C-40/17 (Fashion ID κατά Verbraucherzentrale NRW)

Της Ιωάννας Γκίνη

C-40/17 (Fashion ID κατά Verbraucherzentrale NRW)

Η υπόθεση αυτή αφορά στη συνεργασία μιας γερμανικής επιχείρησης με τη Facebook Ireland, στο πλαίσιο της οποίας συμπεριλήφθηκε το πρόσθετο «Μου αρέσει» στην ιστοσελίδα της επιχείρησης για τη συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα των επισκεπτών της. Εν προκειμένω, το Δικαστήριο της Ευρωπαϊκής Ένωσης κλήθηκε να διευκρινίσει την έννοια του «υπεύθυνου επεξεργασίας», ώστε να διαπιστωθεί αν μπορούσε να αποδοθεί στην επιχείρηση ο χαρακτηρισμός αυτός, που συνεπάγεται ορισμένες συνέπειες για την νομιμότητα της επεξεργασίας των δεδομένων.

Ιστορικό υπόθεσης

Τον Ιανουάριο του 2017 υποβλήθηκε προδικαστικό ερώτημα στο Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής ΔΕΕ) από το ανώτατο περιφερειακό δικαστήριο Ντίσελντορφ της Γερμανίας, το οποίο αφορούσε στην ερμηνεία των άρθρων 2, 7, 10 και 22 έως 24 της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου[1] για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών.

Η ανάγκη υποβολής του προδικαστικού αυτού ερωτήματος προέκυψε από την ένδικη διαφορά ανάμεσα στην Fashion ID, επιχείρηση που εμπορεύεται είδη ένδυσης μέσω του διαδικτύου, ως εναγόμενη, και την Verbraucherzentrale NRW, μια μη κερδοσκοπική ένωση προστασίας των καταναλωτών, ως ενάγουσα. Συγκεκριμένα, η τελευταία προσήψε στη Fashion ID ότι με την ενσωμάτωση στην ιστοσελίδα της του προσθέτου «Μου αρέσει!» του μέσου κοινωνικής δικτύωσης Facebook -με το οποίο φαίνεται ότι διαβιβάζονταν δεδομένα προσωπικού χαρακτήρα στη Facebook Ireland χωρίς ο χρήστης να το γνωρίζει και ανεξαρτήτως του αν είναι μέλος του Facebook ή αν έχει κάνει κλικ στην επιλογή «Μου αρέσει!» αυτού- παραβίασε τις υποχρεώσεις που προβλέπουν οι διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Για τον λόγο αυτό, άσκησε αγωγή παράλειψης κατά της επιχείρησης, όπως προβλέπει το γερμανικό δίκαιο, ώστε να διακοπεί η συγκεκριμένη πρακτική.

Το περιφερειακό δικαστήριο Ντίσελντορφ δέχτηκε εν μέρει τα αιτήματα της ενάγουσας, αλλά ακολούθησε έφεση της Fashion ID για τον λόγο τόσο της έλλειψης ενεργητικής νομιμοποίησης της μη κερδοσκοπικής ένωσης όσο και του εσφαλμένου χαρακτηρισμού της επιχείρησης ως υπεύθυνης επεξεργασίας από το πρωτοβάθμιο δικαστήριο, δεδομένου ότι δεν έχει επίδραση ούτε στα δεδομένα που διαβίβαζε ο φυλλομετρητής του επισκέπτη της ιστοσελίδας ούτε στον τρόπο με τον οποίο η Facebook Ireland επρόκειτο να τα χρησιμοποιήσει, στοιχεία απαραίτητα κατά τον ορισμό του άρθρου 2 της Οδηγίας 95/46. Το ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ, ενώπιον του οποίου ασκήθηκε έφεση, είχε αμφιβολίες ως προς ορισμένα στοιχεία της αγωγής που το οδήγησαν στην υποβολή έξι προδικαστικών ερωτημάτων.

