Pokud se provozovatel webové stránky rozhodne umístit na svou část webu Facebookem poskytované tlačítko „like,“ dochází při návštěvě takové webové stránky kýmkoliv k předávání osobních údajů těchto návštěvníků společnosti Facebook, a to i pokud se nejedná o uživatele sociální sítě Facebook nebo aniž by na samotné tlačítko „like“ návštěvníci webu klikli. Vzhledem k tomu, že provozovatel webové stránky umístěním tlačítka určil prostředky a účel zpracování osobních údajů, stává se – dle nedávného rozsudku Soudního dvora EU ve věci C-40/17 Fashion ID – správcem osobních údajů ve vztahu k tomuto předávání osobních údajů. Ze skutečnosti, že je správcem, pak provozovateli webové stránky plyne celá řada právních povinností a také odpovědnost. Spor v dané věci byl posuzován ještě v režimu původní směrnice 95/46/ES o ochraně osobních údajů, nicméně vzhledem k téměř nulové změně v pravidlech, jejichž posouzení bylo předmětem rozhodnutí soudu, je možné závěry soudu aplikovat i na obecné nařízení o ochraně osobních údajů (GDPR).
Pokud jde o samotné postavení provozovatele webové stránky, na které je umístěno tlačítko „like,“ soud se odkázal na svou dřívější rozhodovací praxi a široké pojetí pojmu správce osobních údajů, jež má za cíl poskytnout účinnou a úplnou ochranu subjektů údajů. Správcem je každý, kdo sám nebo společně s jinými osobami určuje účel a prostředky zpracování osobních údajů. Dle rozhodovací praxe soudu přitom není podstatné, aby všechny na zpracování zúčastněné osoby měly přístup k samotným osobním údajům. Pokud tedy provozovatel webové stránky na svou část webu umístí tlačítko „like,“ které sbírá osobní údaje každého návštěvníka, který na webovou stránku přistoupí, rozhodl tento provozovatel o způsobu a účelu zpracování příslušných osobních údajů v rozsahu jejich sběru a předání společnosti Facebook, a to aniž by takto sesbírané osobní údaje sám provozovatel stránky jinak využil nebo mohl využít. Provozovatel webové stránky s umístěným tlačítkem „like“ nicméně již neurčuje účel ani prostředky k dalšímu zpracování osobních údajů, tedy zejména k jakýmkoliv dalším aktivitám, které s takto získanými osobními údaji provádí společnost Facebook. Provozovatel webové stránky je tak správcem pouze ve vztahu ke zpracování osobních údajů, které spočívá ve sběru příslušného rozsahu osobních údajů a jejich předání společnosti Facebook.
V případě, že provozovatel stránky chce kromě tlačítka „like“ svým návštěvníkům rovněž poskytovat sociální modul třetích stran (zde facebookovou diskusi pod příspěvky na webové stránce) a tento sociální modul pro svou funkčnost sbírá osobní údaje návštěvníka, musí existenci právního titulu pro takovéto zpracování osobních údajů (zde oprávněný zájem správce) prokázat jak poskytovatel sociálního modulu, tak provozovatel webu, kam je sociální modul umístěn.
Z faktu, že správcem osobních údajů je nejen společnost Facebook, jejíž produkty (tlačítko „like,“ případně sociální modul) jsou do webové stránky včleněny, ale také provozovatel webové stránky, přímo vyplývá, že tento provozovatel stránky je také povinen nejen splnit informační povinnost vůči návštěvníkům stránky, ale také získat jejich souhlas se zpracováním osobních údajů. Z praktického hlediska to tedy zejména znamená, že provozovatel webu musí před získáním osobních údajů návštěvníka pro účely jejich předání společnosti Facebook, vše prostřednictvím zabudovaného tlačítka „like,“ získat jeho souhlas. Jako každý souhlas dle GDPR, musí i tento být zejména svobodný, odvolatelný, a informovaný. Provozovatel webu tedy musí návštěvníka o sběru a předání osobních údajů řádně informovat a vhodnou formou jej poučit o jeho právech. Toto poučení může být samozřejmě učiněno zobrazením odkazu na širší privacy policy nebo obdobný dokument, kterým by stejně provozovatel webu měl disponovat, jelikož je zřejmě sám správcem vůči ostatním osobním údajům, pokud je od návštěvníků webu získává.
Zásadním závěrem tedy je, že provozovatel webu je správcem osobních údajů v rozsahu, v jakém jsou prohlížečem návštěvníka komunikovány společnosti Facebook skrze tlačítko „like,“ a to i když návštěvník na tlačítko neklikl, a dokonce ani, když není uživatelem sítě Facebook. Provozovatel je povinen před zahájením tohoto zpracování osobních údajů – než jsou osobní údaje komunikovány prohlížečem návštěvníka společnosti Facebook skrze do webové stránky vložené tlačítko „like“ – návštěvníka informovat o zpracování, a to aspoň v rozsahu jaké osobní údaje jsou sbírány, že jsou sbírány skrze sociální modul nebo funkcionalitu tlačítka „like“ či jemu obdobnou a že jsou tyto osobní údaje předány konkrétní třetí straně. Než je zpracování osobních údajů návštěvníka zahájeno/provedeno, musí provozovatel webu získat návštěvníkův souhlas. Bez získání souhlasu pak samozřejmě osobní údaje nesmí být prostřednictvím tlačítka „like“ sesbírány ani předány společnosti Facebook, přičemž provozovatel webu zároveň zřejmě nemůže návštěvu svého webu tímto sesbíráním a předáním osobních údajů společnosti Facebook podmínit. Otázka podmiňování přístupu ke službám souhlasem se zpracováním osobních údajů je však již námětem na samostatný příspěvek a jako taková nebyla předmětem rozhodnutí Soudního dvora EU ve věci Fashion ID.
