“Zaloguj się przez Facebook” a dane osobowe użytkowników

/ RODO / Porady prawne / Przez

Komisja Europejska musi zapłacić 400 euro tytułem zadośćuczynienia obywatelowi Niemiec. Powód? Przekazanie jego danych osobowych do państwa trzeciego, z którym nie była zawarta umowa. Nie stanowiło to gwarancji ochrony danych osobowych użytkownika. Jak należy chronić dane osobowe? Zapraszamy do lektury poniższego artykułu.

Jaka była geneza sporu?

W 2022 roku Komisja Europejska stworzyła platformę internetową mającą na celu promocję ekologicznych inicjatyw – https://futureu.europa.eu., a także służącą do rejestracji do wydarzenia GoGreen. Jedną z możliwości logowania na platformę było skorzystanie z opcji “Zaloguj się przez Facebook”. Jak się jednak okazało, dane użytkowników, w tym ich adresy IP, Facebook przekazywał do USA. Tam bowiem zlokalizowane były jego serwery. W marcu 2022 roku nie obowiązywała żadna umowa ze Stanami Zjednoczonymi, która uprawniałaby do transferu danych użytkowników z Unii Europejskiej do Stanów Zjednoczonych. Wtedy właśnie Thomas Bindl, obywatel Niemiec, zalogował się na platformę za pomocą konta Facebook. Po fakcie zorientował się, że mogło dojść do naruszenia jego praw w kontekście ochrony danych osobowych.

Skarga do Sądu. Sprawa T-354/22

Na wstępie warto zaznaczyć, że Unia Europejska chroni dane osobowe i dba o odpowiednie standardy ich przetwarzania, administrowania.

art. 8 Karty Praw Podstawowych1

Każdy ma prawo do ochrony danych osobowych, które go dotyczą.

Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą.

art. 16 ust. 1 TFUE2
Każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

Thomas Bindl wniósł do Sądu o:

  • stwierdzenie nieważności przekazania danych osobowych do państw trzecich, które nie zapewniają odpowiedniego stopnia ochrony, do którego doszło w dniach 30 marca i 8 czerwca 2022 r.
  • stwierdzenie, że Komisja niezgodnie z prawem zaniechała zajęcia stanowiska w przedmiocie wniosku o udzielenie informacji z dnia 1 kwietnia 2022 r.
    Poza tym zażądał zadośćuczynienia.

Co orzekł Sąd?

Sąd UE oddalił żądanie odszkodowania w odniesieniu do danych przekazanych za pośrednictwem Amazon CloudFront. Jak się okazało, ostatecznie trafiły one na serwer ulokowany w Monachium, czyli na terytorium Niemiec. Komisja Europejska zawarła bowiem z Amazon CloudFront umowę gwarantującą, że dane europejskich obywateli pozostaną w Europie. Stanowiło to rodzaj ochrony danych osobowych użytkowników.

Sąd uznał jednak, że za pośrednictwem kliknięcia w hiperłącze „Zaloguj się przez Facebook” umożliwiono przekazanie Facebookowi adresu IP niemieckiego obywatela.

Skargę odrzucono jako niedopuszczalną w zakresie dotyczącym żądań stwierdzenia nieważności. Umorzono postępowanie w przedmiocie żądań mających na celu uzyskanie stwierdzenia, że Komisja Europejska niezgodnie z prawem powstrzymała się od zajęcia stanowiska w kwestii złożonego przez Thomasa Bindla w dniu 1 kwietnia 2022 r. wniosku o udzielenie informacji. Komisja została zobowiązana do zapłaty kwoty 400 EUR na rzecz T. Bindla tytułem zadośćuczynienia za doznaną krzywdę.

W lipcu 2023 r KE przyjęła decyzję, w której uznała, że Stany Zjednoczone zapewniają odpowiedni, porównywalny z tym w UE poziom ochrony danych osobowych, gdy te przekazuje się amerykańskim firmom. Stało się to jednak już po zidentyfikowaniu problemu przez obywatela Niemiec.

Tymczasem w chwili tego przekazania, czyli 30 marca 2022 r., nie istniała żadna decyzja KE stwierdzająca, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych obywateli Unii – podkreślił Sąd UE.

Rozporządzenie GPSR w praktyce- z czym muszą mierzyć się przedsiębiorcy?

GPSR w praktyce – bezpieczeństwo produktów czy chaos?

Jak powinny być chronione dane osobowe w UE?

Administrator danych osobowych musi zapewnić, że dane osobowe są administrowane zgodnie z prawem. Co jest kluczowe?

