Facebook przegrał przed TSUE spór o dane osobowe użytkowników w Belgii

Facebook. / Zdjęcie unsplash.com via @conkarampelas

Amerykański serwis społecznościowy zbierał i przetwarzał dane belgijskich internautów, nawet jeśli nie mieli oni w nim konta. Facebook został za to ukarany przed sądem w Belgii. Odwołał się do unijnego trybunału i znów przegrał.

 

 

Sprawa ma korzenie w 2015 r., gdy belgijski regulator ds. ochrony danych osobowych – Komisja ds. Ochrony Prywatności (KOP) – pozwał Facebooka w związku z niedostosowaniem się przez jego trzy spółki, amerykańską Facebook Inc., irlandzką Facebook Ireland oraz belgijską Facebook Belgium, do wcześniejszej decyzji o zaprzestaniu zbierania i przetwarzania danych osobowych osób, które nie korzystają na co dzień z serwisu społecznościowego.

Dzięki instalowaniu na różnych stronach internetowych (np. popularnych portalach czy blogach) swoich wtyczek służących do zbierania tzw. lajków czy promowania treści Facebook uzyskiwał możliwość zbierania danych o internautach, którzy jedynie odwiedzali owe witryny.

Stosowano w tym celu zarówno pliki cookie (bez informowania o tym), jak i piksele monitorujące czy inne rodzaje wtyczek. Głównym zarzutem było właśnie robienie tego w tajemnicy przed osobami, które sądziły, że skoro same nie korzystają z Facebooka, to serwis nie jest w stanie zbierać na ich temat żadnych informacji.

Irlandzki regulator wszczął śledztwo ws. wielkiego wycieku danych z Facebooka

Wielki wyciek danych z Facebooka ujawniono 3 kwietnia, ale doszło do niego prawdopodobnie wiele tygodni wcześniej.

Facebook chciał dochodzenia w Irlandii

W 2018 r. belgijski sąd uznał, że KPO miał rację nakładając na Facebooka karę i nakazując mu zaniechanie zaskarżonych praktyk. Serwis bronił się, że zgodnie z unijnymi przepisami internauci byli informowani o stosowaniu plików cookie i musieli na to wyrażać zgodę. Ale sąd zwrócił uwagę na to, że nie było informacji, że dotyczy to nie tylko odwiedzanego serwisu, ale także Facebooka, którego wtyczki były na danej stronie internetowej zainstalowane.

Facebook odwołał się od wyroku, wskazując, że ani KPO, ani sąd belgijski nie mogły go ukarać. Administratorem zbieranych danych była bowiem spółka Facebook Ireland, a więc właściwe są dla niej przepisy irlandzkie (do niedawna bardzo liberalne w kwestii ochrony danych osobowych), a więc właściwe organy regulacyjne oraz sąd znajdują się w Irlandii.

Amerykański serwis zgodził się, że w Belgii może być karana i pozywana spółka Facebook Belgium, ale – jak wskazywano – ona nie zajmuje się zbieraniem i przetwarzaniem danych osobowych, a więc nie jest winna ewentualnym zaniedbaniom.

Reporterzy bez Granic oskarżają Facebook o "nieuczciwe praktyki handlowe”

Organizacja podkreśla, że dopuszczanie do „masowego rozprzestrzeniania się” fałszywych informacji narusza zobowiązania platformy wobec jej użytkowników.

TSUE: W Belgii można pozwać irlandzką spółkę Facebooka

Belgijski sąd apelacyjny nie podzielił jednak tej argumentacji i uznał, że skoro zbierano dane o mieszkańcach Belgii, którzy z internetu korzystali na belgijskim terytorium, sądy w tym kraju mają prawo bronić ich interesów.

Sprawa trafiła ostatecznie do Trybunału Sprawiedliwości Unii Europejskiej, a ten orzekł, że choć spółki co do zasady podlegają prawodawstwu i jurysdykcji sądów w kraju, w jakim są zarejestrowane, ale istnieją od tej reguły wyjątki, a takimi jest naruszanie dyrektywy RODO w sytuacji transgranicznego przetwarzania danych, tj. zbierania ich w jednym kraju, a potem transferowania w celach marketingowej obróbki do innego.

W związku z tym belgijski regulator (a potem sąd) miały prawo karać Facebooka za działania wobec internautów w Belgii nawet jeśli ich dane formalnie były przetwarzane przez spółkę irlandzką.