Trybunał Sprawiedliwości Unii Europejskiej 4 lipca br. wydał orzeczenie dotyczące Meta Platforms, w którym poruszył wiele istotnych kwestii związanych z ochroną danych osobowych. Warto przyjrzeć się stanowisku TSUE w tej sprawie, aby zrozumieć, jakie mogą być jego konsekwencje dla codziennego stosowania przepisów o ochronie danych.
Orzeczenie w kontekście Grupy Meta Platforms
Orzeczenie to zostało wydane w odpowiedzi na pytania prejudycjalne, które zadano w związku z postępowaniem dotyczącym Meta. Grupy której spółki są właścicielami platform takich, jak Facebook, Instagram i WhatsApp.
Postępowanie dotyczyło praktyki Meta, polegającej na tworzeniu profili użytkowników korzystających z różnych narzędzi od Meta i posługiwania się do tego danymi z innych aplikacji oraz stron internetowych lub aplikacji firm trzecich (dane off-Facebook).
Pytania i odpowiedzi
W trakcie postępowania Trybunałowi zostało zadane siedem pytań. Przeanalizujmy odpowiedzi na kilka z nich:
Czy jeżeli gromadzone są dane o wywoływaniu stron internetowych i aplikacji powiązanych z danymi wrażliwymi (jak np. korzystanie z aplikacji randkowych), to czy mamy do czynienia z przetwarzaniem takich danych wrażliwych? Jeżeli tak, to czy można powiedzieć, że użytkownik upublicznił takie dane w sposób oczywisty, jeżeli skorzystał z wtyczki/linka portalu społecznościowego?
Odpowiadając na te pytanie, TSUE uznał, że zbieranie danych dotyczących wejścia na strony czy korzystania z aplikacji związanych jednoznacznie z kategoriami informacji wskazanymi w art. 9 RODO, takich jak aplikacje randkowe, należy uznać za przetwarzanie szczególnych kategorii danych.
Element ten może mieć duże znaczenie dla przedsiębiorców. W decyzjach organów nadzorczych już poprzednio sygnalizowano, że np. zbieranie danych geolokalizacyjnych umożliwiających zidentyfikowanie miejsc, do których weszła osoba (jak na przykład klub dla mniejszości seksualnych) może być przetwarzaniem danych wymienionych w art. 9. Komentowany wyrok TSUE potwierdza, że jeżeli zbieramy dane powiązane – np. o korzystaniu z określonych portali randkowych, czy portali zdrowotnych – mamy do czynienia z przetwarzaniem danych szczególnych kategorii i musimy znaleźć podstawę legalizującą z art. 9 RODO.
Jednocześnie TSUE wskazał, że sam fakt, że użytkownik umożliwia dostęp do takich danych poprzez skorzystanie z wtyczki, nie może być równoznaczny z przesłanką upublicznienia danych. Upublicznienie jest świadomym ujawnieniem danych nieograniczonemu kręgowi odbiorców. Jest działaniem zamierzonym. Z tego względu za upublicznienie nie można uznać sytuacji, w której dane są przekazywane jedynie do administratora strony i do ograniczonego kręgu podmiotów trzecich. O upublicznieniu moglibyśmy mówić w przypadku, w którym osoba ma możliwość takiego ustawienia parametrów, by podjąć decyzję o przekazaniu danych do takiego właśnie szerokiego, nieokreślonego kręgu odbiorców. Można dokonać takiego upublicznienia poprzez stronę internetową, ale nie w sposób wskazany przez Meta. Z praktycznego punktu widzenia, nie można wykorzystywać przesłanki upublicznienia jako swoistego wytrychu dla zbierania danych.
Na jakie podstawy prawne może powołać się przedsiębiorstwo, takie jak Meta Platforms Ireland, w związku z gromadzeniem danych off-Facebook, łączeniem ich z kontem użytkownika w serwisie Facebook i wykorzystaniem w celu generacji reklam?
Czy możliwe jest uznanie takich danych za niezbędne do wykonania umowy, która dotyczy założenia konta na portalu Facebook przez użytkownika?
Dane, by można je było uznać za niezbędne do wykonania umowy, muszą być obiektywnie konieczne do osiągnięcia celu porozumienia – cel umowy nie mógłby zostać zrealizowany bez ich przetwarzania. Administrator musi wykazać, że istnieje rzeczywista potrzeba przetwarzania takich danych. Nie może to być jedynie przydatne dla wykonania umowy lub osiągnięcia celów jednej ze stron.
Chociaż personalizacja treści reklam jest użyteczna dla celów umowy, zawartej między Facebookiem a użytkownikiem, a nawet może być użyteczna dla samego użytkownika, to nie jest ona niezbędna do wykonania umowy. W związku z tym, art. 6 ust. 1 lit. b) RODO nie może stanowić podstawy prawnej dla przetwarzania danych osobowych w tym przypadku. Dodatkowo, różne usługi oferowane przez Meta mogą być używane niezależnie od siebie, więc na każdą z tych usług powinna zostać zawarta oddzielna umowa. Jeśli użytkownik zawiera umowę dotyczącą założenia konta na jednym portalu, to dane z innych źródeł nie mogą być wykorzystane przez administratora.
