Social media i technologie umożliwiające śledzenie użytkowników a współadministrowanie danymi osobowymi

Social media i technologie umożliwiające śledzenie użytkowników a współadministrowanie danymi osobowymi

dr hab. Jan Byrski, Henryk Hoser

W artykule przedstawiona została problematyka dotycząca współadministrowania danymi osobowymi w ramach działalności prowadzonej w Internecie. Główny nacisk położony został na operacje przetwarzania danych osobowych, w których biorą udział różne podmioty. Uwzględniona została specyfika dotycząca działalności prowadzonej przy udziale portali społecznościowych oraz innych podmiotów korzystających z technologii umożliwiających śledzenie użytkowników Internetu. W ramach analizy przedstawiono aktualne orzecznictwo TSUE, które wskazuje kierunki interpretacyjne w zakresie pojęcia współadministratora w ramach operacji przetwarzania danych prowadzonych przez różne podmioty.

 

Wprowadzenie

Zagadnienia związane ze śledzeniem użytkowników Internetu od dawna budzą wiele wątpliwości. Większość procesów przetwarzania danych w Internecie odbywa się „w tle”, tj. bez wiedzy poszczególnych osób, a użytkownicy Internetu widzą niekiedy jedynie skutki niektórych operacji przetwarzania danych (takie jak wyświetlane banery reklamowe produktów, które oglądali wcześniej na innej witrynie internetowej, czy wiadomości mailowe z ofertami sklepów internetowych, w których oglądali określone produkty).

W ostatnim czasie pojawiły się nowe orzeczenia Trybunału Sprawiedliwości Unii Europejskiej odnoszące się do współdziałania różnych podmiotów uczestniczących w operacjach przetwarzania danych osobowych, które wzbudziły duże kontrowersje. Orzeczenia te idą w kierunku istotnego rozszerzenia wykładni pojęcia współadministratora danych. W zakresie, w jakim w ramach operacji przetwarzania danych rola jednego z podmiotów ma marginalne znaczenie, opowiadanie się za koncepcją współadministrowania należy – w ocenie autorów – ocenić negatywnie.

Śledzenie użytkownika Internetu a przetwarzanie danych osobowych – dane pochodzące z plików cookies

Nowe technologie dają obecnie ogromne możliwości wykorzystywania rozwiniętych technicznie środków przetwarzania informacji. W dobie big data i społeczeństwa informacyjnego, w którym informacja traktowana jest jako cenne dobro niematerialne, każdego dnia na całym świecie przetwarzane są ogromne ilości danych, których liczba stale wzrasta¹ . W Polsce już ponad 84% gospodarstw domowych posiada dostęp do sieci² , a z badania przeprowadzonego przez Gemius w lutym 2018 r. wynika, że statystyczny Polak spędza codziennie 2 godziny i 6 minut na przeglądaniu Internetu³ .

Dostęp do wartościowych danych dotyczących użytkowników Internetu (w tym informacji o ich wyborach w sieci, lokalizacji, zachowaniach, oglądanych treściach, itp.) daje szereg możliwości, w szczególności przy okazji targetowania reklam. Trafnie wskazuje się w literaturze, że: „Marketingowa przewaga mediów internetowych nad tradycyjną prasą i telewizją wzięła się z nieporównanie lepszych możliwości targetowania przekazu. Czasy, w których reklamodawcy inwestowali w kampanie kierowane do »kobiet z dużych miast« czy »mężczyzn w pewnym przedziale wiekowym«, są daleko za nami. Wygrywa reklama targetowana, skierowana do zdefiniowanego odbiorcy – i to w momencie, w którym jest szansa, że ten konkretny człowiek kupi oferowany mu produkt”⁴ . Z raportu „Reklama w Internecie” wynika, że rynek reklamy internetowej na świecie w 2018 r. wart był prawie 100 mld dolarów (blisko 30 mld dolarów więcej niż rynek reklamy telewizyjnej)⁵ .

Niewątpliwie dane pozostawiane przez użytkowników Internetu (np. powiązane z historią przeglądanych produktów, stron internetowych, itp.), pozyskiwane dzięki plikom cookies lub podobnym technologiom, są powszechnie wykorzystywane przez różne podmioty w celu prowadzenia szeroko pojętej działalności marketingowej, w tym dla celów profilowania. Na marginesie warto jednak wspomnieć, że samo śledzenie aktywności użytkownika Internetu nie musi w każdym przypadku wiązać się z profilowaniem⁶ .

W wielu przypadkach podmioty wykorzystujące tego typu dane nie są w stanie w łatwy sposób jednoznacznie zidentyfikować konkretnej osoby fizycznej (użytkownika), o ile nie podała ona innych danych (np. nie założyła konta w sklepie internetowym czy w serwisie społecznościowym), a jedynie identyfikują urządzenie tego użytkownika (np. smartfon, tablet czy komputer). Występujące w praktyce stany faktyczne mogą się jednak znacząco różnić. Powstaje zatem pytanie, czy dane, np. pochodzące z plików cookies lub zebrane przy pomocy innych, podobnych technologii, należy zawsze traktować jako dane osobowe w rozumieniu art. 4 pkt 1 ogólnego rozporządzenia o ochronie danych⁷ .

Obecnie powszechnie przyjmuje się, że dane takie jak identyfikatory plików cookies należy uznać (przynajmniej potencjalnie) za dane osobowe, w szczególności mając na uwadze, że dane te w połączeniu z unikatowymi identyfikatorami i innymi informacjami mogą być wykorzystywane do tworzenia profili i identyfikowania osób. Pewne wskazówki w tym zakresie zawiera motyw 24 RODO, w którym wskazano, że „monitorowanie zachowania” osoby, której dane dotyczą może być także związane z jej obserwowaniem w Internecie, przy czym należałoby ustalić, czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Nie należy jednak z góry zakładać, że w każdym przypadku dane z plików cookies powinny być uznawane za dane osobowe, ponieważ nie w każdym przypadku dane te umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej: „W motywie 30 RODO wskazano, że mogą to być adresy IP, identyfikatory plików cookie – generowane przez urządzenia, aplikacje, narzędzia i protokoły czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Przywołanie wprost tego rodzaju identyfikatorów w definicji danych osobowych nie oznacza, że będą one zawsze uznawane za dane osobowe – do tego rodzaju informacji znajdzie zastosowanie, na ogólnych zasadach, definicja danych osobowych zawarta w komentowanym przepisie”⁸ .