  • Polityka prywatności: Każdy administrator danych powinien posiadać szczegółową politykę prywatności dostępną dla osób, których dane przetwarza.
  • Rejestr czynności przetwarzania: Zgodnie z art. 30 RODO, administratorzy powinni prowadzić rejestr czynności przetwarzania danych, zawierający informacje m.in. o celach przetwarzania, kategoriach danych i środkach ich ochrony.
  • Analiza ryzyka: Regularna ocena ryzyka związanego z przetwarzaniem danych pomaga określić potencjalne zagrożenia i wdrożyć odpowiednie mechanizmy ochrony.
  • Szkolenia pracowników: Osoby przetwarzające dane powinny być regularnie szkolone w zakresie ochrony danych osobowych i obowiązujących procedur. Należy dbać o aktualność wiedzy.
  • Szyfrowanie i anonimizacja: W przypadku przetwarzania danych w formie elektronicznej warto stosować mechanizmy szyfrowania i anonimizacji w celu ochrony danych. Ułatwi to ochronę przed potencjalnymi atakami hakerskimi.
  • Zgłaszanie naruszeń: W razie naruszenia ochrony danych osobowych administrator powinien niezwłocznie zgłosić ten fakt organowi nadzorczemu.
  • Umowy powierzenia przetwarzania danych: Współpracując z podmiotami trzecimi, należy zawrzeć umowę powierzenia przetwarzania danych, która określi zakres i warunki przetwarzania. Jak wspomniano w omawianym kazusie, umowa jest kluczowym elementem.

Przeczytaj ten artykuł na naszym blogu, aby dowiedzieć się więcej o ochronie danych osobowych:

Jak ochronić dane osobowe? Co poza polityką prywatności? Newsletter, zgody marketingowe i inne tajemnice

Jakie są prawa osób, których dane są przetwarzane?

Każda osoba fizyczna, której dane są przetwarzane, ma określone prawa wynikające z RODO, w tym:

  • Prawo dostępu do danych: Możliwość uzyskania informacji o przetwarzanych danych i ich zakresie.
  • Prawo do sprostowania danych: Żądanie poprawienia nieprawidłowych lub niekompletnych danych.
  • Prawo do usunięcia danych („prawo do bycia zapomnianym”): Usunięcie danych, jeśli nie są już potrzebne lub zostały przetwarzane niezgodnie z prawem.
  • Prawo do przenoszenia danych: Możliwość przeniesienia danych do innego administratora.
  • Prawo do sprzeciwu: Zgłoszenie sprzeciwu wobec przetwarzania danych, np. w celach marketingowych.

Czy wiesz, jak wdrożyć RODO w sklepie internetowym? Przeczytaj poniższy artykuł, aby dowiedzieć się więcej:

 Jak skutecznie wdrożyć RODO w sklepie internetowym?

W czym możemy pomóc Ci pomóc?

  • Dostosujemy politykę zarządzania danymi osobowymi w Twojej firmie do standardów zgodnych z prawem unijnym i krajowym.
  • Doradzimy, jakie obowiązki są nałożone na administratora danych osobowych.
  • Podejmiemy odpowiednie kroki, jeśli do naruszeń ochrony danych osobowych już dojdzie.
  • Odpowiemy na wszelkie nurtujące Cię pytania.

Skontaktuj się z nami, aby uzyskać fachową pomoc i wsparcie w procesie wdrażania regulacji związanych z ochroną danych osobowych. Sprawdź, jak możemy pomóc Twojej firmie działać zgodnie z prawem. Kliknij poniższy formularz kontaktowy – chętnie pomożemy!

  1. Dz.U.UE.C.2007.303.1 z dnia 2007.12.14 ↩︎
  2. Dz.U.2004.90.864/2 z dnia 2004.04.30 ↩︎

Avatar photo

Autor wpisu:

Milena Dorobek-Lis

Studia prawnicze i studia podyplomowe z zakresu prawa pracy ukończyła na Uniwersytecie Warszawskim, aplikację radcowską ukończyła w Okręgowej Izbie Radców Prawnych Warszawie. Zdobywała doświadczenie w kancelariach prawnych, organach administracji publicznej, w tym Biurze Generalnego Inspektora Ochrony Danych Osobowych oraz wieloletniej współpracy z przedsiębiorcami, w szczególności z branży e-commerce. Była głównym prawnikiem w Fundacji Rozwoju Przedsiębiorczości „Twój StartUp”.

Specjalizuje się w kompleksowej obsłudze prawnej przedsiębiorców, prawie nowych technologii, e – commerce, prawie i postępowaniu administracyjnym.

Zobacz także:

Przewijanie do góry