Багато компаній мають плагіни «Мені подобається» (т.з. «лайк») на своїх сайтах, але жодна з них не знала, що в цьому випадку вони несуть відповідальність за персональні дані. Це було підтверджено рішенням Суду Європейського Союзу (CJEU), який тим самим наклав нові зобов'язання на підприємців.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
29 липня 2019 р. CJEU виніс рішення щодо кнопки «Мені подобається» на Facebook. Суд розглянув цю тему в зв'язку зі справою німецької служби Fashion ID, яке було проведено національним судом Дюссельдорфа, який представив посилання на попереднє рішення.
Суть справи. Компанія Fashion ID, що займається продажем модного одягу в Інтернеті, розмістила на своєму веб-сайті соціальний плагін «Мені подобається» на сайті соціальної мережі Facebook (далі - «кнопка», яка мені подобається «Facebook»). Із замовлення для довідки очевидно, що характерною особливістю Інтернету є те, що веб-браузер людини, яка відвідує веб-сайт, може представляти контент із різних джерел. Таким чином, в якості прикладу, вони можуть бути пов'язані з даним веб-сайтом і представляти фотографії, відео, поточну інформацію і кнопку «Подобається» Facebook, що розглядаються в даному випадку. Якщо оператор веб-сайту має намір включити такий зовнішній контент, він повинен надати посилання на зовнішній контент на цьому веб-сайті. Коли браузер особи, яка відвідує вказаний веб-сайт, знаходить таке посилання, він завантажує зовнішній контент і вставляє його в зазначене місце відображуваного веб-сайту.
Для цього браузер передає на сервер зовнішнього провайдера IP-адресу згаданого комп'ютера відвідувача і технічні дані браузера, щоб сервер міг визначити, в якому форматі і за якою адресою має бути відправлений контент. Крім цього, браузер надає інформацію щодо бажаного контенту. Оператор веб-сайту, який пропонує зовнішній контент, розміщуючи його на цьому веб-сайті, не може визначити, які дані надає браузер або що буде робити зовнішній постачальник з цими даними, зокрема, чи вирішить він зберігати і використовувати їх.
Що стосується, зокрема, кнопки «Мені подобається» на Facebook, з'являється порядок посилань, який вказує, що коли відвідувач переглядає веб-сайт Fashion ID, особисті дані цього відвідувача, в зв'язку з тим, що веб-сайт містить зазначену кнопку, передаються Facebook Ірландія. Схоже, що ця передача відбувається без відома вищезгаданого відвідувача і незалежно від обставин, чи є він членом соціальної мережі Facebook або натиснув кнопку «Мені подобається» в Facebook.
Verbraucherzentrale NRW - асоціація комунальних служб, що захищає інтереси споживачів, - звинувачує Fashion ID в наданні Facebook Ірландії персональних даних, які належать особам, що відвідують його веб-сайт, по-перше, без їх згоди; по-друге - в порушення інформаційних зобов'язань, передбачених положеннями про захист персональних даних. Verbraucherzentrale NRW подав до суду на позов Landgericht Düsseldorf (Національний суд у Дюссельдорфі, Німеччина) проти Fashion ID, щоб припинити цю практику.
Як видно з рішення CJEU, компанії, які розміщують на своєму веб-сайті сторонній плагін, наприклад, кнопку «Мені подобається» на Facebook, стають адміністратором даних. У результаті він повинен проінформувати своїх користувачів про це, а також повинен отримати згоду на їх обробку. Як зазначено Управлінням по захисту особистих даних, відвідувач повинен знати, що оператор передає свої дані в Facebook. Дані - це інформація про IP-адресу користувача та ідентифікатор браузера. Це означає, що, серед іншого, Інтернет-магазини повинні розмістити відповідне застереження (якщо її раніше не було), що інформує про те, що сайт використовує кнопку «Подобається» і оператор передає дані в цьому випадку в Facebook.
Додатковий пункт. Варто зазначити, що власник веб-сайту повинен отримати згоду на обробку персональних даних щодо передачі таких даних на сайт соціальної мережі, перш ніж вони будуть зібрані. Однак це не кінець, тому що пункт про згоду на передачу даних в Facebook повинен бути сформульований окремо від пунктів про згоду на обробку персональних даних для інших цілей і повинен відповідати всім умовам, зазначеним в GDPR. Однак при використанні інших плагінів для соціальних мереж організація повинна отримати окрему згоду для кожного з них.