blog
Fanpage na Facebook-u – kto odpowiada za dane osobowe użytkowników profilu?
RODO nie umknie żaden obszar aktywności przedsiębiorców, w szczególności tej o charakterze marketingowo-promocyjnym. Z tej przyczyny warto mieć świadomość odpowiedzialności nie tylko za dane osobowe, na przetwarzanie których uzyskaliśmy zgodę, ale również za te, które pozyskujemy choćby przy okazji prowadzenia stron typu fanpage na portalach społecznościowych.
Definicja fanpage’u
Fanpage to w uproszczeniu konta użytkowników, które mogą być założone na Facebook-u zarówno przez osoby fizyczne, jak i przedsiębiorstwa. Po zarejestrowaniu się na portalu społecznościowym, administrator fanpage’a może wykorzystywać platformę do kierowania do użytkowników Facebook-a informacji w formie postów. Administratorzy funpage’ów mają możliwość pozyskiwania anonimowych danych statystycznych dotyczących osób odwiedzających ich strony za pomocą „Facebook Insights” udostępnianej im nieodpłatnie przez Facebook, stosownie do niepodlegających zmianie warunków korzystania. Dane te są gromadzone przez Facebook dzięki plikom szpiegującym, tzw. plikom cookies, z których każdy zawiera niepowtarzalny kod użytkownika. Facebook jednostronnie narzuca regulamin swoich usług biznesowych i politykę prywatności. W regulaminie zawarto postanowienia przewidujące, że użytkownik udziela portalowi pozwolenia m.in. na wykorzystywanie bez wynagrodzenia jego imienia i nazwiska, zdjęcia profilowego oraz informacji o działaniach podejmowanych na platformie w reklamach, ofertach i innych sponsorowanych treściach.
Kto jest administratorem danych osobowych – wyrok TSUE
Kwestia tego, który z podmiotów – tj. administrator fanpage’a czy Facebook – są administratorami danych osobowych użytkowników w rozumieniu art. 2 lit. d) RODO była przedmiotem zapytania prejudycjalnego, na kanwie którego Trybunał Sprawiedliwości UE wydał wyrok z dnia 5 czerwca 2018 roku w sprawie C-210/16. Zgodnie z powołanym przepisem, za administratora danych osobowych uważa się podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Mając na uwadze brzmienie definicji, Trybunał nie miał wątpliwości, że Facebook Inc. jest podmiotem, który w pierwszej kolejności określa cele i sposoby przetwarzania danych osobowych użytkowników Facebook-a. Jasnym jest bowiem, że każda osoba, która chce utworzyć fanpage na portalu społecznościowym zawiera z Facebook Ireland (europejską spółką-córką Facebook Inc.) umowę w prawie otwarcia strony i akceptuje w związku z tym warunki korzystania z niej, w tym również politykę plików cookies, o których mowa powyżej.
Z kolei administrator fanpage’a prowadzonego na Facebook-u, tworząc swoją stronę profilową, umożliwia Facebook-owi zapisanie plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage, bez względu na to, czy osoba ta posiada konto na Facebook-u czy nie.
W tym kontekście Trybunał słusznie uznał, że: utworzenie fanpage’u na Facebook-u wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów zakresie zarządzania lub promocji jego działalności, co wypływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W szczególności administrator fanpage’a może zwrócić się o udzielenie – a zatem o przetworzenie – danych demograficznych dotyczących jego użytkowników docelowych, a w szczególności tendencji w zakresie wieku, płci, stanu cywilnego i statusu zawodowego, informacji na temat stylu życia i zainteresowań jego użytkowników docelowych, informacji dotyczących zakupów i zachowań w zakresie zakupów w sieci osób odwiedzających jego stronę, kategorii produktów lub usług, które najbardziej ich interesują, jak również danych geograficznych, które pozwalają administratorowi fanpage’a ustalić, gdzie należy przeprowadzić specjalne promocje lub zorganizować wydarzenia, a bardziej ogólnie, jak najlepiej ukierunkować swą ofertę informacyjną. Wprawdzie statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane wyłącznie administratorowi fanpage’a w formie zanonimizowanej, nie zmienia to jednak faktu, że sporządzanie tych statystyk opiera się na wcześniejszym gromadzeniu, za pomocą plików cookies instalowanych przez Facebook na komputerach lub na wszelkich innych urządzeniach osób odwiedzających tę stronę, i na przetwarzaniu danych osobowych tych osób w celach statystycznych. (źródło: Wyrok Trybunału Sprawiedliwości z 5.06.18, sygn. C-210/16 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs Wirtschaftsakademie Schleswig-Holstein GmbH). Przy czym RODO nie wymaga w żadnym razie, by w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego samego przetwarzania każdy miał dostęp do odnośnych danych osobowych.
Powyższe przesądziło na korzyść przyjęcia, że administrator fanpage’a utworzonego na Facebook-u przyczynia się do przetwarzania danych osobowych osób odwiedzających jego profil, a także uczestniczy w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających fanpage. Z tego względu należy uznać, że ów administrator fanpage’a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) RODO.
Przy czym, pamiętać należy, że wspólna odpowiedzialność nie oznacza, że jest ona jednakowa w odniesieniu do wszystkich podmiotów zaangażowanych w przetwarzanie danych osobowych. Nie bez znaczenia jest przecież, że podmioty te są często zaangażowane w przetwarzanie w różnym stopniu i zakresie, stąd odpowiedzialność każdego z nich podlega ograniczeniu, z uwzględnieniem okoliczności danej sprawy.
a. kto jest administratorem danych osobowych (jak również udostępnienie danych Inspektora Ochrony Danych Osobowych, jeśli został powołany w Spółce);
b. jakie dane osobowe użytkownika są pobierane oraz w jakich celach są one przetwarzane przez administratora, wraz ze wskazaniem podstawy prawnej przetwarzania;
c. przez jaki czas dane osobowe będą przechowywane;
d. kto jest odbiorcą danych osobowych (jeśli dotyczy);
e. czy dane osobowe są profilowane.
Profilowanie oznacza wykorzystanie danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
f. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego;
jak również o prawie do:
g. żądania od administratora dostępu do danych osobowych użytkownika, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
h. cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
i. wniesienia przez użytkownika skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Warto przy tym wspomnieć, że administrator fanpage’a zobowiązany jest do przestrzegania zasad przetwarzania danych osobowych, o których mowa w art. 5 RODO, z uwzględnieniem realnych możliwości oraz okoliczności stanu faktycznego. W zakresie warunków przetwarzania danych osobowych jest on przecież uzależniony od sposobu, w jaki z danymi osobowymi postępuje Facebook, który jednostronnie narzuca regulamin swoich usług biznesowych i politykę prywatności.
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.