Tym samym można racjonalnie przyjąć, że dane pochodzące z plików cookies należy uznać za dane osobowe, jeśli na podstawie tych danych lub innych okoliczności (np. czasu i miejsca zapisu) z dużym prawdopodobieństwem możliwe jest zidentyfikowanie osoby fizycznej. Zatem nie sam plik cookie (per se), ale jego zawartość, może stanowić dane osobowe. Warto zwrócić przy tym uwagę na motyw 26 RODO, w którym wprost wskazano, że dla celów ustalenia, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Natomiast aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

W praktyce występują jednak różnego rodzaju wyzwania interpretacyjne. Po pierwsze, wątpliwości mogą dotyczyć tego, czy w konkretnych okolicznościach faktycznych dane pochodzące z cookies w ogóle stanowią dane osobowe. Po drugie, jeśli uzna się, że dane pochodzące z cookies stanowią dane osobowe, problematyczne jest to, które podmioty powinny być uznane za administratorów danych, a które za podmioty przetwarzające⁹ . Wiele trudności może sprawić ponadto określenie właściwych podstaw prawnych przetwarzania danych pochodzących z cookies, jak również ustalenie sposobu pozyskiwania zgód na przetwarzanie danych (jeśli nie ma możliwości powołania się na inne podstawy prawne). Wysoce problematyczne jest także zwięzłe i przejrzyste realizowanie obowiązku informacyjnego zwłaszcza w przypadku, gdy w procesach przetwarzania danych bierze udział bardzo duża liczba podmiotów. Rozbudowane komunikaty dotyczące przetwarzania danych osobowych, połączone z informacjami na temat wykorzystywania plików cookies, dla wielu osób pozostają niestety niezrozumiałe lub też z uwagi na rozbudowaną formę są pomijane przez użytkowników.Niejednokrotnie trudno uznać, że takie komunikaty spełniają wymóg zwięzłości i przejrzystości, o którym mowa w art. 12 ust. 1 RODO, zwłaszcza jeśli informacje są bardzo rozbudowane i ogólnikowe.

W tym aspekcie zasadne wydaje się opracowanie standardowych znaków graficznych, o których mowa w art. 12 ust. 7 RODO, które w widoczny, zrozumiały i czytelny sposób przedstawiałyby sens zamierzonego przetwarzania. W celu wypracowania spójnych rozwiązań w tym zakresie, słuszne wydaje się podjęcie stosownych prac przez Komisję Europejską. Zgodnie z art. 12 ust. 8 RODO, ma ona prawo przyjmowania aktów delegowanych w celu określenia informacji przedstawianych za pomocą znaków graficznych i procedur ustanowienia standardowych znaków graficznych.

Podstawy instalowania plików cookies na urządzeniu końcowym a podstawy prawne przetwarzania danych osobowych w związku z korzystaniem z tzw. third party cookies

Dla możliwości legalnego zainstalowania plików cookies na urządzeniu końcowym użytkownika niezbędne jest spełnienie wymogów określonych w art. 173 ust. 1–3 ustawy z 16.7.2004 r. – Prawo telekomunikacyjne¹⁰ . Przepis ten w praktyce od dawna budził wątpliwości interpretacyjne¹¹ . Przykładowo, jeszcze przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679 w literaturze wskazywano, że wątpliwe jest dopuszczenie możliwości wyrażania przez abonenta lub użytkownika końcowego zgody za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym: „Możliwości zastosowania tego przepisu w praktyce budzą wątpliwości. Ustawodawca zakłada bowiem albo niezwykłą łatwość dokonania przez abonenta lub użytkownika końcowego zmian w ustawieniach przeglądarki uniemożliwiających przechowywanie i uzyskiwanie dostępu do wprowadzonych danych przez podmioty zewnętrzne bądź też powszechną wiedzę w tym zakresie. Biorąc pod uwagę wzór przeciętnego abonenta bądź użytkownika końcowego, można mieć co do tego założenia wątpliwości”¹² . Wydaje się, że wątpliwości te w aktualnym stanie prawnym mogą się pogłębiać, zwłaszcza mając na uwadze aktualne brzmienie art. 174 PrTelekom¹³ . Niemniej jednak z uwagi na brzmienie art. 173 ust. 2 PrTelekom wyrażenie zgody w sposób wskazany w tym przepisie nadal wydaje się dopuszczalne^{14 15} .

Niezależnie od przepisów PrTelekom należy jednak rozpatrywać kwestie ewentualnych podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 1 RODO¹⁶ ). W zależności od celów przetwarzania danych pochodzących z cookies, najczęściej wskazywane podstawy prawne to:

1) prawnie uzasadniony interes administratora danych;

2) zgoda osoby, której dane dotyczą;

3) niezbędność przetwarzania dla możliwości zawarcia lub wykonania umowy¹⁷ .

W kontekście możliwości prowadzenia działalności marketingowej oraz śledzenia użytkownika Internetu kluczowe jest ustalenie, w jakich okolicznościach dopuszczalne jest powołanie się na prawnie uzasadniony interes administratora danych, a w jakich konieczna jest zgoda osoby, której dane dotyczą. Problem ten wydaje się istotny – w szczególności w świetle stanowisk prezentowanych przez Grupę Roboczą Art. 29 w Opinii nr 6/2014¹⁸  i Wytycznych 17/PL WP 251 rev. 01¹⁹ , zgodnie z którymi inwazyjne profilowanie i stosowanie praktyk umożliwiających śledzenie danej osoby (w tym polegających na śledzeniu aktywności danej osoby za pośrednictwem różnych stron internetowych, czy w różnych lokalizacjach) nie powinno opierać się na przesłance prawnie uzasadnionego interesu administratora. Wydaje się zatem, że w tych przypadkach, w którychdane zbierane są z różnych źródeł (np. przy pomocy tzw. third party cookies lub wtyczek portali społecznościowych), a następnie wykorzystywane w celach marketingowych, w tym profilowania konkretnych osób przez różne podmioty, właściwą podstawą prawną przetwarzania danych powinna być zgoda osoby, której dane dotyczą. Należy mieć tutaj na uwadze zarówno potencjalną daleko idącą ingerencję w prywatność osoby fizycznej, jak również uzasadnione oczekiwania podmiotów danych co do dalszego wykorzystywania danych.

