KeyGroup
    AI EngineeringAI WorkersAI MarketplaceDigital MarketingPaid AdvertisingSEO / GEOLink BuildingSMMPRIRHRFinance & AccountingLegal & Consulting
    Legal consultingApril 14, 20254 min read
    VH
    Victoria Hayes

    RODO spotyka się z MSS: Jak sądy interpretują role administratora danych

    The intersection of the General Data Protection Regulation (GDPR) oraz Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes oraz means of proc

    RODO spotyka się z MSS: Jak sądy interpretują role administratora danych

    The intersection of the General Data Protection Regulation (GDPR) oraz Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes oraz means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users oraz third-party content providers, the lines of responsibility blur.

    Recent case law from the Court of Justice of the European Union (CJEU) has significantly exporazed the interpretation of joint controllership, placing new obligations on platform operators, website owners, oraz service providers engaged in collaborative data processing. Below, we explore key judgments oraz their implications for platform accountability.

    Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

    In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireloraz, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

    Key Findings:

    • Even though the page administrator could nie access personal data directly, the CJEU found that it influenced the purposes oraz means of data processing by configuring the page oraz selecting target demographics.
    • The decision introduced a broad oraz functional definition of joint controllership, emphasizing actual influence over data use, nie just access.

    Implications:

    • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
    • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

    Fashion ID Case (C-40/17): Social Plugins oraz Shared Responsibility

    In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

    Key Findings:

    • The operator of a website is a joint controller for the collection oraz transmission of personal data (such as IP addresses oraz browser information) to Facebook.
    • The operator is nie a controller for subsequent processing carried out solely by Facebook.

    Implications:

    • This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
    • Websites using embedded tools must disclose data transfers in their privacy nieices oraz, where required, obtain valid consent for third-party data collection.

    Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

    Although nie focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

    Key Findings:

    • The religious community oraz individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
    • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

    Implikacje dla ISS:

    • Platformy i podmioty stowarzyszone współpracujące ze sobą – nawet nieformalnie – w zakresie gromadzenia danych o użytkownikach mogą ponosić solidarną odpowiedzialność.
    • Nieformalne lub zdecentralizowane struktury przetwarzania danych nie chroni podmiotów przed obowiązkami wynikającymi ze wspólnego kontrolerstwa.

    Bundeskartellamt przeciwko Meta (Sprawa T-201/22): Konkurencja spotyka RODO

    Sprawa niemieckiego urzędu ochrony konkurencji przeciwko Facebookowi (obecnie Meta), choć wciąż w fazie rozwoju sądowego, stanowi wyzwanie dla nadmierne gromadzenie danych praktyki w obu przypadkach RODO i prawo konkurencji. TSUE będzie musiał wyjaśnić, czy dominacja platform i zgoda użytkownika współdziałają zgodnie z zasadami ochrony danych.

    Nadchodzący trend:

    • Sądy i organy regulacyjne coraz częściej traktują śledzenie w obrębie całej platformy oraz konsolidacja danych między usługami jako potencjalnie obraźliwe lub niezgodne z prawem, gdy nie towarzyszy im świadoma, dobrowolna zgoda.

    Kluczowe wnioski dla dostawców ISS

    1. Oceń współadministrowanie proaktywnie
      Wszelka współpraca z wykorzystaniem współdzielonych narzędzi, wtyczek lub funkcji analitycznych może tworzyć wspólne obowiązki. Sformalizuj ustalenia i wyjaśnij role za pomocą umów i polityk prywatności.
    2. Fazy przetwarzania segmentu
      Odpowiedzialność może mieć zastosowanie tylko do określonych etapów przetwarzania. Należy wyraźnie określić, gdzie organizacja inicjuje lub przyczynia się do gromadzenia i przekazywania danych.
    3. Wzmocnienie przejrzystości i mechanizmów zgody
      Osadzasz narzędzia firm trzecich? Ujawnij je w widocznym miejscu i uzyskaj zgodę użytkownika tam, gdzie jest to prawnie wymagane — zwłaszcza w przypadku marketingu i profilowania.
    4. Wdrożenie Umów Kontroli Wspólnej (JCA)
      Zgodnie z art. 26 RODO, współadministratorzy muszą ustanowić Umowa o Wspólnej Kontroli, przydzielając obowiązki i zapewniając punkt kontaktowy dla osób, których dane dotyczą.
    5. Śledź rozwój sytuacji prawnej wykraczający poza ochronę danych
      Kwestie dotyczące współkontrolerów krzyżują się obecnie z prawem konkurencji, ochroną konsumentów i regulacją platform. Bądź na bieżąco z szerszymi trendami prawnymi wpływającymi na usługi cyfrowe.

    Wnioski

    Rozwijające się orzecznictwo TSUE ugruntowało, że Usługi społeczeństwa informacyjnego mogą dzielić odpowiedzialność za kontrolę z operatorami stron internetowych, partnerami, a nawet użytkownikami, w zależności od charakteru interakcji z danymi. Dla doradców prawnych i zespołów ds. zgodności klasyfikowanie platformy jako neutralnego hosta już nie wystarcza. Decydującym czynnikiem jest teraz rzeczywisty wpływ na sposób gromadzenia i wykorzystywania danych.

    W miarę jak otoczenie regulacyjne staje się bardziej złożone w ramach Aktu o Usługach Cyfrowych, Rozporządzenia o ePrywatności i trwającego egzekwowania RODO, dostawcy ISS muszą przyjąć kompleksowe i udokumentowane podejście do zarządzania danymi i obowiązków kontrolera.

    Potrzebujesz pomocy w przeglądzie relacji przetwarzania danych lub opracowaniu umów o współadministrowaniu zgodnych z RODO? Nasz zespół ds. ochrony danych doradza platformom i dostawcom usług cyfrowych w całej UE w zakresie strukturyzacji zgodnych z prawem i przejrzystych praktyk w zakresie danych. Skontaktuj się z nami w celu konsultacji.

    Ready to leverage AI for your business?

    Book a free strategy call — no strings attached.

    Get a Free Consultation

    Related Articles

    How to Draft Legally Sound Workplace Policies and Handbooks

    How to Draft Legally Sound Workplace Policies and Handbooks

    May 19, 2025
    The Key Elements of a Compliant Employee Agreement

    The Key Elements of a Compliant Employee Agreement

    May 19, 2025
    How Outsourcing Employment Law Saves You Time and Money

    How Outsourcing Employment Law Saves You Time and Money

    May 19, 2025