Publicystyka - ngo.pl

Odpowiedź na to pytanie przyniósł wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r., w sprawie C-210/16. Zgodnie z nim organizacje pozarządowe (także inne podmioty) mające swoje profile na portalach społecznościowych uznane zostały za administratorów danych osób, które ten profil obserwują oraz odwiedzają.

Zgodnie z tym orzeczeniem administratorzy profilu (chodziło o fanpage na Facebooku) ponoszą na poziomie Unii Europejskiej wspólną odpowiedzialność wraz z administratorem serwisu (w tym przypadku Facebook Ireland) za przetwarzanie danych osobowych.

Wynika to z tego, że administrator fanpage'a, korzystając z narzędzi udostępnianych przez portal, może kierować udostępniane przez siebie treści do kręgu osób zawężonego na podstawie m.in. danych demograficznych (wiek, płeć, stan cywilny) czy informacji o stylu życia i zainteresowaniach. Jak wskazuje Trybunał, administrator fanpage'a, poprzez wskazane powyżej działania, ustala parametry swoich użytkowników docelowych, przez co przyczynia się do określenia celów i sposobów przetwarzana danych osobowych osób obserwujących i odwiedzających jego fanpage.

W związku z tym administrator fanpage'a ponosi odpowiedzialność za przetwarzanie danych osobowych na równi z administratorem serwisu. Trybunał zastrzega jednak, że nie oznacza to tego samego stopnia odpowiedzialności.

W przypadku postępowania sądowego administrator fanpage'a odpowiadał będzie za przetwarzanie danych za jego pośrednictwem tylko w takim zakresie, w jakim faktycznie do tego przetwarzania dochodzi. Główna odpowiedzialność spoczywa na administratorze portalu, na którym fanpage ten się znajduje.

Zgodnie z powyższym administrator fanpage'a ma do spełnienia, wobec osób odwiedzających jego fanpage, obowiązki wynikające z RODO. Mowa tu o wypełnieniu obowiązku informacyjnego (z art. 13 RODO).

Aby wypełnić niniejszy obowiązek, administrator danych powinien przede wszystkim ustalić podstawę prawną przetwarzania danych osób odwiedzających jego fanpage oraz zastanowić się nad celem tego przetwarzania. Równie istotnym krokiem jest ustalenie, czy dane pozyskiwane przez fanpage będą przekazywane podmiotom zewnętrznym.

Wypełnienie obowiązku informacyjnego jest szczególnie istotne w sytuacji, w której administrator fanpage'a pobiera dane osobowe osób go odwiedzających i przetwarza je w miejscu innym aniżeli sam portal społecznościowy. Dzięki zamieszonej na fanpage’u klauzuli informacyjnej odwiedzające go osoby będę mogły w sposób jasny i prosty zapoznać się tożsamością administratora danych, ale także znajdą do niego kontakt czy zapoznają z przysługującymi jej prawami (w tym prawem do złożenia sprzeciwu wobec dalszego przetwarzania danych osobowych).

W przypadku organizowania konkursu na portalu społecznościowym administrator fanpage'a powinien stworzyć regulamin określający zasady przystąpienia do owego konkursu (zgodnie z ustawą o świadczeniu usług drogą elektroniczną z 18 lipca 2002 r.). W ramach regulaminu organizator powinien zawrzeć informacje odnoszące się do przetwarzania danych osobowych osób, które zgłoszą się do udziału w konkursie za pośrednictwem fanpage'a.

Informacje, o których mowa odpowiadają informacjom, jakie powinny zostać zawarte w klauzuli informacyjnej wynikającej z art. 13 RODO. Najistotniejszą kwestią jest tu ustalenie podstawy prawnej do przetwarzania danych osobowych osób biorących udział w konkursie. Zgodnie z RODO za podstawę prawną uczestnictwa w konkursie należy uznać przesłankę wynikającą z art. 6 ust. 1 lit f RODO czyli uzasadniony interes administratora danych osobowych. Wynika to z przyjętej zasady, iż osoba przystępująca do konkursu, znająca jego cele i zasady ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie jej danych osobowych w tym konkretnym celu. Administrator fanpage'a organizując konkurs, w którym przyrzeka publicznie, że uczestnik konkursu, który wykona określoną czynność otrzyma nagrodę, jest uprawniony do oparcia przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu.