Natomiast w odniesieniu do danych pozyskanych przy udziale własnych plików cookies (first party cookies) dla ewentualnej możliwości skorzystania z przesłanki prawnie uzasadnionego interesu administratora kluczowe wydaje się przeprowadzenie tzw. testu równowagi, mającego na celu wyważenie podstawowych praw i wolności osoby, której dane dotyczą, względem prawnie uzasadnionych interesów administratora lub strony trzeciej. Ponadto w niektórych przypadkach, mając w szczególności na uwadze Komunikat Prezesa Urzędu Ochrony Danych Osobowych z 17.6.2019 r. w sprawie wykazu rodzajów przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony²⁰ , zasadne wydaje się rozważenie przeprowadzenia oceny, o której mowa w art. 35 RODO. Jako przykłady operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności osób fizycznych skutkujące obowiązkiem dokonania takiej oceny w ww. komunikacie wskazano m.in. profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej, jak również zbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach/historii zakupów, oglądanych programach telewizyjnych lub radiowych itp.

Zasadniczy problem w świetle wskazanych wyżej krajowych regulacji wynika z tego, że (pomimo podniesionych wątpliwości w tym zakresie) polskie przepisy dopuszczają obecnie możliwość „pasywnego” wyrażenia zgody na technologię coookies (tj. poprzez realizację obowiązku informacyjnego oraz ustawienia oprogramowania abonenta lub użytkownika końcowego), jednak tego rodzaju zgoda nie będzie spełniała wymogów zgody na przetwarzanie danych osobowych określonych w art. 7 RODO. Tym samym, jeśli uznamy, że w danych okolicznościach dane pochodzące z plików cookies powinny zostać uznane za dane osobowe, a dla ich legalnego przetwarzania niezbędne jest pozyskanie zgody, trudno przyjąć, że zgoda wyrażona poprzez „ustawienia oprogramowania zainstalowanego w telekomunikacyjnym urządzeniu końcowym” będzie wystarczająca.

Warto mieć przy tym na uwadze, że niektóre europejskie organy nadzorcze stoją na stanowisku, iż w sytuacji, w której podstawą do instalowania cookies jest zgoda użytkownika końcowego (która w ich ocenie i tak powinna spełniać standardy przewidziane dla zgody w rozporządzeniu 2016/679), to powinna ona także stanowić podstawę prawną przetwarzania danych osobowych²¹ , ponieważ stosowanie innych podstaw prawnych przetwarzania przy odbieraniu zgody na cookies może niepotrzebnie dezorientować osoby, których dane dotyczą.

Mając na uwadze powyższe niezbędne jest ustalenie, które podmioty w związku z poszczególnymi procesami przetwarzania danych powinny zostać uznane za administratorów (lub współadministratorów) danych. Rozstrzygnięcie tej podstawowej kwestii może powodować jednak wiele trudności²² .

Wspólne decydowanie o celach i sposobach przetwarzania a współadministrowanie danymi osobowymi

W środowisku internetowym niejednokrotnie występuje sytuacja, w której przy operacjach przetwarzania danych zbieranych przy użyciu technologii śledzących użytkownika (takich jak cookies) uczestniczą różne podmioty. Nie zawsze oznacza to, że wszystkie podmioty mają dostęp do tych danych; rola niektórych ogranicza się w zasadzie, poprzez wybór określonej technologii, do umożliwienia zebrania danych innym podmiotom. Operatorzy stron internetowych bardzo często korzystają z technologii dużych dostawców usług (takich jak Facebook), którzy mogą następnie wykorzystywać zebrane dane we własnych celach. W przypadku korzystania z takich technologii w wielu przypadkach trudno zachować klasyczny podział na administratora danych²³  oraz podmiot przetwarzający dane osobowe w imieniu administratora²⁴ .

Przykładowo – niektóre usługi udostępniane przez globalnych dostawców zakładają pozyskiwanie danych dotyczących zachowań użytkowników Internetu w zamian za możliwość korzystania przez podmioty komercyjne z określonych funkcjonalności. Konkretne funkcjonalności nie muszą być zawsze powiązane z witryną internetową danego podmiotu (np. zauważalny jest trend, w którym małe podmioty, m.in. z uwagi na niższe koszty, nie zakładają własnych witryn internetowych, ale poprzestają na innych rozwiązaniach, takich jak fanpage naportalu społecznościowym).

Można przyjąć, że w większości tego typu przypadków, jeśli w ramach operacji przetwarzania danych osobowych występują podmioty profesjonalne, decydują one w różnym stopniu o celach i sposobach przetwarzania danych osobowych. W zasadzie takie podmioty – wspólnie lub osobno – biorą udział w różnych operacjach realizowanych na danych osobowych.

Zasadnicze pytanie, jakie pojawia się przy tej okazji sprawdza się do tego, czy takie podmioty powinny być uznawane za osobnych administratorów danych, czy też – mając na uwadze całokształt okoliczności – współadministratorów danych w rozumieniu art. 26 RODO. Zdecydowanie prostsze w praktyce wydaje się zastosowanie konstrukcji osobnych administratorów danych – nie ma wówczas konieczności zawierania osobnych porozumień pomiędzy takimi podmiotami²⁵ . Pozostaje natomiast kwestia zapewnienia podstawy prawnej przetwarzania (udostępnienia) danych oraz konieczność prawidłowej realizacji obowiązku informacyjnego (przez każdego z administratorów danych).

Niemniej wydaje się, że przyjęcie konstrukcji współadmistrowania może być w niektórych przypadkach zasadne, w szczególności biorąc pod uwagę, że zprzepisów rozporządzenia 2016/679 w żadnym razie nie wynika, że współadministratorzy muszą w równym stopniu określać cele i sposoby przetwarzania. Stanowisko takie prezentowane jest także w literaturze: „W doktrynie niemieckiej wskazuje się, że współadministrowanie przybierać może dwie podstawowe formy: pełnego i częściowego współadministrowania. W przypadku pełnego współadministrowania, jak wyjaśnia J. Hartung, dochodzi do pełnego i zgodnego działania przy określaniu celów i sposobów przetwarzania. Natomiast przy częściowym współadministrowaniu administratorzy zachowują większą swobodę, a poszczególne podmioty określają jedynie niektóre ze sposobów lub celów. W tym modelu współdecydowanie nie rozciąga się więc równomiernie na wszystkie obszary danego przetwarzania”²⁶ .

