Ostatní | Mgr. Michal Kandráč & al | 01.10.2019 Také v kategorii:
Právo IT

Plug-in či neplug-in, toť otázka, aneb sociální plug-iny ve světle rozhodnutí Soudního dvora Evropské unie ve věci Fashion ID Zdroj: Shutterstosk

Plug-in či neplug-in, toť otázka, aneb sociální plug-iny ve světle rozhodnutí Soudního dvora Evropské unie ve věci Fashion ID

Soudní dvůr Evropské unie („SDEU“) se ve svém rozhodnutí ve věci Fashion ID (sp. zn. C-40/17 ze dne 29. července 2019)[1] vyjádřil k otázce odpovědnosti správců webových stránek za užívání sociálních plug-inů z hlediska zpracování osobních údajů.

Mgr. Michal Kandráč

Mgr. Michal Kandráč

Weinhold Legal

Mgr. Michal Kandráč

Weinhold Legal

Mgr. Bc. Václav Smetana

Mgr. Bc. Václav Smetana

Weinhold Legal

Mgr. Bc. Václav Smetana

Weinhold Legal

Tento článek si klade za cíl poskytnout čtenářům stručné vysvětlení funkce plug-inů sociálních sítí a popsat praktické dopady výše uvedeného rozhodnutí na jejich užívání.

Co je to plug-in?

Termínem „plug-in“ (v češtině modul) se obecně označuje software, který přidává specifickou funkci do existujícího programu. V tomto příspěvku se budeme zabývat konkrétně plug-iny sociálními, tedy programovými kódy provozovatelů sociálních sítí, které podnikatelé záměrně (a dobrovolně) umísťují do zdrojového kódu svých webových stránek.

Proč by někdo chtěl mít na své webové stránce plug-in od Facebooku a spol.? Odpověď je jednoduchá - bezplatné umístění plug-inu do kódu webové stránky slibuje zlepšení propagace provozovatele webové stránky (např. e-shopu) na předmětné sociální síti. Pokud tedy návštěvník webové stránky klikne například na sociální plug-in „Like Button“ od Facebooku, jeho „like“ se automaticky zobrazí na facebookovém profilu návštěvníka a bude tak viditelný i pro všechny jeho přátele. Sociální sítě pak samozřejmě nabízí širokou škálu plug-inů, např. „Group Pluginy“ (umožňují návštěvníkům vstoupit přímo z webové stránky do určité skupiny na sociální síti) či „Share Buttony“ (umožňují návštěvníkům webové stránky sdílet určitých obsah na svém profilu v sociální sítí).

Provozovatelům webových stránek tak sociální plug-iny slouží především k marketingovým účelům. Co však používáním sociálních plug-inů získávají sociální sítě? Odpověď není ani zde obtížná – získávají platidlo dnešní doby – data, a to konkrétně informace o návštěvnících webových stránek (např. IP adresa, specifikace hardware či konfigurace zařízení) a jejich chování, přičemž informace sociální sítě získávají dokonce i o těch návštěvnících, kteří vůbec účet na dané sociální síti nemají. Jak to je možné? Sociální plug-in je embeddován (zakotven) přímo ve zdrojovém kódu webové stránky a při vstupu na webovou stránku automaticky přikáže webovému prohlížeči návštěvníka dané stránky, aby se připojil na servery provozovatele předmětné sociální sítě.

Získané osobní údaje (mezi které se řadí i IP adresa[2]) pak sociální sítě využívají především k optimalizaci „personalizované reklamy“. Pokud se Vám tedy někdy stalo, že po návštěvě e-shopu se začalo Vámi prohlížené zboží zobrazovat ve sponzorovaných odkazech sociální sítě, může za to s největší pravděpodobností právě sociální plug-in.

Plug-iny a ochrana osobních údajů?

Provozovatelé webových stránek si často neuvědomují, že z důvodu výše popsaného sdílení osobních údajů se sociální sítí prostřednictvím plug-inů se na ně vztahují povinnosti stanovené předpisy upravujícími ochranu osobních údajů. Právě tato problematika (konkrétně „Like Buton“ od Facebooku) byla uprostřed léta předmětem rozhodnutí SDEU ve věci Fashion ID, v němž SDEU navázal na své dřívější rozhodnutí ve věci Wirtschaftsakademie Schleswig-Holstein[3] a uzavřel, že provozovatel webových stránek, na kterých je umístěn sociální plug-in, je společným správcem s předmětnou sociální sítí, a to ve vztahu ke sběru osobních údajů návštěvníků vlastních webových stránek a jejich přenosu dané sociální síti. Dále SDEU, mimo jiné, uvedl, že provozovatelé webových stránek nemohou být odpovědní za následné zpracovávání osobních údajů ze strany sociální sítě, a že právním důvodem, na základě kterého mohou provozovatelé webových stránek zpracovávat (tj. i sbírat a sdílet) osobní údaje skrze sociální plug-iny může být předem získaný souhlas se zpracováním osobních údajů a za jistých okolností též odůvodněný oprávněný zájem.

