Za twoje dane osobowe na Facebooku odpowiada nie tylko Facebook. Również Wardęga, Audi, Biedronka czy Bezprawnik

Kto przetwarza dane osobowe użytkowników portali społecznościowych: wyłącznie portal (np. Facebook), czy również osoby prowadzące np. strony czy fanpejdże na tych portalach? Z takim ciekawym, a zarazem szalenie istotnym zagadnieniem musiały  się zmierzyć najpierw krajowe sądy niemieckie, a następnie Trybunał Sprawiedliwości Unii Europejskiej.

Zagadnienie jest o tyle istotne z praktycznego punktu widzenia, że kwestie przetwarzania i ochrony danych osobowych w internecie są obecnie przedmiotem nie tylko debaty, ale i nowych regulacji prawnych. Zwłaszcza teraz, gdy kary za nieprzestrzeganie RODO (a raczej ich wysokość) budzą strach wśród wielu osób, to niezwykle ważne, by ustalić zakres odpowiedzialności administratorów fanpejdży na Facebooku i innych portalach. To również ważne z perspektywy internautów, których dane osobowe są w ten sposób przetwarzane.

Na pierwszy rzut oka wydaje się, że najsensowniejszym rozwiązaniem tego zagadnienia jest przyjęcie, że dane osobowe przetwarza podmiot administrujący portalem. To rozwiązanie najprostsze. Jasno określa podmiot; łatwo też ten podmiot zlokalizować (wystarczy spojrzeć do regulaminu, który to określa) i się z nim - w razie problemów - spierać. Ale czy takie ograniczenie zakresu odpowiedzialności jest właściwe? W końcu nietrudno sprawdzić, że administrator fanpejdża posiada dostęp np. do tego, kto polubił lub obserwuje stronę. Co więcej, administratorzy takich stron posiadają dostęp do zanonimozowanych danych dotyczących użytkowników, takich płeć, miejsce zamieszkania, wiek etc.

Kto odpowiada za dane osobowe na Facebooku? No cóż, nie tylko Facebook - administrator małego fanpejdża również

Rozstrzygnięcie tego dylematu znajdziemy w orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r. (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, sygn. C‑210/16), na które zwrócił uwagę Olgierd Rudak w tym wpisie. A w orzeczeniu znajdziemy m.in. fragment mówiący, że

Trybunał uznał tak na podstawie całkiem sensownego rozumowania. Skoro administrator fanpejdża może - korzystając z narzędzi dostarczanych przez Facebooka - targetować swoją ofertą na podstawie m.in. danych demograficznych, to co najmniej przyczynia się on do przetwarzania tych danych. A skoro tak: musi informować o tym swoich użytkowników i uzyskać od nich stosowną zgodę.

W konsekwencji administrator takiego fanpejdża ponosi odpowiedzialność za przetwarzanie tych danych osobowych na równi z Facebookiem. Nie ma znaczenia ani fakt, że administrator korzysta z narzędzi dostarczanych przez portal, ani to, że całe zaplecze techniczne służące przetwarzaniu danych opiera się na rozwiązaniach Facebooka (jak np. pliki cookies).

Odpowiedzialność wspólna nie oznacza jednak odpowiedzialności w takim samym zakresie

Należy jednak zauważyć, że to nie jest tak, że administrator fanpejdża (dajmy na to „Ratujmy faunę i florę ziemi kujawskiej”) odpowiada NA RÓWNI z Facebookiem. Trybunał rozsądnie zauważył, że „istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy”.

Wciąż więc tym, kto odpowiada za dane osobowe na Facebooku, jest przede wszystkim sam Facebook. Administratorzy fanpejdży czy stron na Facebooku powinni jednak sprawdzić, czy również nie są odpowiedzialni za przetwarzanie danych osobowych swoich użytkowników. A jeśli odpowiedź na to pytanie będzie brzmiała „tak”, to również stosowne poinformowanie internautów o tym fakcie.