Sodišče EU: Če imate Facebookove vtičnike na svoji spletni strani, ste soodgovorni za njihove obdelave osebnih podatkov

Ponudnik spletne strani, ki uporablja Facebookov gumb »Všeč mi je«, se šteje za skupnega upravljavca osebnih podatkov, ki jih ameriški spletni velikan Facebook na ta način zbere o obiskovalcih njegove spletne strani. Je namreč tisti, ki se je odločil ta gumb postaviti na svojo spletno stran in s tem Facebooku pomagati pri zbiranju podatkov o obiskovalcih. Posledično ima iz tega naslova nekatere dolžnosti po predpisih o varstvu osebnih podatkov. Tako je ta teden razsodilo Sodišče Evropske unije v primeru nemške nevladne organizacije za zaščito uporabnikov interneta Verbraucherzentrale NRW proti nemškemu modnemu portalu in zagrizenemu uporabniku Facebookovih vtičnikov Fashion ID.

Facebook kot prednost pred konkurenco
Sodišče je v omenjenem primeru ugotovilo, da je podjetje Fashion ID gumb "Všeč mi je" na svoj portal namestilo predvsem zato, da bi si zagotovilo (brezplačno) promocijo svoje spletne strani med uporabniki družbenega omrežja Facebook. V zameno je Facebooku (tj. družbi Facebook Ireland) omogočilo zbiranje podatkov o obiskovalcih svoje spletne strani. Obdelava teh osebnih podatkov je bila posledično v interesu obeh družb, tako da ju je treba šteti kot skupna upravljavca ("soupravljavca"), saj sta se skupaj dogovorila za namene in načine obdelave osebnih podatkov.

Za portal Fashion ID to pomeni, da ima kot soupravljavec določene obveznosti iz naslova zakonodaje o varstvu osebnih podatkov. Predvsem mora svojim obiskovalcem zagotoviti ustrezne informacije o tem, da bodo njihovi osebni podatki posredovani Facebooku, ter o tem, za katere namene jih bo Facebook obdeloval. Prav tako mora še pred začetkom uporabe vtičnika poskrbeti za ustrezno pravno podlago za te obdelave, za kar bi po mnenju Sodišča lahko v poštev prišla bodisi vnaprejšnja privolitev obiskovalca ali pa ti. legitimni interesi njihovega portala oz. Facebooka.

Dodati je treba, da ta primer izvira še iz časa pred začetkom uporabe Splošne uredbe o varstvu podatkov (GDPR), tako da ga je Sodišče presojalo še po prejšnji ureditvi (Direktivi o varstvu osebnih podatkov iz l. 1995). Je pa Sodišče jasno namignilo, da bi isto odločilo tudi po GDPR. Tako zapisano velja tudi za sedanjo ureditev. Oz. še več, GDPR celo izrecno določa, da se lahko posamezniki s svojimi zahtevami za dostop oziroma izbris lastnih podatkov obrnejo na katerega koli od skupnih upravljavcev. Če bi obiskovalce portala Fashion ID npr. zanimalo, kateri osebni podatki se o njih zbirajo preko vtičnika, bi torej to zahtevo usmerili kar na domači portal Fashion ID, ki bi moral potem zahtevo naprej sporočiti Facebooku, počakati na odgovor in ga prenesti nazaj obiskovalcu. Kar je vsekakor super, ker se obiskovalcem posledično ni treba mučiti s tujo firmo, ki ne govori njihovega jezika in nima domačega poštnega nabiralnika.

Medtem v Sloveniji

V Sloveniji se medtem ponudniki svojih obveznosti iz naslova vtičnikov še ne zavedajo najbolje. Spletna stran Fakultete za družbene vede (FDV), ki sicer v imenu Facebooka skrbi tudi za "red in mir oz. brisanje sovražnih vsebin", na svoji spletni strani https://www.fdv.uni-lj.si (nikar ne pozabite na "www", sicer ne bo delala) prav tako uporablja Facebook gumb »Všeč mi je« in s tem seveda tudi vse pripadajoče Facebookove sledilne piškotke. Kljub temu pa na svoji strani z informacijami o piškotkih teh piškotkov sploh ne naštevajo. Pravzaprav tam navajajo zgolj starejše Google analitične piškotke (__utma in podobne), ki jih niti več nimajo, saj so vmes že prešli na novejšo Google Analitiko in njene (_ga) piškotke. Čeprav bi jih glede na sodbo Sodišča verjetno bilo treba šteti za soupravljavce Facebookove sledilne operacije, tako ni videti, da bi spoštovali tudi obveznosti, ki izvirajo iz tega. Smo pa prepričani, da je njihov namen uporabe gumba "Všeč mi je" enak kot pri že omenjenem nemškem portalu -- ekonomska korist.

Všečkanje s skoraj 8000 žrtvami

vir: Fakulteta za druĹžbene vede

Spletna stran FDV dokler ne potrdimo uporabe piškotkov

vir: Fakulteta za druĹžbene vede

Spletna stran FDV potem, ko se strinjamo s piškotki (bodite pozorni na Doubleclick oglaševalske piškotke)

vir: Fakulteta za druĹžbene vede

S čim smo se dejansko strinjali

vir: Fakulteta za druĹžbene vede

Kako naprej?
Kot je torej videti, sodba Evropskega sodišča najverjetneje ne bo imela prevelikega vpliva na dogajanje v Sloveniji. Ravno ta mesec je Informacijski pooblaščenec v svojem sporočilu za javnost sporočil, da si sam sicer več ne upa uporabljati analitičnih piškotkov brez izrecne privolitve obiskovalca. S svoje spletne strani so te piškotke zato odstranili. Pri tem pa so poudarili, da svojih smernic (dobrih praks) zaenkrat ne bodo spremenili oziroma da takojšnjega nadzora nad drugimi spletnimi stranmi zaenkrat ne bo. Odločitev Informacijskega pooblaščenca pozdravljamo, saj je mnogim podjetjem in posameznikom močno olajšala spletno delovanje in poslovanje. Kot je npr. razvidno iz spletne strani Vrhovnega državnega tožilstva RS Informacijski pooblaščenec že več kot pol leta dovoljuje uporabo analitičnih piškotkov brez vnaprejšnje privolitve uporabnika in brez možnosti naknadnega izklopa. Prav tako Agencija za civilno letalstvo že dlje časa uporablja Google Tag Manager z vsemi pripadajočimi piškotki.

Naj dodamo še, da novi Zakon o varstvu osebnih podatkov (ZVOP-2), ki naj bi omogočil polno uporabo GDPR, zamuja že 432 dni. Kdaj bo torej zavest o pomenu zasebnosti in vplivu velikih zbirateljev osebnih podatkov prodrla tudi do upravljavcev slovenskih spletnih strani, tako da na tej točki težko rečemo. Vsekakor z zamudo.