C-210/16
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że administrator fanpage'a na Facebooku jest wspólnie odpowiedzialny z Facebookiem za przetwarzanie danych osobowych użytkowników odwiedzających stronę.
Sprawa dotyczyła odpowiedzialności niemieckiej Wirtschaftsakademie za przetwarzanie danych osobowych użytkowników jej fanpage'a na Facebooku. Niemiecki organ nadzorczy nakazał dezaktywację fanpage'a, uznając Wirtschaftsakademie za administratora danych. Wirtschaftsakademie twierdziła, że nie jest odpowiedzialna za dane przetwarzane przez Facebook. Trybunał Sprawiedliwości UE orzekł, że administrator fanpage'a, poprzez ustalenie parametrów strony i celów promocyjnych, przyczynia się do określenia celów i sposobów przetwarzania danych, stając się tym samym wspólnie odpowiedzialnym z Facebookiem za ochronę danych.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni dyrektywy 95/46/WE w sprawie ochrony danych osobowych. Spór dotyczył nakazu dezaktywacji fanpage'a Wirtschaftsakademie na Facebooku, wydanego przez niemiecki organ nadzorczy (ULD) z powodu braku informowania użytkowników o gromadzeniu ich danych przez Facebook. Wirtschaftsakademie kwestionowała swoją odpowiedzialność jako administratora danych. Trybunał Sprawiedliwości UE, rozpatrując pytania prejudycjalne, ustalił, że administrator fanpage'a, poprzez swoje działania związane z tworzeniem i zarządzaniem stroną (np. ustalanie parametrów, celów promocyjnych), przyczynia się do określenia celów i sposobów przetwarzania danych osobowych osób odwiedzających fanpage. W związku z tym, Wirtschaftsakademie została uznana za wspólnie odpowiedzialną z Facebook Ireland za przetwarzanie danych osobowych w rozumieniu dyrektywy 95/46/WE. Trybunał podkreślił, że taka wspólna odpowiedzialność zapewnia bardziej kompleksową ochronę praw osób, których dane dotyczą. Ponadto, orzeczenie wyjaśniło, że organ nadzorczy państwa członkowskiego jest uprawniony do wykonywania swoich uprawnień interwencyjnych wobec oddziału przedsiębiorstwa znajdującego się na jego terytorium, nawet jeśli główna odpowiedzialność za przetwarzanie danych spoczywa na innym oddziale w innym państwie członkowskim, a także że organ ten może dokonać oceny zgodności z prawem przetwarzania danych niezależnie od oceny innego organu nadzorczego.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (4)
Odpowiedź sądu
Tak, administrator fanpage'a, poprzez ustalenie parametrów strony i celów promocyjnych, przyczynia się do określenia celów i sposobów przetwarzania danych osobowych osób odwiedzających fanpage, stając się wspólnie odpowiedzialnym z operatorem portalu społecznościowego.
Uzasadnienie
Trybunał uznał, że administrator fanpage'a aktywnie uczestniczy w procesie decyzyjnym dotyczącym celów i sposobów przetwarzania danych, nawet jeśli dane są zbierane przez platformę społecznościową. Działania te obejmują m.in. ustalanie parametrów strony, celów promocyjnych i analizę statystyk, co wpływa na przetwarzanie danych osobowych.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
organ nadzorczy (ULD) i osoby, których dane dotyczą
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein | organ_krajowy | skarżący |
| Wirtschaftsakademie Schleswig-Holstein GmbH | spolka | pozwany |
| Facebook Ireland Ltd | spolka | interwenient |
| Vertreter des Bundesinteresses beim Bundesverwaltungsgericht | inne | interwenient |
| Rząd niemiecki | inne | interwenient |
| Rząd belgijski | inne | interwenient |
| Rząd czeski | inne | interwenient |
| Irlandia | panstwo_czlonkowskie | interwenient |
| Rząd włoski | inne | interwenient |
| Rząd niderlandzki | inne | interwenient |
| Rząd fiński | inne | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (11)
Główne
Dyrektywa 95/46/WE art. 2 § lit. d
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Pojęcie 'administratora danych' obejmuje administratora fanpage'a prowadzonego na portalu społecznościowym, który wspólnie z operatorem portalu określa cele i sposoby przetwarzania danych.