Το πρώτο αφορούσε σε τυχόν αντίθεση των άρθρων 22, 23, 24 της Οδηγίας σε εθνική νομοθεσία που επιτρέπει σε μη κερδοσκοπικές ενώσεις να προσφεύγουν κατά του προσβάλλοντος τα δικαιώματα των καταναλωτών. Τα εν λόγω άρθρα προβλέπουν τη δυνατότητα κάθε προσώπου να προσφεύγει στα δικαστήρια όταν παραβιάζονται τα προστατευόμενα από την Οδηγία δικαιώματα, καθώς και την υποχρέωση των κρατών μελών να λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεών της. Το δεύτερο ερώτημα υποβλήθηκε σε περίπτωση αρνητικής απάντησης επί του πρώτου και σχετιζόταν με τον χαρακτηρισμό ή μη του διαχειριστή της ιστοσελίδας της επιχείρησης Fashion ID ως «υπεύθυνου επεξεργασίας». Εφόσον το ΔΕΕ αποφαινόταν κατά του χαρακτηρισμού του διαχειριστή ως «υπεύθυνου επεξεργασίας», υποβλήθηκε και τρίτο ερώτημα για τον αποκλεισμό ή μη από το άρθρο 2 της Οδηγίας της αστικής ευθύνης τρίτου, πέραν του υπεύθυνου επεξεργασίας, που θέτει τις προϋποθέσεις για τη διαδικασία επεξεργασίας, χωρίς, όμως, να ασκεί επιρροή σε αυτή. Με το τέταρτο ερώτημα εξέφρασε την αμφιβολία του για το έννομο συμφέρον που πρέπει να ληφθεί υπόψη για τη νομιμότητα της επεξεργασίας, δηλαδή είτε για ενσωμάτωση του περιεχομένου τρίτου είτε το συμφέρον του τρίτου. Με το πέμπτο ερώτημα ζήτησε να εξατομικευθεί εκείνος προς το οποίο πρέπει να δοθεί η συγκατάθεση του φορέα των δεδομένων που τυγχάνουν επεξεργασίας και, τέλος, υπέβαλε και έκτο ερώτημα για την ύπαρξη ή μη υποχρέωσης ενημέρωσης του προσώπου από το οποίο συλλέγονται τα δεδομένα για ορισμένα στοιχεία προβλεπόμενα στο άρθρο 10 της Οδηγίας από τον διαχειριστή της ιστοσελίδας ο οποίος με τη σειρά του ενσωμάτωσε το περιεχόμενο τρίτου, θέτοντας έτσι τις προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον τρίτο.

Κρίση του Δικαστηρίου

Για να απαντήσει στο πρώτο ερώτημα, το ΔΕΕ αναφέρθηκε στο άρθρο 22 της Οδηγίας που έδινε τη δυνατότητα σε κάθε πρόσωπο για προσφυγή στα δικαστήρια, καθώς και στο άρθρο 28 παρ. 4, σύμφωνα με το οποίο κάθε ένωση που εκπροσωπεί πρόσωπο στο οποίο αναφέρονται τα υπό επεξεργασία δεδομένα μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Μάλιστα, παρά την έλλειψη ρητής πρόβλεψης στα άρθρα της Οδηγίας για την υποχρέωση των κρατών μελών να μεριμνήσουν για την εκπροσώπηση από ενώσεις, δεν παύει να υφίσταται η ελευθερία των κρατών μελών για την επιλογή του τρόπου ενσωμάτωσης μιας Οδηγίας στο εσωτερικό τους δίκαιο, βάσει του άρθρου 288 ΣΛΕΕ, ώστε να επιτευχθεί και να διασφαλιστεί η πλήρης αποτελεσματικότητά της. Μάλιστα, απέρριψε τον ισχυρισμό της εναγομένης ότι λόγω της πλήρους εναρμόνισης των εθνικών διατάξεων από την Οδηγία 95/46, αποκλείεται η άσκηση ενδίκων βοηθημάτων μη ρητώς προβλεπόμενων από αυτήν, καθώς, κατά το ΔΕΕ, οι κανόνες της είναι σχετικά γενικοί και ευέλικτοι, αφήνοντας στα κράτη μέλη τη δυνατότητα “να αποφασίζουν σχετικά με τις λεπτομέρειες ή να επιλέγουν μεταξύ των εναλλακτικών δυνατοτήτων”[2] δεδομένου ότι πρέπει να εφαρμοστεί σε μεγάλο αριθμό πολύ διαφορετικών περιπτώσεων. Αντιθέτως, έκρινε την εν λόγω εκπροσώπηση ως «κατάλληλο μέτρο», κατά την έννοια του άρθρου 24 της Οδηγίας, που συμβάλλει στην επίτευξη των σκοπών της. Για να ενισχύσει τη θέση του περί μη αντίθεσης των άρθρων 22-24 σε εθνική νομοθεσία που προβλέπει δικαστική εκπροσώπηση των καταναλωτών από μη κερδοσκοπικές ενώσεις, επικαλέστηκε το άρθρο 80 παρ. 2 του Κανονισμού 2016/679, που αντικατέστησε την Οδηγία 95/46, βάσει του οποίου υφίσταται η παραπάνω δυνατότητα.

