BDAR: Duomenų valdytojai ir tvarkytojai

09.09.2020 BDAR: Duomenų valdytojai ir tvarkytojai

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Minvydas Balčiūnas.

Kodėl įdiegus Facebook mygtuką „Patinka“ savo interneto svetainėje atsiranda iš BDAR kylančių pareigų

ETT 2019 m. liepos 29 d. sprendimas C-40/17: „Fashion ID“

Faktinė situacija: Fashion ID, elektroninės prekybos mados prekėmis įmonė, į savo interneto svetainę integravo socialinio tinklo Facebook socialinį įskiepį „Patinka“ (toliau – Facebook mygtukas „Patinka“). Kai lankytojas prisijungia prie Fashion ID svetainės, šio lankytojo asmens duomenys dėl to, kad šioje svetainėje integruotas minėtas mygtukas, perduodami Facebook. Toks perdavimas vyksta minėtam lankytojui to nežinant ir neatsižvelgiant į tai, ar jis yra socialinio tinklo Facebook narys ir ar jis spustelėjo Facebook mygtuką „Patinka“.

Teisinė problema: Savo svetainės lankytojų duomenis perduodamas Facebook, interneto svetainės administratorius Fashion ID GmbH & Co. KG ne tik neturėjo lankytojų sutikimo, bet ir neinformavo asmenų apie jų duomenų tvarkymą.

Kas iš to? Interneto svetainės administratorius, kaip antai Fashion ID GmbH & Co. KG, kuris interneto svetainėje įterpia socialinį įskiepį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto įskiepio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis:

  • Gali būti laikomas bendru duomenų valdytoju su įskiepio teikėju. Jis privalo lankytoją informuoti apie tvarkomus duomenis. Kita vertus, informacija, kurią jis privalo pateikti asmeniui, turi būti susijusi tik su asmens duomenų tvarkymo operacija ar operacijų rinkiniu, kurių tikslus ir būdus jis realiai nustato.
  • Privalo gauti lankytojo sutikimą dėl asmens duomenų tvarkymo operacijos ar operacijų rinkinio, kurių tikslus ir būdus minėtas administratorius realiai nustato.
  • Būtina, kad abu subjektai (ir svetainės administratorius, ir įskiepio teikėjas) tokiomis tvarkymo operacijomis siektų teisėtų interesų, kad tokios operacijos galėtų būtų pagrįstos.

 

Kodėl Facebook gerbėjų puslapių administratoriai už duomenų tvarkymą atsako kartu su Facebook

ETT 2018 m. birželio 5 d. sprendimas C-210/16: „Facebook Insights“

Faktinė situacija: Vokietijos akademinė institucija (Institucija) tvarkė savo gerbėjų puslapį Facebook socialiniame tinkle ir rinko duomenis apie vartotojus naudodama slapukus, kurie buvo talpinami naudojant funkciją Facebook Insights. Tuo buvo siekiama pateikti statistiką gerbėjų puslapių administratoriams ir skelbti tikslines reklamas. Tačiau nei Institucija, nei Facebook nepranešė apie tokį slapukų naudojimą vartotojams. Vokietijos duomenų apsaugos institucija, įvertinusi situaciją, nurodė įstaigai nutraukti duomenų rinkimą ir išjungti savo gerbėjų puslapį.

Teisinė problema: Institucija teigė, kad nėra atsakinga, nes slapukus diegia, kartu jų renkamus duomenis tvarko Facebook.

Kas iš to? ETT nusprendė, kad Facebook gerbėjų puslapių administratoriai kartu su Facebook yra atsakingi už duomenų, susijusių su svetainės lankytojais, tvarkymą.

Tiksliau, socialiniame tinkle esančio gerbėjų puslapio administratorius taip pat yra bendrasis duomenų valdytojas kartu su Facebook. Duomenų valdytojo sąvoka nebūtinai apima vieną fizinį ar juridinį asmenį, ir gali būti susijusi su keliais šiame tvarkyme dalyvaujančiais subjektais. 

Duomenų valdytoju asmuo yra ir tada, kai pats neturi prieigos prie tvarkomų asmens duomenų. ETT nagrinėtu atveju, nors Facebook pateikė tik anoniminius statistinius duomenis apie srautą į savo svetainę, tačiau net ir tokiu atveju teismas nusprendė, kad Institucija yra atsakinga už Facebook tvarkomus neanoniminius duomenis.