.in. profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej, jak również zbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach/historii zakupów, oglądanych programach telewizyjnych lub radiowych itp.
Zasadniczy problem w świetle wskazanych wyżej krajowych regulacji wynika z tego, że (pomimo podniesionych wątpliwości w tym zakresie) polskie przepisy dopuszczają obecnie możliwość „pasywnego” wyrażenia zgody na technologię coookies (tj. poprzez realizację obowiązku informacyjnego oraz ustawienia oprogramowania abonenta lub użytkownika końcowego), jednak tego rodzaju zgoda nie będzie spełniała wymogów zgody na przetwarzanie danych osobowych określonych w art. 7 RODO. Tym samym, jeśli uznamy, że w danych okolicznościach dane pochodzące z plików cookies powinny zostać uznane za dane osobowe, a dla ich legalnego przetwarzania niezbędne jest pozyskanie zgody, trudno przyjąć, że zgoda wyrażona poprzez „ustawienia oprogramowania zainstalowanego w telekomunikacyjnym urządzeniu końcowym” będzie wystarczająca.
Warto mieć przy tym na uwadze, że niektóre europejskie organy nadzorcze stoją na stanowisku, iż w sytuacji, w której podstawą do instalowania cookies jest zgoda użytkownika końcowego (która w ich ocenie i tak powinna spełniać standardy przewidziane dla zgody w rozporządzeniu 2016/679), to powinna ona także stanowić podstawę prawną przetwarzania danych osobowych21 , ponieważ stosowanie innych podstaw prawnych przetwarzania przy odbieraniu zgody na cookies może niepotrzebnie dezorientować osoby, których dane dotyczą.
Mając na uwadze powyższe niezbędne jest ustalenie, które podmioty w związku z poszczególnymi procesami przetwarzania danych powinny zostać uznane za administratorów (lub współadministratorów) danych. Rozstrzygnięcie tej podstawowej kwestii może powodować jednak wiele trudności22 .
Wspólne decydowanie o celach i sposobach przetwarzania a współadministrowanie danymi osobowymi
W środowisku internetowym niejednokrotnie występuje sytuacja, w której przy operacjach przetwarzania danych zbieranych przy użyciu technologii śledzących użytkownika (takich jak cookies) uczestniczą różne podmioty. Nie zawsze oznacza to, że wszystkie podmioty mają dostęp do tych danych; rola niektórych ogranicza się w zasadzie, poprzez wybór określonej technologii, do umożliwienia zebrania danych innym podmiotom. Operatorzy stron internetowych bardzo często korzystają z technologii dużych dostawców usług (takich jak Facebook), którzy mogą następnie wykorzystywać zebrane dane we własnych celach. W przypadku korzystania z takich technologii w wielu przypadkach trudno zachować klasyczny podział na administratora danych23 oraz podmiot przetwarzający dane osobowe w imieniu administratora24 .
Przykładowo – niektóre usługi udostępniane przez globalnych dostawców zakładają pozyskiwanie danych dotyczących zachowań użytkowników Internetu w zamian za możliwość korzystania przez podmioty komercyjne z określonych funkcjonalności. Konkretne funkcjonalności nie muszą być zawsze powiązane z witryną internetową danego podmiotu (np. zauważalny jest trend, w którym małe podmioty, m.in. z uwagi na niższe koszty, nie zakładają własnych witryn internetowych, ale poprzestają na innych rozwiązaniach, takich jak fanpage naportalu społecznościowym).
Można przyjąć, że w większości tego typu przypadków, jeśli w ramach operacji przetwarzania danych osobowych występują podmioty profesjonalne, decydują one w różnym stopniu o celach i sposobach przetwarzania danych osobowych. W zasadzie takie podmioty – wspólnie lub osobno – biorą udział w różnych operacjach realizowanych na danych osobowych.