Zdaje się jednak, że ewentualne współadministrowanie powinno być ograniczone wyłącznie do tych czynności, w przypadku których w jakimkolwiek stopniu można przypisać element „wspólności”. W związku z tym wątpliwości mogą budzić zauważalne próby „rozciągania” konstrukcji współadministrowania danymi na wszystkie przypadki, w których w przetwarzaniu danych uczestniczą różne podmioty, jednak rola jednego z nich jest marginalna (np. sprowadza się w zasadzie wyłącznie do decyzji o skorzystaniu z określonego oprogramowania, co w konsekwencji umożliwi podmiotowi udostępniającemu takie oprogramowanie zebranie dodatkowych danych). Przykładem takiego podejścia może być stanowisko, jakie znalazło się w ocenie wpływu ochrony danych na przetwarzanie danych dotyczących korzystania z oprogramowania Microsoft Office, przeprowadzonej na zlecenie holenderskiego Ministerstwa Sprawiedliwości i Bezpieczeństwa²⁷ .

W doktrynie²⁸  wskazuje się m.in., że: „do przesądzenia występowania współadministrowania nie jest wystarczająca jakakolwiek relacja pomiędzy odrębnymi (co najmniej dwoma) administratorami danych, a wyłącznie taka, która:

– zakłada tożsamość celów realizowanych przez współadministratorów (…)

– wymaga określonego współdziałania przy ustalaniu celów przetwarzania danych”²⁹ .

Wypada zgodzić się z twierdzeniem, że w świetle orzecznictwa TSUE trudno jest jednoznacznie wskazać kryteria, które powinny przesądzać o zastosowaniu konstrukcji współadministrowania, mając na uwadze, że orzecznictwo wydaje się rozszerzać konstrukcję współadministrowania danymi³⁰ . Artykuł 26 RODO nie daje w zasadzie możliwości umownego określenia relacji występującej pomiędzy podmiotami, co wskazywane jest także w literaturze: „Z treści art. 26 RODO wywodzić można, że współadministrowanie kwalifikować należy jako stan faktyczny, z którym RODO wiąże określone obowiązki i skutki prawne (…) Dla uznania, że mamy do czynienia ze współadministrowaniem za wystarczające uznać należy więc wyłącznie to, że w danym przypadku istnieje co najmniej dwóch administratorów ustalających wspólnie cele i sposoby przetwarzania, niezależnie od przyczyny, dla której pozostają oni w tym stosunku”³¹ .

Mając na uwadze złożoność relacji występujących pomiędzy różnymi podmiotami uczestniczącymi w procesach przetwarzania danych istotne trudności mogą być związane z koniecznością spełnienia wymogów wskazanych w art. 26 RODO, tj. w zakresie:

– zawarcia porozumienia, w którym w przejrzysty sposób współadministratorzy określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia 2016/679;

– udostępnienia zasadniczej treści uzgodnień podmiotom, których dane dotyczą;

– zapewnienia, aby osoba, której dane dotyczą, mogła niezależnie wykonywać przysługujące jej prawa wobec każdego z administratorów.

Wątpliwości mogą zatem dotyczyć nie tylko tego, czy w danym stanie faktycznym w ogóle zachodzi współadministrowanie, ale również tego, w jaki sposób rozłożyć akcenty dotyczące odpowiedzialności poszczególnych współadministratorów w ramach poszczególnych operacji przetwarzania danych. Wreszcie co należy rozumieć przez zasadniczą treść uzgodnień, która powinna być udostępniona podmiotom danych i w jaki sposób powinna być ona przekazywana. W naszej ocenie, przez zasadniczą część uzgodnień należy rozumieć informacje, które są istotne z punktu widzenia osoby, której dane dotyczą, w tym te odnoszące się do przysługujących jej praw i sposobów ich realizacji z wyłączeniem innego rodzaju postanowień (np. szczegółów dotyczących stosowanych zabezpieczeń, wzajemnych rozliczeń, czy innych informacji, które mogą być objęte tajemnicą przedsiębiorstwa)³² . Wydaje się, że w przypadku zastosowania konstrukcji współadministrowania w ramach czynności przetwarzania realizowanych przy udziale narzędzi dostarczanych przez dany podmiot wiodącą rolę przy proponowaniu treści porozumień powinien odgrywać dostawca tych narzędzi (np. Facebook), który odpowiada za dany model biznesowy. W przypadku usług podobnego rodzaju postanowienia dotyczące współadministrowania danymi mogłyby mieć w dużej mierze charakter powtarzalny. Jakkolwiek w takiej sytuacji mogą pojawić się wątpliwości, na ile rozwiązania de facto narzucane przez jedną ze stron można traktować jako „wspólne uzgodnienia” w rozumieniu art. 26 ust. 1 RODO, co zresztą sygnalizowane jest także w doktrynie: „Uzgodnienia między administratorami mają być poczynione wspólnie, co oznacza, że nie powinny być one narzucone jednostronnie przez jednego z współadministratorów”³³ .

Wątpliwości z pewnością mogą dotyczyć także tego, w jaki sposób zapewnić, aby osoba, której dane dotyczą, mogła niezależnie wykonywać przysługujące jej prawa wobec każdego z administratorów, jeśli jeden z administratorów nie uczestniczy w większości procesów przetwarzania danych. Wydaje się, że w takich przypadkach należałoby przyjąć, że możliwość realizacji uprawnień względem każdego ze współadministratorów ogranicza się wyłącznie do tych operacji przetwarzania danych, za które odpowiada dany współadministrator. W przeciwnym razie trudno jest wyobrazić sobie zastosowanie tego przepisu w praktyce.

Wreszcie wypada przyjąć, że zastosowanie konstrukcji współadministrowania nie wyklucza tego, iż w ramach niektórych operacji przetwarzania danych pomiędzy tymi samymi podmiotami mogą występować także relacje o innym charakterze (np. administrator – procesor, lub administrator – administrator). Mogą bowiem występować w praktyce sytuacje, w których cele i środki niektórych operacji przetwarzania są określane wspólnie przez więcej niż jednego administratora, podczas gdy inne realizowane są osobno pod wyłączną kontrolą jednego administratora³⁴ .

