Upravljate Facebook stran? Pozor, odgovarjate za zasebnost podatkov!

Sodišče Evropske unije (ECJ) v Luksemburgu je včeraj razsodilo, da so upravljavci posameznih podstrani na družabnem omrežju Facebook, soodgovorni za varovanje osebnih podatkov svojih uporabnikov in se pri tem ne morejo sklicevati na dejstvo, da omrežje zgolj uporabljajo, odgovornost pa preložiti na Facebook Ireland, ki na stari celini zastopa interese svoje globalne matere.

Presenetljivi precendens izhaja iz sodnega spora med nemško Poslovno akademijo Schleswig-Holstein in Centrom za zaščito osebnih podatkov te nemške pokrajine, torej tamkajšnjim informacijskim pooblaščencem. Slednji je od akademije zahteval zaprtje njihove Facebook strani, saj uporabniki niso bili seznanjeni z zbiranjem njihovih osebnih podatkov. Upravljavci tovrstnih strani namreč skozi funkcijo Facebook Insights dobivajo podatke o svojih uporabnikih, da se strinjajo s takim zbiranjem, pa uporabniki potrdijo že s strinjanjem s splošnimi pogoji ob vstopu v Facebookovo omrežje. Podatki se nato dve leti hranijo v obliki piškotkov na disku uporabnikove naprave in se osvežijo ob vsakem obisku.
Predstavniki Poslovne akademije so se pooblaščencu uprli z argumentom, da podatke procesira Facebook in da je kakršnekoli zahtevke s tem v zvezi treba nasloviti na to podjetje oz. njegovo evropsko izpostavo na Irskem.

Akademija je najprej sprožila spor na nemškem sodišču, češ, da odgovornost ni na njihovi strani, saj sami niso najeli Facebooka, da zanje zbira podatke in da na početje ameriške družbe nimajo nobenega vpliva. Tudi zato je po njihovem mnenju potrebno sprožiti spor neposredno s Facebookom. Nemško federalno sodišče je nato za razlago direktive 95/46 na pomoč poklicalo ECJ.

In sodišče je razsodilo, da dejstvo, da upravljavec strani uporablja anonimizirane podatke svojih obiskovalcev, s čimer pridobi pomembne informacije o njihovem statusu in interesih, ki mu pomagajo pri lažjem in bolj usmerjenem naslavljanju njihovih strank. Po mnenju sodišča tovrstna uporaba družabne platforme in dobrobiti, ki jih prinaša, upravljavca zavezuje skupaj s Facebookom k soodgovornosti za zaščito osebnih podatkov. Tako razširjena oblika odgovornosti namreč po mnenju sodišča zagotavlja bolj celostno zaščito uporabnikov.

Sodišče je v isti sodbi še pritrdilo mnenju, da lahko informacijski pooblaščenec sproži postopke neposredno proti podjetju Facebook, čeprav ima družba na Irskem svojo lokalno izpostavo. Pri Facebooku so namreč trdili nasprotno, potem ko je kar nekaj evropskih držav in posameznikov proti njim začelo s postopki zaradi kršitev pravil zasebnosti.

Da bi se slovenski informacijski pooblaščenec sam od sebe spravil na kako od strani slovenske državne uprave, ni pričakovati.