Съдът на ЕС по дело № C-40/17 (“Fashion ID GmbH & Co. KG”) постанови, че дори и при действието на Директива 95/46 администраторите на лични данни следва да изпълняват задълженията си спрямо субектите на данни в случаите, когато уебсайтът им има бутон лайк от фейсбук.

Решението поставя въпроса за отговорността на администратори на лични данни, които предоставят част от тези данни на трети лица или социални платформи за обработката. В наши дни почти всеки уебсайт има плъгини (plug-in) за различни социални мрежи (Фейсбук, Туитър и др.), които да увеличат онлайн присъствието на предлаганите продукти. Както и в делото Fashion ID, всички тези плъгини могат да изпращат лични данни на посетителите на сайта до избрана социална мрежа, която може да изпраща лични данни на посетителите на сайта до корпорациите, стоящи зад тях, дори посетителите да нямат профили в съответните мрежи.

Съдът намира, че задълженията на оператора на уебсайта в качеството му на администратор на лични данни на основание Директивата са ограничени до отговорност във връзка с обработка, за която той самият определя целите и средствата, а именно самото предаване на личните данни на Фейсбук.

За да ограничат опасностите от предаване на лични данни чрез на пръв поглед невинно изглеждащи плъгини, администраторите на лични данни, които поддържат уебсайтове, трябва:

1. изрично да информират посетителите за възможността техните данни да бъдат предоставени на трети лица – администратори;

2. да изискат съгласието на посетителите за подобна обработка на личните данни. Посетителите следва да имат право да откажат техните данни да бъдат изпращани на администраторите, собственици на плъгините. Другите основания за обработка на лични данни по чл. 6 GDPR трудно могат да намерят приложение в подобни случаи;

3. да сключат подробни споразумения по чл. 26 GDPR за съвместни администратори с операторите на плъгините. Несключването на подобно споразумение може да доведе до самостоятелна глоба за нарушение на чл. 26, пара. 1 GDPR, дори правата на субектите на данни да не са нарушени по друг начин.

Пълното и безкомпромисно изпълнение на задълженията по GDPR гарантира сигурността както на субектите и техните лични данни, така и на администраторите във все по-регулирания свят на информационните технологии и интернет.

–––––––––

Източници: Решение на съда на ЕС от 29.07.2019 г. по дело № C-40/17 (“Fashion ID GmbH & Co. KG”)

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.

Не се колебайте да се свържете с нас на office@codilex.eu при възникнали въпроси при работа с комплексните предизвикателства на защита на личните данни.