Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

utworzone przez | lip 10, 2018 | Obowiązki Informacyjne Sprzedawcy, RODO | 0 komentarzy

Fanpage na Facebooku – dane osobowe ostatnimi czasy są niezwykle gorącym tematem — i to nie tylko w środowiskach prawniczych — co jest zasługą szumu wokół rozporządzenia RODO. Wprowadziło ono zaostrzenie odpowiedzialności za przetwarzanie danych oraz uchyliło dyrektywę 95/46, która wcześniej regulowała tę kwestię. Dawne przepisy unijne potrafią jednak nadal zaskakiwać i dają okazje do rozważań, czego dowodem jest czerwcowy wyrok europejskiego Trybunału Sprawiedliwości. Czy wnioski te znajdą jeszcze zastosowanie na gruncie RODO?

W sprawie między niemieckim organem ochrony danych osobowych a podmiotem prowadzącym fanpage na Facebooku o charakterze dydaktycznym TSUE orzekł, że administrator fanpage’a ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników razem z Facebookiem. W jaki sposób Trybunał doszedł do tego rozstrzygnięcia?

 

Od czego się zaczęło?

 

Spór miał swój początek w 2011 roku, kiedy Wirtschaftsakademie, wspomniana spółka prowadząca fanpage na Facebooku w celach edukacyjnych, otrzymała nakaz dezaktywacji swojej strony  od lokalnego organu zajmującego się ochroną danych osobowych na podstawie przepisów wdrożonej do prawa krajowego dyrektywy unijnej 95/46.

Zdaniem organu nadzorczego naruszenie polegało na nieinformowaniu użytkowników fanpage’a, że ich dane są gromadzone za pomocą plików cookies i przetwarzane w celach statystycznych przez administratora strony za pomocą narzędzia zwanego Facebook Insights. Pliki cookies przesyłane przez Facebooka zawierają niepowtarzalny kod użytkownika, który można powiązać z danymi użytkowników zarejestrowanych na portalu. Jest on pobrany z urządzenia użytkownika i przetwarzany przy każdorazowym odwiedzeniu przez niego fanpage’a.

W możliwy do przewidzenia sposób Wirtschaftsakademie podjęła próbę obrony, odwołując się od decyzji organu ochrony danych osobowych poprzez zarzucenie mu, że błędnie przypisuje jej odpowiedzialność za narzędzia i rozwiązania techniczne, które są pod kontrolą samego Facebooka.

Ponownie odbił piłeczkę niemiecki organ ochrony danych, wskazując, że w świetle przepisów spółka ponosi odpowiedzialność, ponieważ spełnia kryteria administratora danych osobowych jako podmiot, który zleca innej instytucji (w omawianym przypadku Facebookowi) gromadzenie i przetwarzanie danych użytkowników. Podnoszono, że zakładając i prowadząc fanpage Wirtschaftsakademie przyczyniła się do poszerzania bazy danych osobowych gromadzonych przez Facebooka, a sama korzystała ze statystyk opracowanych na podstawie tych danych za pomocą narzędzi przez niego udostępnionych.

„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”

— § 3 ust. 7 BDSG (federalnej ustawy o ochronie danych osobowych)

Rzecz jasna Wirtschaftsakademie nie zgodziła się ze stanowiskiem organu, zarzucając w szczególności, że spółka ma wgląd jedynie do anonimowych statystyk użytkowników odwiedzających jej fanpage na Facebooku, których nie może powiązać z konkretnymi osobami. Sprawa ostatecznie trafiła do sądu administracyjnego. W korzystnym dla spółki wyroku stwierdzono, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, co oznacza, że wydany nakaz usunięcia jej strony był bezzasadny.

 

Sprawa w Trybunale

 

Oczywiście, sprawa wskutek środków zaskarżenia składanych przez organ ochrony danych została przekazana w końcu sądowi federalnemu, który z kolei zwrócił się do Trybunału Sprawiedliwości z kluczowymi pytaniami odnośnie wykładni niektórych przepisów dyrektywy 95/46. Najważniejszym zagadnieniem, które miało zostać poddane interpretacji TSUE, była właśnie kwestia definicji administratora danych osobowych w kontekście portali społecznościowych.

