Publicystyka - ngo.pl

Zakładając fanpage na Facebooku często uważamy, iż nie ciążą na nas żadne obowiązki w związku z faktem, iż sami jesteśmy również jego użytkownikami. Wychodzimy z założenia, że wszystko prawne obowiązki wobec osób odwiedzających nasz fanpage spełnione muszą zostać przez właściciela portalu. Tak jednak nie jest: trzeba pamiętać, że prowadzenie fanpage’u wiąże się z przetwarzaniem danych osobowych, a co za tym idzie ciążą na nas określone uprawnienia i obowiązki.

Kwestia ta została wyjaśniona w wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 05.06.2018 r. C‑210/16. Podjęto się w nim interpretacji pojęcia „administratora” oraz „współadministratora” danych. Co prawda orzeczenie zapadło na gruncie wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu danych, ale jest w pełni aktualne również na gruncie RODO (Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).

W tym miejscu ważne jest przypomnienie, że administratorem danych (na podstawie Art. 4 pkt 7 RODO) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. To właśnie jego (administratora) zadaniem jest dbanie o przestrzeganie zasad przetwarzania danych osobowych (takich jak np. obowiązek rzetelnego i zgodnego z prawem przetwarzania) i odpowiada on za ich naruszenie.

Zatem organizacja pozarządowa będzie administratorem, gdy np. zbiera zapisy uczestników kolonii lub organizuje szkolenie, ponieważ decyduje jakie dane są do tego potrzebne oraz w jakiej formie mają być przekazane (np. papierowo czy elektronicznie).

Omawiany wyrok został wydany w związku z pytaniem prejudycjalnym na tle sporu organu ds. ochrony danych kraju związkowego Schlezwik-Holsztyn, a spółką specjalizującą się w dziedzinie edukacji. Organ nakazał spółce usunięcie jej fanpage’a prowadzonego na stronie portalu społecznościowego Facebook. Nakaz ten spowodowany był tym, iż ani spółka, ani Facebook nie informowali osób odwiedzających fanpage o tym, że Facebook gromadził, za pomocą plików cookies, dotyczące ich dane osobowe, a następnie przetwarzał je.

Przetwarzanie, do którego dochodziło, dokonywane było zasadniczo poprzez zapisanie przez Facebook na komputerze lub na każdym innym urządzeniu osób odwiedzających fanpage plików cookies, które mają na celu przechowywanie informacji w przeglądarkach internetowych i pozostają aktywne przez okres dwóch lat, jeśli nie zostaną usunięte. Pliki te służą między innymi do tworzenia anonimowych danych statystycznych dotyczących osób odwiedzających te strony za pomocą funkcji „Facebook Insights”, udostępnionej nieodpłatnie przez Facebook. 

Twórcy fanpage’a (czyli spółka) w swoim stanowisku podkreślali, iż w tym wypadku administratorem danych jest Facebook, natomiast oni sami są jedynie użytkownikami portalu. Ich zdaniem w związku z tym, iż nie mają bezpośredniego wpływu na pobierane informacje nie było podstaw do uznania ich za współodpowiedzialnych.

Trybunał Sprawiedliwości Unii Europejskiej wskazał, że każda osoba tworząca fanpage na Facebooku, zawiera z Facebook Ireland szczególną umowę w sprawie otwarcia takiej strony, akceptując w związku z tym warunki korzystania z tej strony, w tym politykę w dziedzinie plików cookies. Administrator fanpage’a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej fanpage, bez względu na to, czy osoba ta posiada konto na Facebooku, czy też nie. Może on też za pomocą filtrów udostępnionych przez Facebook określić kryteria, na podstawie których mają być sporządzane dla niego odpowiednie statystyki, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.

Trzeba zauważyć, że z perspektywy administratora fanpage’a umowa z Facebookiem jest umową adhezyjną. To znaczy taką, którą trzeba zaakceptować w przedstawionym kształcie i nie ma się rzeczywistego wpływu na jej postanowienia. Okoliczność ta, tak samo jak brak własnych narzędzi czy infrastruktury do przetwarzania danych osobowych, jest jednak bez znaczenia przy ocenie, czy dany podmiot może być uznany za administratora danych. W związku z tym bez znaczenia pozostaje fakt czy administrator fanpage’a posiadał narzędzia, czy też odpowiednią infrastrukturę niezbędną do poinformowania odwiedzających stronę o stosowanych plikach cookies.

