Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie (C-40/17), w którym uznał, że podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki) administratorami danych osobowych osób korzystających z takiej witryny.

Wyrok zapadł w sprawie, w której spółka Fashion ID umieściła na swojej stronie internetowej wtyczkę „Lubię to” pochodzącą z serwisu Facebook. W efekcie przeglądarka osoby odwiedzającej stronę Fashion ID, automatycznie wysyłała do dostawcy wtyczki m.in. adres IP jej komputera oraz dane techniczne przeglądarki, by Facebook mógł ustalić, w jakim formacie i pod jakim adresem dana treść ma być wyświetlona. Co istotne, przekazywanie tych danych następowało bez wiedzy wspomnianej osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to”. Niemiecki sąd, do którego wpłynął pozew z żądaniem wyłączenia wtyczki, zapytał TSUE, czy Fashion ID jest administratorem danych, mimo że nie może wywierać wpływu na ich przetwarzanie.

TSUE orzekł, że operator witryny internetowej wyposażonej w przycisk „Lubię to” może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych osób odwiedzających jego witrynę. Wynika to z faktu, że Fashion ID i Facebook wspólnie określają sposoby i cele tych operacji. Okoliczność, że operator witryny internetowej, taki jak Fashion ID, sam nie ma dostępu do danych osobowych gromadzonych i przekazanych dostawcy wtyczki społecznościowej, z którym określa wspólnie sposoby i cele przetwarzania danych osobowych, nie stoi na przeszkodzie temu, by przysługiwał mu przymiot administratora danych. Natomiast Fashion ID nie jest co do zasady administratorem w odniesieniu do późniejszego przetwarzania tych danych przez samego Facebooka, już po ich przekazaniu.

– Z powyższego wyroku może wynikać konieczność realizowania przez podmioty prowadzące strony internetowe, zawierające wtyczki społecznościowe, obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. W tym kontekście niezbędnym wydaje się dokonanie przez te podmioty przeglądu posiadanych polityk bezpieczeństwa – stwierdził Mecenas Marcin Czugan, Wiceprezes Zarządu KPF.