Fanpage na Facebooku – dane osobowe ostatnimi czasy są niezwykle gorącym tematem — i to nie tylko w środowiskach prawniczych — co jest zasługą szumu wokół rozporządzenia RODO. Wprowadziło ono zaostrzenie odpowiedzialności za przetwarzanie danych oraz uchyliło dyrektywę 95/46, która wcześniej regulowała tę kwestię. Dawne przepisy unijne potrafią jednak nadal zaskakiwać i dają okazje do rozważań, czego dowodem jest czerwcowy wyrok europejskiego Trybunału Sprawiedliwości. Czy wnioski te znajdą jeszcze zastosowanie na gruncie RODO?
W sprawie między niemieckim organem ochrony danych osobowych a podmiotem prowadzącym fanpage na Facebooku o charakterze dydaktycznym TSUE orzekł, że administrator fanpage’a ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników razem z Facebookiem. W jaki sposób Trybunał doszedł do tego rozstrzygnięcia?
Od czego się zaczęło?
Spór miał swój początek w 2011 roku, kiedy Wirtschaftsakademie, wspomniana spółka prowadząca fanpage na Facebooku w celach edukacyjnych, otrzymała nakaz dezaktywacji swojej strony od lokalnego organu zajmującego się ochroną danych osobowych na podstawie przepisów wdrożonej do prawa krajowego dyrektywy unijnej 95/46.
Zdaniem organu nadzorczego naruszenie polegało na nieinformowaniu użytkowników fanpage’a, że ich dane są gromadzone za pomocą plików cookies i przetwarzane w celach statystycznych przez administratora strony za pomocą narzędzia zwanego Facebook Insights. Pliki cookies przesyłane przez Facebooka zawierają niepowtarzalny kod użytkownika, który można powiązać z danymi użytkowników zarejestrowanych na portalu. Jest on pobrany z urządzenia użytkownika i przetwarzany przy każdorazowym odwiedzeniu przez niego fanpage’a.
W możliwy do przewidzenia sposób Wirtschaftsakademie podjęła próbę obrony, odwołując się od decyzji organu ochrony danych osobowych poprzez zarzucenie mu, że błędnie przypisuje jej odpowiedzialność za narzędzia i rozwiązania techniczne, które są pod kontrolą samego Facebooka.
Ponownie odbił piłeczkę niemiecki organ ochrony danych, wskazując, że w świetle przepisów spółka ponosi odpowiedzialność, ponieważ spełnia kryteria administratora danych osobowych jako podmiot, który zleca innej instytucji (w omawianym przypadku Facebookowi) gromadzenie i przetwarzanie danych użytkowników. Podnoszono, że zakładając i prowadząc fanpage Wirtschaftsakademie przyczyniła się do poszerzania bazy danych osobowych gromadzonych przez Facebooka, a sama korzystała ze statystyk opracowanych na podstawie tych danych za pomocą narzędzi przez niego udostępnionych.
„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”
— § 3 ust. 7 BDSG (federalnej ustawy o ochronie danych osobowych)
Rzecz jasna Wirtschaftsakademie nie zgodziła się ze stanowiskiem organu, zarzucając w szczególności, że spółka ma wgląd jedynie do anonimowych statystyk użytkowników odwiedzających jej fanpage na Facebooku, których nie może powiązać z konkretnymi osobami. Sprawa ostatecznie trafiła do sądu administracyjnego. W korzystnym dla spółki wyroku stwierdzono, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, co oznacza, że wydany nakaz usunięcia jej strony był bezzasadny.
Sprawa w Trybunale
Oczywiście, sprawa wskutek środków zaskarżenia składanych przez organ ochrony danych została przekazana w końcu sądowi federalnemu, który z kolei zwrócił się do Trybunału Sprawiedliwości z kluczowymi pytaniami odnośnie wykładni niektórych przepisów dyrektywy 95/46. Najważniejszym zagadnieniem, które miało zostać poddane interpretacji TSUE, była właśnie kwestia definicji administratora danych osobowych w kontekście portali społecznościowych.