Należy jednak pamiętać, iż w sytuacji, w której administrator fanpage'a chciałby wykorzystać zebrane w ramach konkursu dane np. w celu przesyłania jego uczestnikom informacji handlowych, konieczne jest uzyskanie od takiego uczestnika dodatkowej zgody na przetwarzanie jego danych w tym celu (art. 6 ust 1 lit a RODO) oraz zgody na przesyłanie informacji handlowych droga elektroniczną.

Organizacje pozarządowe prowadzące fanpage na portalu społecznościowym w związku z promowaniem swojej działalności nierzadko publikują na nim zdjęcia dokumentujące ich działania (np. szkolenie, festyn). Na zdjęciach tych pojawiają się też wizerunki uczestników działań. Co musi zrobić organizacja pozarządowa, aby umieszczanie zdjęcia z wizerunkiem osoby fizycznej na portalu społecznościowym było zgodne z obowiązującym prawem?

Na początek należy wspomnieć, iż istnieje różnica pomiędzy utrwalaniem czyjegoś wizerunku, czyli robieniem zdjęć lub nagrywaniem filmu, a jego udostępnianiem, przez które rozumie się publikowanie lub rozpowszechnianie wizerunku osoby fizycznej bliżej nieoznaczonemu kręgowi osób (np. w internecie). Udostępnianiem wizerunku nie będzie więc zamieszczenie zdjęcia osoby fizycznej w zamkniętej grupie na portalu społecznościowym. Inaczej jednak wygląda sytuacja, gdy wizerunek udostępniany jest na ogólnodostępnym fanpage’u organizacji.

Zarówno w przypadku udostępniania przez organizację na fanpage’u zdjęć większej ilości ludzi, gdzie pojedyncza osoba stanowi jedynie element całości, jak i zdjęć pojedynczych osób, organizacja nie musi martwić się o zobowiązania wynikające z RODO. Nie ma przy tym znaczenia, czy zdjęcia te ujawniają np. niepełnosprawność czy poglądy polityczne osób na nim widniejących.

Sytuacja wygląda nieco inaczej, gdy organizacja umieszczając takie zdjęcia na fanpage’u wskaże osoby na nich widniejące oraz dokona ich identyfikacji np. poprzez zamieszczenie oznaczenia z imieniem i nazwiskiem lub podpisanie takich osób pod zdjęciem. W tych okolicznościach organizacja przed udostępnieniem zdjęć na portalu społecznościowym powinna uzyskać od osób zgodę na udostępnienie wizerunku oraz zgodę na przetwarzanie danych w postaci wizerunku wymaganą przepisami RODO.

RODO nie wskazuje szczególnej formy wyrażenia zgody, może więc ona zostać udzielona ustnie, skinieniem głowy lub mailowo, jednak zdecydowanie najbezpieczniejszą formą wyrażenia zgody jest jej udzielenie w formie papierowej. W przypadku tak wyrażonej zgody administrator fanpage'a w razie sporu sądowego bez problemu jest w stanie wykazać legitymację do przetwarzania wizerunku osoby znajdującej się na zdjęciu.

Wraz ze zgodą na udostępnianie wizerunku oraz zgodą na jego przetwarzanie administrator fanpage'a powinien spełnić wobec osoby, która będzie na zdjęciu, obowiązek informacyjny wynikający z art. 13 RODO. Należy jednak pamiętać, iż dotyczy to tylko tych osób, które zostaną oznaczone na dodanym przez administratora zdjęciu, a tym samym, zgodnie z RODO, staną się możliwe do zidentyfikowania, przez co ich wizerunek otrzyma status danej osobowej.

Obowiązek informacyjny może zostać spełniony zarówno w formie pisemnej, jak i ustnej, jednak musi mieć to miejsce przed zebraniem danych osobowych lub w momencie ich pobierania. W przypadku wizerunku utrwalonego na zdjęciach organizacja pozarządowa powinna spełnić obowiązek informacyjny przed wykonaniem zdjęć lub w trakcie ich wykonywania.