Na tomto místě je nutné podotknout, že SDEU se k některým otázkám vyjádřil poněkud zkratkovitě, resp. nenabídl rozumné řešení, když sice nepřímo připustil zpracovávání dat v plug-inech na základě oprávněného zájmu, nicméně toto tvrzení nedemonstroval na konkrétních případech. Jelikož oprávněný zájem musí být dle SDEU zejména odůvodněný, měl by provozovatel webové stránky spoléhající na svůj oprávněný zájem ideálně vyhotovit tzv. posouzení oprávněného zájmu[4] pro každý z využívaných plug-inů. Takové řešení by však bylo velice nepraktické, a to především s ohledem na skutečnost, že příslušný úřad pro ochranu osobních údajů by při případné kontrole mohl i navzdory provedení posouzení oprávněného zájmu rozhodnout, že provozovatel stránky oprávněný zájem ke zpracování dat z plug-inů nemá a veškerá provedená posouzení oprávněných zájmů provozovatele by tak byla zbytečná.

V souvislosti se zpracováním dat prostřednictvím plug-inů na základě souhlasu je po účinnosti GDPR jako „best practice“ ve vztahu k nástrojům webové analytiky (zejména ve vztahu k souborům cookies[5]) obecně doporučována implementace vyskakovacího okna, jež se návštěvníkovi automaticky zobrazí při prvním přístupu na webovou stránku a prostřednictvím něhož má návštěvník možnost odsouhlasit zpracovávání prováděné jednotlivými nástroji (cookies, web beacons apod.). Dle našich zkušeností však tato vyskakovací okna zpravidla možnost odsouhlasit/zakázat používání sociálních plug-inů neupravují. Nejjistější tak zřejmě bude defaultně plug-iny zakázat, dokud jejich používání návštěvník webové stránky sám aktivně nepovolí.

Důsledek rozhodnutí SDEU ve věci Fashion ID pro provozovatele webových stránek?

Za předpokladu, že sociální sítě sdílení osobních údajů prostřednictvím plug-inů samy neomezí, by si měli provozovatelé webových stránek v první řadě udělat jasno v tom, jaké sociální plug-iny vlastně používají, a informaci o používaných plug-inech doplnit do svých zásad zpracování osobních údajů. Zásady zpracování osobních údajů by pak měly být návštěvníkům stránek snadno přístupné (např. v zápatí stránky).

S ohledem na nejasné vymezení možných právních důvodů pro zpracování osobních údajů prostřednictvím plug-inů je pak nejjistějším řešením umožňovat používání plug-inů výhradně na základě souhlasu návštěvníka (např. metoda vyskakovacího okna výše), jež by měl být získán ještě před odesláním jakýchkoli dat předmětné sociální síti.

Rozhodnutí SDEU tak na jedné straně znamená potvrzení existence rizika sankcí pro provozovatele webových stránek z důvodu porušení předpisů na ochranu osobních údajů. Zároveň je to další z řady rozhodnutí, která v konečném důsledku s největší pravděpodobností donutí provozovatele sociálních sítí (a především Facebook) k určité změně ve způsobu získávání osobních údajů a následném nakládání s nimi.

wein


[1] Rozhodnutí SDEU ve věci Fashion ID, sp. zn. C-40/17 ze dne 29. července 2019.

[2] Viz rozhodnutí SDEU sp. zn. C-582/14 ve věci Patrick Breyer v Germany ze dne 19. října 2016.

[3] Sp. zn. C-210/16 ze dne 5 června 2018.

[4] Jedná se o posouzení oprávněnost zájmů správce osobních údajů dle (i) testu oprávněnosti zájmu, (ii) testu nezbytnosti zájmu, a (iii) balančního testu.

[5] Cookies jsou textové soubory obsahující osobní údaje návštěvníka webové stránky, které jsou vytvářeny webovým serverem a následně automaticky ukládány do zařízení návštěvníka webové stránky jeho webovým prohlížečem za různými účely, např. zrychlení nahrávání stránky, vytváření statistických dat apod.

ochrana osobních údajů judikatura SDEU data osobní údaje plug-in

Líbil se vám náš článek, prosím, ohodnoťte ho
Hodnotili 4 čtenáři

Diskuze k článku 0 komentářů

Všechny komentáře se zobrazí po vstupu do diskuze

Vstoupit do diskuze

Nejoblíbenější články