Interpretacja TSUE w tym zakresie może mieć praktyczne znaczenie dla działalności przedsiębiorstw. Jeśli dana osoba korzysta z wielu usług jednego przedsiębiorstwa, nie można łączyć jej danych zebranych w trakcie korzystania z tych usług i kontynuować przetwarzania na podstawie niezbędności danych do wykonania umowy. Konieczne jest znalezienie dalszej podstawy przetwarzania danych w takim przypadku.
Czy za dopuszczalną prawnie podstawę przetwarzania danych z kilku narzędzi lub danych off-Facebook można uznać uzasadniony cel administratora, związany z:
a) świadczeniem usług pomiarowych, analitycznych i innych usług biznesowych dla reklamodawców, deweloperów i innych partnerów, w celu umożliwienia im oceny i poprawy swoich usług, a także przekazywaniem komunikacji marketingowej?
W tym obszarze TSUE uznał, że takie działanie może stanowić uzasadniony interes administratora, ale jednocześnie należy mieć na uwadze, że interes ten nie może być nadrzędny w stosunku do interesu osoby, której dane dotyczą (test równowagi). Konieczne jest łączne spełnienie trzech warunków, aby takie przetwarzanie było legalne: 1) istnienia uzasadnionego celu administratora, 2) niezbędności tego przetwarzania do osiągnięcia celów administratora oraz 3) pozytywnego wyniku testu równowagi, w tym „racjonalnych oczekiwań osoby”. TSUE stwierdził, że w rzeczonym wypadku nie może być mowy o spełnieniu 3 ww. warunków i przetwarzanie danych jest niezgodne z prawem.
b) weryfikacją wieku użytkowników w celu personalizacji treści i reklam, doskonalenia produktów, zapewnienia bezpieczeństwa sieci i prowadzenia komunikacji o charakterze niehandlowym z użytkownikiem?
W tym zakresie TSUE zaznaczył, że taki cel nie stanowi prawnie uzasadnionego celu administratora. Podmiot prywatny, taki jak Meta Platforms Ireland, nie może powoływać się na prawnie uzasadniony interes, który nie ma związku z jego działalnością gospodarczą i handlową.
Taki cel może uzasadniać przetwarzanie danych przez podmiot gospodarczy, gdy jest to obiektywnie niezbędne do wypełnienia ciążącego na nim obowiązku prawnego.
W praktyce, komentowany wyrok TSUE może ograniczyć możliwość korzystania z przesłanki prawnie uzasadnionego celu. Istotne jest także zrozumienie, dlaczego cel przetwarzania jest uzasadniony z perspektywy administratora. Nie każda operacja przetwarzania danych może być uznana za związaną z prawnie uzasadnionym celem administratora.
Czy podstawa prawna dla zbierania danych spoza Facebooka może być inna niż te wskazane w RODO?
Analizując kolejne przesłanki, TSUE stwierdził, że działanie w celu personalizacji reklam i zdobycia finansowania nie może być uzasadnione żadną inną przesłanką wskazaną w RODO, poza zgodą użytkownika na wykorzystanie takich danych w ściśle określonym celu.
Czy można wyrazić przed przedsiębiorstwem zajmującym pozycję dominującą na rynku, takim jak Meta Platforms Ireland, skuteczną i dobrowolną zgodę na przetwarzanie danych osobowych?
To, że spółka jest dominującym graczem na rynku, nie wyklucza możliwości uzyskania skutecznej zgody na przetwarzanie danych spełniającej wymogi RODO.
Natomiast fakt posiadania takiej pozycji (i wynikający z tego brak możliwości skorzystania z alternatywnego rozwiązania) może prowadzić do ograniczenia możliwości wyrażenia zgody w sposób w pełni swobodny.
W takim przypadku spółka musi zapewnić i wykazać, że zostaną spełnione warunki swobodnej i dobrowolnej zgody. Samo dominujące miejsce spółki na rynku nie wyklucza możliwości korzystania ze zgody – jednak zgoda musi być odpowiednio pozyskana i wymaga szczególnej staranności ze strony podmiotu powołującego się na nią, ze względu na nierównowagę między nim a użytkownikiem. Odpowiedzialność takiej dominującej spółki polega na takim ustawieniu parametrów, żeby zgoda mogła być wyrażona swobodnie.
Podsumowanie
Wyrok TSUE będzie miał wpływ przede wszystkim na funkcjonowanie systemu reklam na portalach należących do Meta. Firma ogłosiła, że będzie zbierać zgody od użytkowników w Unii Europejskiej w celu personalizacji reklam.
Norweski organ ochrony danych już w lipcu zakazał gromadzenia danych służących reklamom behawioralnym na Facebooku. W następstwie tego wyroku, także TikTok ogłosił wprowadzenie rozwiązań pozwalających na opcjonalną personalizację treści wideo i reklam na platformie.
Analiza poszczególnych elementów wyroku może również wpłynąć na funkcjonowanie innych przedsiębiorstw. Żaden z tych elementów nie jest rewolucyjny sam w sobie, ale dzięki zawartym w wyroku tezom, praktycy otrzymali jasne wskazówki, w jaki sposób zbierać i przetwarzać dane na cele marketingowe w mediach społecznościowych.