facebook

Cât de GDPR compliant ești cu un buton de Facebook Like pe site

/in , , /by

Ce spune CJUE

Curtea de Justiție a Uniunii Europene a pronunțat recent o nouă decizie privind relația unui operator cu Facebook din prisma legislației protecției datelor cu caracter personal.

După ce anul trecut CJUE a statuat administratorul unei Facebook page (pagină pentru fani) și Facebook sunt operatori asociați în sensul GDPR, de curând Curtea a stabilit că un administrator de site care incorporează în acesta un plugin (cum este butonul de Like al Facebook) devine operator asociat cu furnizorul pluginului (respectiv Facebook în cazul butonului său de Like).

Calitatea lor de operatori asociați se aplică doar pentru acele prelucrări pentru care stabilesc împreună mijloacele și scopurile de prelucrare, în cazul butonului Like fiind vorba doar despre colectarea datelor vizitatorului site-ului și transmiterea lor către Facebook. În privința modalităților de prelucrare a datelor de către Facebook, ulterioară acestei transmiteri, răspunderea lor comună de operatori asociați încetează, Facebook rămânând unicul operator.

Poziționarea Facebook față de această decizie

Jack Gilbert, consilierul general asociat al Facebook, a declarat pentru Reuters următoarele: „Analizăm cu atenție decizia instanței și vom colabora strâns cu partenerii noștri pentru a ne asigura că pot continua să beneficieze de pluginurile noastre sociale și de alte instrumente de afaceri, în deplină conformitate cu legea”.  Așa cum ne-a obișnuit, Facebook nu face declarații concrete privind implementarea măsurilor necesare respectării drepturilor persoanelor vizate.

Aplicarea practică a deciziei

Ceea ce este interesant de observat la această situație este faptul că administratorul site-ului, în calitate de operator, este obligat să informeze vizitatorul site-ului (persoana vizată) despre modalitatea de prelucrare a datelor sale și să se asigure că are un temei legal pentru această prelucrare, conform deciziei CJUE.

Astfel, informarea trebuie efectuată mai înainte ca datele să fie efectiv colectate și transmise către Facebook. De asemenea, dacă operatorul se va baza pe consimțământ, acesta trebuie preluat tot înainte de colectare și transmitere.

Însă, tehnic vorbind, simpla accesare a site-ului de către vizitator face ca datele sale să fie colectate și transmise către Facebook prin intermediul butonului Like. În acest context, orice informare și cerere de consimțământ aflate pe site-ul vizitat sunt viciate întrucât ele nu sunt anterioare prelucrării datelor, ci cel mult concomitente.

Ca atare, la acest moment, dacă nu există o interfață între vizitator și site care să asigure o informare completă privind prelucrarea datelor sale și, eventual, o modalitate de preluare de consimțământ (dacă este cazul), niciun site care conține pluginuri de genul butonului de Facebook Like incorporat pe pagina de start nu respectă prevederile GDPR. Interfața respectivă trebuie să asigure faptul că datele vizitatorului nu sunt încă preluate, ci ele vor fi colectate doar după ce vizitatorul citește informarea și eventual acordă consimțământul său pentru asta. Desigur, vizitatorul trebuie să aibă și opțiunea de a refuza.

Important de știut este că butonul de Like colectează și transmite datele către Facebook indiferent dacă acesta este efectiv apăsat de utilizator sau nu și indiferent dacă utilizatorul deține sau nu un cont pe Facebook.

Well done, Zuckerberg!

You might also like
evaluarea Evaluarea de impact - Recomandări
dpo, ISO27001, amendă DPO - Nivelul de expertiză și calitățile profesionale
proiect Proiect ANSPDCP - Decizie privind Cerințele suplimentare pentru acreditarea organismelor de certificare
sancțiune Sancțiune GDPR pentru nerespectarea drepturilor persoanelor vizate
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD – Domeniul teritorial de aplicare
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD – Datele cu caracter personal
newsletter Newsletter Start Lawyers 23/2020
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD - Cine trebuie să desemneze un responsabil cu protecția datelor? (V - Categorii speciale de date)