Facebookov gumb „všeč mi je"
Še več, sodišče se je postavilo na stališče, da ne samo Facebook, pač pa tudi vse druge storitve, ki se povezujejo z uporabnikom, za lastnika spletne strani pomeni, da postane skupni upravljavec s ponudnikom te storitve. Po naši oceni sem sodijo CDN storitve, vprašanje je, ali ne (glede na stališče sodišča) celo ponudniki gostovanja:
»... iz spisa, ki je na voljo Sodišču, izhaja, da se zdi, da je družba Fashion ID s tem, ko je na svoje spletno mesto vstavila Facebookov gumb „všeč mi je“, omogočila družbi Facebook Ireland, da pridobi osebne podatke obiskovalcev njenega spletnega mesta, to možnost pa pridobi z obiskom takšnega spletnega mesta in to neodvisno od tega, ali so ti obiskovalci člani socialnega omrežja Facebook, ali so kliknili na Facebookov gumb „všeč mi je“ in ali so seznanjeni s takšnim postopkom.«
V konkretni zadevi torej niti ni nujno, da so obiskovalci spletne strani preko nje povezani s Facebook-ovim profilom, pač pa je dovolj že, da spletno stran obiščejo. Da je družba skupni upravljavec je sodišče med drugim navezalo na njeno komercialno prednost, ki se kaže v povezovanju s Facebook-om:
»Zdi se, da je družba Fashion ID s tem, ko je na svoje spletno mesto vstavila tak gumb, vsaj implicitno privolila v zbiranje in posredovanje s prenosom osebnih podatkov obiskovalcev njenega spletnega mesta, z namenom, da bi izkoristila to komercialno prednost, ki je takšno povečano oglaševanje njenih izdelkov, pri čemer se ti postopki obdelave izvajajo v gospodarskem interesu tako družbe Fashion ID kot družbe Facebook Ireland, ki ji to, da lahko razpolaga s temi podatki za svoje komercialne namene, pomeni zameno za prednost, ki jo ponuja družbi Fashion ID.«
Lastnik spletne strani je skupni upravljavec zgolj za tiste dele obdelave, ki se izvajajo na njegovi spletni strani:
»Vendar je ta odgovornost omejena na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva, in sicer zbiranje in posredovanje s prenosom zadevnih podatkov.«
Isto razmišljanje je treba uporabiti tudi pri drugih storitvah, kjer pride do posredovanja (npr. IP naslova) tretjim osebam – kot je mogoče sklepati, tudi v primeru t. i. Content Delivery System (CDN):
“Tako so lahko – za ponazoritev – fotografije, videoposnetki, novice ter Facebookov gumb „všeč mi je“, ki je predmet tega postopka, povezani s spletnim mestom in prikazani na njem. Če želi upravljavec spletnega mesta vstaviti takšne zunanje vsebine, na svoje spletno mesto umesti povezavo do zunanje vsebine. Ko brskalnik obiskovalca navedenega mesta odpre to povezavo, pošlje zahtevo za zunanjo vsebino in jo vstavi na želeno mesto v prikazu spletnega mesta. Za to brskalnik strežniku zunanjega ponudnika posreduje IP-naslov računalnika navedenega obiskovalca ter tehnične podatke brskalnika, tako da strežnik lahko določi format, v katerem bo vsebina poslana na ta naslov. Brskalnik poleg tega posreduje podatke o želeni vsebini. Upravljavec spletnega mesta, ki ponuja zunanjo vsebino tako, da jo na to mesto vstavi, nima vpliva na to, katere podatke brskalnik posreduje, niti na to, kaj zunanji ponudnik s temi podatki stori, zlasti, ali se jih odloči shraniti in uporabiti.«
Sodišče je v sodbi razpravljalo o tem, ali gre v tem primeru lahko za zakoniti interes ali mora posameznik dati osebno privolitev za tovrstno obdelavo ter da mora upravljavec spletne strani prejeti vse potrebne informacije o obdelavi:
» ... upravljavec spletnega mesta (mora) privolitev iz teh določb pridobiti samo v zvezi s postopkom ali nizom postopkov obdelave osebnih podatkov, za katere navedeni upravljavec spletnega mesta določi namene in sredstva ... pri tem pa mora zadnjenavedeni posameznika, na katerega se nanašajo osebni podatki, obvestiti le o postopku ali nizu postopkov obdelave osebnih podatkov, za katere določi namene in sredstva.«
Če torej vzamemo kot predpostavko, da je za tovrstno obdelavo potrebna osebna privolitev, potem v skladu z določili GDPR, da mora biti privolitev prostovoljna in da je ni dovoljeno pogojevati s strotivijo, pridemo v zanimivo situacijo: obiskovalca spletne strani ne smemo siliti v privolitev, po drugi strani pa brez njegove privolitve ne smemo denimo IP naslova in brskalnika, ki ga obiskovalec uporablja, »posredovati« CDN ponudniku, s čimer mu spletne strani ne moremo prikazati. S tem se ujamemo v zanko 22, na katero sodišče pri svojem odločanju očitno ni pomislilo.
