Aktualitu připravili: Mgr. Michal Nulíček, LL.M., CIPP/E, Mgr. Bohuslav Lichnovský, LL.M., CIPP/E, Mgr. Filip Beneš
Pří umístění tlačítka „To se mi líbí“ na webu jsou odesílány informace o IP adrese a prohlížeči návštěvníka a rovněž o prohlíženém obsahu, tzn. osobní údaje, přímo do Facebooku. Není přitom důležité, zda návštěvník má svůj účet na Facebooku, je či není zrovna přihlášen. Rozhodné není ani to, zda na tlačítko vůbec klikl. Takto získané údaje pak mohou sloužit k lepšímu cílení reklamy zobrazované uživatelům na sociální síti.
Přestože provozovatel webu nemůže nijak ovlivnit rozsah sbíraných údajů, má plnou kontrolu nad tím, zda ke sběru údajů na jeho webu vůbec dojde. To z něho, dle včerejšího rozsudku Soudního dvora EU ve věci internetového obchodu Fashion ID, dělá správce, respektive společného správce dle GDPR. A to se všemi povinnostmi a odpovědnostmi z tohoto vyplývajícími. Podstatné ovšem je, že správcem je pouze při získávání osobních údajů. Další zpracování provádí Facebook sám.
V praxi tak každý, kdo na svůj web umístí tlačítko „To se mi líbí“, by měl transparentně informovat své uživatele o tom, že dochází k předávání údajů Facebooku. Zároveň by měl návštěvníkům dát možnost takovému zpracování zabránit, ať již prostřednictvím námitky proti zpracování nebo odvoláním souhlasu. SDEU totiž v zásadě připustil, že zpracování může být založeno na souhlasu nebo oprávněném zájmu správce. Německé soudy nicméně již dříve rozhodly, že zpracování je třeba založit na souhlasu. To může být z technického hlediska obtížně realizovatelné.
Rozhodnutí otevírá celou řadu dalších otázek. V jakém rozsahu je správce webu jako společný správce odpovědný za plnění povinností správce? Měl by sám revidovat informace o zpracování poskytované Facebookem? Bude s Facebookem spoluodpovědný za pokuty, popř. za škodu? Může vůči němu subjekt údajů uplatňovat nějaká práva? Jak se toto rozhodnutí dotkne méně nápadných technologií jako je Facebook Pixel nebo Google AdWords? A jak v konečném důsledku ovlivní cílenou reklamu na webu?