Вече за никого не е тайна, че платформите на социалните мрежи, които използваме всекидневно, събират и съхраняват личните ни данни. След случая с Cambridge Analytica и Европейският съюз започна да обръща внимание на опасностите, които съпътстват споделянето на информация във Facebook, като един от най-популярните канали за комуникация.

По правило, когато стане ясно, че един въпрос е в компетенциите или в полето на интереси на Съюза, освен че започват законодателни инициативи, но и съдилищата на държавите членки стават по-внимателни и се допитват до Съда на ЕС, когато имат да решават подобни дела.

Съвсем наскоро, след като германско сдружение за защита на потребителите започна дело срещу оператор на сайт за онлайн продажба на дрехи, за това, че е интегрирал в него бутон „Харесва ми”, Съдът на ЕС обяви, че той отговаря като администратор на лични данни съвместно с Facebook за събирането на информация за посетителите на сайта и за предаването им.

Това всъщност лошо ли е?

Опцията за вграждане на бутон „Харесва ми“ е от категорията на т.нар. Plug-in приставки. Те са софтуерен компонент, който дава възможност на сайта да обвърже трафика си с функционалности на платформата на Facebook и по този начин да оптимизира съдържанието и рекламата си. Т.е. чрез приставките се обработват лични данни, което от една страна е дело на оператора на сайта, инсталирал съответното софтуерно разширение, но от друга по никакъв начин не е контролирано от него, а от платформата, на която принадлежи приставката. А това означава, че Facebook събира данните и ги съхранява на собствен сървър. Макар в конкретния случай да  става дума за бутона „Харесва ми”, социалната мрежа има и други приставки, които могат да се използват на същия принцип - например Facebook Pixel, който е полезен за маркетинг и ретаргетиране на потребители.

Неслучайно, когато разгледаме сайт за обувки, стената ни във Facebook се пълни с реклами от същия магазин или дори със същия модел обувки. Инсталирането на пиксела позволява на опитния маркетолог да идентифицира нуждите на потребителите, които посещават сайта му.

И тук възниква въпросът - това всъщност лошо ли е? В днешно време едва ли съществува информация, която да стига до нас случайно. Всички платформи, с които боравим, следят поведението ни онлайн и това не е непременно вредно, ако се използва правилно.

Самата материя за защита на личните данни обаче вече една година е повод за паника сред малкия и средния бизнес в България, а в последните седмици, след случая с НАП, се установи, че има сериозна нужда от предприемане на мерки и от страна на институциите.

Виртуално общуване

Един от въпросите, който предстои да бъде изяснен от практиката, е за отговорността между лицата, които заедно извършват операции с лични данни. Дали Facebook е администратор или обработващ лични данни веднъж вече е коментирано от Съда на ЕС. Като в същото време въпросът за отговорността, в случаите, когато съдържание на трето лице е интегрирано в сайт, администриран от друг, е съществен и е засяган периферно в практиката на Съда на ЕС. Още повече като се има предвид значението, което социалните мрежи имат и факта, че обществената действителност се измества в рамките на виртуалното общуване.

Съдът на ЕС акцентира на факта, че със слагането на бутон „Харесва ми“ на сайта си, операторът му се е съгласил, поне мълчаливо, лични данни на потребителите му да бъдат събирани и разкривани чрез предаване. Още повече, че това обслужва явен икономически интерес на оператора. Тъй като Съдът приема, че отговорността за събирането на лични данни е на оператора на сайта, той приема и, че задължението да информира субектите на данни за операциите по обработването им, е негово.

И ето тук е проблемът

Каква е разликата между информиране и съгласие?

Макар Съдът да постановява, че операторът на сайта трябва да получи съгласието на потребителите предварително, това не винаги е възможно. Налице е ситуация, в която Съдът се е произнесъл, спазвайки всички разпоредби на правната уредба за защита на личните данни. Де юре задължението за искане, и съответно получаване, на предварително съгласие е абсолютно необходимо, но де факто данните се събират с простото влизане на всеки потребител в сайта и технически е неизпълнимо условието да се иска съгласие преди това.

А какъв е изходът ли?

Със сигурност европейският законодател не е искал да спре развитието на бизнеса в онлaйн пространствотo. Съгласието не е единствения начин за осигуряване законно обработване на данни. Когато администраторът преследва т.нар. легитимен интерес той има начин да обясни защо обработва данните и как те са защитени.

Би било нелепо да се окаже, че е прав генералният адвокат по делото, който обобщава ситуацията по следния начин:

„Преди много време (феновете на определен sci-fi франчайз биха искали да добавят „в една далечна галактика“), беше готино да си в социалните мрежи. После постепенно започна да става готино да не си в социалните мрежи. В днешно време изглежда е престъпление да си там“.