Odpovědnost firem za ochranu osobních údajů při použití pluginů sociálních sítí
Kdo nese odpovědnost za ochranu osobních údajů při propojení webu se sociální sítí? Soudní dvůr Evropské unie přiřkl společnou odpovědnost při sběru a přenosu osobních údajů jak sociální síti, tak i provozovateli webových stránek.
Podnět k přezkoumání této otázky Soudním dvorem EU vznesl německý soud při řešení sporu internetového módního obchodu Fashion ID s lokální organizací na ochranu spotřebitelů (Verbraucherzentrale NRW). Ta namítala rozpor s předpisy na ochranu osobních údajů v otázce přenosu dat z webových stránek do Facebooku. Podle ní chyběla i dostatečná informace o zpracování údajů dotčených osob.
Podstatou podání žaloby byla skutečnost, že návštěvníci či uživatelé webové stránky obchodu byli předmětem sběru údajů bez ohledu na to, zda jsou zaregistrováni na Facebooku nebo zda klikli na plugin — tlačítko „Líbí se mi“. Po běžném návštěvníkovi webu nelze rozumně požadovat, aby očekával takové zpracování údajů. Zároveň o tomto zpracování návštěvníci nebyli předem ani dostatečně informováni.
Pokud si nejste jisti, jak správně napsat zásady zpracování osobních údajů, využijte náš Privatry generátor zásad.
Soudní dvůr rozhodl, i s ohledem na to, že prospěch ze spolupráce s Facebookem mají nepochybně i provozovatelé webových stránek, že ohledně sběru a přenosu dat je dáno společné správcovství Facebooku a provozovatele. Důvodem je zejména to, že společně rozhodují o účelech a prostředcích zpracování. Na oba proto dopadají práva a povinnosti vyplývající z předpisů na ochranu osobních údajů (GDPR) v plném rozsahu.
Co tedy musí splňovat provozovatel webu?
Klíčovým požadavkem na provozovatele webové stránky je podle tohoto rozhodnutí srozumitelné a jasné informování dotčených osob o probíhajícím nebo možném zpracování jejich osobních údajů. Informaci musí dostat nejpozději v době započetí zpracování a ideálně přímo na webových stránkách provozovatele. Soud zároveň naznačil, že pokud se provozovatel webových stránek bude chtít spoléhat na souhlas dotčených osob, je třeba ho získat ještě před započetím zpracování.
Naproti tomu na následné zpracování údajů Facebookem již provozovatel webových stránek vliv nemá a odpovědnost za něj tedy ponese Facebook.