Στη συνέχεια, απάντησε στο δεύτερο υποβληθέν ερώτημα για τον υπεύθυνο επεξεργασίας. Επεσήμανε ότι ο ορισμός που έχει δοθεί για αυτόν από την Οδηγία είναι αρκετά ευρύς, αποσκοπώντας στην αποτελεσματική και πλήρη προστασία των υποκειμένων των δεδομένων. Συγκεκριμένα, πρόκειται για “κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα”. Επομένως, μπορεί να αφορά και πολλούς φορείς που ευθύνονται από κοινού. Σε προηγούμενη απόφαση του δικαστηρίου, την C-25/17[3] είχε κριθεί ότι φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει, για τους δικούς του σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας -όπως έκανε και η Fashion ID- μπορεί να θεωρηθεί ότι είναι υπεύθυνος επεξεργασίας υπό την έννοια του άρθρου 2 της Οδηγίας 95/46, ενώ όταν εμπλέκονται διάφοροι φορείς ενδέχεται να διαφέρει και το επίπεδο ευθύνης του καθενός, αναλόγως των εκάστοτε περιστάσεων, αλλά και ανεξαρτήτως της πρόσβασης στα δεδομένα προσωπικού χαρακτήρα. Ωστόσο, το πρόσωπο αυτό δεν μπορεί να θεωρηθεί ως υπεύθυνο για προγενέστερες ή μεταγενέστερες πράξεις της επεξεργασίας για τις οποίες το ίδιο δεν καθορίζει ούτε τους σκοπούς ούτε τον τρόπο επεξεργασίας.

Συνεπώς, η Fashion ID με τη συλλογή και ανακοίνωση με διαβίβαση δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της στη Facebook Ireland, προέβη σε καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων αυτών, άρα ήταν «υπεύθυνος επεξεργασίας», αλλά έως το σημείο διαβίβασής τους στην τελευταία, την επεξεργασία της οποίας αδυνατούσε να ελέγξει. Η εναγόμενη επιχείρηση είχε επίγνωση των συνεπειών της ύπαρξης του προσθέτου «Μου αρέσει» στην ιστοσελίδα της, δηλαδή τη συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα των επισκεπτών της είτε αυτοί είναι μέλη του Facebook είτε όχι, ασκώντας, κατ’ αυτόν τον τρόπο επιρροή καθοριστική. Σκοπός της ήταν η αυξημένη προβολή των προϊόντων της στο μέσο κοινωνικής δικτύωσης Facebook με ένα απλό «κλικ» της επιλογής «Μου αρέσει», ενώ η Facebook αποκτούσε ευχερέστερα πρόσβαση στα δεδομένα των επισκεπτών της ιστοσελίδας.

