2019. gada 29. jūlijā Eiropas Savienības tiesa pasludināja ilgi gaidīto spriedumu lietā Nr. C-40/17 “Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV”. Galvenais tiesas secinājums: interneta vietnes (“mājaslapas”), kurā ieguldīta Facebook “Patīk” poga, īpašnieks, no vienas puses, un sociālais tīkls Facebook, kam tiek nosūtīti vietnes apmeklētāju dati, no otras puses, var būt apstrādāto datu kopīgi pārziņi Vispārējās datu aizsardzības regulas 26. panta izpratnē.
Lietas fakti un konteksts
Vācijas apģērbu mazumtirgotājs Fashion ID savā mājaslapā bija ieguldījis Facebook “Like” pogu. Līdz ar pogas ieguldīšanu konkrētajā vietnē, katra mājaslapas apmeklētāja dati automātiski tika pārsūtīti Facebook Ireland. Būtiski, ka pārsūtīti tika patiešām katra apmeklētāja dati, pašiem pircējiem to nezinot, un neatkarīgi no tā, vai viņiem ir savs profils Facebook sociālajā tīklā un vai viņi bija uzklikšķinājuši uz “Patīk” pogas.
Pret šādu rīcību iebilda Vācijas patērētāju aizsardzības asociācija Verbraucherzentrale NRW, kritizējot apmeklētāju datu pārsūtīšanu bez viņu piekrišanas un bez jebkādas informācijas sniegšanas.
Lietu izskatošā tiesa vērsās pie Eiropas Savienības tiesas (EST) ar lūgumu izskaidrot, vai mājaslapas pārvaldītājs (Fashion ID), kas tajā ievieto sociālo spraudni, ar kura palīdzību ir iespējams vākt personas datus, var tikt uzskatīts par personas datu apstrādātāju, pat, ja tam nav nekādas ietekmes uz to, kā šā spraudņa piedāvātājam pārsūtītie dati tiek apstrādāti.
Būtiski, ka Facebook prakse ar datu automātisku vākšanu un pārsūtīšanu no jebkuras vietnes, kurā ir ieguldīta viņu “Patīk” poga, nav jaunums – vismaz pēdējo gadu laikā tai pievērsta pastiprināta uzmanība. Šī datu vākšana un “ēnu profilu” izveide analizēta jau vairāku tieslietu, administratīvu procesu un debašu ietvaros. Turklāt pogu daudzums mājaslapās ir iespaidīgs – piemēram, laikaposmā no 2018. gada 9. līdz 16. aprīlim “Patīk” poga bija redzama 8,4 miljonos mājaslapu.
Tiesas secinājums
EST norādīja, ka Fashion ID nevar tikt atzīts par datu pārzini attiecībā uz datu apstrādi, ko veic Facebook Ireland pēc datu saņemšanas. Šajā brīdī Fashion ID vairs nekādā veidā nevar noteikt vai ietekmēt datu apstrādes nolūkus un to, kā tas tiek darīts. Tomēr attiecībā uz darbībām, kas norisinās, pirms dati tiek nodoti – t.i., uz to vākšanu Fashion ID mājaslapā un nodošanu Facebook – Fashion ID tomēr var tikt uzskatīts par kopīgu pārzini kopā ar Facebook. Šajā gadījumā datu apstrādes nolūku un veidu, kā dati tiek apstrādāti, var noteikt abi uzņēmumi.
Tas, ka konkrētajā gadījumā tā arī tika darīts, tika secināts no EST rīcībā esošajiem lietas materiāliem. EST norādīja, ka Fashion ID bija jāapzinās, ka ievieto savā mājaslapā rīku personas datu vākšanai un pārsūtīšanai. Tiesa norādījusi, ka Fashion ID (vismaz netieši) piekritusi šādai datu apstrādei, lai nodrošinātu saviem pārdodamajiem produktiem lielāku publicitāti, t.i., rīkojoties savās ekonomiskajās interesēs.
EST ieskatā, šādu mājaslapu operatoriem kā kopīgajiem pārziņiem ir obligāti jāinformē vietnes apmeklētāji par to datu vākšanu, nodrošinot informāciju par pārziņa identitāti un datu apstrādes nolūkiem:
- Ja kā datu apstrādes tiesiskais pamats tiek uzskatīta personas piekrišana, vietnes operatoram pirms datu apstrādes ir jāsaņem atsevišķa un unikāla datu subjekta piekrišana konkrēto datu vākšanai un nodošanai Facebook.
- Savukārt, ja datu apstrādes pamats ir leģitīmās intereses, katram no kopīgajiem pārziņiem (t.i., gan mājaslapas operatoram, gan sociālā spraudņa nodrošinātājam) ir jāpastāv leģitīmajām interesēm datu vākšanai un pārsūtīšanai.
Ko tas nozīmē mājaslapu īpašniekiem?
Argumenti par to, ka “Patīk” pogas ieguldīšana vietnē ir uzņēmuma ekonomiskajās interesēs, ir piemērojama gandrīz katrai vietnei un uzņēmumam. Tādēļ secinājums par kopīgo kontroli būtu piemērojams jebkuram uzņēmumam, kas darbojas komerciālos nolūkos un savā mājaslapā ir ieguldījis “Patīk” pogu – tai skaitā, protams, arī Latvijas tirgotājiem. Turklāt datu nodošana notiek ne tikai ar “Patīk” pogas starpniecību, bet arī, piemēram, piedāvājot pieslēgties konkrētajā mājaslapā ar sociālā tīkla pases starpniecību. Tāpat sprieduma “galvenais varonis” Facebook ir norādījis, ka arī citi sociālie tīkli, piemēram, LinkedIn un Twitter, lieto līdzīgus spraudņus, uz kuriem tāpat varētu attiekties spriedumā izteiktie secinājumi. Tātad pienākumi aptver arī šos un līdzīgos sociālos tīklus.
Tas savukārt nozīmē, ka uzņēmumiem ir būtiski jāpapildina savas privātuma politikas ar informāciju par iespējamo datu nodošanu sociālajiem tīkliem.
Ir maz ticams, ka gan sociālajam tīklam, gan mājaslapas īpašniekam būtu iespējams pamatot leģitīmās intereses šādu datu apstrādei. Turklāt tad šāds tiesiskais pamats prasītu arī daudz resursu: mājaslapas īpašniekam būtu jāveic leģitīmo interešu izvērtējums. Savukārt, ja kā datu apstrādes pamats izvirzīta personas piekrišana, tikai pēc šādas piekrišanas saņemšanas vietne drīkstētu uzsākt sociālā tīkla spraudņa darbību. Tas nozīmē mājaslapu īpašnieku pienākumu iegūt šādu piekrišanu, piemēram, ar uzlecošajiem paziņojumiem (līdzīgi kā sīkdatņu gadījumā). Īpašniekiem arī nepieciešams pārveidot spraudņa darbību, lai nodrošinātu, ka dati netiek nosūtīti sociālajiem tīkliem pirms jautājuma saņemšanas un apstiprinošas atbildes iesniegšanas.
Gaidāms, ka Facebook arī pārveidos “Patīk” pogu darbību, lai ievērotu spriedumu, tomēr vēl nav zināms, kad tas varētu notikt.