Status operatora witryny internetowej oraz podmiotu trzeciego względem danych osób zbieranych w trakcie korzystania z tej witryny przy wykorzystaniu technologii dostarczanych przez podmiot trzeci

Operator witryny internetowej, co do zasady, decyduje samodzielnie o celach i sposobach przetwarzania danych osób odwiedzających jego witrynę. Nie powinno budzić to zasadniczo wątpliwości w sytuacji, w której przetwarza on dane zebrane przy pomocy tzw. własnych plików cookies (ang. first party cookies). Może on oczywiście zlecić realizację poszczególnych operacji przetwarzania danych innym podmiotom, np. podmiotowi świadczącemu usługi marketingowe, czy usługi związane z prowadzeniem strony internetowej, jednak podmioty te nie decydują w takim przypadku o celach lub sposobach przetwarzania danych.

Inaczej sytuacja prezentuje się w przypadku zbierania danych przy użyciu tzw. cudzych plików cookies (ang. third party cookies) lub podobnych technologii (takich jak śledzące pixele, czy wtyczki portalów społecznościowych). Rola operatora witryny internetowej, jak się wydaje, ogranicza się wówczas w większości przypadków do zainstalowania określonego kodu w witrynie internetowej, natomiast nie odpowiada on za późniejsze operacje przetwarzania. Decyzja dotycząca określenia celu i sposobu przetwarzania danych sprowadza się zatem w zasadzie do wyboru określonego narzędzia, które posiada konkretne funkcjonalności. Operator witryny internetowej z założenia nie będzie znał wszystkich celów i sposobów przetwarzania danych realizowanych następnie przez podmiot dostarczający konkretne narzędzie). Dobrze widać to na przykładzie narzędzia Facebooka (wtyczka społecznościowa „Lubię to”). W tym kontekście to podmiot udostępniający określoną technologię, dzięki której pozyskuje on dodatkowe dane, wydaje się w pierwszej kolejności administratorem danych osobowych.

Dyskusyjne wydaje się natomiast uznanie podmiotu, który w procesie przetwarzania danych uczestniczy w bardzo ograniczonym zakresie (np. wyłącznie poprzez zainstalowanie określonego narzędzia umożliwiającego innemu podmiotowi zebranie danych do własnych celów). Takie stanowisko zostało jednak przyjęte w wyroku TSUE z 29.7.2019 r. w sprawie Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV, C-40/17³⁵ . TSUE uznał, że podmiot umieszczający na własnej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, może być uznany za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, przy czym jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa (tj. gromadzenia danych i ich ujawniania poprzez transmisję). Współadministrowanie w ocenie TSUE znajduje zatem zastosowanie wyłącznie do ograniczonego zestawu operacji przetwarzania (gromadzenia i ujawniania danych). W uzasadnieniu wyroku TSUE wskazał, że operacje przetwarzania danych (w tym zbieranie danych i ich ujawnianie poprzez transmisję) dokonywane są zarówno w interesie gospodarczym operatora witryny internetowej umieszczającego wtyczkę społecznościową, jak i podmiotu prowadzącego serwis społecznościowy. Co ciekawe w ocenie TSUE operator witryny może być uznany za administratora danych, pomimo że nie ma dostępu do danych zebranych i przekazanych podmiotowi dostarczającemu wtyczkę społecznościową. Zastosowanie konstrukcji współadministrowania danymi w tym przypadku nie wydaje się intuicyjne – w szczególności mając na uwadze bardzo ograniczoną rolę operatora witryny. Nie chodzi tu nawet o to, że podmiot ten może nie mieć faktycznego dostępu do danych, ale o to, że jego cele nie są tożsame z celami portalu społecznościowego. Bardziej intuicyjne wydawałoby się uznanie podmiotu instalującego wtyczkę społecznościową za procesora (skoro odpowiada on w zasadzie wyłącznie za zebranie i przesłanie danych do dostawcy wtyczki). W tym kontekście trudno wyobrazić sobie zresztą w praktyce rozpatrywanie przez operatora witryny internetowej wniosków podmiotów danych dotyczących przysługujących im praw. Ponadto, przy podejściu zaprezentowanym przez TSUE droga do stosowania konstrukcji współadministrowania danymi w innych sytuacjach, w których rola jednego z podmiotów w procesie przetwarzania danych jest marginalna, pozostaje otwarta. Wydaje się, że w tym konkretnym przypadku konstrukcja współadministrowania została przyjęta w szczególności z uwagi na wspólną korzyść gospodarczą (komercyjną) obydwu podmiotów. Wspólna korzyść komercyjna nie musi jednak oznaczać tożsamości celów przetwarzania danych. Dlatego stanowisko zaprezentowane przez TSUE może budzić wątpliwości, mając przy tym na uwadze, że podmiot, który zamieszcza wtyczkę, nie ma w zasadzie realnego wpływu na późniejsze operacje przetwarzania realizowane przez portal społecznościowy, co zresztą zostało wskazane w uzasadnieniu wyroku³⁶ . W przypadku wtyczki „Lubię to” przyjęta konstrukcja może być jednak zasadna z innych powodów – mianowicie wtyczka ta odsyła bezpośrednio do fanpage podmiotu, który służy do realizacji celów operatora witryny (takich jak zwiększenie zasięgu swojej marki oraz budowania jej wizerunku), jak i celów podmiotu dostarczającego wtyczkę (pozyskanie dodatkowych danych, które mogą być przetwarzane we własnych celach). Niemniej cele te nie są w pełni tożsame, dlatego też wątpliwości nie da się całkowicie wyeliminować. Kwestie dotyczące współadministrowania danymi osób odwiedzających fanpage konkretnego podmiotu zostaną opisane poniżej.

Przetwarzanie danych osobowych użytkowników korzystających z firmowych profili na portalu społecznościowym z uwzględnieniem statusu takich podmiotów

Wiele podmiotów zakłada aktualnie profile (tzw. fanpage) na portalach społecznościowych, np. w celu łatwiejszego nawiązywania relacji z potencjalnymi klientami. W przypadku mniejszych firm fanpage może nawet zastępować własną witrynę internetową. Niewątpliwie administratorem danych użytkowników portalu w pierwszej kolejności jest administrator danego portalu społecznościowego. Pojawia się jednak pytanie, w jakiej roli występuje podmiot, który decyduje o założeniu profilu.

