Tribunalul regional pentru cauze civile din Viena a ajuns la un verdict în procesul privind protecția datelor dintre activistul Max Schrems și platforma de socializare Facebook. Hotărârea vine în urma audierilor orale care au avut loc în capitala austriacă la începutul acestui an, în cadrul cărora directorul european pentru protecția vieții private al Facebook, Ceilia Alvarez, a fost confruntat cu întrebări axate pe:

• Capacitatea societății de a obține consimțământul utilizatorilor săi;
• respectarea de către aceasta a cererilor de date din partea celor care sunt activi pe site-ul de rețea; și
• Clarificarea terminologiei "ștergerea datelor" și a semnificației acesteia în practică.

Hotărârea pronunțată la 30 iunie 2020 stabilește că, deși Facebook trebuie să plătească daune-interese în valoare de 500 de euro pentru încălcarea obligațiilor sale de informare privind utilizarea datelor cu caracter personal ale reclamantului, se consideră că serviciul de rețea a acționat în mod contractual sau juridic complice în ceea ce privește prelucrarea datelor reclamantului.

Hotărârea

Următoarele aspecte juridice merită să fie evidențiate:

-Prelucrarea datelor în conformitate cu Regulamentul general privind protecția datelor (GDPR)

• Curtea a decis că art. 2 din RGPD nu se aplică prelucrării datelor cu caracter personal în lumina activităților private sau familiale.
• Se spune că reclamantul a încheiat un contract ("acord de prelucrare a datelor") cu Facebook atunci când și-a creat un cont privat.
• Utilizarea personală a platformei l-a făcut să nu intre în sfera de aplicare a GDPR.
• Prin urmare, prelucrarea datelor a fost efectuată în conformitate cu RGPD și ar continua să fie permisă atâta timp cât reclamantul nu își șterge contul. Doar atunci contractul dintre părți ar fi fost reziliat.

Termeni și condiții

• În continuare, Curtea a considerat că o cerere de măsuri asigurătorii necesită ca actul în cauză să fie nu numai interzis, ci trebuie să existe și un risc existent de repetare a acestui act ilegal, adică pârâtul a încălcat deja norma legal stabilită.
• În cazul de față, reclamantul a avut posibilitatea de a-și da consimțământul pentru prelucrarea datelor sale cu caracter personal. Prin acceptarea condițiilor pârâtului, acesta a fost de acord în mod voluntar cu termenii acestora.
• Modelul economic al pârâtului se bazează pe generarea de venituri prin publicitate personalizată și conținut comercial. Pentru a oferi serviciul său gratuit publicului, veniturile sunt generate prin prelucrarea datelor utilizatorilor pentru a fi vândute agenților de publicitate, care le pot utiliza în scopuri publicitare specifice.
• Prin utilizarea platformei, utilizatorii acceptă în mod conștient conținutul comercial, al cărui caracter personalizat se bazează pe gusturile, preferințele și interesele individuale - date care fac astfel parte din condițiile de utilizare.
• Având în vedere că publicitatea personalizată constituie o componentă esențială a serviciului oferit și rezultă din condițiile specifice de utilizare care fac parte din contract, pârâtul a avut sarcina de a preciza obiectul contractului, pe care reclamantul l-a acceptat de bunăvoie.

Date sensibile

• Potrivit Curții, o încălcare a art. 9 GDPR nu a rezultat din faptele constatate.
• În ceea ce privește datele sensibile privind interesele politice sau orientarea sexuală, Curtea a susținut că un interes pentru un partid politic sau pentru același sex nu reflectă în mod necesar afilierea pârâtului la o anumită opinie politică sau implică orientarea sexuală. În plus, din moment ce acestea din urmă au fost făcute publice de către reclamant, GDPR nu a fost încălcat.
• Prin simpla prelucrare a datelor, Curtea nu a putut constata nicio operațiune ilegală din partea pârâtului pentru care acesta să fie considerat responsabil.

Daune

• 15 GDPR stipulează că pârâtul are obligația de a furniza informații despre toate datele cu caracter personal la intervale de timp adecvate pe care pârâtul le consideră relevante pentru utilizator.
• Prin încălcarea obligației sale, reclamantului nu i s-a oferit o imagine de ansamblu suficientă cu privire la toate datele stocate.
• Pierderea controlului și incertitudinea asociată îi dau dreptul la o cerere de despăgubiri și la eliberarea tuturor datelor solicitate.

Comentariu

Această hotărâre oferă o prezentare detaliată a modului în care Facebook creează profilurile utilizatorilor, și anume prin utilizarea istoricului paginilor vizitate, precum și a informațiilor obținute din conexiunile cu prietenii sau cu utilizatorii "similari". Cu toate acestea, hotărârea nu recunoaște caracterul sensibil al acestor date. În timp ce eliberarea obligatorie a înregistrărilor reclamantului face foarte probabilă o cale de atac din partea Facebook, domnul Schrems și-a exprimat deja intenția de a depune o astfel de acțiune în următoarele patru săptămâni. Se speră că aducerea cauzei în fața unei instanțe superioare, va oferi mai multă claritate cu privire la legalitatea activităților Facebook și la (ne)respectarea de către aceasta a GDPR. Așa cum a fost cazul în instanțe anterioare, acest lucru ar putea face posibilă și o trimitere a mai multor întrebări la CEJ.

Publicat inițial 08 iulie, 2020

Conținutul acestui articol este menit să ofere un ghid general al subiectului. Trebuie să solicitați consultanță de specialitate cu privire la circumstanțele dumneavoastră specifice.