V rámci svého nedávného rozhodnutí se Soudní dvůr EU zabýval zajímavou problematikou z oblasti zpracování osobních údajů, a to konkrétně některými aspekty souvisejícími se začleněním pluginu pro propojení se sociální sítí společnosti Facebook Ireland Ltd do webových stránek internetového obchodníka. V tomto případě se jednalo o začlenění pluginu v podobě tlačítka „to se mi líbí“ do stránek německé společnosti Fashion ID GmbH & Co. KG (dále jen „Fashion ID“). Přestože se výklad z formálního pohledu týkal „pouze“ ustanovení již zrušené směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „směrnice“), závěry, ke kterým soud došel, by měly být do značné míry použitelné i pro současnou právní úpravu v podobě GDPR.
Podle našeho názoru je přijaté rozhodnutí v některých bodech do určité míry kontroverzní. Předkládající německý soud (a potažmo tedy následně i SDEU) vycházel z toho, že při poskytování informací společnosti Facebook Ireland Ltd prostřednictvím předmětného pluginu jsou předávány osobní údaje. Toto však lze dle našeho názoru jednoznačně tvrdit, pouze pokud je skutečně známo, jaké informace jsou společnosti Facebook Ireland Ltd obchodníkem skutečně předávány. Nemusí se totiž jednat (alespoň z pohledu obchodníka) o informace o identifikované nebo identifikovatelné fyzické osobě. V případě, že by nešlo o osobní údaje, by úprava směrnice ani GDPR na takové vztahy vůbec nedopadala.
Nejdůležitějším závěrem soudu pak bylo, že internetový obchodník, v jehož webových stránkách je plugin společnosti Facebook Ireland Ltd umístěn, je ve vztahu k tomuto shromažďování a předávání osobních údajů v postavení správce osobních údajů. Obchodník by pak neměl být správcem osobních údajů ohledně dalšího zpracování osobních údajů, které s předanými informacemi následně provádí společnosti koncernu Facebook a další osoby, kterým je tento koncern poskytne.
Tento svůj názor soud odůvodnil poměrně logicky, a to takto. Společnost Fashion ID tím, že začlenila na své internetové stránky tlačítko Facebooku ‘to se mi líbí’, …pravděpodobně „dala společnosti Facebook Ireland možnost získat osobní údaje návštěvníků jejích internetových stránek, protože taková možnost se aktivuje v okamžiku zobrazení uvedených stránek, a to nezávisle na skutečnosti, zda jsou tito návštěvníci členy sociální sítě Facebook, klikli na tlačítko ‘to se mi líbí’ Facebooku, nebo zda vůbec věděli o takové operaci.“ Dále soud uvedl, že společnost Fashion ID „umístěním takového sociálního modulu na své internetové stránky ovlivňuje rozhodujícím způsobem sběr a přenos osobních údajů návštěvníků uvedených stránek ve prospěch poskytovatele uvedeného modulu, v projednávané věci Facebook Ireland, ke kterému by v případě neumístění uvedeného modulu nedošlo.“ Umístění tlačítka na své internetové stránky umožňuje společnosti Fashion ID „optimalizovat reklamu svých výrobků tím, že je učiní viditelnějšími na sociální síti Facebook, když návštěvník jejích internetových stránek klikne na uvedené tlačítko. Aby společnost Fashion ID mohla využít tuto obchodní výhodu sestávající z takové zdokonalené reklamy svých výrobků, umístěním tlačítka „na svých internetových stránkách souhlasila, přinejmenším implicitně, se sběrem a přenosem osobních údajů návštěvníků stránek, přičemž tyto operace zpracování se uskutečňovaly v hospodářském zájmu jak Fashion ID, tak Facebook Ireland, pro kterou skutečnost, že může disponovat těmito údaji pro své vlastní obchodní účely, představuje protiplnění za výhodu, kterou nabízí společnosti Fashion ID.“
Nicméně závěr soudu, že obchodník je v takovémto případě správcem osobních údajů předávaných společnosti Facebook Ireland Ltd není podle našeho názoru zcela nekontroverzní. Označení internetového obchodníka jako správce osobních údajů je totiž automaticky spojeno s řadou právních povinností, které obchodník nebude schopen objektivně splnit. Řádné splnění těchto povinností totiž předpokládá, že obchodník je poměrně podrobně informován o tom, jak vlastně celý systém společnosti Facebook Ireland Ltd funguje, včetně toho, jaké informace jsou v rámci tohoto sytému shromažďovány a přenášeny. Jednou z takových formálních povinností správce osobních údajů je i nutnost splnit informační povinnost vůči subjektům údajů, kterou SDEU v rámci rozsudku i výslovně zmiňuje. Nicméně s rolí správce osobních údajů jsou vždy spojeny také povinnosti z oblasti organizačního a technického zabezpečení osobních údajů, což v případě systému plně ovládaného třetí osobou (koncernem Facebook) dostává obchodníka z pohledu právního do neřešitelných situací.
Z výše uvedeného tedy mimo jiné vyplývá, že obchodníci by ve vztahu k regulaci v oblasti ochrany osobních údajů měli dbát zvýšené opatrnosti v případech, kdy do svých webových stránek implementují prvky spravované třetími osobami.
Josef Aujezdský, advokát
Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 8/2019 určený členům tohoto spolku.