Prowadzenie fanpage’a w serwisie Facebook jest związane z przetwarzaniem danych osobowych. Do niedawna wydawało się, że za prawidłowość ich przetwarzania jest odpowiedzialny tylko Facebook. Jak jednak stwierdził Trybunał Sprawiedliwości Unii Europejskiej, administrator fanpage’a także jest administratorem danych w rozumieniu przepisów o ochronie danych osobowych. Co to w praktyce oznacza dla administratora fanpage’a?
Czy naprawdę przetwarzam dane osobowe prowadząc fanpage?
Punktem zapalnym między RODO a serwisem Facebook są pliki cookies zapisywane na urządzeniu osoby odwiedzającej fanpage – zarówno w przypadku, gdy odwiedzającym jest osoba niezarejestrowana w serwisie jak też osoba posiadająca w nim konto. Pliki cookies pozwalają bowiem serwisowi Facebook na poprawę systemu reklam wyświetlanych za pośrednictwem serwisu. Oczywiście Facebook także handluje posiadanymi danymi – niedawno Facebook ujawnił, że odbiorcami danych o użytkownikach są m.in. Amazon, Samsung oraz Apple.
Niemniej, pliki cookies pozwalają także administratorowi fanpage’a uzyskać za pomocą funkcji Facebook Insights dane statystyczne o osobach odwiedzających, w tym poznać m.in. liczbę wyświetleń strony. To właśnie przez utworzenie fanpage’a administrator daje serwisowi Facebook możliwość umieszczenia plików cookies na dysku użytkownika. W rezultacie, Trybunał Sprawiedliwości UE w wyroku w sprawie C-210/16 stwierdził, że (współ)administratorem danych osobowych w przypadku prowadzenia fanpage’a jest jego administrator.
Administrator fanpage’a jako administrator danych osobowych
Status administratora fanpage’a jako współadministratora danych oznacza w świetle RODO:
1) konieczność poinformowania użytkownika, zarówno zarejestrowanego jak i niezarejestrowanego, o tym, kto jest administratorem danych,
2) konieczność poinformowania użytkownika jakie dane osobowe są pobierane oraz w jakich celach są one przetwarzane przez administratora oraz serwis Facebook,
3) konieczność uzyskania wyraźnej zgody od użytkownika fanpage’a na przetwarzanie jego danych osobowych,
4) konieczność udostępnienia informacji użytkownikowi na temat porozumienia między administratorem fanpage’a a serwisem Facebook, który ze współadministratorów jest odpowiedzialny za realizację określonych obowiązków wynikających z RODO (art. 26 ust. 2 RODO).
Na konieczność spełnienia powyższych obowiązków wskazano w rezolucji z 6 czerwca 2018 r. podjętej na Datenschutzkonferenz (DSK – niemieckie gremium złożone z organów ochrony danych osobowych istniejących na poziomie federalnym jak i poziomie landów), tj. w 1 dzień po wydaniu orzeczenia przez Trybunał Sprawiedliwości UE w sprawie C-210/16 (https://diercks-digital-recht.de/wp-content/uploads/2018/06/Entschließung-DSK-Fanpages-EuGH-Urteil-05_06_2018.pdf). Tym samym przywołane wskazania stanowią interpretację prawa przez organy, które egzekwują zgodność z prawem przetwarzania danych osobowych. DSK zwróciło także uwagę, że formą „obrony” przez administratora fanpage’a – w przypadku konieczności wykazania zgodności przetwarzania z RODO – nie może być okoliczność, że to od serwisu Facebook zależy dostarczenie pewnych funkcjonalności serwisu. To bowiem administrator fanpage’a jako współadministrator danych powinien zadbać o prawidłowość przetwarzania danych osobowych użytkownika.
Wpływ stanowiska Datenschutzkonferenz z 6 czerwca 2018 r. na obowiązki administratora fanpage’a w Polsce
Jak słusznie wskazuje się w Niemczech, odezwa DSK jest w znacznym stopniu spóźniona. Serwis Facebook informuje bowiem w swoim regulaminie zarówno użytkowników zarejestrowanych jak i niezarejestrowanych o tym, że używa plików cookies m.in. do celów reklamy jak i prowadzenia statystyk. Problematyczna jest niemniej forma, w której zgoda jest pobierana przez Facebook – wygląda ona następująco:
„Klikając przycisk Rejestracja, akceptujesz nasz Regulamin”.
Jak wskazano w motywach RODO, milczenie lub niepodjęcie działania nie powinny oznaczać zgody użytkownika. Serwis Facebook ogłosił jednak 15 czerwca 2018 r., iż zostaną podjęte przez Facebook konieczne kroki w celu „uporządkowania” podziału odpowiedzialności między administratorem fanpage’a a Facebook (https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/).
W rezultacie, w świetle rezolucji DSK z 6 czerwca 2018 r. oraz uzasadnienia orzeczenia C-210/16, aby zapewnić zgodność przetwarzania danych osobowych w związku z korzystaniem z fanpage’a administrator powinien zaktualizować zakładkę informacje w serwisie Facebook w szczególności wskazując na: (1) swoją tożsamość jako administratora danych, (2) możliwość wniesienia przez użytkownika sprzeciwu wobec przetwarzania danych osobowych, (3) możliwość cofnięcia przez użytkownika zgody na przetwarzanie danych oraz (4) możliwość wniesienia przez użytkownika skargi do UODO.
PS. Szewc w opisanej kwestii (jeszcze) bez butów chodzi.
Czy planuje Pan aktualizację tematu?:)
Nie wykluczam aktualizacji – jaka kwestia szczególnie Panią interesuje?