Δοθείσας της θετικής απάντησης στο προηγούμενο ερώτημα, το δικαστήριο δεν απάντησε στο τρίτο, το οποίο προϋπέθετε αρνητική απάντηση επί του προηγουμένου. Ως εκ τούτου, προχώρησε στην εξέταση του τέταρτου ερωτήματος σχετικά με το αν πρέπει να ληφθεί υπόψη το έννομο συμφέρον του διαχειριστή της ιστοσελίδας ή αυτό του παρόχου, όπως προβλέπει το άρθρο 7 στοιχείο στ’ της Οδηγίας, για τη νομιμότητα της επεξεργασίας. Τόνισε, αρχικά, ότι το συγκεκριμένο ερώτημα δεν ήταν κρίσιμο, κατά την Επιτροπή, για την επίλυση της διαφοράς της κύριας δίκης, εφόσον δεν είχε προηγουμένως ληφθεί η συγκατάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως επιβάλλεται από το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58[4]. Εντούτοις, κατά την εκτίμηση του αιτούντος δικαστηρίου τα προσωπικά δεδομένα δεν περιορίζονταν αποκλειστικά σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό, όπως απαιτείται για την εφαρμογή του άρθρου 5 της παραπάνω Οδηγίας, και, επομένως, ήταν ένα ερώτημα κρίσιμο που έπρεπε να απαντηθεί. Βασισμένο, λοιπόν, στο άρθρο 7 της Οδηγίας 95/46 διαπίστωσε ότι για το νόμιμο της επεξεργασίας απαιτείται να υπάρχει έννομο συμφέρον του υπεύθυνου επεξεργασίας ή τρίτου στον οποίο ανακοινώνονται τα δεδομένα, αναγκαιότητα της επεξεργασίας, και κυρίως να προστατεύονται οι θεμελιώδεις ελευθερίες και δικαιώματα του προσώπου, το οποίο αφορά η προστασία των δεδομένων. Εφόσον, όμως, και ο διαχειριστής και ο πάροχος είχαν χαρακτηριστεί ήδη από το δικαστήριο ως «υπεύθυνοι επεξεργασίας», προκύπτει ότι και το έννομο συμφέρον έπρεπε να υφίσταται για αμφότερους τους φορείς.

Τέλος, εξέτασε το πέμπτο και έκτο ερώτημα από κοινού λόγω του στενού συνδέσμου τους. Έχοντας, προηγουμένως, κρίνει ότι και ο διαχειριστής της ιστοσελίδας είναι «υπεύθυνος επεξεργασίας», πέραν του παρόχου του πρόσθετου, άμεσο απότοκο ήταν να υποχρεωθεί και ο ίδιος να λάβει τη συγκατάθεση που προβλέπεται στο αρ. 2 στοιχείο η’ και 7 στοιχείο α’ της Οδηγίας από το υποκείμενο των δεδομένων και να ενημερώσει αυτόν για την επεξεργασία των προσωπικών του δεδομένων. Η υποχρέωση αυτή επιβλήθηκε μόνο για τις πράξεις επεξεργασίας που αφορούσαν στη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα του επισκέπτη, αφού μόνο αυτές βρίσκονταν υπό τον έλεγχο του διαχειριστή. Βέβαια, έμφαση πρέπει να δοθεί στην ανάγκη παροχής της συγκατάθεσης προτού η ιστοσελίδα επεξεργαστεί τα δεδομένα του χρήστη. Ομοίως, και η ενημέρωση πρέπει να είναι άμεση, δηλαδή να παρέχεται κατά τη συλλογή των δεδομένων5. Η ενημέρωση αφορά σε στοιχεία όπως την ταυτότητα του υπεύθυνου επεξεργασίας, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδομένων, το υποχρεωτικό ή μη της παροχής αυτών και τις ενδεχόμενες συνέπειες άρνησης παροχής τους, την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα και το δικαίωμα διόρθωσής τους.

Συμπερασματικά, σύμφωνα με το ΔΕΕ, η Fashion ID είναι υπεύθυνος επεξεργασίας καθώς ελέγχει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της, μέσω της συλλογής και ανακοίνωσης με διαβίβαση των δεδομένων αυτών στον πάροχο του προσθέτου «Μου αρέσει», ήτοι τη Facebook Ireland. Επομένως, μόνο για αυτές τις πράξεις επεξεργασίας έχει υποχρέωση προηγούμενης λήψης της συγκατάθεσης του κάθε επισκέπτη της ιστοσελίδας, καθώς και υποχρέωση ενημέρωσης για στοιχεία σημαντικά για την επεξεργασία.

