嵌入第三方插件的网站运营商

例如Facebook“赞”按钮，导致用户个人数据的收集和传输，与Facebook共同负责数据处理的这一阶段，Advocate General(AG)Michal Bobek最近表示。

欧盟法律保障每个人保护与其有关的个人数据的权利，并确保此类数据仅由拥有此类数据的任何人(无论是自然的还是合法的)合法处理。自去年5月起取代数据保护指令的通用数据保护条例(GDPR)规定了一个强有力的法律框架，以确保欧盟公民在这方面的权利得到最大程度的保障。

本案的事实简述如下。Fashion ID是一家德国在线零售商，销售时尚产品。它在其网站上嵌入了一个插件：Facebook的“赞”按钮。这意味着当用户登陆Fashion ID的网站时，有关该用户的IP地址和浏览器字符串的信息将被传输到Facebook。无论用户是否点击了“赞”按钮以及他们是否拥有Facebook帐户，都会在加载Fashion ID网站时自动进行此类转帐。

德国消费者协会针对时尚ID提出法律诉讼，理由是使用Facebook“赞”按钮会导致违反数据保护法规。国家法院查封该案件，要求欧洲联盟法院(CJEU)就当前GDPR的前身(1995年数据保护指令)的规定适用于案件的事实。手。

在他的意见中，AG坚持认为Fashion ID和Facebook Ireland在收集和传输有争议的个人数据阶段共同决定数据处理的手段和目的。

他观察到，两者都自愿地引起了数据处理的收集和传输阶段，并且它们都有一个共同的目的，即商业和广告目的。Fashion ID决定在其网站上嵌入Facebook“赞”按钮的目的是通过社交网络提高其产品的知名度。

因此，就数据处理的收集和传输阶段而言，Fashion ID是Facebook爱尔​​兰的联合控制者，其责任与Facebook爱尔​​兰的责任相关。

AG Bobek观察到，显然网站运营商的责任仅限于与Facebook共同决定的那些业务，并且不对整个处理链的前一阶段和后一阶段负责。

AG还确认，就当时适用的数据保护指令而言，如果没有数据主体的同意，数据控制器只有在满足三个累积条件时才能合法处理个人数据。这些条件即指数据控制者或披露数据的第三方追求合法利益，为了追求合法利益的目的而处理个人数据的必要性以及基本权利和自由的保证数据主体受到尊重。这意味着，在审查的情况下，必须考虑两个联合控制人的合法利益 - 时尚ID和Facebook爱尔​​兰 - 并与网站用户的权利相平衡。

如果控制人无法证明合法权益并且只能依赖同意作为数据处理的法律依据，那么网站Fashion ID的运营商有义务获得网站用户的同意来处理他/她的数据。他还有义务向该用户提供合法应该给予数据主体的任何信息。

虽然在其决定中，欧洲法院现在可以选择放弃或接受AG的建议，但AG提出的意见强调了确保最大程度保护个人数据的重要性，包括个人的IP地址和浏览器字符串。

在一个时代，当社交媒体经常被商业运营商用作宣传其服务和产品的平台时，这些运营商必须确保这不会损害个人的权利。