Zasadnicze pytanie, jakie pojawia się przy tej okazji sprawdza się do tego, czy takie podmioty powinny być uznawane za osobnych administratorów danych, czy też – mając na uwadze całokształt okoliczności – współadministratorów danych w rozumieniu art. 26 RODO. Zdecydowanie prostsze w praktyce wydaje się zastosowanie konstrukcji osobnych administratorów danych – nie ma wówczas konieczności zawierania osobnych porozumień pomiędzy takimi podmiotami25 . Pozostaje natomiast kwestia zapewnienia podstawy prawnej przetwarzania (udostępnienia) danych oraz konieczność prawidłowej realizacji obowiązku informacyjnego (przez każdego z administratorów danych).
Niemniej wydaje się, że przyjęcie konstrukcji współadmistrowania może być w niektórych przypadkach zasadne, w szczególności biorąc pod uwagę, że zprzepisów rozporządzenia 2016/679 w żadnym razie nie wynika, że współadministratorzy muszą w równym stopniu określać cele i sposoby przetwarzania. Stanowisko takie prezentowane jest także w literaturze: „W doktrynie niemieckiej wskazuje się, że współadministrowanie przybierać może dwie podstawowe formy: pełnego i częściowego współadministrowania. W przypadku pełnego współadministrowania, jak wyjaśnia J. Hartung, dochodzi do pełnego i zgodnego działania przy określaniu celów i sposobów przetwarzania. Natomiast przy częściowym współadministrowaniu administratorzy zachowują większą swobodę, a poszczególne podmioty określają jedynie niektóre ze sposobów lub celów. W tym modelu współdecydowanie nie rozciąga się więc równomiernie na wszystkie obszary danego przetwarzania”26 .
Zdaje się jednak, że ewentualne współadministrowanie powinno być ograniczone wyłącznie do tych czynności, w przypadku których w jakimkolwiek stopniu można przypisać element „wspólności”. W związku z tym wątpliwości mogą budzić zauważalne próby „rozciągania” konstrukcji współadministrowania danymi na wszystkie przypadki, w których w przetwarzaniu danych uczestniczą różne podmioty, jednak rola jednego z nich jest marginalna (np. sprowadza się w zasadzie wyłącznie do decyzji o skorzystaniu z określonego oprogramowania, co w konsekwencji umożliwi podmiotowi udostępniającemu takie oprogramowanie zebranie dodatkowych danych). Przykładem takiego podejścia może być stanowisko, jakie znalazło się w ocenie wpływu ochrony danych na przetwarzanie danych dotyczących korzystania z oprogramowania Microsoft Office, przeprowadzonej na zlecenie holenderskiego Ministerstwa Sprawiedliwości i Bezpieczeństwa27 .
W doktrynie28 wskazuje się m.in., że: „do przesądzenia występowania współadministrowania nie jest wystarczająca jakakolwiek relacja pomiędzy odrębnymi (co najmniej dwoma) administratorami danych, a wyłącznie taka, która:
– zakłada tożsamość celów realizowanych przez współadministratorów (…)
– wymaga określonego współdziałania przy ustalaniu celów przetwarzania danych”29 .
Wypada zgodzić się z twierdzeniem, że w świetle orzecznictwa TSUE trudno jest jednoznacznie wskazać kryteria, które powinny przesądzać o zastosowaniu konstrukcji współadministrowania, mając na uwadze, że orzecznictwo wydaje się rozszerzać konstrukcję współadministrowania danymi30 . Artykuł 26 RODO nie daje w zasadzie możliwości umownego określenia relacji występującej pomiędzy podmiotami, co wskazywane jest także w literaturze: „Z treści art. 26 RODO wywodzić można, że współadministrowanie kwalifikować należy jako stan faktyczny, z którym RODO wiąże określone obowiązki i skutki prawne (…) Dla uznania, że mamy do czynienia ze współadministrowaniem za wystarczające uznać należy więc wyłącznie to, że w danym przypadku istnieje co najmniej dwóch administratorów ustalających wspólnie cele i sposoby przetwarzania, niezależnie od przyczyny, dla której pozostają oni w tym stosunku”31 .