Επίλογος

Με τη συνεχή ανάπτυξη και χρησιμοποίηση των τεχνολογικών μέσων, η πλήρης και αποτελεσματική προστασία των προσωπικών δεδομένων διακυβεύεται όλο και περισσότερο. Αξιοσημείωτο είναι ότι, συχνά, η συλλογή και η επεξεργασία των δεδομένων αυτών γίνεται κατά τρόπο μη αντιληπτό από τον μέσο άνθρωπο, ώστε να λείπει η εκ των προτέρων συγκατάθεση που απαιτεί και η Οδηγία 95/46 και η οποία, μάλιστα, προϋποθέτει πλήρη γνώση. Εν προκειμένω, ορθώς το ΔΕΕ δέχθηκε ευθύνη και της Fashion ID, ως «υπεύθυνου επεξεργασίας» έως το σημείο της διαβίβασης των δεδομένων στη Facebook Ireland, εφόσον σκοπός του προσθέτου «Μου αρέσει» ήταν πράγματι η συλλογή των δεδομένων των επισκεπτών της σελίδας. Τα δεδομένα προσωπικού χαρακτήρα συνελέγησαν κατά παράβαση των συναφών προστατευτικών διατάξεων. Σε κάθε περίπτωση, οι ιστοσελίδες που συλλέγουν δεδομένα των επισκεπτών τους για την εξυπηρέτηση των δικών τους συμφερόντων, οφείλουν να ενημερώνουν εναργώς και κατά τρόπο περιεκτικό για τα στοιχεία που λαμβάνουν, παρέχοντάς τους τη δυνατότητα πλήρους κατανόησης της διαδικασίας και των σκοπών της.

[1] Η Οδηγία 95/46 έχει, πλέον, καταργηθεί και αντικατασταθεί, από τις 25 Μαΐου 2018, από τον κανονισμό 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. [2] ΔΕΕ C-40/17, Απόφαση της 29.07.2019, Fashion ID GmbH & Co.KG κατά Verbraucherzentrale NRW eV, ECLI:EU:C:2019:629, σκ. 56, διαθέσιμη στο https://curia.europa.eu/juris/document/document.jsf;jsessionid=EFC2EA93AFB3DA95D513975AB9156BA4?text=&docid=216555&pageIndex=0&doclang=el&mode=lst&dir=&occ=first&part=1&cid=1097222

[3] ΔΕΕ C-25/17, Απόφαση της 10.07.2018, Jehovan todistajat, ECLI:EU:C:2018:551, σκ. 66, 68, διαθέσιμη στο https://curia.europa.eu/juris/document/document.jsf?text=&docid=203822&pageIndex=0&doclang=EL&mode=lst&dir=&occ=first&part=1&cid=3873450 [4] “Τα κράτη μέλη μεριμνούν ώστε η χρήση των δικτύων ηλεκτρονικών επικοινωνιών για την αποθήκευση πληροφοριών ή την απόκτηση προσβάσεως σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη να επιτρέπεται μόνον εάν παρέχονται στον συγκεκριμένο συνδρομητή ή χρήστη σαφείς και εκτεταμένες πληροφορίες σύμφωνα με την οδηγία 95/46/ΕΚ, μεταξύ άλλων για το σκοπό της επεξεργασίας, και ο υπεύθυνος ελέγχου των δεδομένων τού παρέχει το δικαίωμα να αρνείται την επεξεργασία αυτή. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια ή η διευκόλυνση της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι αναγκαία μόνο για την παροχή υπηρεσίας στην κοινωνία των πληροφοριών την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής.”

Βιβλιογραφία

Βλαχόπουλος Σπ. (2017), Θεμελιώδη Δικαιώματα, Νομική Βιβλιοθήκη.

Ηλεκτρονικές πηγές

ΔΕΕ C-25/17, Απόφαση της 10.07.2018, Jehovan todistajat, ECLI:EU:C:2018:551, σκ. 66, 68, διαθέσιμη στο https://curia.europa.eu/juris/document/document.jsf?text=&docid=203822&pageIndex=0&doclang=EL&mode=lst&dir=&occ=first&part=1&cid=3873450

ΔΕΕ C-40/17, Απόφαση της 29.07.2019, Fashion ID GmbH & Co.KG κατά Verbraucherzentrale NRW eV, ECLI:EU:C:2019:629, σκ. 104, διαθέσιμη στο https://curia.europa.eu/juris/document/document.jsf;jsessionid=EFC2EA93AFB3DA95D513975AB9156BA4?text=&docid=216555&pageIndex=0&doclang=el&mode=lst&dir=&occ=first&part=1&cid=1097222

Ιωάννα Γκίνη

Τριτοετής φοιτήτρια Νομικής Σχολής Αθηνών

Μέλος της ομάδας σχολιασμού δικαστικών αποφάσεων του The Law Project