ETS wydał wyrok na „Lajka”. Komentarz do orzeczenia w sprawie Fashion ID.

ETS wydał wyrok na „Lajka”. Komentarz do orzeczenia w sprawie Fashion ID.

Jedno z niemieckich stowarzyszeń zajmujących się ochroną konsumentów pozwało sklep internetowy domagając się od niego usunięcia wtyczki „Like” (dalej jako „lajk”), zapewnianej przez Facebook Ireland (dalej jako „Facebook”, gdy mowa o spółce lub „fejs”, gdy mowa o serwisie). Stowarzyszenie swoje żądanie argumentowało tym, że sklep nie informował o konsekwencjach wejścia na stronę z wtyczką lajka w zakresie wykorzystania danych osób odwiedzających stronę oraz nie pozyskiwał zgody na pozyskanie danych osobowych.

Gdy na swojej stronie internetowej umieścimy wtyczkę umożliwiającą „zalajkowanie” konkretnych produktów, artykułów czy usług – do Facebooka od momentu wczytania się strony trafią takie informacje jak adres IP oraz identyfikator przeglądarki osoby odwiedzającej stronę z wtyczką. Facebook pozyska te informacje niezależnie od tego, czy odwiedzający ma konto na fejsie (czy jest zalogowany, czy nie), czy konta nie posiada. Facebook twierdzi, że adres IP zamieniany jest w generyczny numer i nie jest zestawiany z konkretnymi kontami użytkowników.

Co ciekawe – na mojej stronie zainstalowałem button odsyłający do konta na Twitterze, co do zasady działa on podobnie co button fejsa – z tą istotną jednak różnicą, że Twitter oświadcza: „We do not collect this data from browsers that we believe to be located in the European Union or EFTA States.”. Niezależnie od tego, czy oświadczenie to jest zgodne z prawdą– zgodnie z orzeczeniem w sprawie Fashion ID odpowiadam (jako operator strony internetowej) wobec osób odwiedzających stronę wyłączenie za to, do czego w swoim zakresie wykorzystuję twitterową wtyczkę – jednak nie za to, co z uzyskanymi danymi zrobi Twitter (dodać do tego należy, że wedle ETS, to operator strony musi poinformować i uzyskać zgodę na udostępnienie informacji podmiotowi, którzy wtyczkę zapewnia – jeżeli przy jej pomocy dane ten podmiot „zasysa”).

Czy adres IP to informacja o charakterze danych osobowych ?

W tym miejscu można by zadać pytanie – adres IP, identyfikator przeglądarki (plus informacja o tym, co było lajkowane) – czy w ogóle możemy tu mówić o danych osobowych? W niniejszej sprawie ETS w ogóle tego nie rozpatrywał, ponieważ ograniczył się do odpowiedzi na pytania, z którymi zwrócił się do niego niemiecki sąd okręgowy.

Nie rozpatrywał, ale założył, że są to dane osobowe – i w świetle linii orzeczniczej należy tak do tego podchodzić – choć u każdego na tym etapie mogą pojawić się zrozumiałe wątpliwości.

Jak w swojej opinii przytoczył wnioski z orzeczenia w sprawie Breyer rzecznik generalny Michael Bobek: ”(…)adres IP może, w pewnych okolicznościach, stanowić dane osobowe. Trybunał stwierdził również, że w takim przypadku, aby można było mówić o „możliwej do zidentyfikowania osobie” (…) „nie jest konieczne, by informacja ta umożliwiała sama w sobie zidentyfikowanie osoby, której dane dotyczą”, oraz że w związku z tym konieczne może być posłużenie się dodatkowymi informacjami. Ponadto Trybunał wskazał, że „nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby”, o ile możliwość połączenia ze sobą odpowiednich danych „stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą(…)”.

Co można, a czego nie można

To, co najistotniejsze z samego wyroku (a zainteresowanych odsyłam do, znacznie ciekawszej i bardziej „życiowej” opinii rzecznika generalnego Michaela Bobeka, gdzie wytłumaczono argumenty pojawiające się następnie w uzasadnieniu samego wyroku) to przede wszystkim – zgodne ze zdrowym rozsądkiem – ograniczenie odpowiedzialności operatora strony internetowej, wyłącznie do tego, do czego on sam wtyczkę wykorzystuje, tzn. do tego, na co realnie ma wpływ. W praktyce sprowadza się to po pierwsze do tego, że musi to ująć w ramach realizowanego przez siebie obowiązku informacyjnego (informuje o tym, co sam będzie z danymi robił, a nie to, co robił będzie Facebook), a po drugie – musi na te cele we własnym zakresie wykazać podstawy prawne – ale uwaga, tu też ETS jednoznacznie nie rozstrzyga, czy to będzie zgoda czy uzasadnionym interes (chociaż wydaje się, że jednak zgoda).

W praktyce, to właśnie z tą zgodą jest największy problem – odczytując uzasadnienie wyroku można dojść do wniosku, że stosowanie lajka miałoby być warunkowe – ci, którzy chcą, tym otworzy się wersja strony z wtyczką, a ci którzy zgody nie wyrażą, tym otworzy się strona bez wtyczki – a więc i bez pobierania danych przez Facebook (to, o co znosiło niemieckie stowarzyszenie pozywające sklep internetowy).

Teoretycznie – można by bronić stanowiska, że użytkownik „wyraża” taką zgodę swoją przeglądarką (pozwalającą na tego rodzaju działanie wtyczki), a rola operatora serwisu ogranicza się do poinformowania o działaniu wtyczki (i tak to się w dzieje w przypadku 99% stron internetowych, włącznie ze stronami rządowymi i regulatorów, o czym pisałem pod tym linkiem) – w wyroku jednak stwierdzono, że zgoda musi być wyrażona przed samym gromadzeniem danych. Łatwo to napisać w wyroku, ciężej zastosować w praktyce – jeżeli praktycznym efektem tego wyroku mają być kolejne wyskakujące pop-upy (a przepisy będą realnie egzekwowane), to prędzej można spodziewać się likwidacji wtyczek.

Wnioski

Tytuł tego wpisu odnosi się do jednego z możliwych efektów wyroku w sprawie Fashion ID – czyli do efektu mrożącego w zakresie stosowania wtyczek oraz innych narzędzi udostępnianych przez inne podmioty – wnioski z tego wyroku można przełożyć choćby na Google Analytics czy przyciski Twittera. Najprostszym sposobem na wyeliminowanie ryzyka prawnego, to wyeliminowanie wtyczek, a nie taki powinien być chyba sposób zapewniania ochrony prywatności na terenie UE.

Uwzględniając charakter dzisiejszego sposobu wykorzystania internetu należałoby zmienić przepisy dotyczące danych zapisywanych na urządzenia osób odwiedzających strony internetowe w ten sposób, by główny ciężar obowiązków przerzucić (z operatorów stron internetowych) na producentów przeglądarek internetowych – by ich interfejs umożliwiał prostsze i bardziej przejrzyste zarządzanie informacjami, które mogą wykorzystywać przeglądane strony. W pewnym stopniu dzieje się to już dziś – w kolejnych edycjach Chrome czy Firefox dodają kolejne elementy ułatwiające zarządzanie prywatnością, jednak wciąż nie jest to ten poziom, który można by uznać za realne rozwiązanie problemu. Obecna strategia obowiązywania przepisów jest – niestety – nieskuteczna, a to, jakie praktyczne będą efekty wykładni dokonanej w sprawie Fashion ID pokażą dopiero najbliższe lata.

Dodaj komentarz