Správce fanouškovské stránky na Facebooku nese spolu s Facebookem odpovědnost za zpracování údajů návštěvníků své stránky, říká ve svém aktuálním verdiktu v případu C-210/16 Soudní dvůr Evropské unie (SDEU).

Rozhodnutí ve sporu německého provozovatele firemní facebookové stránky a tamního regulátora ochrany osobních údajů může mít vliv na to, jakým způsobem firmy své prezentace na sociálních sítích spravují.

Případ se táhne od roku 2011, kdy zemský úřad pro ochranu údajů Šlesvicko-Holštýnska (Unabhängiges Landeszentrum für Datenschutz Schleswig – Holstein) nařídil firmě Wirtschaftsakademie Schleswig – Holstein, aby deaktivovala svou stránku na Facebooku.

Podle úřadu totiž ani Facebook, ani firma, která se zabývá pořádáním vzdělávacích kurzů, „neinformovaly návštěvníky této fanouškovské stránky o tom, že Facebook shromažďuje prostřednictvím souborů cookies informace osobní povahy, které se jich týkají, a že následně tyto informace zpracovávají“.

Společná odpovědnost

Společnost se proti rozhodnutí bránila nejprve u německých soudů. Tvrdila, že by regulátor vůbec neměl zasahovat proti ní, ale případně přímo proti Facebooku, protože nemůže být odpovědná za to, jak Facebook s cookies nakládá a jak zpracovává údaje z nich získané.

Případ po několika kolech u nižších soudů, které dávaly firmě zapravdu, doputoval nakonec ke Spolkovému správnímu soudu (Bundesverwaltungsgericht), který se pak s několika otázkami obrátil na SDEU.

Soudní dvůr EU dnes konstatoval (celý verdikt v případu C-210/16 najdete v databázi soudu), že není pochyb o tom, že Facebook je správcem osobních údajů uživatelů, kteří facebookovou stránku navštívili, a že „v rozhodné míře určuje účel a prostředky zpracování těchto údajů“.

SDEU ale také rozhodl, že za zpracování těchto dat zodpovídá společně s Facebookem také Wirtschaftsakademie, která podle soudu je v tomto případě správcem osobních údajů. „Takový správce se totiž úkonem nastavení parametrů (mimo jiné podle své cílové skupiny a cílů řízení a propagace svých činností) podílí na určení účelu a prostředků zpracování osobních údajů návštěvníků své fanouškovské stránky,“ argumentoval soud.

Veškeré pravomoci

Jde podle něj o to, že správce stránky může od Facebooku požadovat (v rámci statistik Insights) různé demografické údaje o své cílové skupině (například věkové zařazení, pohlaví apod.), informace o stylu života (například nákupní chování na internetu) nebo zeměpisné údaje.

„Skutečnost, že správce fanouškovské stránky používá platformu poskytovanou Facebookem, aby využíval souvisejících služeb, jej nezprošťuje od dodržování jeho povinností v oblasti ochrany osobních údajů,“ dodává soud.

K obdobnému závěru došel už generální advokát, který k případu loni v říjnu vydal své stanovisko. Ke zpracování údajů získaných Facebookem z cookies podle něj „…totiž nemůže dojít bez předchozího rozhodnutí provozovatele fanouškovské stránky založit a využívat tuto stránku na sociální síti Facebook“.

Německý regulátor tak má podle verdiktu pravomoc uplatňovat veškeré své pravomoci nejen vůči Facebooku, ale také vůči správci facebookové stránky, dodal SDEU.

Co se v praxi mění?

Co to v praxi znamená? Spor odstartoval v roce 2011, kdy byla situace v ochraně osobních údajů trochu odlišná. Letos vstoupilo v účinnost nové obecné narízení o ochraně osobních údajů (GDPR) a v souvislosti s ním Facebook aktualizoval své podmínky a upravil také způsob, jakým uživatele o zpracovávání jejich údajů informuje.

Zda ale budou správci firemních stránek muset něco měnit, zatím není jisté. Český Úřad na ochranu osobních údajů (ÚOOÚ) po prvním seznámení s rozsudkem říká, že verdikt pravděpodobně nepřináší nic nového. „Verdikt, na který odkazujete, v současnosti Úřad pečlivě studuje a postupně analyzuje. Zároveň je ale možné konstatovat, že Úřad nepozoruje podstatný rozdíl od deset let starého stanoviska WP29 k sociálním sítím,“ reagoval na dotaz Lupy mluvčí úřadu Tomáš Paták.

Podle expertky Sdružení pro internetové rozvoj (SPIR) Jany Břeské je ale možné, že verdikt správcům stránek nějaké změny přinese: „Zřizovatelé fanouškovských stránek pravděpodobně budou muset nově poskytovat uživatelům ještě další informace nad rámec obecného poučení, které už nyní zajišťuje Facebook. Bude však záležet na tom, co a v jakém rozsahu zřizovatel takové stránky s daty skutečně dělá. Od toho by se také měla odvíjet míra jeho odpovědnosti, a to i s ohledem na práva, která vůči němu bude moci podle GDPR uživatel uplatňovat.“