Mając na uwadze złożoność relacji występujących pomiędzy różnymi podmiotami uczestniczącymi w procesach przetwarzania danych istotne trudności mogą być związane z koniecznością spełnienia wymogów wskazanych w art. 26 RODO, tj. w zakresie:
– zawarcia porozumienia, w którym w przejrzysty sposób współadministratorzy określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia 2016/679;
– udostępnienia zasadniczej treści uzgodnień podmiotom, których dane dotyczą;
– zapewnienia, aby osoba, której dane dotyczą, mogła niezależnie wykonywać przysługujące jej prawa wobec każdego z administratorów.
Wątpliwości mogą zatem dotyczyć nie tylko tego, czy w danym stanie faktycznym w ogóle zachodzi współadministrowanie, ale również tego, w jaki sposób rozłożyć akcenty dotyczące odpowiedzialności poszczególnych współadministratorów w ramach poszczególnych operacji przetwarzania danych. Wreszcie co należy rozumieć przez zasadniczą treść uzgodnień, która powinna być udostępniona podmiotom danych i w jaki sposób powinna być ona przekazywana. W naszej ocenie, przez zasadniczą część uzgodnień należy rozumieć informacje, które są istotne z punktu widzenia osoby, której dane dotyczą, w tym te odnoszące się do przysługujących jej praw i sposobów ich realizacji z wyłączeniem innego rodzaju postanowień (np. szczegółów dotyczących stosowanych zabezpieczeń, wzajemnych rozliczeń, czy innych informacji, które mogą być objęte tajemnicą przedsiębiorstwa)32 . Wydaje się, że w przypadku zastosowania konstrukcji współadministrowania w ramach czynności przetwarzania realizowanych przy udziale narzędzi dostarczanych przez dany podmiot wiodącą rolę przy proponowaniu treści porozumień powinien odgrywać dostawca tych narzędzi (np. Facebook), który odpowiada za dany model biznesowy. W przypadku usług podobnego rodzaju postanowienia dotyczące współadministrowania danymi mogłyby mieć w dużej mierze charakter powtarzalny. Jakkolwiek w takiej sytuacji mogą pojawić się wątpliwości, na ile rozwiązania de facto narzucane przez jedną ze stron można traktować jako „wspólne uzgodnienia” w rozumieniu art. 26 ust. 1 RODO, co zresztą sygnalizowane jest także w doktrynie: „Uzgodnienia między administratorami mają być poczynione wspólnie, co oznacza, że nie powinny być one narzucone jednostronnie przez jednego z współadministratorów”33 .
Wątpliwości z pewnością mogą dotyczyć także tego, w jaki sposób zapewnić, aby osoba, której dane dotyczą, mogła niezależnie wykonywać przysługujące jej prawa wobec każdego z administratorów, jeśli jeden z administratorów nie uczestniczy w większości procesów przetwarzania danych. Wydaje się, że w takich przypadkach należałoby przyjąć, że możliwość realizacji uprawnień względem każdego ze współadministratorów ogranicza się wyłącznie do tych operacji przetwarzania danych, za które odpowiada dany współadministrator. W przeciwnym razie trudno jest wyobrazić sobie zastosowanie tego przepisu w praktyce.
Wreszcie wypada przyjąć, że zastosowanie konstrukcji współadministrowania nie wyklucza tego, iż w ramach niektórych operacji przetwarzania danych pomiędzy tymi samymi podmiotami mogą występować także relacje o innym charakterze (np. administrator – procesor, lub administrator – administrator). Mogą bowiem występować w praktyce sytuacje, w których cele i środki niektórych operacji przetwarzania są określane wspólnie przez więcej niż jednego administratora, podczas gdy inne realizowane są osobno pod wyłączną kontrolą jednego administratora34 .
Status operatora witryny internetowej oraz podmiotu trzeciego względem danych osób zbieranych w trakcie korzystania z tej witryny przy wykorzystaniu technologii dostarczanych przez podmiot trzeci
Operator witryny internetowej, co do zasady, decyduje samodzielnie o celach i sposobach przetwarzania danych osób odwiedzających jego witrynę. Nie powinno budzić to zasadniczo wątpliwości w sytuacji, w której przetwarza on dane zebrane przy pomocy tzw. własnych plików cookies (ang. first party cookies). Może on oczywiście zlecić realizację poszczególnych operacji przetwarzania danych innym podmiotom, np. podmiotowi świadczącemu usługi marketingowe, czy usługi związane z prowadzeniem strony internetowej, jednak podmioty te nie decydują w takim przypadku o celach lub sposobach przetwarzania danych.
Inaczej sytuacja prezentuje się w przypadku zbierania danych przy użyciu tzw. cudzych plików cookies (ang. third party cookies) lub podobnych technologii (takich jak śledzące pixele, czy wtyczki portalów społecznościowych). Rola operatora witryny internetowej, jak się wydaje, ogranicza się wówczas w większości przypadków do zainstalowania określonego kodu w witrynie internetowej, natomiast nie odpowiada on za późniejsze operacje przetwarzania. Decyzja dotycząca określenia celu i sposobu przetwarzania danych sprowadza się zatem w zasadzie do wyboru określonego narzędzia, które posiada konkretne funkcjonalności. Operator witryny internetowej z założenia nie będzie znał wszystkich celów i sposobów przetwarzania danych realizowanych następnie przez podmiot dostarczający konkretne narzędzie). Dobrze widać to na przykładzie narzędzia Facebooka (wtyczka społecznościowa „Lubię to”). W tym kontekście to podmiot udostępniający określoną technologię, dzięki której pozyskuje on dodatkowe dane, wydaje się w pierwszej kolejności administratorem danych osobowych.
Dyskusyjne wydaje się natomiast uznanie podmiotu, który w procesie przetwarzania danych uczestniczy w bardzo ograniczonym zakresie (np. wyłącznie poprzez zainstalowanie określonego narzędzia umożliwiającego innemu podmiotowi zebranie danych do własnych celów). Takie stanowisko zostało jednak przyjęte w wyroku TSUE z 29.7.2019 r. w sprawie Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV, C-40/1735 . TSUE uznał, że podmiot umieszczający na własnej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, może być uznany za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, przy czym jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa (tj. gromadzenia danych i ich ujawniania poprzez transmisję). Współadministrowanie w ocenie TSUE znajduje zatem zastosowanie wyłącznie do ograniczonego zestawu operacji przetwarzania (gromadzenia i ujawniania danych). W uzasadnieniu wyroku TSUE wskazał, że operacje przetwarzania danych (w tym zbieranie danych i ich ujawnianie poprzez transmisję) dokonywane są zarówno w interesie gospodarczym operatora witryny internetowej umieszczającego wtyczkę społecznościową, jak i podmiotu prowadzącego serwis społecznościowy. Co ciekawe w ocenie TSUE operator witryny może być uznany za administratora danych, pomimo że nie ma dostępu do danych zebranych i przekazanych podmiotowi dostarczającemu wtyczkę społecznościową. Zastosowanie konstrukcji współadministrowania danymi w tym przypadku nie wydaje się intuicyjne – w szczególności mając na uwadze bardzo ograniczoną rolę operatora witryny. Nie chodzi tu nawet o to, że podmiot ten może nie mieć faktycznego dostępu do danych, ale o to, że jego cele nie są tożsame z celami portalu społecznościowego. Bardziej intuicyjne wydawałoby się uznanie podmiotu instalującego wtyczkę społecznościową za procesora (skoro odpowiada on w zasadzie wyłącznie za zebranie i przesłanie danych do dostawcy wtyczki). W tym kontekście trudno wyobrazić sobie zresztą w praktyce rozpatrywanie przez operatora witryny internetowej wniosków podmiotów danych dotyczących przysługujących im praw. Ponadto, przy podejściu zaprezentowanym przez TSUE droga do stosowania konstrukcji współadministrowania danymi w innych sytuacjach, w których rola jednego z podmiotów w procesie przetwarzania danych jest marginalna, pozostaje otwarta. Wydaje się, że w tym konkretnym przypadku konstrukcja współadministrowania została przyjęta w szczególności z uwagi na wspólną korzyść gospodarczą (komercyjną) obydwu podmiotów. Wspólna korzyść komercyjna nie musi jednak oznaczać tożsamości celów przetwarzania danych. Dlatego stanowisko zaprezentowane przez TSUE może budzić wątpliwości, mając przy tym na uwadze, że podmiot, który zamieszcza wtyczkę, nie ma w zasadzie realnego wpływu na późniejsze operacje przetwarzania realizowane przez portal społecznościowy, co zresztą zostało wskazane w uzasadnieniu wyroku36 . W przypadku wtyczki „Lubię to” przyjęta konstrukcja może być jednak zasadna z innych powodów – mianowicie wtyczka ta odsyła bezpośrednio do fanpage podmiotu, który służy do realizacji celów operatora witryny (takich jak zwiększenie zasięgu swojej marki oraz budowania jej wizerunku), jak i celów podmiotu dostarczającego wtyczkę (pozyskanie dodatkowych danych, które mogą być przetwarzane we własnych celach). Niemniej cele te nie są w pełni tożsame, dlatego też wątpliwości nie da się całkowicie wyeliminować. Kwestie dotyczące współadministrowania danymi osób odwiedzających fanpage konkretnego podmiotu zostaną opisane poniżej.
Przetwarzanie danych osobowych użytkowników korzystających z firmowych profili na portalu społecznościowym z uwzględnieniem statusu takich podmiotów
Wiele podmiotów zakłada aktualnie profile (tzw. fanpage) na portalach społecznościowych, np. w celu łatwiejszego nawiązywania relacji z potencjalnymi klientami. W przypadku mniejszych firm fanpage może nawet zastępować własną witrynę internetową. Niewątpliwie administratorem danych użytkowników portalu w pierwszej kolejności jest administrator danego portalu społecznościowego. Pojawia się jednak pytanie, w jakiej roli występuje podmiot, który decyduje o założeniu profilu.
Z jednej strony, podmiot zakładający fanpage realizuje własne cele uczestnicząc w przetwarzaniu danych osób odwiedzających jego profil (a z pewnością tych osób, które aktywnie działają – np. „polubiają” lub komentują określone treści).
Z drugiej strony, całość procesów przetwarzania odbywa się przy wykorzystaniu infrastruktury informatycznej i narzędzi udostępnionych przez podmiot prowadzący dany portal społecznościowy, który zbiera i przetwarza we własnych celach wszelkie dane o użytkownikach i ich zachowaniach w ramach portalu społecznościowego (w tym te, które mają miejsce na fanpage).
Fanpage może być wykorzystywany w różnych celach (np. marketingowym, informacyjnym, realizacji konkursów, itp.). Podmiot zakładający fanpage na określonym portalu ma jednak bardzo ograniczone możliwości w zakresie decydowania o celach i sposobach przetwarzania danych użytkowników tego portalu. Niemniej, w świetle wcześniejszych rozważań – podmioty, które są współadmistratorami mogą w różnym stopniu decydować o celach i sposobach przetwarzania – konstrukcja współadministrowania wydaje się w tym przypadku bardziej zasadna. Cele przetwarzania także w tym przypadku nie są dokładnie takie same, jednak można odnaleźć pewne elementy wspólne, w szczególności mając na uwadze, że administrator fanpage’a może w pewnym zakresie wpływać na przetwarzanie danych przez Facebook (a nie tylko umożliwiać zebranie danych).
Na podobnym stanowisku stanął TSUE w wyroku z 5.6.2018 r. w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/1637 wskazując, że administrator fanpage’a prowadzonego na portalu społecznościowym Facebook ponosi z Facebookiem wspólną odpowiedzialność zaprzetwarzanie danych osób odwiedzających fanpage. W tym kontekście racjonalne wydaje się uznanie, że wspólna odpowiedzialność tych podmiotów wiąże się bezpośrednio ze współadministrowaniem. Choć wyrok zapadł na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych38 , ustalenia TSUE pozostają nadal aktualne pod rządami rozporządzenia 2016/679. TSUE zwrócił przy tym uwagę, że administrator fanpage’a niewątpliwie przyczynia się do przetwarzania danych osobowych osób odwiedzających taką stronę (w tym może np. zwrócić się o przetworzenie danych demograficznych jego użytkowników docelowych w celu otrzymania statystyk dotyczących osób odwiedzających fanpage).
