Gaseste un avocat specializat

Avocatoo magazin GDPR

Cauza C-210/16 – Protecția datelor cu caracter personal colectate de paginile Facebook

  1. Numărul cauzei

Cauza C-210/16

  1. Situația de fapt

Curs online GDPR

Pe Facebook se pot crea anumite pagini pentru fani pe care particularii sau întreprinderile le gestionează și pot posta orice conținut media care are legătură cu domeniul lor de activitate sau nu. Administratorii paginilor pentru fani pot obține date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcții intitulate „Facebook Insight” puse în mod gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate. Aceste date sunt colectate cu ajutorul unor fișiere‑martori (denumite în continuare „cookies”) care conțin, fiecare, câte un cod de utilizator unic, active timp de doi ani și salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani.  Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor pentru fani. Wirtschaftsakademie a fost somată de către ULD (autoritate de supraveghere) să dezactiveze pagina pentru fani pe care a creat‑o pe Facebook la adresa www.facebook.com/wirtschaftsakademie, sub sancțiunea unei penalități cu titlu cominatoriu în cazul neexecutării în termenul stabilit, pentru motivul că nici Wirtschaftsakademie, nici Facebook nu informau vizitatorii paginii pentru fani că acesta din urmă colecta, cu ajutorul unor cookies, informații cu caracter personal care îi vizau și că acestea prelucrau apoi respectivele informații. Wirtschaftsakademie a introdus o reclamație împotriva acestei decizii, arătând în esență că ea nu răspundea, în raport cu dreptul aplicabil protecției datelor, nici de prelucrarea datelor efectuată de Facebook, nici de cookie‑urile instalate de acesta din urmă.

ULD a arătat că, prin faptul că a creat pagina sa pentru fani, Wirtschaftsakademie aducea o contribuție activă și voluntară la colectarea de către Facebook a unor date cu caracter personal privind vizitatorii acestei pagini pentru fani, date de care ea profita prin intermediul statisticilor puse la dispoziție de acesta din urmă.

Wirtschaftsakademie a introdus o acțiune împotriva acestei, susținând că prelucrarea datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea nu a însărcinat nicidecum Facebook să procedeze la prelucrarea unor date pe care le‑ar controla sau pe care le‑ar putea influența. Wirtschaftsakademie deducea din aceasta că ULD ar fi trebuit să se îndrepte direct împotriva Facebook, iar nu să adopte împotriva sa decizia atacată.

  1. Legislație europeană

Regulamentul 2016/679

Manual complet implementare GDPR

Directiva 95/46

  • întrucât, pentru a garanta că persoanele nu sunt private de protecția la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în [Uniune] trebuie efectuată în conformitate cu legislația unuia dintre statele membre; întrucât, în acest sens, prelucrarea efectuată sub responsabilitatea unui operator stabilit într‑un stat membru se supune legislației statului respective
  • întrucât principiile protecției trebuie să se aplice oricărei informații privind o persoană identificată sau identificabilă; întrucât, pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată; întrucât principiile protecției nu se aplică datelor anonime astfel încât persoana vizată să nu mai fie identificabilă
  • «prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea
  1. Decizia curții

1)      Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie să fie interpretat în sensul că noțiunea „operator”, în sensul acestei dispoziții, înglobează administratorul unei pagini pentru fani găzduite pe o rețea socială.

2)      Articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când o întreprindere stabilită în afara Uniunii Europene dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă în privința unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii Europene, unui sediu situat într‑un alt stat membru.

3)      Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

  1. Legislație națională incidentă în speță

Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date

Avocatoo magazin GDPR

Comments
Se incarca...
DESCARCĂ ACUM -

Manual complet GDPR - tot ce trebuie să știi

Fă o implementare de succes cu manualul nostru în care îți explicăm pas cu pas GDPR.
DESCARCĂ ACUM
close-link
Vrei să ne știi triști?

Abonează-te la newsletter!

Si vom fi fericiți.
DA-MI MAILURI
close-link