CJUE a stabilt că firmele care administrează pagini de fani de pe rețeaua de socializare Facebook sunt considerați operatori de date personale și sunt obligate să ia măsuri pentru a proteja datele vizitatorilor.
În acest context, specialiștii atenționează că raționamentul CJUE poate fi aplicat cu ușurință și atunci când firmele folosesc pagini de fani pe alte rețele, cum ar fi LinkedIn, Google+, Instagram sau Twitter.
„Atrag atenția asupra faptului că raționamentul Curții este aplicabil nu numai în legătură cu paginile Facebook, ci și în legătură cu prelucrările din alte rețele de socializare, în măsura în care administratorii paginilor din aceste alte rețele de socializare prelucrează date în moduri similare cu cele avute în vedere în cauza [referitoare la Facebook]”, a precizat, la solicitarea redacției noastre, Costin Sandu, senior attorney at law la Schoenherr și Asociații.
În plus, concluzia judecătorilor europeni poate fi valabilă chiar și în cazul firmelor care au site-uri și care folosesc servicii de statistici de trafic, precum Google Analytics.
„Având în vedere raționamentul deciziei CJUE, efectele acesteia ar putea să se extindă și cu privire la deținătorii de site-uri care utilizează platforme ale terților, sau care utilizează script-uri de tipul celor oferite de Google Analytics, existând similarități între aceste servicii și cele oferite de Facebook pentru administratorii de fan page”, ne-a spus Simona Radu, associate partner, Fraud Investigation & Dispute Services, EY România.
Costin Sandu spune că recenta decizie a CJUE a confirmat abordarea prudentă a unei părți a practicii din România pe partea de date personale și rețele de socializare.
„Era clar că administratorii de pagini în rețelele de socializare prelucrează datele persoanelor cu care intră în contact direct pe pagină (prin postări sau click-uri). Cu această decizie, este clar și că administratorii acestor pagini prelucrează datele cu caracter personal ale persoanelor care vizitează pagina chiar și fără a interacționa cu aceasta în mod efectiv, în măsura în care administratorii folosesc date de trafic sau de localizare obținute prin intermediul cookie-urilor rețelei de socializare. Abordarea este aceeași ca în cazul unui website obișnuit care folosește cookie-uri, doar că acum acele cookie-uri nu sunt sub controlul administratorului”, a explicat specialistul de la Schoenherr și Asociații.
Anca Atanasiu, avocat senior al practicii de data protection la Radu și Asociații SPRL | EY Law, a subliniat, pentru redacția noastră, faptul că simpla permisiune acordată rețelei Facebook de a plasa cookie-uri pe calculatoarele vizitatorilor o transformă pe firmă în operator de date. Practic, compania este operator deși ea nu primește decât informații sub forma unor statistici.
„Ce este cu adevărat interesant este raționamentul pe care CJUE l-a făcut pentru a stabili calitatea de operator a administratorului paginii pentru fani. Astfel, deși administratorul nu are acces la datele personale colectate, acesta obținând de la Facebook doar informații depersonalizate și agregate sub forma unor statistici, simpla permisiune acordată Facebook de a plasa pe calculatoarele utilizatorilor fișiere cookie (permisiune acordată implicit prin acceptarea termenilor și condițiilor de utilizare a serviciului pus la dispoziție de Facebook) îl plasează pe administratorul paginii sub incidența noțiunii de operator, acesta contribuind și răspunzând în solidar cu Facebook la stabilirea scopului și mijloacelor de prelucrare a datelor personale aparținând vizitatorilor paginii”, a lămurit Anca Atanasiu.
GDPR prevede ideea de control în comun, fiind folosită noțiunea de operatori asociați. Asta înseamnă că operatorii asociați trebuie să stabilească ce responsabilități au printr-un acord.
„Conceptul de control în comun a fost transpus în GDPR prin introducerea noțiunii de operatori asociați (joint controllers). Conform noii reglementări, operatorii asociați au obligația de a stabili în mod transparent responsabilitățile fiecăruia, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și obligația de informare a acestora cu privire la activitățile de prelucrare a datelor personale, prin încheierea unui acord între ei. Esența acordului trebuie să fie făcută cunoscută persoanelor vizate”, a precizat Anca Atanasiu.
Specialista de la Radu și Asociații SPRL | EY Law conchide că judecătorii CJUE au extins, practic, sfera noțiunii de operator, ceea ce înseamnă că orice persoană care contribuie la prelucrarea datelor personale răspunde împreună cu operatorul:
„Decizia CJUE lărgește, astfel, sfera aplicării noțiunii de operator, chiar și în context GDPR. Interpretând în sens larg această decizie, orice persoana fizică sau juridică, care contribuie la prelucrarea datelor cu caracter personal, chiar și prin simpla stabilire a unor parametri sau a unor criterii în funcție de care sunt realizate statistici relevante pentru activitatea sa, indiferent dacă aceasta are sau nu acces la datele personale colectate și prelucrate, va răspunde în solidar cu operatorul care întreprinde efectiv activitățile de prelucrare”.
Începând cu data de 25 mai 2018, UE are un cadru legal unic în materie de date personale, reprezentat de GDPR (Regulamentul general privind protecția datelor). Acesta se aplică direct tuturor statelor membre UE, deci și României, astfel că firmele care prelucrează date personale trebuie să-i respecte prevederile.
Hotărârile CJUE conțin interpretări obligatorii pentru instanțele UE care se pot confrunta cu spețe asemănătoare. Cu alte cuvinte, dacă românii cheamă firmele în instanță pentru că acestea nu-și respectă obligațiile de protecție a datelor inclusiv în cazul paginilor administrate pe Facebook, companiile pot fi trase la răspundere.