Fanpage a przepisy RODO

Europejskie organy nadzorcze dosyć skrupulatnie zaczęły badać sposoby przetwarzania danych osobowych przez takich gigantów, jak Facebook, czy Google. Przy okazji zmian związanych z przepisami RODO, postępowaniami organów nadzorczych oraz orzeczeń sądów, regulaminy i sposoby świadczenia usług przez te firmy ulegają drastycznym zmianom, za którymi większość użytkowników po prostu nie nadąża. Zresztą przeczytanie i zrozumienie skomplikowanych regulaminów, gdzie co chwilę są odnośniki do innych regulaminów i polityk prywatności, wymaga naprawdę dużej wytrwałości (wiem co mówię, ostatnio regularnie je studiuję w związku ze spieraniem klientów w korzytaniu z tych usług)!

Na początku odniosę się do najprostszej formy promocji, z jakiej korzysta wiele podmiotów, zarówno publicznych, jak i prywatnych, czyli fanpage na Facebooku. Założenie go nie wymaga skomplikowanej wiedzy, wystarczy jakiekolwiek konto na FB, kilka kliknięć, aby wskazać o czym będzie strona i już. Mało kto zdaje sobie sprawę, że pomimo tego, iż administratorem serwisu jest Facebook, to podmiot prowadzący fanpage staje się także administratorem danych.

Tych danych, które są przetwarzane w ramach fanpege, czyli:

• dane osób, które lubią stronę,
• komentarze zamieszczane pod postami,
• prywatne wiadomości,
• informacje o aktywności (kliknięcia w linki, polubienia, deklaracje udziału w wydarzeniach, udział w ankietach),
• reakcje na reklamy,
• czasami także dane przetwarzane w związku z konkursami.

Jeszcze do niedawna sama sądziłam, że administratorem wszystkich danych gromadzonych poprzez serwis Facebook, jest właśnie Facebook. W końcu to on udostępnia serwis, decyduje o jego funkcjach, sposobie przetwarzania danych. Jednakże nie da się ukryć, że jeżeli prowadzi się poprzez Facebook działalność komercyjną, w szczególności wyświetla reklamy lub kieruje do użytkowników posty, które mają skłonić ich do konkretnych reakcji, to o sposobach i celach przetwarzania danych, decyduje właściciel Facebooka.

Na zmianę myślenia o prowadzeniu fanpage na FB wpłynął przede wszystkim wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r. w sprawie C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH. Trybunał uznał, że Facebook oraz podmiot prowadzący fanpage są współadministratorami danych. Każdy, korzystając ze środków technicznych udostępnionych w ramach serwisu decyduje o celach i środkach przetwarzania danych, ale w różnym zakresie, więc odpowiedzialność za przetwarzanie też jest różna. Właściciel fanpage ponosi odpowiedzialność tylko w zakresie przetwarzanych przez siebie danych.

Uproszczę trochę zagadnienie, ale warto przeczytać ten artykuł w rp.pl.

Po pierwsze, jeżeli prowadzisz Fanpage na facebooku, w innych celach niż czysto osobiste, to powinieneś zrealizować wobec swoich użytkowników obowiązek informacyjny. Po wspomnianym wyroku, Facebook udostępnił w ramach menedżera stron opcję dodania linku do poliytki prywatności (dostępne w „Informacjach o stronie”). Oznacza to, że można podlinkować politykę dostępną na naszej własnej stronie internetowej, uzupełnioną o zapisy niezbędne dla Fanpage. Można także utworzyć odrębny dokument i podpiąć go jako notatkę zawsze widoczną na górze strony.

Należy w polityce transparentnie odnieść się do kwestii zbierania i przetwarzania danych. Jak zauważył w swoim wyroku TS UE:

Administratorzy fanpage’ów mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji „Facebook Insights” udostępnionej im nieodpłatnie przez Facebook stosownie do niepodlegających zmianie warunków korzystania. Dane te są gromadzone dzięki plikom szpiegującym (zwanym dalej „plikami cookies”), z których każdy zawiera niepowtarzalny kod użytkownika; są one aktywne przez dwa lata i zapisywane przez Facebook na twardym dysku komputera lub na każdym innym nośniku osób odwiedzających fanpage’a. Kod użytkownika, który można powiązać z danymi połączenia użytkowników zarejestrowanych na Facebooku, zostaje pobrany i przetworzony w chwili otwarcia fanpage’ów. W tym względzie z postanowienia odsyłającego wynika, że ani Wirtschaftsakademie, ani Facebook Ireland Ltd nie wspomniały o operacji zapisania i o działaniu tego pliku cookie lub o późniejszym przetwarzaniu danych, przynajmniej w okresie mającym znaczenie dla postępowania głównego. (…)

Administrator fanpage’a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie. (….)

Wprawdzie statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane wyłącznie administratorowi fanpage’a w formie zanonimizowanej, nie zmienia to jednak faktu, że sporządzanie tych statystyk opiera się na wcześniejszym gromadzeniu, za pomocą plików cookies instalowanych przez Facebook na komputerach lub na wszelkich innych urządzeniach osób odwiedzających tę stronę, i na przetwarzaniu danych osobowych tych osób w celach statystycznych. Dyrektywa 95/46 nie wymaga w żadnym razie, by w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego samego przetwarzania każdy miał dostęp do odnośnych danych osobowych.

Oznacza to, że w polityce prywatności, poza klauzulą informacyjną, należy wskazać także informacje o sposobie przetwarzania danych za pośrednictwem technlogii śledzących, w szczególności to, że odwiedzenie fanpage wiąże się z zainstalowaniem kodów śledzących, które od tego momentu dostarczają Facebookowi informacji o użytkowniku. Dodatkowo Facebook będzie udostępniał te dane swoim partnerom, o czym użytkownik także powinien mieć wiedzę.

Jeżeli zlecasz prowadzenie fanpage innej firmie, powinienieś podpisać z nią umowę powierzenia danych osobowych, gdzie przedmiotem powierzenia będą dane użytkowników przetwarzane w ramach fanpage. Jeżeli ten podmiot będzie także organizował dla Ciebie konkursy na Facebooku, umowa powinna uwzględniać dane osobowe uczestników i zwycięzców konkursów.

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie

Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.