În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a acestor date de către Facebook singur.

Hotărârea în cauza C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV.

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe site-ul său internet butonul „îmi place” al Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”. Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale. Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior dinDüsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor(care rămâne aplicabilă acestei cauze și care a fost înlocuită de regulamentul general din 2016 privind protecția datelor aplicabil de la25 mai 2018). În hotărârea sa de astăzi, Curtea precizează,mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduceacțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate. Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.În schimb, Fashion ID poate fi considerată operator împreună cuFacebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere cătreFacebook Ireland a datelor în cauză, din moment ce se poate considera(sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID șiFacebook Ireland le determină împreună scopurile și mijloacele.

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe site-ul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-lemai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID,prin inserarea unui asemenea buton pe site-ul său internet, pare să își fidat consimțământul, cel puțin implicit, pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID,în calitate de (co)operator în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Curtea oferă de asemene aprecizări în privința a douădintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă. Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide căadministratorul unui site internet, cum esteFashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este (co)operator, și anume colectarea și transmiterea datelor. În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide căfiecare dintre persoanele care au calitatea de (co)operator în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 
facebook, like, date cu caracter personal, vizitatori, site