Z jednej strony, podmiot zakładający fanpage realizuje własne cele uczestnicząc w przetwarzaniu danych osób odwiedzających jego profil (a z pewnością tych osób, które aktywnie działają – np. „polubiają” lub komentują określone treści).

Z drugiej strony, całość procesów przetwarzania odbywa się przy wykorzystaniu infrastruktury informatycznej i narzędzi udostępnionych przez podmiot prowadzący dany portal społecznościowy, który zbiera i przetwarza we własnych celach wszelkie dane o użytkownikach i ich zachowaniach w ramach portalu społecznościowego (w tym te, które mają miejsce na fanpage).

Fanpage może być wykorzystywany w różnych celach (np. marketingowym, informacyjnym, realizacji konkursów, itp.). Podmiot zakładający fanpage na określonym portalu ma jednak bardzo ograniczone możliwości w zakresie decydowania o celach i sposobach przetwarzania danych użytkowników tego portalu. Niemniej, w świetle wcześniejszych rozważań – podmioty, które są współadmistratorami mogą w różnym stopniu decydować o celach i sposobach przetwarzania – konstrukcja współadministrowania wydaje się w tym przypadku bardziej zasadna. Cele przetwarzania także w tym przypadku nie są dokładnie takie same, jednak można odnaleźć pewne elementy wspólne, w szczególności mając na uwadze, że administrator fanpage’a może w pewnym zakresie wpływać na przetwarzanie danych przez Facebook (a nie tylko umożliwiać zebranie danych).

Na podobnym stanowisku stanął TSUE w wyroku z 5.6.2018 r. w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16³⁷  wskazując, że administrator fanpage’a prowadzonego na portalu społecznościowym Facebook ponosi z Facebookiem wspólną odpowiedzialność zaprzetwarzanie danych osób odwiedzających fanpage. W tym kontekście racjonalne wydaje się uznanie, że wspólna odpowiedzialność tych podmiotów wiąże się bezpośrednio ze współadministrowaniem. Choć wyrok zapadł na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych³⁸ , ustalenia TSUE pozostają nadal aktualne pod rządami rozporządzenia 2016/679. TSUE zwrócił przy tym uwagę, że administrator fanpage’a niewątpliwie przyczynia się do przetwarzania danych osobowych osób odwiedzających taką stronę (w tym może np. zwrócić się o przetworzenie danych demograficznych jego użytkowników docelowych w celu otrzymania statystyk dotyczących osób odwiedzających fanpage).

Wydaje się jednak, że na gruncie przepisów rozporządzenia 2016/679 status podmiotu, który założył fanpage, będzie różnić się w zależności od czynności przetwarzania dokonywanych przez ten podmiot lub przez portal społecznościowy, a także od wykorzystywanych funkcjonalności. Kwestie te należałoby zatem rozpatrywać indywidualnie z uwzględnieniem konkretnych okoliczności faktycznych. Trudno uznać, że np. w przypadku organizowania konkursów na portalu społecznościowym wspólna odpowiedzialność istnieje w pełnym zakresie zarówno po stronie administratora portalu, jak i podmiotu realizującego konkurs.

Podsumowanie

Przy przetwarzaniu danych dotyczących aktywności użytkowników Internetu mogą brać udział różne podmioty, które w różnym zakresie odpowiadają za poszczególne operacje przetwarzania danych, w tym danych osobowych. W zależności od konkretnych okoliczności faktycznych, dane pochodzące z plików cookies lub zebrane przy pomocy innych, podobnych technologii, mogą zostać uznane za dane osobowe w rozumieniu przepisów rozporządzenia 2016/679.

W świetle aktualnego orzecznictwa TSUE należy mieć na uwadze konieczność wzięcia pod uwagę instytucji współadministrowania danymi, która dotyczy działalności prowadzonej w Internecie przy udziale różnych podmiotów (w szczególności portali społecznościowych).

W orzecznictwie TSUE wyraźnie zarysowała się tendencja do stosowania rozszerzającej wykładni pojęcia „współadministrowania”, zgodnie z którą przyjęcie współadministrowania jest zasadne nawet w sytuacji, w której poszczególne podmioty realizują różne cele przetwarzania danych, a element „wspólności” sprowadza się do ogólnie rozumianego wspólnego interesu gospodarczego. W związku z tym współadministrowanie może ograniczać się tylko do niektórych operacji przetwarzania, w których biorą udział dane podmioty.

Omawiane orzeczenia TSUE mogą wywrzeć istotny wpływ nie tylko na portale społecznościowe i podmioty korzystające w celach komercyjnych z udostępnianych przez takie portale funkcjonalności, ale także na inne podmioty uczestniczące w operacjach przetwarzania danych osobowych w Internecie. W szczególności w przypadku orzeczenia w sprawie Fashion ID, C-40/17, przyjęta tam wykładnia może znaleźć szersze zastosowanie do innych stanów faktycznych, w których wykorzystywane są technologie śledzące użytkowników Internetu, takie jak cudze pliki cookies (third party cookies).

Wydaje się przy tym, że niezależnie od przepisów rozporządzenia 2016/679, zasady wykorzystywania technologii służących śledzeniu użytkowników Internetu (takich jak cookies) powinny zostać spójnie uregulowane na poziomie europejskim, jako że obecnie obowiązująca dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12.7.2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)³⁹  uległa daleko idącej dezaktualizacji. Niestety nadal nie wiadomo jednak, kiedy zostanie uchwalone nowe rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylenia dyrektywy 2002/58 (tzw. „ePrivacy”), nad którym prace trwają już od kilku lat⁴⁰ .

 

Summary:

Social media and technologies that allow tracking Internet users vs joint control of personal data

The article presents issues relating to the joint controllers of personal data as a part of online business. The authors focused on data processing operations involving various entities. The article takes into account the specificity of activities carried out with the participation of social media and other entities using technologies that allow tracking Internet users. As a part of the analysis, the current case law of the CJEU has been presented, which indicates the directions for interpreting the concept of joint controllers in the context of data processing operations performed by various entities.

