Facebook fanu lapas administrators kopīgi ar Facebook ir atbildīgs par lapas apmeklētāju personas datu apstrādi, atzinusi Eiropas Savienības Tiesa. Tādējādi dalībvalsts datu regulators savas kompetences ietvaros ar datu apstrādes pārkāpumiem var vērsties pret abiem — gan pret Facebook, gan pret fanu lapas administratoru.
Lietas fakti
Vācijā reģistrēts izglītības sektora uzņēmums Wirtschaftsakademie Schleswig-Holstein GmbH vietnē Facebook bija izveidojis savu fanu lapu. Šīs lapas administratoriem bija iespējams iegūt anonīmus lapas apmeklētāju statistikas datus, izmantojot bezmaksas funkciju Facebook Insights. Datu vākšana notiek, izmantojot t.s. sīkdatnes (sīkfailus) jeb ‘cookies’. Sīkdatnes ir aktīvas divus gadus un ietver unikālu lietotājkodu, kas tiek apstrādāts fanu lapas atvēršanas brīdī. Facebook sīkdatnes saglabā fanu lapas apmeklētāju datora vai cita datu nesēja cietajā diskā.
2011. gadā Vācijas datu regulators uzlika pienākumu apturēt attiecīgās fanu lapas darbību, jo ne tās administrators, ne Facebook nebija informējis lapas apmeklētājus, ka Facebook, izmantojot sīkdatnes, apkopo un apstrādā šo personu datus. Fanu lapas administrators iebilda, ka tas nav atbildīgs par tādu personas datu apstrādi, ko veic Facebook.
EST spriedums
Eiropas Savienības Tiesa (EST) savā spriedumā sākotnēji atzina, ka Facebook — ASV reģistrēts uzņēmums ar meitas uzņēmumu Īrijā — ir datu pārzinis, kurš ir atbildīgs par Facebook lietotāju un fanu lapu apmeklētāju datu apstrādi un nosaka arī šādas datu apstrādes mērķi un līdzekļus. Arī fanu lapas administrators ir jāuzskata par datu pārzini, kurš šīs attiecīgās lapas kontekstā kopīgi ar Facebook piedalās minēto datu apstrādē un nosaka tās mērķi un līdzekļus. Lapas administrators, definējot savu mērķauditoriju un reklamējot savus pakalpojumus noteiktu mērķu sasniegšanai, arī veic tās pašas darbības, ko Facebook. Piemēram, pieteicējs, lai varētu veikt savu darbu mērķtiecīgāk, var saņemt un apstrādāt anonimizētus demogrāfiskus datus (vecums, dzimums, attiecību un profesionālā statusa tendences, dzīvesveids un intereses, veiktie pirkumi un iepirkšanās ieradumi utt.) par savu mērķauditoriju un tās atrašanās vietām.
Tiesas ieskatā apstāklis, ka fanu lapas administrators izmanto Facebook piedāvāto platformu un tās saistītos pakalpojumus, neatbrīvo viņu no pienākuma nodrošināt pienācīgu personas datu aizsardzību.
Papildus EST secināja, ka Vācijas datu regulators ir tiesīgs vērsties arī pret Īrijā reģistrēto Facebook meitas sabiedrību saskaņā ar kompetenci, ko tai piešķir ES tiesību akti. Tas iespējams pat tad, ja mātes un meitas sabiedrības ir savstarpēji sadalījušas savas funkcijas, katrai nosakot atšķirīgu funkciju īstenošanu. Tādējādi nav nepieciešama arī sākotnēja vēršanās pie attiecīgās valsts (Īrijas) datu regulatora, kā tas būtu parastā gadījumā.
Sociālo tīklu biznesa modeļa pastāvēšana ir atkarīga no tā lietotāju aktivitātes. Līdz šim to lietotāji nav uzņēmušies pārāk lielu atbildību par savām darbībām, taču spriedums iezīmē jaunu virzienu un vēlreiz apstiprina personas datu aizsardzības īpašo nozīmi digitālajā laikmetā. Jāpiebilst, ka Vispārīgās datu aizsardzības regulas stāšanās spēkā šī gada 25. maijā nekādi neietekmē šī sprieduma rezultātu.