Administratorzy stron na Facebooku też przetwarzają dane użytkowników

Ważna wiadomość dla wszystkich, którzy administrują stronami biznesowymi na Facebooku – Trybunał Sprawiedliwości Unii Europejskiej uznał, że ich administratorzy odpowiadają za przetwarzanie danych użytkowników w takim samym stopniu jak sam Facebook.

Wyrok europejskiego Trybunału Sprawiedliwości dotyczy niemieckiej spółki Wirtschaftsakademie Schleswig-Holstein, która swoje szkolenia prowadzi za pomocą fanpage'a. Cała historia rozpoczęła się jeszcze w 2011 roku, gdy Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (niezależny regionalny organ ds. ochrony danych kraju związkowego Szlezwik-Holsztyn) uznał, że ani firma Wirtschaftsakademie ani Facebook nie wypełniły należycie obowiązku informacyjnego i nakazał usunięcie strony z Facebooka. 

Niemiecka spółka wniosła skargę, a cała sprawa zakończyła się teraz wyrokiem Trybunału Sprawiedliwości – ważnym dla wielu administratorów stron, szczególnie w kontekście wprowadzonego nie tak dawno RODO i narzuconego obowiązku informacyjnego. Oznacza on bowiem, że obowiązek informacyjny i kwestia przetwarzania danych na Facebooku to nie tylko problem samego Facebooka, ale i administratorów firmowych fanpage’y.

Czym jest RODO i dlaczego dla firm jest aż tak ważny?

RODO (czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych), o którym jest tak głośno w ostatnim czasie, to nowe unijne rozporządzenie dotyczące kwestii ochrony danych osobowych – znane także jako General Data Protection Regulation (stąd zamiennie używany skrót GDPR). Dokument został przyjęty przez Unię Europejską w kwietniu 2016 roku, wszedł natomiast w życie 25 maja 2018 roku. 

Choć na przygotowanie się do zmian było trochę czasu, to jednak największe zainteresowanie tematyką RODO nastąpiło tradycyjnie tuż przed jej wprowadzeniem w życie, co można sprawdzić także na wykresach prezentowanych przez Google Trends.

Dla hasła „RODO”:

Dla hasła „GDPR”:

Rozporządzenie dotyczy wszystkich krajów unijnych i ma na celu „(...) lepszą kontrolę ich danych osobowych. Ponadto stanowi modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów”. UE szacuje, że nowe, ujednolicone prawo dotyczące ochrony danych może przynieść oszczędności rzędu 2,3 mld euro w ciągu roku.

Rozporządzenie w przypadku wielu firm oznacza często istotne nowości, m.in.:

• konieczność powołania w firmie administratora ochrony danych, 
• nad przestrzeganiem przepisów w danym kraju czuwa jeden organ nadzorczy,
• firmy, które swoje siedziby mają w kraju nienależącym do Unii Europejskiej, także są zobowiązane do przestrzegania obowiązujących przepisów,
• kwestie dotyczące ochrony danych muszą być uwzględniane już na wczesnym etapie rozwoju produktu lub usługi (ochrona danych w fazie projektowania oraz domyślna ochrona danych),
• stosowanie technologii sprzyjających prywatności, takich jak szyfrowanie,
• usunięcie przeszkód, które mogłyby utrudniać swobodny przepływ danych osobowych we wszystkich krajach Unii (ma to ułatwić rozwój wielu firm),
• konieczność oceny skutków ryzyka naruszenia praw i swobód osób,
• rejestrowanie czynności związanych z przetwarzaniem danych, z wyłączeniem małych i średnich przedsiębiorstw (ale tylko pod warunkiem, jeśli przetwarzanie danych nie ma regularnego charakteru i nie ma ryzyka naruszenia praw i swobód osób, których dane są przetwarzane).

Na Facebooku nie został dopełniony obowiązek informacyjny

Według europejskiego Trybunału Sprawiedliwości na Facebooku nie został wypełniony obowiązek informacyjny – jeden z filarów wprowadzanego RODO. Obowiązek ten zakłada, iż należy użytkownikom udzielić wszystkich informacji na temat przetwarzania ich danych – jakie są zasady przetwarzania, w jakim celu są one przetwarzane, jakie prawa mają użytkownicy, itd. Istnieje kilka sposobów wypełnienia tego obowiązku, m.in. umieszczenie na stronie regulaminu (także w sklepach internetowych) czy wysyłka newslettera do zarejestrowanych użytkowników.

I tu dochodzimy do sedna sprawy Wirtschaftsakademie Schleswig-Holstein. Facebook udostępnia bowiem narzędzie „Facebook Audience Insights” (znane także jako „Statystyki grup odbiorców”), gdzie można sprawdzić statystyki zbiorcze dla różnych grup odbiorców, m.in. podział ze względu na wiek, płeć, itp. Statystyki te zbierane dzięki plikom cookies (czyli ciasteczkom), z których każdy zawiera niepowtarzalny kod użytkownika. Według organu ds. ochrony danych kraju związkowego, ani administrator ani Facebook nie informowali użytkowników o tym, że ich dane są gromadzone za pomocą ciasteczek oraz że są potem przetwarzane.

Wirtschaftsakademie Schleswig-Holstein argumentował, że brak informacji o przetwarzaniu danych to kwestia wyłącznie Facebooka i to medium społecznościowe powinno być stroną w postępowaniu. Innego zdania był natomiast Trybunał Sprawiedliwości, który 6 czerwca 2018 roku uznał, że:

• administrator fanpage’a, taki jak Wirtschaftsakademie, ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych, 
• okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebooka i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych.

Podsumowanie

Chyba nie ma użytkownika Internetu, który nie został pod koniec maja zasypany wiadomościami o RODO. Choć gorączka związana z tym tematem nieco już osłabła, to jednak okazuje się, że warto nadal śledzić bieżące informacje – zwłaszcza, że część z nich wcale nie musi dotyczyć tylko tych firm, które administrują danymi na większą lub mniejszą skalę. Po ostatnim wyroku europejskiego Trybunału Sprawiedliwości okazuje się, że temat przetwarzania danych może dotknąć także tych wszystkich, którzy prowadzą fanpage na Facebooku – a to oznacza, że temat przetwarzania danych i obowiązku informacyjnego związanego z RODO może nie dotyczyć już tylko firm, ale także dużej grupy administratorów, którzy prowadzą swoje strony całkowicie prywatnie, np. związane ze swoim hobby.

Z jednej strony wyrok europejskiego Trybunału Sprawiedliwości dość precyzyjnie określa, w jakim zakresie administratorzy stron powinni spełnić obowiązek informacyjny, z drugiej zaś strony – nie każdy jest prawnikiem, by wiedzieć, w jaki sposób ten obowiązek spełnić. Sam dokument dotyczący RODO jest dość lakoniczny i (niestety) może pozostawić dość duże pole do interpretacji, dlatego – by mieć pewność, że obowiązek zostanie spełniony poprawnie - najlepszym rozwiązaniem będzie skonsultowanie się z doświadczonym prawnikiem.

Zainteresowanych sprawą użytkowników zapraszamy do lektury wyroku i uzasadnienia oraz informacji prasowej (w wersji PDF).