Dyrektywa 95/46/WE art. 4 § ust. 1 lit. a
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Prawo krajowe państwa członkowskiego ma zastosowanie, gdy przetwarzanie danych odbywa się w kontekście działalności gospodarczej prowadzonej przez oddział administratora na terytorium tego państwa.
Dyrektywa 95/46/WE art. 28 § ust. 1
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania przepisów dyrektywy na swoim terytorium.
Dyrektywa 95/46/WE art. 28 § ust. 3
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Organy nadzorcze wyposażone w uprawnienia dochodzeniowe i interwencyjne.
Dyrektywa 95/46/WE art. 28 § ust. 6
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Organy nadzorcze współpracują ze sobą, wymieniając informacje.
BDSG art. 38 § ust. 5
Bundesdatenschutzgesetz
Uprawnienia organu nadzorczego do nakładania środków eliminujących naruszenia.
Pomocnicze
Dyrektywa 95/46/WE art. 17 § ust. 2
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Obowiązek administratora danych do wybrania przetwarzającego o wystarczających gwarancjach bezpieczeństwa.
Dyrektywa 95/46/WE art. 24
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Państwa członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów dyrektywy oraz określą sankcje za naruszenia.
BDSG art. 3 § ust. 7
Bundesdatenschutzgesetz
Definicja administratora danych.
BDSG art. 11
Bundesdatenschutzgesetz
Przetwarzanie danych zlecone innemu podmiotowi.
TMG art. 12 § ust. 1 i 3
Telemediengesetz
Gromadzenie i wykorzystywanie danych osobowych w celu udostępniania telemediów.
Argumenty
Skuteczne argumenty
Administrator fanpage'a, poprzez swoje działania, przyczynia się do określenia celów i sposobów przetwarzania danych osobowych osób odwiedzających fanpage. Organ nadzorczy państwa członkowskiego jest uprawniony do wykonywania uprawnień interwencyjnych wobec oddziału przedsiębiorstwa na swoim terytorium, nawet jeśli główna odpowiedzialność za przetwarzanie danych spoczywa na innym oddziale w innym państwie członkowskim. Organ nadzorczy państwa członkowskiego może samodzielnie ocenić zgodność z prawem przetwarzania danych, niezależnie od oceny innego organu nadzorczego.
Odrzucone argumenty
Wirtschaftsakademie nie jest administratorem danych w rozumieniu dyrektywy 95/46/WE, ponieważ nie określa celów i sposobów przetwarzania danych. Odpowiedzialność za przetwarzanie danych spoczywa wyłącznie na Facebooku. Organ nadzorczy Niemiec nie jest właściwy do działania wobec oddziału Facebooka w Irlandii.
Godne uwagi sformułowania
pojęcie 'administratora danych' w rozumieniu tego przepisu obejmuje administratora fanpage'a prowadzonego na portalu społecznościowym administrator fanpage'a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych
Skład orzekający
K. Lenaerts
prezes
A. Tizzano
wiceprezes-sprawozdawca
M. Ilešič
prezes izby
L. Bay Larsen
prezes izby
T. von Danwitz
prezes izby
A. Rosas
prezes izby
J. Malenovský
prezes izby
E. Levits
prezes izby
E. Juhász
sędzia
A. Borg Barthet
sędzia
F. Biltgen
sędzia
K. Jürimäe
sędzia
C. Lycourgos
sędzia
M. Vilaras
sędzia
E. Regan
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie odpowiedzialności administratorów fanpage'ów za przetwarzanie danych osobowych, zakresu jurysdykcji organów nadzorczych w sprawach transgranicznych, zasad współpracy między organami nadzorczymi."
Ograniczenia: Orzeczenie dotyczy dyrektywy 95/46/WE, która została zastąpiona RODO (Rozporządzenie 2016/679). Jednakże zasady dotyczące odpowiedzialności administratora i jurysdykcji organów nadzorczych pozostają aktualne i stanowią podstawę interpretacji RODO.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnie używanej platformy społecznościowej i kluczowych kwestii ochrony danych osobowych, które są istotne dla milionów użytkowników i firm. Wyjaśnia, kto ponosi odpowiedzialność za dane w internecie.
“Czy wiesz, że prowadząc fanpage na Facebooku, jesteś współodpowiedzialny za dane swoich fanów? TSUE wyjaśnia!”
Sektor
IT/technologie
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI