Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Przetwarzanie danych osobowych - jakie są granice?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Meta Platforms Inc. (dawniej Facebook Inc.) przegrał przed Trybunałem Sprawiedliwości Unii Europejskiej w sprawie dotyczącej uchylenia decyzji niemieckiego urzędu antymonopolowego, który to zobligował Meta Platforms Inc. (dalej także: ,,Meta”) do zrewidowania założeń przyjętego modelu biznesowego. Przyjrzyjmy się na kanwie jakiej sprawy zapadło orzeczenie TSUE i jaki wpływ powinno wywrzeć na strategie marketingowe firm w temacie jakim jest przetwarzanie danych osobowych użytkowników? Sprawdźmy!

Przetwarzanie danych osobowych przez portale internetowe

Trybunał Sprawiedliwości Unii Europejskie jednoznacznie orzekł, iż niemieckie Federalne Biuro Antymonopolowe nie przekroczyło swoich uprawnień, nakładając na platformę amerykańskiego giganta zakaz formułowania w umowach z użytkownikami platformy klauzul, uzależniających korzystanie z platformy od wyrażenia przez nich zgody na przetwarzanie danych osobowych także poza samą platformą Facebook. 

Wymuszanie przez Metę zgody na profilowanie służyć miało śledzeniu użytkowników platformy oraz personalizacji reklamy kierowanej bezpośrednio do „profilowanego” użytkownika – tak, m.in. motywował swoje stanowisko TSUE w orzeczeniu z dnia 4 lipca 2023 r., C-252/21. Wyrok TSUE nie pozostaje jedynie przestrogą dla największych platform internetowych pokroju Mety, ale i także staje się przyczynkiem do dyskusji nad granicami przetwarzania danych osobowych przez przedsiębiorców funkcjonujących w sieci, a także konieczności wdrożenia przez nich transparentnej i odpowiadającej obowiązującym regulacjom polityki przetwarzania danych osobowych, zwłaszcza w kontekście pozyskiwania zgody użytkownika na przetwarzanie jego danych. 

Zarzewie sporu a wcześniejsze nadużycia Mety

W 2019 r. niemieckie Federalne Biuro Antymonopolowe w wydanej decyzji wezwał Facebook Inc. (obecnie Meta Platforms Inc.) do zaprzestania posługiwania się w umowach z użytkownikami klauzulami uzależniającymi korzystanie z platformy od uprzednio wyrażonej przez nich zgody na przetwarzanie ich danych osobowych także poza samym Facebookiem – a ściślej – pomiędzy platformami wchodzącymi w skład holdingu Facebook Inc (m.in. komunikator Whatsapp). 

Najprościej rzecz ujmując, Meta w swojej praktyce wykorzystywała tworzenie profili użytkowników użytkujących poszczególne narzędzia Meta Platforms i posługiwała się przy tym danymi z innych aplikacji lub aplikacji podmiotów trzecich, co bezpośrednio wpłynęło na decyzję wydaną przez niemieckie Federalne Biuro Antymonopolowe. 

Warto przy tym zaznaczyć, że nadużycia Mety na gruncie przetwarzania danych osobowych użytkowników korzystających z platformy nie są pierwszym „incydentem” rzutującym na reputację i samą politykę prowadzoną przez amerykański holding – jeszcze w 2018 r. Europejska Rada Ochrony Danych nałożyła na Metę karę finansową 390 mln euro w związku z wymuszaniem na użytkownikach platformy zgody na profilowanie w celach reklamy. 

Z decyzją wydaną przez Federalne Biuro Antymonopolowe nie zgodziła się Meta i jednocześnie zaskarżyła ją do Trybunału Sprawiedliwości Unii Europejskiej.

Zarówno sprawę z 2018 r., jak i stan faktyczny będący podstawą dla wydanego przez TSUE orzeczenia łączy „wspólny mianownik” – a mianowicie – kwestia omijania przez amerykański koncern przepisów RODO i konsekwencji z tym związanych. 

Pytania prejudycjalne stanowiące podstawę orzeczenia TSUE

W związku z zainicjowanym postępowaniem, Trybunałowi Sprawiedliwości Unii Europejskiej zadano, m.in. następujące pytania:

  1. Czy jeżeli gromadzone są dane o wywoływaniu stron internetowych i aplikacji powiązanych z danymi wrażliwymi (jak np. aplikacje randkowe) to czy mamy do czynienia z przetwarzaniem takich danych wrażliwych? Jeżeli tak, to czy można powiedzieć, że użytkownik upublicznił takie dane w sposób oczywisty, jeżeli skorzystał z wtyczki portalu społecznościowego?
  2. Na jakie podstawy prawne może powoływać się przedsiębiorstwo, takie jak Meta Platforms Ireland, w związku z gromadzeniem danych off-Facebook, łączeniem ich z kontem użytkownika w serwisie Facebook i wykorzystaniem w celu generacji reklam? Czy możliwe jest uznanie takich danych za niezbędne do wykonania umowy, która dotyczy założenia konta na portalu Facebook przez użytkownika?
  3. Czy za dopuszczalną prawnie podstawę przetwarzania danych z kilku narzędzi lub danych off-Facebook można uznać uzasadniony cel administratora, związany z:
    1. świadczeniem usług pomiarowych, analitycznych i innych usług biznesowych dla reklamodawców, deweloperów i innych partnerów, w celu umożliwienia im oceny i poprawy swoich usług, a także przekazywaniem komunikacji marketingowej?
    2. weryfikacją wieku użytkowników w celu personalizacji treści i reklam, doskonalenia produktów, zapewnienia bezpieczeństwa sieci i prowadzenia komunikacji o charakterze niehandlowym z użytkownikiem?
  4. Czy podstawa prawna dla zbierania danych spoza Facebooka może być inna niż te wskazane w RODO?
  5. Czy można wyrazić przed przedsiębiorstwem zajmującym pozycję dominującą na rynku, takim jak Meta Platforms Ireland, skuteczną i dobrowolną zgodę na przetwarzanie danych osobowych? 