Należy podkreślić, iż Trybunał Sprawiedliwości wskazał, że odpowiedzialność kilku administratorów danych (współadministratorów) nie jest jednakowa i że powinna być ona różnicowana w zależności od ich faktycznej roli i zaangażowania w operacje przetwarzania danych. Niestety pomimo bardzo szczegółowego stanu faktycznego Trybunał w swoim wyroku nie sprecyzował, które obowiązki jako „administratora” danych osobowych spoczywają na właścicielu witryny, które zaś na administratorze fanpage’a.

Trzeba odnotować, że wyrok ten wpłynął na zmianę regulaminu Facebooka w zakresie przetwarzania danych osobowych. Przede wszystkim portal ten już na wstępie wskazuje podmiotom posiadającym fanpage, iż będą oni współadministratorami pobieranych danych w zakresie niezbędnym do stworzenia statystyk. Portal określa swoje obowiązki w omawianym regulaminie wskazując, iż to właśnie w jego kwestii będzie leżało zapewnienie podstawy prawnej do prawidłowego przetwarzania danych, jak również zapewnienie zgodności przetwarzania z postanowieniami RODO. Facebook do swoich obowiązków przypisuje również zapewnienie odpowiednich środków organizacyjnych i technicznych niezbędnych do zapewnienia bezpieczeństwa przetwarzania.

Omawiany regulamin wskazuje nie tylko obowiązki, które przypisane zostały samemu portalowi, ale również te należące do współadministratora danych, a więc administratora fanpage’a. Użytkownik powinien mianowicie wskazać własną podstawę prawną wraz z uzasadnieniem gromadzenia i przetwarzania danych w związku z prowadzonymi statystykami. W przypadku statystyk będzie to najczęściej art. 6 ust. 1 list f RODO, który dotyczy usprawiedliwionego interesu administratora. W tym przypadku interesem takim jest optymalizacja działania strony.

Facebook w owym regulaminie postanowił również wyklarować sytuację w przypadku pojawienia się ewentualnego sporu na drodze sądowej, związanego z przetwarzaniem danych w celach prowadzenia statystyk. W takim przypadku zobowiązuje on użytkownika będącego współadministratorem do przekazania mu niezwłocznie wszelkich istotnych informacji w odniesieniu do takich postępowań, maksymalnie w okresie siedmiu dni kalendarzowych. Użytkownik zobowiązany jest do podejmowania współpracy z portalem w celu rozwiązania powstałego problemu.

Wyroki Trybunału Sprawiedliwości Unii Europejskiej w zakresie pytań prejudycjalnych mają charakter wiążący dla sprawy, w ramach której zostały wydane. Co prawda ani przepisy polskie ani też unijne nie zawierają bezpośredniego nakazu stosowania przez sądy krajowe wyroków TSUE w innych sprawach, przyjmuje się jednak, iż na podstawie zasady lojalnej współpracy zawartej w art. 4 ust. 3 Traktatu o Funkcjonowaniu Unii Europejskiej wszystkie organy państwa, w tym sądy, muszą respektować prawo unijne, a więc również wyroki Trybunału.

W związku z tym opisany wyrok nakłada na podmioty działające w internecie, które w jakikolwiek sposób uzyskują dane osobowe od innych podmiotów, w ramach prowadzonych przez siebie działań, określone obowiązki. W szczególności dotyczy to obowiązku poinformowania odwiedzających stronę o możliwości przetwarzania ich danych osobowych oraz uzyskania zgody na podjęcie takich działań. Niezbędne jest wskazanie odwiedzającym celu przetwarzania ich danych oraz wskazanie kategorii przetwarzanych danych.

• RODO. Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny
• Strony NGO na portalach społecznościowych a RODO