Trybunał powołał się w swoim orzeczeniu na motywy stojące za wspomnianą dyrektywą, w szczególności natomiast podkreślił konieczność zapewnienia wysokiego poziomu ochrony prawa do prywatności. Nie bez przyczyny na mocy przepisów dyrektywy pojęcie administratora danych jest szeroko definiowane. Celem szerokiego zakresu interpretacji jest skuteczna i pełna ochrona osób, których dane dotyczą.

Za administratora danych należy uważać podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Oznacza to, że jednocześnie w roli administratora, odpowiedzialnego za przetwarzanie określonego typu danych, występować może nie jeden, lecz kilka podmiotów, które wspólnie tej czynności dokonują. Wówczas każdy z nich ponosi odpowiedzialność za przetwarzanie, jednak w zakresie, który rzeczywiście odpowiada stopniowi zaangażowania w czynności przetwarzania. Oznacza to, że rozmiar tej odpowiedzialności należy oceniać indywidualnie i przy uwzględnieniu wszystkich okoliczności danej sprawy.

Nie było wątpliwości co do tego, że Facebook jest we wskazanej sytuacji głównym podmiotem określającym cele i sposoby przetwarzania danych osobowych swoich użytkowników, także tych, którzy odwiedzali fanpage spółki. Trybunał jednak ustalił, że Wirtschaftsakademie uczestniczył w tym procesie, ponieważ jako administrator fanpage’a podejmował działania, bez których nie doszłoby do przetwarzania określonych rodzajów danych osób odwiedzających jego fanpage — w szczególności natomiast danych demograficznych takich jak płeć, wiek czy stan cywilny. Chociaż przyjmują one postać anonimowych statystyk, to ich sporządzanie opiera się na wcześniejszym gromadzeniu i przetworzeniu danych osobowych za pomocą wspomnianych plików cookies. A te, jak podkreśla TSUE, Facebook instaluje na urządzeniach osób odwiedzających fanpage, co nie miałoby miejsca, gdyby fanpage na Facebooku nie został w pierwszej kolejności założony dobrowolnie przez określony podmiot. Tym samym staje się on współodpowiedzialny za ich gromadzenie i przetwarzanie.

Fakt, że administrator fanpage’a jedynie korzysta z usług oferowanych przez Facebooka, nie zwalnia go z odpowiedzialności, zwłaszcza że fanpage odwiedzony może być nie tylko przez użytkowników portalu, ale także osoby nieposiadające na nim konta. Jak słusznie dostrzegł Trybunał: „W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”

Trybunał zaznaczył zatem konieczność uwzględnienia współodpowiedzialności portalu społecznościowego oraz administratora fanpage’a jako podmiotu niewątpliwie wnoszącego swój wkład w gromadzenie danych osobowych przez Facebooka. Tylko taka perspektywa może bowiem zapewnić ochronę prawa do prywatności, na którą powoływano się w motywach do dyrektywy 95/46.

 

RODO a orzeczenie

 

Powyższe rozważania doprowadziły ostatecznie TSUE do istotnego wniosku, że „pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.” To doprecyzowanie wcześniej spornej definicji nie traci wcale znaczenia mimo  uchylenia dyrektywy 95/46. Może ono znaleźć zastosowanie w interpretacji przepisów obecnie obowiązującego RODO. Pojęcie „administratora danych” pojawia się również na gruncie nowego rozporządzenia, dlatego orzeczenie TSUE, mimo że dotyczące wykładni poprzednich przepisów, nie musi stracić na aktualności.

W praktyce oznacza to, że prowadząc fanpage powinieneś m.in. spełniać obowiązki informacyjne wynikające z RODO (np. w ramach polityki prywatności fanpage). A tych obowiązków jest całkiem sporo – niezbędne minimum zawiera artykuł 13 RODO, zgodnie z którym:

Artykuł 13

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Informacje te najlepiej zawrzeć w polityce prywatności fanpage i zamieścić je bezpośednio w jednej z zakładek informacyjnych na fanpage lub umieścić tam link z odesłaniem do polityki prywatności. 

Jeśli jesteś zainteresowany przygotowaniem odpowiednich dla Ciebie dokumentów lub masz dodatkowe pytania związane z prowadzeniem fanpage na Facebooku – nasi prawnicy służą pomocą. Możesz skontaktować się z nami pod adresem email: kontakt@prokonsumencki.pl.

