Čeština 
English (UK) 
Русский 
Deutsch 
Polski 
Italiano 
Français 
Ελληνικά 
Türkçe 
한국어 
简体中文 
日本語 
Українська 
Slovenčina 
Română 
Nederlands 
Português 
Svenska 
Suomi 
Español 
العربية 
GDPR se setkává s ISS: Jak soudy interpretují role správce údajů">
The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.
Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.
Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership
In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.
Key Findings:
- Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
- The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.
Implications:
- Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
- ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.
Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility
In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.
Key Findings:
- The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
- The operator is not a controller for subsequent processing carried out solely by Facebook.
Implications:
- This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
- Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.
Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership
Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.
Key Findings:
- The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
- The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.
Dopady na ISS:
- Platformy a pobočky spolupracující – i neformálně – na shromažďování uživatelských dat mohou být společně odpovědné.
- Neformální nebo decentralizované struktury zpracování dat dělají nechrání subjekty před povinnostmi společného správce.
Bundeskartellamt v Meta (případ T-201/22): střet soutěže s GDPR
Ačkoli je stále ve fázi soudního vývoje, případ německého úřadu pro hospodářskou soutěž proti společnosti Facebook (nyní Meta) zpochybňuje nadměrný sběr dat postupy v rámci obou GDPR a soutěžní právo. Soudní dvůr EU bude muset objasnit, zda dominance platformy a souhlas uživatele interagovat v souladu se zásadami ochrany údajů.
Vznikající trend:
- Soudy a regulační orgány se stále více zabývají celoplatformové sledování a konsolidace dat napříč službami jako potenciálně urážlivé nebo nezákonné, pokud nejsou doprovázeny informovaným, svobodně daným souhlasem.
Klíčové body pro poskytovatele služeb ISS
- Proaktivně posuzujte společnou správu
Jakákoli spolupráce zahrnující sdílené nástroje, pluginy nebo analytické funkce může vytvářet společné odpovědnosti. Formalizujte ujednání a objasněte role prostřednictvím smluv a zásad ochrany osobních údajů. - Fáze zpracování segmentu
Odpovědnost se může vztahovat pouze na určité fáze zpracování. Jasně určete, kde vaše organizace zahajuje nebo se podílí na sběru a přenosu dat. - Posílit transparentnost a mechanismy souhlasu
Vkládáte nástroje třetích stran? Zřetelně je uveďte a získejte souhlas uživatele tam, kde to vyžaduje zákon – zejména pro marketing a profilování. - Implementujte dohody Joint Controller Agreements (JCA)
Podle článku 26 GDPR musí společní správci stanovit Dohoda o společném správci, přidělováním odpovědností a poskytováním kontaktního místa pro subjekty údajů. - Sledujte právní vývoj i mimo ochranu dat
Otázky společného správcovství se nyní prolínají s právem hospodářské soutěže, ochranou spotřebitele a regulací platforem. Mějte na paměti širší právní trendy ovlivňující digitální služby.
Závěr
Vyvíjející se judikatura Soudního dvora Evropské unie pevně stanovila, že Služby informační společnosti mohou sdílet odpovědnost správce. s provozovateli webových stránek, partnery a dokonce i uživateli, v závislosti na povaze datové interakce. Pro právní poradce a týmy pro dodržování předpisů již nestačí klasifikovat platformu jako neutrálního hostitele. Rozhodujícím faktorem je nyní skutečný vliv na to, jak jsou data shromažďována a používána.
Vzhledem k tomu, že se regulační prostředí stává složitějším v rámci Aktu o digitálních službách, nařízení o soukromí v elektronických komunikacích a probíhajícího prosazování GDPR, musí poskytovatelé ISS přijmout komplexní a zdokumentovaný přístup k zásadám správy dat a povinnostem správce.
Potřebujete pomoci s revizí vztahů zpracování dat nebo s návrhem smluv o společné správě v souladu s GDPR? Náš tým pro ochranu údajů radí platformám a poskytovatelům digitálních služeb v celé EU ohledně strukturování zákonných a transparentních postupů zpracování dat. Obraťte se na nás pro konzultaci.