Za jednání Facebooku může být odpovědný i jeho uživatel
Právo 4.10.2018 Daniel Szpyrc, Ondřej VykoukalSpor začal vydáním rozhodnutí německého úřadu na ochranu osobních údajů, který nařídil deaktivaci fanouškovské stránky společnosti Wirtschaftsakademie. Tato společnost prostřednictvím své facebookové stránky poskytovala vzdělávací služby. Německý úřad uvedené rozhodnutí odůvodnil tím, že společnost porušila svou informační povinnost, protože neinformovala své fanoušky o zpracování jejich osobních údajů. Zpracování spočívající v umisťování souborů cookies do počítačů fanoušků stránky a v jejich následném využívání přitom prováděl výhradně Facebook a samotný správce fanouškovské stránky neměl na zpracování jakýkoli vliv. Dokonce ani neměl k osobním údajům přístup. Facebook správci stránky pouze umožňoval nahlížet do anonymních statistických výkazů.
Celý případ se nakonec dostal před německý nejvyšší soud, který se obrátil na SDEU, aby vyjasnil, zda společnost Wirtschaftsakademie může být považována za správce osobních údajů.
Z hlediska odpovědnosti za zpracování osobních údajů je klíčové určit, v jakém postavení se určitý subjekt nachází. Obecně mohou být subjekty v postavení správce (např. zaměstnavatel ve vztahu ke svým zaměstnancům) nebo zpracovatele osobních údajů (např. externí účetní společnost najatá zaměstnavatelem), případně osobní údaje vůbec nezpracovávají. Primárně je za zpracování osobních údajů odpovědný správce, přičemž pro jedno zpracování může existovat i více tzv. společných správců, kteří jsou pak za zpracování odpovědni společně. Podle GDPR i podle předchozí právní úpravy je totiž správcem subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů.
V tomto případě SDEU nepřekvapivě potvrdil, že Facebook je v postavení správce osobních údajů. Naopak překvapivě však dovodil, že i administrátor fanouškovské stránky umístěné na Facebooku může správcem osobních údajů být. Podle soudu se totiž facebookový správce nastavením své stránky (např. cílové skupiny stránky a cílů řízení a propagace svých činností apod.) podílí na určení účelu a prostředků zpracování osobních údajů návštěvníků své fanouškovské stránky, a to společně s Facebookem.
SDEU v tomto rozhodnutí vyložil definici správce osobních údajů velmi extenzivně. Tím postavil administrátory facebookových stránek do velmi nevýhodné pozice: mohou totiž být shledáni odpovědnými za zpracování osobních údajů Facebookem, přičemž na něj nemají jakýkoli vliv. Z případu Cambridge Analytica je přitom známo, že si Facebook s dodržováním pravidel příliš těžkou hlavu nedělá.