 

Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych

Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych

utworzone przez | mar 14, 2018 | Ochrona Danych Osobowych (GIODO), Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, Regulamin Sklepu Internetowego, RODO | 0 komentarzy

25 maja 2018 r. zacznie obowiązywać Rozporządzenie RODO, które wymusza także na Sprzedawcach internetowych m.in. aktualizację stosowanych przez nich polityki prywatności sklepu internetowego o dodatkowe obowiązki informacyjne. RODO to nie tylko nowa polityka prywatności, ale zupełnie nowe podejście do ochrony danych osobowych. W tym artykule skupimy się jednak na najważniejszych zmianach dotyczących polityki prywatności sklepu internetowego, tak aby była ona zgodna z RODO. 

Rozporządzenie RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO” lub „Rozporządzenie RODO”. Oficjalny tekst Rozporządzenia RODO dostępny jest tutaj.

Dla osób, które chcą szerzej zapoznać się z tematem RODO polecamy jako pierwszy krok w tym kierunku Przewodnik po RODO dla małych i średnich przedsiębiorców wydany przez Ministerstwo Przedsiębiorczości i Technologii (kliknij)

Polityka prywatności sklepu internetowego zgodna z RODO

Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu.

W kontekście sklepów internetowych warto wskazazć, że RODO szczególny nacisk kładzie także na formę podania tych informacji – RODO wymaga by informacje, które podajemy (np. w ramach polityka prywatności sklepu internetowego) były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Od razu trzeba zaznaczyć, że trudno pogodzić z jednej strony strony te zasady, a z drugiej ilość i szczegółowość obowiązków informacyjnych, które należy spełnić. Kolejną ważną zasadą wynikającą z RODO, a istotną dla sprzedawców, jest minimalizacja danych – w skórcie zbieramy dane tyko wtedy kiedy jest to niezbędne, tylko te dane, które są niezbędne i tylko przez okres niezbędny do realizacji celu w jakim zbieramy dany. Zasada ta ma za zadanie uniknięcie zbierania danych na zapas lub przetwarzanie ich przez nieograniczony czas, gdy dane te są już zbędne.

Poniżej wskazujemy najważniejsze zasady dotyczące przetwarzania danych (zasady z art. 5 Rozporządzenia RODO) – zgodnie z RODO dane osobowe muszą być : 

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Informacje- polityka prywatności sklepu internetowego zgodnie z RODO

Przechodząc do samych obowiązków informacyjnych, które powinien spełnić sprzedawca internetowy, to poniżej wskazujemy najważniejsze wynikające z RODO. Pamiętajmy jednak, że poza RODO są także dotychczas istniejące przepisy wymagajace np. informowania o stosowaniu plików cookies. Każdorazowo także zakres wymaganych informacji będzie musiał być dostosowany do konkretnego sklepu internetowego – wynika to z różnic np. w zakresie celów przetwarzania danych, stosowania profilowania, czy też kategorii odbiorców danych.

Kluczowy w tym zakresie będzie art. 13 Rozporządzenia RODO, zgodnie z którym administrator danych podczas pozyskiwania danych osobowych obowiązany jest podać poniższe informacje: 

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator zobowiązany jest także do poinformowania, czy podanie danych i tym samym ich przetwarzanie jest dobrowolne, czy też obowiązkowe – a w tym ostatnim wypadku należy wskazać ską wynika taki obowiązek – może on wynikać np. z umowy lub z ustawy.

Podsumowanie

Dostosowanie sklepu internetowego oraz polityka prywatności do RODO nie jest łatwe, ale jest jak najbardziej możliwe. Konieczne jest przede wszystkim dokładnie zbadanie celów i zakresu przetwarzanych danych. Następnie na tej podstawie możliwe jest rozpoczęcie opracowywania polityki prywatności. Część wymaganych informacji z RODO pokrywa się z dotychczas obowiazującymi przepisami, jednak zostały one dość mocno rozbudwane i wymagają większego uszczegółowienia. Cel jest jasny – osoba, której dane dotyczą powinna mieć jak najwięcej informacji, o tym komu powierza swoje dane oraz co się z nimi później dzieje.

Potrzebujesz pomocy przy przygotowani polityki prywatności sklepu internetowego zgodnej z RODO?

Skontaktuj się z nami, chętnie pomożemy: 

  • 61 847 55 18
  • kontakt@prokonsumencki.pl

 

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Wybierz kanał kontaktu:
Napisz maila
*
*
*
Zamów rozmowę tel.
*
*
Cześć, czy mogę pomóc?