 

Autorzy: dr hab. Jan Byrski, Henryk Hoser

Artykuł pochodzi z dodatku do Monitora Prawniczego Dostęp do sztucznej inteligencji – równość i inne aspekty prawne dostępu do systemów sztucznej inteligencji (MOP 2019, Nr 21)

 

 

 

---

 ¹   Zob. szerzej A. Mednis, Prawo ochrony danych osobowych wobec profilowania osób fizycznych, Wrocław 2019, s. 46–60.

 ²   Dane pochodzą z Raportu GUS „Społeczeństwo informacyjne w Polsce w 2018 roku”, dostępny na: https://stat.gov.pl/obszary-tematyczne/nauka-i-technika-spoleczenstwo-informacyjne/spoleczenstwo-informacyjne/spoleczenstwo-informacyjne-w-polsce-w-2018-roku,2,8.html.

 ³   Dane pochodzą z raportu „Jak Polacy korzystają z Internetu w poszczególnych województwach”, dostępny na: http://www.gemius.pl/wszystkie-artykuly-aktualnosci/jak-polacy-korzystaja-z-internetu-w-poszczegolnych-wojewodztwach.html

 ⁴   K. Szymielewicz, K. Iwańska, Śledzenie i profilowanie w sieci, dostępny na: https://panoptykon.org/sites/default/files/publikacje/panoptykon raport o sledzeniu final.pdf.

 ⁵   Dane pochodzą z raportu interaktywnie.com „Reklama w Internecie”, dostępny na: https://interaktywnie.com/biznes/artykuly/raporty-interaktywnie-com/raport-interaktywnie-com-reklama-w-internecie-2018-258304.

 ⁶   Zob. szerzej X. Konarski, Profilowanie danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych osobowych – dotychczasowy i przyszły stan prawny w UE oraz w Polsce, MoP Nr 20/2016, s. 51.

 ⁷   Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. L Nr 119 z 4.5.2016 r., s. 1; dalej jako: rozporządzenie 2016/679 lub RODO.

 ⁸   P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Warszawa 2018, s. 194.

 ⁹   W przypadku działalności marketingowej w Internecie występują różne podmioty, m.in. takie jak wydawcy, sieci reklamowe, domy mediowe, agencje interaktywne, czy reklamodawcy. Specyficzną rolę pełnią także serwisy społecznościowe.

 ¹⁰   T. jedn.: z 2018 r. poz. 1954 ze zm.; dalej jako: PrTelekom.

 ¹¹   Zgodnie z art. 173 ust. 1–3 PrTelekom:

„1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:

a) celu przechowywania i uzyskiwania dostępu do tej informacji,

b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; (…)

2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;

3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

4) Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

5) Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego”.

 ¹²   A. Krasuski, Prawo telekomunikacyjne. Komentarz, Warszawa 2015, komentarz do art. 173, Lex/el 2019.

 ¹³   Zgodnie z art. 174 PrTelekom: „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”.

 ¹⁴   Za taką interpretacją przemawia także uzasadnienie do projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, w którym wskazano, że: „Należy zwrócić uwagę, iż projektodawca nie zdecydował się zmienić art. 173 ustawy – PT. W związku z tym kryteria skutecznej zgody, o których mowa w art. 174 ustawy – PT dookreślone są m. in. w art. 173 ust. 2 ustawy – PT.”; druk Sejmu VIII kadencji nr 3050, dostępny na: https://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=3050.

 ¹⁵   Należy jednak zwrócić także uwagę na stanowisko zaprezentowane w orzeczeniu TSUE z 1.10.2019 r. w sprawie Bundesverband der Verbraucherzen­tralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV przeciwko Planet49 GmbH, C-673/17: „art. 2 lit. f) i art. 5 ust. 3 dyrektywy 2002/58 w związku z art. 2 lit. h) dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) rozporządzenia 2016/679, należy interpretować w ten sposób, że zgoda, o której mowa w tych przepisach, nie jest ważna, jeżeli przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym użytkownika strony internetowej, za pośrednictwem plików cookie, zostały zaakceptowane za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody”. Stanowisko TSUE odnosi się wprawdzie do trochę innego stanu faktycznego (za nieważną została uznana zgoda wyrażana za pomocą „domyślnie zaznaczonego okienka wyboru”), wydaje się jednak, że podobne wątpliwości mogą dotyczyć także wyrażania zgody przez abonenta lub użytkownika końcowego w sposób określony w art. 173 ust. 2 PrTelekom, mając w szczególności na uwadze, że ustawienia oprogramowania zainstalowanego w telekomunikacyjnym urządzeniu końcowym mogą np. domyślnie akceptować wszystkie pliki cookies.

 ¹⁶   W ramach pozyskiwania danych przy użyciu plików cookies należy wykluczyć, co do zasady, możliwość zbierania danych wrażliwych, o których mowa w art. 9 ust. 1 RODO. Ewentualne zbieranie tego typu danych wymagałoby osobnej podstawy prawnej (np. wyraźnej zgody osoby, której dane dotyczą).

 ¹⁷   Wiele wątpliwości w kontekście przetwarzania danych przy okazji świadczenia usług drogą elektroniczną budzi treść art. 18 ust. 4 ustawy z 18.7.2002 r. o świadczeniu usług drogą elektroniczną (t. jedn.: Dz.U. z 2019 r. poz. 123 ze zm.), zgodnie z którym usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. Nie jest jasne, czy przepis ten powinien być rozumiany jako zakaz przetwarzania „innych danych” bez zgody osoby (co wydaje się zbyt daleko idące), czy też jedynie jako wskazanie na możliwość oparcia w takim przypadku przetwarzania o zgodę.

 ¹⁸   Opinia 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE (844/14/EN WP 217) przyjęta w dniu 9.4.2014 r., dostępna na: https://archiwum.giodo.gov.pl/pl/1520203/7813.

 ¹⁹   Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, ostatnio zmienione i przyjęte w dniu 6.2.2018 r.

 ²⁰   M.P. z 2019 r. poz. 666.

