SIMPLIFYING MATTERS

x
Info career

info centre

Spiest “Like” vairs nebūs tik vienkārši

2019-09-30

Eiropas Savienības Tiesa šī gada 29. jūlijā pieņēma spriedumu lietā C-40/17, paredzot lielākus pienākumus un smagāku atbildību gan tiešajiem personas datu apstrādātājiem, gan tiem, kas tikai nodrošina datu iegūšanas platformu.

Lietas būtība

Tīmekļvietnē iestrādājot spraudni, t.i., “Facebook” pogu like (patīk), informācija par vietnes lietotāja IP adresi un pārlūkprogrammu tiek pārsūtīta “Facebook” neatkarīgi no tā, vai lietotājs nospiedis pogu like un vai viņam ir “Facebook” konts vai nav. Šobrīd “Facebook” like poga iekļauta aptuveni 8,4 milj. tīmekļvietņu.

Vācijas uzņēmums “Fashion ID”, kas veic modes preču tirdzniecību tiešsaistē, iestrādājot savā mājaslapā “Faceebook” like pogu, sniedz “Facebook Ireland”, kas ir “Facebook” galvenā biroja mītne Eiropas reģionā, piekļuvi un atļauju izmantot mājaslapas apmeklētāju informāciju un datus, neinformējot par to apmeklētājus, kā arī nesniedzot iespēju no tā atteikties.

Vācijas sabiedriskā labuma organizācija “Verbraucherzentrale NRW”, pārmetot “Fashion ID” šādu rīcību, iesniedza prasību Vācijas tiesā, lūdzot pārtraukt datu aizsardzības pārkāpumus. Vācijas apelācijas instances tiesa, izskatot lietu un neesot pārliecināta, kam ir pienākums informēt datu subjektu par viņa personas datu pārstrādi un saņemt tā piekrišanu, vērsās Eiropas Savienības Tiesā (EST) ar prejudiciālo jautājumu par Eiropas Parlamenta un Padomes direktīvas 95/46/EK par personas aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti interpretāciju.

Tiesas spriedums

Lejot, vai tādu tīmekļvietnes pārvaldītāju kā “Fashion ID” var uzskatīt par personas datu pārzini direktīvas izpratnē, EST vērsa uzmanību uz savu judikatūru, kurā norādīts: ja persona savās interesēs ietekmē fiziskas personas datu apstrādi un tāpēc piedalās šīs apstrādes nolūku un mērķu noteikšanā, tā var tikt uzskatīta par personas datu pārzini direktīvas izpratnē. Judikatūrā arī norādīts, ka tad, ja ir vairāki nolūku noteicēji, viņiem visiem nav jābūt pieejamiem personas datiem. Tas nozīmē, ka katra iesaistītā persona ir atbildīga par savu daļu nodarījuma tikai saistībā ar tās noteiktajiem nolūkiem.

Šāda plaša datu apstrādes pārziņa jēdziena piemērošana pamatota ar mērķi nodrošināt augsta līmeņa aizsardzību fizisku personu pamattiesībām un brīvībām, īpaši viņu tiesībām uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi.

Līdz ar to tiesa konstatēja, ka tāds tīmekļvietnes pārvaldītājs kā “Fashion ID”, izvietojot savā mājaslapā sociālos spraudņus, piemēram, “Facebook” like pogu, un tādējādi dodot “Facebook Ireland” piekļuvi šī apmeklētāja personas datiem, uzskatāms par fiziskas personas datu pārzini. No tā izriet, ka arī mājaslapa atbildīga par tās apmeklētāju fiziskās personas datu aizsardzības pārkāpumu.

Tāpat iesniedzējtiesa uzdeva jautājumu, kam piemērojama atbildība par “Fashion ID” mājaslapas apmeklētāju informēšanu par viņa datu apstrādi un viņa piekrišanas saņemšanu. EST norādīja: tā kā gan “Fashion ID”, gan “Facebook Ireland” uzskatāmi par personas datu pārziņiem direktīvas izpratnē, tad abiem ir pienākums veikt šīs darbības. Bet, tā kā “Fashion ID” nevar ietekmēt kā “Facebook Ireland” izmanto personas datus un informāciju, “Fashion ID” var sniegt apmeklētājiem informāciju tikai par nolūkiem un mērķiem, kam viņi to izmanto.

Turpmākais scenārijs

EST sprieduma rezultātā visas datu apstrādē iesaistītās puses, kas kopīgi to kontrolē, ir atbildīgas par mājaslapas apmeklētāja piekrišanas saņemšanu. Tas nozīme, ka turpmāk atbildība par personas datu apstrādi un izmantošanu nebūs tikai tādām vietnēm kā “Facebook”, kas izvieto savus spraudņus citās mājaslapās, bet atbildība būs kopīga ar konkrēto mājaslapu.

Ņemot vērā šos apstākļus, “Facebook” plāno mainīt like pogas pielietošanas politiku, lai tā atbilstu fiziskās personas datu aizsardzības prasībām. Tomēr, “Facebook” vēl nav skaidri noteicis, kad gaidāmas šādas pārmaiņas un kā tieši tās izpaudīsies.

Tā kā “Facebook” nav vienīgā lietotne, kas izmanto šāda tipa spraudņus, arī pārējiem sociālajiem tīkliem, kas tos izmanto, kā arī mājaslapām, kuras izvieto spraudņus, sava darbība būs jāpiemēro jaunajām prasībām.

Ņemot vērā, ka atbildību par fizisku personu datu apstrādi turpmāk šādas situācijās dalīs, mājaslapām, kas izvieto spraudņus, ieteicams noslēgt kopīgās kontroles sadarbības līgumus ar tādiem sociālo spraudņu izvietotājiem kā “Facebook”. Savukārt, ja mājaslapas pirms informācijas nosūtīšanas, izlems saņemt apmeklētāja piekrišanu, spraudņu izvietošana būs jāveic pēc piekrišanas saņemšanas, jo pretējā gadījumā nosūtīšana būs veikta jau pirms piekrišanas saņemšanas. Nav ieteicams izmantot jau iepriekš atzīmētas “kastītes”, kurās apmeklētājam tikai jānospiež, ka viņš tam piekrīt, jo šādi samazinās iespēja, ka apmeklētājs izlasīs un iepazīstinās sevi ar mājaslapas noteikumiem un personas datu lietojumu nolūkiem.

Tāpat arī mājaslapām, kas izvieto spraudņus, ieteicams nodrošināt, ka noteikumi un personas datu apstrādes nolūki ir caurspīdīgi un tiem ir juridisks pamats personas datu saņemšanai un apstrādei. Uzņēmumiem nepieciešams izskaidrot personas, kuras dati tiek apstrādāti, tiesības un norādīt, kā tās datu apstrādās un informāciju izmantos, lai nerastos pārpratumi un viss būtu saprotams arī cilvēkam, kas nav speciālists personas datu apstrādē.

Vienlaikus uzņēmumiem aplūkotais EST spriedums nozīmē, ka turpmāk jāpievērš lielāka uzmanība attiecībām ar pakalpojuma nodrošinātājiem, jo nereti rodas situācija, kad pakalpojuma nodrošinātāji mēģina izvairīties no atbildības. Noslēdzot sadarbības līgumus ar pakalpojuma nodrošinātājiem, jāpievērš uzmanība un jāuzskaita katras puses konkrētie pienākumi un atbildība attiecībā uz personas datu apstrādi.

Ņemot vērā gan pašmāju, gan citu Eiropas Savienības dalībvalstu datu apstrādes uzraudzības iestāžu aktivitāti, sagaidāms, ka interneta vietnēs iekļauto sociālo tīklu spraudņu izmantošanas kontrole būs nākamā gada aktualitāte. Attiecīgi uzņēmumiem, kas šādas spraudnes izmanto, ieteicams rūpīgi izvērtēt iekļauto spraudņu izmantošanas atbilstību fizisku personu datu apstrādes prasībām.  

Other publications

  • 2019-07-25 GLOBAL LEGAL INSIGHTS TO: MERGERS & ACQUISITIONS IN SWEDEN AND NORDIC COUNTRIES 2019

    We encourage you to read our publication on The Global Mergers & Acquisitions market in Sweden and Nordic countries in the eighth edition of The Global Legal Insights.

    read more
  • 2019-04-04 PROGRAM POLAND PRIZE

    Polski rząd włączył się w walkę o przyciągnięcie zagranicznych talentów technologicznych, proponując program Poland Prize adresowany do start-upów z zagranicznymi korzeniami.

    read more
  • 2019-04-04 POLAND PRIZE PROGRAMME

    The government has joined the battle to attract foreign tech talent to Poland, launching a programme called Poland Prize, which is aimed at start-ups with foreign roots.

    read more
  • 2019-02-27 SHORT-TERM LEGAL CONSEQUENCES OF A 'NO-DEAL' BREXIT

    Judged on the current political situation in the UK, where the parliament is split between various Brexit models and apparently unable to form a political majority for one specific ‘soft’ Brexit model as well as on the announcements from the EU that the EU is not willing to renegotiate the draft Brexit deal, which was turned down by the Houses of Parliament, the likelihood of a hard Brexit has become higher than ever.

    read more
more publications