Українська 
English (UK) 
Русский 
Deutsch 
Polski 
Italiano 
Français 
Ελληνικά 
Türkçe 
한국어 
简体中文 
日本語 
Slovenčina 
Română 
Nederlands 
Português 
Svenska 
Suomi 
Čeština 
Español 
العربية 
GDPR зустрічається з ISS: як суди інтерпретують ролі контролера даних">
The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.
Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.
Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership
In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.
Key Findings:
- Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
- The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.
Implications:
- Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
- ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.
Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility
In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.
Key Findings:
- The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
- The operator is not a controller for subsequent processing carried out solely by Facebook.
Implications:
- This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
- Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.
Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership
Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.
Key Findings:
- The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
- The Court emphasized the importance of common purposes у встановленні контролерства, навіть там, де технічні засоби фрагментовані.
Наслідки для МКС:
- Платформи та філіали, які співпрацюють – навіть неформально – у зборі даних користувачів, можуть нести солідарну відповідальність.
- Неформальні або децентралізовані структури обробки роблять не захищає суб'єктів господарювання від зобов'язань щодо спільного контролю.
Bundeskartellamt v Meta (Справа T-201/22): Конкуренція зустрічається з GDPR
Попри те, що справа німецького органу з питань конкуренції проти Facebook (тепер Meta) все ще перебуває на стадії судового розгляду, вона ставить під сумнів те надмірний збір даних практики за обома режимами GDPR та закон про конкуренцію. ЄСПЛ повинен буде уточнити, чи домінування платформи та згода користувача взаємодіяти відповідно до принципів захисту даних.
Тенденція, що розвивається:
- Суди та регулятори все частіше ставляться загальноплатформне відстеження і консолідація даних між службами як потенційно образливі або незаконні, якщо вони не супроводжуються поінформованою, вільно наданою згодою.
Ключові висновки для постачальників ISS
- Оцінюйте спільне контролерство проактивно
Будь-яка співпраця, що включає спільні інструменти, плагіни або функції аналітики, може створити спільну відповідальність. Оформлюйте домовленості та уточнюйте ролі за допомогою контрактів і політик конфіденційності. - Фази обробки сегментів
Відповідальність може застосовуватися лише до певних етапів обробки. Чітко визначте, де ваша організація ініціює або робить внесок у збір і передачу даних. - Зміцнення прозорості та механізмів отримання згоди
Вбудовуєте сторонні інструменти? Чітко повідомте про них і отримайте згоду користувача, де це вимагається законом, особливо для маркетингу та профілювання. - Реалізуйте Угоди про Спільний Контролер (JCA)
Згідно зі статтею 26 GDPR, спільні контролери повинні встановити Угода про спільний контроль, розподіляючи обов'язки та надаючи контактну особу для суб'єктів даних. - Відстежуйте юридичні зміни, що виходять за межі захисту даних
Питання спільного контролерства тепер перетинаються з конкурентним правом, захистом прав споживачів та регулюванням платформ. Будьте в курсі ширших правових тенденцій, що впливають на цифрові послуги.
Висновок
Прецедентне право Суду Європейського Союзу, що розвивається, твердо встановило, що Інформаційні суспільні служби можуть розділяти обов'язки контролера з операторами веб-сайтів, партнерами та навіть користувачами, залежно від характеру взаємодії з даними. Для юридичних консультантів і команд із забезпечення відповідності вже недостатньо класифікувати платформу як нейтрального хоста. Фактичний вплив на те, як збираються та використовуються дані, є зараз вирішальним фактором.
Оскільки регуляторне середовище стає дедалі складнішим у рамках Закону про цифрові послуги, Положення про електронну конфіденційність та поточного забезпечення GDPR, постачальники ISS повинні прийняти всебічний та задокументований підхід до управління даними та обов'язків контролера.
Потрібна допомога в перевірці ваших відносин щодо обробки даних або розробці угод про спільний контроль, що відповідають GDPR? Наша команда із захисту даних консультує платформи та постачальників цифрових послуг по всьому ЄС щодо структурування законної та прозорої практики даних. Зверніться до нас для консультації.