 ²¹   Przykładowo brytyjski organ ochrony danych (ICO) w swoim poradniku dotyczącym wykorzystywania cookies oraz podobnych technologii („Guidance on the use of cookies and similar technologies”) wskazał: „If the cookies you set aren’t exempt from Regulation 6, then you can only use consent – and this must be of the GDPR standard. This is also the case whether or not personal data is involved. If you have obtained consent in compliance with PECR, then in practice consent is also the most appropriate lawful basis under the GDPR. Trying to apply another lawful basis such as legitimate interests when you already have GDPR-compliant consent would be an entirely unnecessary exercise, and would cause confusion for your users”, dostępny na: https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/.

 ²²   Podobnie N. Bertermann [w:] E. Ehmann, M. Selmayr, Datenschutz-Grundverordnung, Lexis Nexis 2017, s. 561, zwracając uwagę na dokument WP 169 Grupy Roboczej Art. 29.

 ²³   Zgodnie z art. 4 pkt 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

 ²⁴   Zgodnie z art. 4 pkt 8 RODO, „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Zob. szerzej J. Byrski, Outsourcing w działalności dostawców usług płatniczych, Warszawa 2018, s. 376.

 ²⁵   W literaturze zwraca się natomiast uwagę, że w przeciwieństwie do art. 28 RODO odnoszącego się do umowy lub innego aktu prawnego, porozumienie z art. 26 RODO nie wymaga żadnej szczególnej formy. J. Hartung [w:] J. Kuhling, B. Bucher, Datenschutz-Grundverordnung/ BDSG. Kommentar, Monachium 2018, s. 564.

 ²⁶   K. Witkowska-Nowakowska, Komentarz do art. 26 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa i D. Lubasza, Warszawa 2018, s. 618. Podobnie także M. Sakowska-Baryła: „Komentowany przepis nie wymaga, by w owym ustalaniu celów i sposobów przetwarzania każdy ze współadministratorów miał identyczny udział, choć tak właśnie może być – każdy ze współadministratorów może być zaangażowany w równym stopniu. W takim przypadku administratorzy w równym stopniu ustalają, a potem realizują wspólny cel wspólnym dla wszystkich sposobem (sposobami) przetwarzania danych. Relacja współadministratorów nie musi jednak pozostawać symetryczna”; M. Sakowska-Baryła, Komentarz do art. 26 [w:]Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryły, Warszawa 2018, Legalis.

 ²⁷   W dokumencie tym wskazano: „Only data controllers may determine the purposes of the processing. In view of the nature of the data processing as examined in this DPIA, Microsoft does not act as a data processor, but as a data controller. Because government organisations enable Microsoft to process personal data for these purposes, the organisations are joint controllers with Microsoft”, treść dokumentu dostępna na: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.

 ²⁸   D. Karwala, Przekazywanie danych osobowych klientów w grupie kapitałowej instytucji finansowej, „Monitor Prawa Bankowego” Nr 104–105/2019, s. 51.

 ²⁹   Kontrowersyjne jest przyjęcie, że poszczególne osoby fizyczne uczestniczące w procesie przetwarzania danych mogą być uznane za administratorów wspólnie ze wspólnotą religijną, w imieniu której działają. Stanowisko takie zostało zaprezentowane w wyroku TSUE z 10.7.2018 r. w sprawie Tietosuojavaltuutettu przy udziale Jehovan todistajat – uskonnollinen yhdyskunta (C-25/17, ECLI:EU:C:2018:551): „Artykuł 2 lit. d) dyrektywy 95/46 w świetle art. 10 ust. 1 Karty praw podstawowych należy interpretować w ten sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora danych osobowych w odniesieniu do przetwarzania dokonywanego przez tych członków głosicieli w ramach zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, przy czym nie jest konieczne, by wspomniana wspólnota miała dostęp do danych, ani nie musi zostać ustalone, że udzielała ona swoim członkom pisemnych wytycznych lub instrukcji dotyczących tego przetwarzania”. Wydaje się jednak, że poszczególne osoby fizyczne działające w ramach zorganizowanych struktur (takich jak wspólnota religijna) trudno uznać za administratorów danych, nawet jeśli posiadają jakąś autonomię w zakresie podejmowania decyzji co do zbierania danych dotyczących konkretnych osób. W takim przypadku za administratora danych można by uznać także przedstawiciela handlowego, który działa przecież w imieniu i na rzecz firmy, którą reprezentuje, może jednak posiadać pewnego rodzaju autonomię (np. w zakresie tego, w którym rejonie będzie działał). W tego typu sytuacjach prawidłowa i w pełni wystarczająca wydaje się instytucja upoważnienia (art. 29 RODO).

 ³⁰   Zob. szerzej D. Karwala, Przekazywanie danych osobowych klientów w grupie kapitałowej instytucji finansowej, „Monitor Prawa Bankowego” Nr 104–105/2019, s. 51–53.

 ³¹   M. Sakowska-Baryła, Komentarz do art. 26 [w:]Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryły, Warszawa 2018, Legalis.

 ³²   Zob. szerzej P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, komentarz do art. 26, s. 331–332.

 ³³   Ibidem, s. 330.

 ³⁴   Zob. szerzej B. Van Alsenoy, Regulating Data Protection. The allocation of responsibility an risk among actors involved in personal data processing, KU LEUVEN Centre for IT&IP LAW, 2016, s. 56–77.

 ³⁵   Legalis.

 ³⁶   W uzasadnieniu wskazano, że: „operacjami przetwarzania danych osobowych, których cele i sposoby Fashion ID może określać wspólnie z Facebook Ireland, są (…) gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję. Natomiast w świetle wspomnianych informacji wydaje się prima facie wykluczone, by Fashion ID określała cele i sposoby późniejszych operacji przetwarzania danych osobowych, dokonywanych przez Facebook Ireland po przekazaniu tych danych tej ostatniej spółce, wobec czego Fashion ID nie można uznać za administratora w odniesieniu do tych operacji”.

 ³⁷   Legalis.

 ³⁸   Dz.Urz. L Nr 281 z 23.11.1995 r., s. 31 ze zm.

 ³⁹   Dz.Urz. L Nr 201 z 31.7.2002 r., s. 37; dalej jako: dyrektywa 2002/58.

 ⁴⁰   Ostatnia wersja projektu rozporządzenia ePrivacy z propozycjami zmian została opublikowana w dniu 4.10.2019 r.; dostępna na: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST 12633 2019 INIT