Trybunał powołał się w swoim orzeczeniu na motywy stojące za wspomnianą dyrektywą, w szczególności natomiast podkreślił konieczność zapewnienia wysokiego poziomu ochrony prawa do prywatności. Nie bez przyczyny na mocy przepisów dyrektywy pojęcie administratora danych jest szeroko definiowane. Celem szerokiego zakresu interpretacji jest skuteczna i pełna ochrona osób, których dane dotyczą.
Za administratora danych należy uważać podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Oznacza to, że jednocześnie w roli administratora, odpowiedzialnego za przetwarzanie określonego typu danych, występować może nie jeden, lecz kilka podmiotów, które wspólnie tej czynności dokonują. Wówczas każdy z nich ponosi odpowiedzialność za przetwarzanie, jednak w zakresie, który rzeczywiście odpowiada stopniowi zaangażowania w czynności przetwarzania. Oznacza to, że rozmiar tej odpowiedzialności należy oceniać indywidualnie i przy uwzględnieniu wszystkich okoliczności danej sprawy.
Nie było wątpliwości co do tego, że Facebook jest we wskazanej sytuacji głównym podmiotem określającym cele i sposoby przetwarzania danych osobowych swoich użytkowników, także tych, którzy odwiedzali fanpage spółki. Trybunał jednak ustalił, że Wirtschaftsakademie uczestniczył w tym procesie, ponieważ jako administrator fanpage’a podejmował działania, bez których nie doszłoby do przetwarzania określonych rodzajów danych osób odwiedzających jego fanpage — w szczególności natomiast danych demograficznych takich jak płeć, wiek czy stan cywilny. Chociaż przyjmują one postać anonimowych statystyk, to ich sporządzanie opiera się na wcześniejszym gromadzeniu i przetworzeniu danych osobowych za pomocą wspomnianych plików cookies. A te, jak podkreśla TSUE, Facebook instaluje na urządzeniach osób odwiedzających fanpage, co nie miałoby miejsca, gdyby fanpage na Facebooku nie został w pierwszej kolejności założony dobrowolnie przez określony podmiot. Tym samym staje się on współodpowiedzialny za ich gromadzenie i przetwarzanie.
Fakt, że administrator fanpage’a jedynie korzysta z usług oferowanych przez Facebooka, nie zwalnia go z odpowiedzialności, zwłaszcza że fanpage odwiedzony może być nie tylko przez użytkowników portalu, ale także osoby nieposiadające na nim konta. Jak słusznie dostrzegł Trybunał: „W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”
Trybunał zaznaczył zatem konieczność uwzględnienia współodpowiedzialności portalu społecznościowego oraz administratora fanpage’a jako podmiotu niewątpliwie wnoszącego swój wkład w gromadzenie danych osobowych przez Facebooka. Tylko taka perspektywa może bowiem zapewnić ochronę prawa do prywatności, na którą powoływano się w motywach do dyrektywy 95/46.
RODO a orzeczenie
Powyższe rozważania doprowadziły ostatecznie TSUE do istotnego wniosku, że „pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.” To doprecyzowanie wcześniej spornej definicji nie traci wcale znaczenia mimo uchylenia dyrektywy 95/46. Może ono znaleźć zastosowanie w interpretacji przepisów obecnie obowiązującego RODO. Pojęcie „administratora danych” pojawia się również na gruncie nowego rozporządzenia, dlatego orzeczenie TSUE, mimo że dotyczące wykładni poprzednich przepisów, nie musi stracić na aktualności.
W praktyce oznacza to, że prowadząc fanpage powinieneś m.in. spełniać obowiązki informacyjne wynikające z RODO (np. w ramach polityki prywatności fanpage). A tych obowiązków jest całkiem sporo – niezbędne minimum zawiera artykuł 13 RODO, zgodnie z którym:
Artykuł 13
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
Informacje te najlepiej zawrzeć w polityce prywatności fanpage i zamieścić je bezpośednio w jednej z zakładek informacyjnych na fanpage lub umieścić tam link z odesłaniem do polityki prywatności.
Jeśli jesteś zainteresowany przygotowaniem odpowiednich dla Ciebie dokumentów lub masz dodatkowe pytania związane z prowadzeniem fanpage na Facebooku – nasi prawnicy służą pomocą. Możesz skontaktować się z nami pod adresem email: kontakt@prokonsumencki.pl.