Ευθύνη διαχειριστή ιστοσελίδας από ενσωματωμένο πρόσθετο- Γνώμη ΓΑ, C-40/17.
Η Fashion ID GmbH & Co. KG είναι εταιρία που δραστηριοποιείται στο ηλεκτρονικό εμπόριο αντικειμένων μόδας. Στην ιστοσελίδα της έχει ενσωματώσει ένα πρόσθετο («plugin»): την επιλογή «μου αρέσει» του Facebook. Συνεπεία αυτού, κάθε φορά που κάποιος χρήστης επισκέπτεται την ιστοσελίδα της Fashion ID διαβιβάζονται στο Facebook πληροφορίες σχετικά με τη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και τη συμβολοσειρά του φυλλομετρητή (browser string) αυτού του χρήστη. Η διαβίβαση αυτή εκτελείται αυτομάτως κάθε φορά που φορτώνεται η ιστοσελίδα της Fashion ID, ανεξάρτητα από το εάν ο χρήστης κάνει κλικ στην επιλογή «μου αρέσει» και ανεξάρτητα από το εάν διατηρεί ή όχι λογαριασμό στο Facebook. Η Verbraucherzentrale NRW e.V, μια γερμανική ένωση για την προστασία των καταναλωτών, άσκησε αγωγή παραλείψεως κατά της Fashion ID, για τον λόγο ότι η χρήση του συγκεκριμένου προσθέτου συνιστά παραβίαση της νομοθεσίας για την προστασία δεδομένων. Το δικαστήριο που επελήφθη της υποθέσεως, ζητεί την ερμηνεία διαφόρων διατάξεων της οδηγίας 95/46/EK (η οποία έχει μεν εφαρμογή στην υπό κρίση υπόθεση, αλλά αντικαταστάθηκε από τον νέο Γενικό Κανονισμό για την Προστασία των Δεδομένων του 2016, ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018).
Ο γενικός εισαγγελέας πρότεινε στο ΔΕΕ να απαντήσει στα ερωτήματα ως ακολούθως:
1) Ως προς το δικονομικό ζήτημα ο ΓΑ έκρινε ότι η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, δεν αντιβαίνει σε εθνική νομοθεσία η οποία αναγνωρίζει σε μη κερδοσκοπικές ενώσεις το δικαίωμα να προσφεύγουν κατά των φερομένων ως παραβατών της νομοθεσίας για την προστασία δεδομένων προκειμένου να προασπίσουν τα συμφέροντα των καταναλωτών.
2) Πρόσωπο το οποίο έχει ενσωματώσει στην ιστοσελίδα του πρόσθετο τρίτου, από το οποίο προκαλείται η συλλογή και η διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών (όπου το εν λόγω πρόσθετο έχει παρασχεθεί από αυτόν τον τρίτο), πρέπει να θεωρείται υπεύθυνος της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Πάντως, η (από κοινού) ευθύνη αυτού του υπευθύνου της επεξεργασίας περιορίζεται στις εργασίες εκείνες για τις οποίες αυτός συναποφασίζει κατά τρόπο ουσιαστικό σχετικά με τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
3) Για τον σκοπό της αξιολογήσεως της δυνατότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις προϋποθέσεις που τίθενται στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 πρέπει να λαμβάνονται υπόψη και να σταθμίζονται έναντι των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα τα έννομα συμφέροντα αμφοτέρων των επίμαχων από κοινού υπευθύνων της επεξεργασίας.
4) Η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, η οποία λαμβάνεται δυνάμει του άρθρου 7, στοιχείο αʹ, της οδηγίας 95/46, πρέπει να παρέχεται στον διαχειριστή της ιστοσελίδας στην οποία έχει ενσωματωθεί το περιεχόμενο τρίτου. Το άρθρο 10 της οδηγίας 95/46 πρέπει να ερμηνευθεί υπό την έννοια ότι το προβλεπόμενο από την οικεία διάταξη καθήκον ενημερώσεως εφαρμόζεται επίσης σε τέτοιου είδους διαχειριστές ιστοσελίδων. Η προβλεπόμενη από το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46 συγκατάθεση καθώς και οι πληροφορίες κατά την έννοια του άρθρου 10 της ίδιας οδηγίας πρέπει να παρέχονται πριν από τη συλλογή και τη διαβίβαση των δεδομένων. Πάντως, η έκταση αυτών των υποχρεώσεων πρέπει να αντιστοιχεί στην από κοινού ευθύνη που υπέχει ο εν λόγω διαχειριστής για τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα.
Επιμέλεια: Διονύσης Παυλιόγλου/ Επιστημονικός Συνεργάτης e-Θέμις
Ο διαχειριστής της ιστοσελίδας οφείλει να παρέχει στους χρήστες, όσον αφορά τις εργασίες επεξεργασίας αυτών των δεδομένων, τις απαιτούμενες ελάχιστες πληροφορίες και να λαμβάνει, εφόσον είναι απαραίτητο, τη συγκατάθεσή τους πριν από τη συλλογή και διαβίβαση των δεδομένων.