Wydaje się jednak, że na gruncie przepisów rozporządzenia 2016/679 status podmiotu, który założył fanpage, będzie różnić się w zależności od czynności przetwarzania dokonywanych przez ten podmiot lub przez portal społecznościowy, a także od wykorzystywanych funkcjonalności. Kwestie te należałoby zatem rozpatrywać indywidualnie z uwzględnieniem konkretnych okoliczności faktycznych. Trudno uznać, że np. w przypadku organizowania konkursów na portalu społecznościowym wspólna odpowiedzialność istnieje w pełnym zakresie zarówno po stronie administratora portalu, jak i podmiotu realizującego konkurs.
Podsumowanie
Przy przetwarzaniu danych dotyczących aktywności użytkowników Internetu mogą brać udział różne podmioty, które w różnym zakresie odpowiadają za poszczególne operacje przetwarzania danych, w tym danych osobowych. W zależności od konkretnych okoliczności faktycznych, dane pochodzące z plików cookies lub zebrane przy pomocy innych, podobnych technologii, mogą zostać uznane za dane osobowe w rozumieniu przepisów rozporządzenia 2016/679.
W świetle aktualnego orzecznictwa TSUE należy mieć na uwadze konieczność wzięcia pod uwagę instytucji współadministrowania danymi, która dotyczy działalności prowadzonej w Internecie przy udziale różnych podmiotów (w szczególności portali społecznościowych).
W orzecznictwie TSUE wyraźnie zarysowała się tendencja do stosowania rozszerzającej wykładni pojęcia „współadministrowania”, zgodnie z którą przyjęcie współadministrowania jest zasadne nawet w sytuacji, w której poszczególne podmioty realizują różne cele przetwarzania danych, a element „wspólności” sprowadza się do ogólnie rozumianego wspólnego interesu gospodarczego. W związku z tym współadministrowanie może ograniczać się tylko do niektórych operacji przetwarzania, w których biorą udział dane podmioty.
Omawiane orzeczenia TSUE mogą wywrzeć istotny wpływ nie tylko na portale społecznościowe i podmioty korzystające w celach komercyjnych z udostępnianych przez takie portale funkcjonalności, ale także na inne podmioty uczestniczące w operacjach przetwarzania danych osobowych w Internecie. W szczególności w przypadku orzeczenia w sprawie Fashion ID, C-40/17, przyjęta tam wykładnia może znaleźć szersze zastosowanie do innych stanów faktycznych, w których wykorzystywane są technologie śledzące użytkowników Internetu, takie jak cudze pliki cookies (third party cookies).
Wydaje się przy tym, że niezależnie od przepisów rozporządzenia 2016/679, zasady wykorzystywania technologii służących śledzeniu użytkowników Internetu (takich jak cookies) powinny zostać spójnie uregulowane na poziomie europejskim, jako że obecnie obowiązująca dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12.7.2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)39 uległa daleko idącej dezaktualizacji. Niestety nadal nie wiadomo jednak, kiedy zostanie uchwalone nowe rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylenia dyrektywy 2002/58 (tzw. „ePrivacy”), nad którym prace trwają już od kilku lat40 .
Summary:
Social media and technologies that allow tracking Internet users vs joint control of personal data
The article presents issues relating to the joint controllers of personal data as a part of online business. The authors focused on data processing operations involving various entities. The article takes into account the specificity of activities carried out with the participation of social media and other entities using technologies that allow tracking Internet users. As a part of the analysis, the current case law of the CJEU has been presented, which indicates the directions for interpreting the concept of joint controllers in the context of data processing operations performed by various entities.
Autorzy: dr hab. Jan Byrski, Henryk Hoser
Artykuł pochodzi z dodatku do Monitora Prawniczego Dostęp do sztucznej inteligencji – równość i inne aspekty prawne dostępu do systemów sztucznej inteligencji (MOP 2019, Nr 21)