Kto odpowiada za dane osobowe na Facebooku? Otóż nie tylko Facebook, ale również admin fanpage’a – to sedno wyroku europejskiego trybunału.
Kto przetwarza dane osobowe użytkowników portali społecznościowych: wyłącznie portal (np. Facebook), czy również osoby prowadzące np. strony czy fanpejdże na tych portalach? Z takim ciekawym, a zarazem szalenie istotnym zagadnieniem musiały się zmierzyć najpierw krajowe sądy niemieckie, a następnie Trybunał Sprawiedliwości Unii Europejskiej.
Zagadnienie jest o tyle istotne z praktycznego punktu widzenia, że kwestie przetwarzania i ochrony danych osobowych w internecie są obecnie przedmiotem nie tylko debaty, ale i nowych regulacji prawnych. Zwłaszcza teraz, gdy kary za nieprzestrzeganie RODO (a raczej ich wysokość) budzą strach wśród wielu osób, to niezwykle ważne, by ustalić zakres odpowiedzialności administratorów fanpejdży na Facebooku i innych portalach. To również ważne z perspektywy internautów, których dane osobowe są w ten sposób przetwarzane.
Na pierwszy rzut oka wydaje się, że najsensowniejszym rozwiązaniem tego zagadnienia jest przyjęcie, że dane osobowe przetwarza podmiot administrujący portalem. To rozwiązanie najprostsze. Jasno określa podmiot; łatwo też ten podmiot zlokalizować (wystarczy spojrzeć do regulaminu, który to określa) i się z nim – w razie problemów – spierać. Ale czy takie ograniczenie zakresu odpowiedzialności jest właściwe? W końcu nietrudno sprawdzić, że administrator fanpejdża posiada dostęp np. do tego, kto polubił lub obserwuje stronę. Co więcej, administratorzy takich stron posiadają dostęp do zanonimozowanych danych dotyczących użytkowników, takich płeć, miejsce zamieszkania, wiek etc.
Kto odpowiada za dane osobowe na Facebooku? No cóż, nie tylko Facebook – administrator małego fanpejdża również
Rozstrzygnięcie tego dylematu znajdziemy w orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r. (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, sygn. C‑210/16), na które zwrócił uwagę Olgierd Rudak w tym wpisie. A w orzeczeniu znajdziemy m.in. fragment mówiący, że
pojęcie „administratora danych” (…) obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.
Trybunał uznał tak na podstawie całkiem sensownego rozumowania. Skoro administrator fanpejdża może – korzystając z narzędzi dostarczanych przez Facebooka – targetować swoją ofertą na podstawie m.in. danych demograficznych, to co najmniej przyczynia się on do przetwarzania tych danych. A skoro tak: musi informować o tym swoich użytkowników i uzyskać od nich stosowną zgodę.
(…) tworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.
W konsekwencji administrator takiego fanpejdża ponosi odpowiedzialność za przetwarzanie tych danych osobowych na równi z Facebookiem. Nie ma znaczenia ani fakt, że administrator korzysta z narzędzi dostarczanych przez portal, ani to, że całe zaplecze techniczne służące przetwarzaniu danych opiera się na rozwiązaniach Facebooka (jak np. pliki cookies).
Odpowiedzialność wspólna nie oznacza jednak odpowiedzialności w takim samym zakresie
Należy jednak zauważyć, że to nie jest tak, że administrator fanpejdża (dajmy na to „Ratujmy faunę i florę ziemi kujawskiej”) odpowiada NA RÓWNI z Facebookiem. Trybunał rozsądnie zauważył, że „istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy”.
Wciąż więc tym, kto odpowiada za dane osobowe na Facebooku, jest przede wszystkim sam Facebook. Administratorzy fanpejdży czy stron na Facebooku powinni jednak sprawdzić, czy również nie są odpowiedzialni za przetwarzanie danych osobowych swoich użytkowników. A jeśli odpowiedź na to pytanie będzie brzmiała „tak”, to również stosowne poinformowanie internautów o tym fakcie.
