ANO Bads Bērnu tiesības Cilvēka cieņa Cilvēka orgānu tirdzniecība Cilvēktiesības Cilvēktiesību gids Cilvēktiesību izglītība Cilvēktirdzniecība Dati Demokrātija Dezinformācija Diskriminācija Droša vide Dzimumu līdztiesība ECK ECSR ECT Eiropas Komisija Eiropas Padome Eiropas Parlaments Eiropas Savienība Eiropas Savienības Pamattiesību harta Eiropas Sociālā harta Enerģētika ES EST GDPR Humanitārās tiesības ICC ICJ Ieslodzījuma vietas Ilgtspējīga attīstība Imigrācija Integrācija Interneta starpnieki Internets Invaliditāte Īpašuma tiesības Izglītība Jaunatne Jaunrades brīvība Karš Kibernoziedzība Kibervardarbība Klimata krīze Konkurss Korupcija Kriminālprocess Laba pārvaldība LGBT LU Mājokļa un korespondences neaizskaramība Mediji Medijpratība Migrācija Minoritātes Nabadzība Naida runa Necilvēcīgas vai pazemojošas izturēšanās aizliegums Nodarbošanās brīvība Patvērums Personas dati Pilsoniskā sabiedrība Preses brīvība Rase Reliģijas brīvība Sabiedrības līdzdalība Satversmes tiesa SCOTUS Seksuālā ekspluatācija Seniori Sievietes Sociālās un ekonomiskās tiesības Sociālie tīkli Spīdzināšanas aizliegums Taisnīga tiesa Tehnoloģijas Tiesības uz brīvību un drošību Tiesības uz dzīvību Tiesības uz īpašumu Tiesības uz privāto dzīvi Tiesībsargs Tiesiskā vienlīdzība Trauksmes celšana Ukraina Valsts dienests Vārda brīvība Vardarbība Vēlēšanas Veselība Vides piekļūstamība Vides tiesības Viendzimuma laulība Viendzimuma pāru aizsardzība Rādīt visas tēmas

Spriedums

Fanu lapas administrators un sīkdatnes: kurš ir atbildīgs?

Facebook fanu lapas administrators kopīgi ar Facebook ir atbildīgs par lapas apmeklētāju personas datu apstrādi, atzinusi Eiropas Savienības Tiesa. Tādējādi dalībvalsts datu regulators savas kompetences ietvaros ar datu apstrādes pārkāpumiem var vērsties pret abiem — gan pret Facebook, gan pret fanu lapas administratoru.

Nicholas LB / Unsplash

Lietas fakti 

Vācijā reģistrēts izglītības sektora uzņēmums Wirtschaftsakademie Schleswig-Holstein GmbH vietnē Facebook bija izveidojis savu fanu lapu. Šīs lapas administratoriem bija iespējams iegūt anonīmus lapas apmeklētāju statistikas datus, izmantojot bezmaksas funkciju Facebook Insights. Datu vākšana notiek, izmantojot t.s. sīkdatnes (sīkfailus) jeb ‘cookies’. Sīkdatnes ir aktīvas divus gadus un ietver unikālu lietotājkodu, kas tiek apstrādāts fanu lapas atvēršanas brīdī. Facebook sīkdatnes saglabā fanu lapas apmeklētāju datora vai cita datu nesēja cietajā diskā. 

2011. gadā Vācijas datu regulators uzlika pienākumu apturēt attiecīgās fanu lapas darbību, jo ne tās administrators, ne Facebook nebija informējis lapas apmeklētājus, ka Facebook, izmantojot sīkdatnes, apkopo un apstrādā šo personu datus. Fanu lapas administrators iebilda, ka tas nav atbildīgs par tādu personas datu apstrādi, ko veic Facebook.

EST spriedums

Eiropas Savienības Tiesa (EST) savā spriedumā sākotnēji atzina, ka Facebook — ASV reģistrēts uzņēmums ar meitas uzņēmumu Īrijā — ir datu pārzinis, kurš ir atbildīgs par Facebook lietotāju un fanu lapu apmeklētāju datu apstrādi un nosaka arī šādas datu apstrādes mērķi un līdzekļus. Arī fanu lapas administrators ir jāuzskata par datu pārzini, kurš šīs attiecīgās lapas kontekstā kopīgi ar Facebook piedalās minēto datu apstrādē un nosaka tās mērķi un līdzekļus. Lapas administrators, definējot savu mērķauditoriju un reklamējot savus pakalpojumus noteiktu mērķu sasniegšanai, arī veic tās pašas darbības, ko Facebook. Piemēram, pieteicējs, lai varētu veikt savu darbu mērķtiecīgāk, var saņemt un apstrādāt anonimizētus demogrāfiskus datus (vecums, dzimums, attiecību un profesionālā statusa tendences, dzīvesveids un intereses, veiktie pirkumi un iepirkšanās ieradumi utt.) par savu mērķauditoriju un tās atrašanās vietām.

Tiesas ieskatā apstāklis, ka fanu lapas administrators izmanto Facebook piedāvāto platformu un tās saistītos pakalpojumus, neatbrīvo viņu no pienākuma nodrošināt pienācīgu personas datu aizsardzību.

Papildus EST secināja, ka Vācijas datu regulators ir tiesīgs vērsties arī pret Īrijā reģistrēto Facebook meitas sabiedrību saskaņā ar kompetenci, ko tai piešķir ES tiesību akti. Tas iespējams pat tad, ja mātes un meitas sabiedrības ir savstarpēji sadalījušas savas funkcijas, katrai nosakot atšķirīgu funkciju īstenošanu. Tādējādi nav nepieciešama arī sākotnēja vēršanās pie attiecīgās valsts (Īrijas) datu regulatora, kā tas būtu parastā gadījumā.

Sociālo tīklu biznesa modeļa pastāvēšana ir atkarīga no tā lietotāju aktivitātes. Līdz šim to lietotāji nav uzņēmušies pārāk lielu atbildību par savām darbībām, taču spriedums iezīmē jaunu virzienu un vēlreiz apstiprina personas datu aizsardzības īpašo nozīmi digitālajā laikmetā. Jāpiebilst, ka Vispārīgās datu aizsardzības regulas stāšanās spēkā šī gada 25. maijā nekādi neietekmē šī sprieduma rezultātu.