Istotne wnioski płynące z wyroku TSUE 

TSUE wydanym orzeczeniem z dnia 4 lipca 2023 r. w sprawie C-252/21, przypomniał, że w kontekście przetwarzania danych osobowych istnieje wyłącznie sześć podstaw, ściśle określonych przez RODO, które zezwalają na ich przetwarzanie, zaś uzyskanie zgody użytkownika stanowi jedną z nich.

Stanowi o tym wprost art. 6 ust. 1 pkt RODO, zgodnie z którym, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach – i w takim zakresie - w jakim spełniony jest co najmniej jeden z poniższych warunków – zgodnie z pkt a) ww. przepisu – gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

TSUE podkreślił aspekt pełnej świadomości użytkownika w wyrażeniu przez siebie zgody na przetwarzanie danych osobowych w przypadku wszelkich innych celów takiego przetwarzania – co Meta zdecydowanie wymuszała na użytkownikach platformy. 

W ocenie TSUE, sama zgoda użytkownika nie może być „koniecznością”, bowiem jej brak wyłączy użytkownikowi możliwość korzystania z podstawowej usługi – co również praktykował amerykański koncern, motywując, iż profilowanie użytkowników i personalizowanie reklam, było konieczne dla korzystania z platformy.

TSUE jednoznacznie opowiedział się za stanowiskiem, zgodnie z którym, jeśli Meta oferuje różne usługi w ramach swojej platformy, z których to użytkownicy mogą korzystać niezależnie od pozostałych, to w odniesieniu do każdej z nich powinno dojść do zawarcia odrębnej umowy. Zasada jest prosta – w przypadku zarejestrowania przez użytkownika konta na jednym z portali administratora, to administrator nie może operować na innym portalu danymi uzyskanymi z zewnętrznych źródeł. 

Wydanym wyrokiem TSUE jasno określił, iż Meta nie legitymuje się interesem, uzasadniającym przetwarzanie danych osobowych korzystających z platformy dla celów reklamowych, bowiem przede wszystkim to prawa użytkowników – a nie „pierwszeństwo interesu” Mety – w pierwszej kolejności powinny być brane pod uwagę. 

Trybunał wydanym orzeczeniem naprowadził, iż każdorazowo w przypadku wątpliwości krajowego organu ochrony konkurencji, co do możliwego wykorzystywania przez przedsiębiorstwo swojej pozycji dominującej w sposób nieuczciwy, organ powinien zbieżnie zweryfikować czy nie pogwałcone zostały także przepisy RODO. Nadto, TSUE zaznaczył, iż samo zajmowanie przez „giganta internetowego” dominującej pozycji na rynku, będącego jednocześnie administratorem danych, nie uniemożliwia użytkownikowi skutecznego – a co najistotniejsze – odpowiadającego przepisom RODO, wyrażania przez nich zgody na przetwarzanie danych osobowych.

Wyrok TSUE przestrogą dla przedsiębiorców

Wyrok TSUE ma niebagatelne znaczenie nie tylko dla największych przedsiębiorstw działających w sieci, rzędu Meta Platforms, ale i przede wszystkim dla ,,zwykłych” przedsiębiorców działających w sieci, zwłaszcza w kontekście prowadzonej przez siebie polityki przetwarzania danych osobowych użytkowników, w tym sposób uzyskiwania przez nich zgody na przetwarzanie danych osobowych użytkowników. Orzeczenie TSUE niewątpliwie powinno stać się przyczynkiem do zrewidowania obowiązującej u przedsiębiorców polityki przetwarzania danych osobowych, w tym strategii marketingowych, a w przypadku stwierdzenia możliwych niezgodności z RODO, odpowiedniego ich dostosowania do obowiązujących wymogów prawnych. 

Podstawa prawna

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.),
  • Wyrok Trybunału (wielka izba) z dnia 4 lipca 2023 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberlandesgericht Düsseldorf - Niemcy) - Meta Platforms Inc., dawniej Facebook Inc., Meta Platforms Ireland Limited, dawniej Facebook Ireland Ltd., Facebook Deutschland GmbH/Bundeskartellamt [Sprawa C-252/21 1 , Meta Platforms i in.(Ogólne warunki korzystania z sieci społecznościowej) (Dz. U.UE. C z dnia 21 sierpnia 2023 r.).

Materiał opracowany przez zespół „Tak Prawnik”.
Właścicielem marki „Tak Prawnik” jest BZ Group Sp. z o.o.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów