W ostatnim czasie Trybunał Sprawiedliwości Unii Europejskiej zajmował się sprawą dotyczącą przycisku „lubię to” pochodzącego z Facebooka.
Chodzi o sprawę niemieckiego serwisu Fashion ID (sygn. C -40/17). Spółka umieściła na swojej stronie facebookowy wspomniany facebookowy przycisk. W efekcie facebook otrzymywał automatycznie informacje o adresie IP i identyfikatorze przeglądarki każdego odwiedzającego stronę. Następowało to niezależnie od tego, czy użytkownik kliknął przycisk i czy miał konto na facebooku. Niemiecki sąd, po otrzymaniu pozwu dotyczącego żądania wyłączenia wtyczki skierował do TSUE pytanie, czy Spółka jest administratorem danych, mimo że nie może wywierać wpływu na ich przetwarzanie? TSUE uznał, że operator witryny internetowej wyposażonej w taki przycisk może być wspólnie z facebookiem administratorem w odniesieniu do gromadzenia i przekazywania facebookowi danych osobowych osób odwiedzających jego witrynę. Zdaniem TSUE Spółka i facebook wspólnie określają sposoby i cele tych operacji. Natomiast Spółka nie jest co do zasady administratorem w odniesieniu do późniejszego przetwarzania tych danych przez samego facebooka, już po ich przekazaniu.
TSUE zauważył, że umieszczenie przycisku „lubię to” w serwisie pozwala na optymalizację reklamy produktów z serwisu Spółki i uczynienie ich bardziej widocznymi w portalu społecznościowym. Taki był zatem cel wyrażenia przez Spółkę zgody (co najmniej dorozumianej), na gromadzenie danych osobowych osób odwiedzających jej stronę i ich ujawnianie przez przesyłanie do FB. Te operacje przetwarzania są zatem realizowane w interesie obu spółek. Dla FB możliwość dysponowania danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Spółce. Trybunał podkreślił, że Spółka, jako współadministrator, musi spełnić obowiązek informacyjny, m.in. dotyczący celów przetwarzania danych osobowych.
Niemiecki Sąd zapytał także, co jest podstawą przetwarzania danych – zgoda czy uzasadniony interes administratora. TSUE nie wyraził swojego stanowiska wprost, jednak zaznaczył, że kwestia ta nie ma znaczenia, gdyż i tak wymagana zgoda nie została uzyskana. TSUE ponownie podkreślił, że jej udzielenie powinno nastąpić po spełnienie obowiązku informacyjnego. Zaznaczył również, że sąd krajowy powinien ustalić, czy FB ma dostęp do informacji przechowywanych na urządzeniu końcowym użytkownika w rozumieniu dyrektywy o prywatności (art. 5 ust. 3), a zatem czy są to dane osobowe i jest wymagana zgoda w rozumieniu przepisów o ochronie danych osobowych. Jeśli tak – to serwis musi ją uzyskać zanim zacznie gromadzić i przekazywać dane odwiedzających go osób do FB. Obowiązek uzyskania zgody spoczywa bowiem na operatorze witryny, a nie dostawcy wtyczki – w tym wypadku FB.
Sprawa została rozstrzygnięta co prawda nie na gruncie przepisów RODO, ale na przepisów dyrektywy 95/46. Mimo tego, będzie ona miała bezpośredni wpływ na obecny porządek prawny.