Uchylenie Tarczy Prywatności a fanpage na Facebooku

Od kilku tygodni moi klienci oraz czytelnicy bloga zasypują mnie pytaniami „co dalej z fanpage na Facebooku?”. Wyrok Schrems II (sprawa C-311/18) w wyniku, którego TSUE unieważnił porozumienie Tarcza Prywatności UE-USA, na którym opierało się większość transferów danyc do USA, sprawił że z dnia na dzień korzystanie z usług najpopularniejszych dostawców IT stało się nielegalne. EROD w swoich wytycznych, dla administratorów doradził, aby negocjować zmianę warunków umów z dostawcami. To oczywiście ma sens, gdy ma się pozycję negocjacyjną. Ostetecznie pozostało pytanie: jak żyć?

Zgodnie z wyrokiem Trybunału Sprawiedliwości z dnia 5 czerwca 2018 r. w sprawie C-210/16, administrator fanpage jest administratorem danych osób, które ten fanpage odwiedzają. Dotyczy to zarówno danych statystycznych, jak i danych w postaci komentarzy, reakcji, prywatnych wiadomości. Administrator udostępnia dane swoich użytkowników Facebookowi, zarówno do umożliwienia realizacji swoich celów statystycznych i reklamowych, jak i jego celów biznesowych. Jednocześnie TSUE podkreślił, że administrator fanpage w zasadzie nie ma żadnego wpływu na sposób przetwarzania danych przez Facebook.
Analizując zasady korzystania z Facebooka, trafiłam na Zasady dotyczące korzystania ze statystyk w ramach fanpage (czyli tej funkcji, do której odwoływał się TSUE). Zgodnie z tymi zasadami, admin fanapage udostępnia dane do Facebook Ireland Limited. Dopiero Facebook Ireland udostępnia te dane dalej, w tym do USA. I w tych zasadach, Facebook Ireland bierze wobec administratora fanpage odpowiedzialność za legalność tego transferu (nawet nie wskazuje, jaka jest podstawa prawna).
Moje przemyślenia: to Facebook powinien informować o transferze danych do USA i to on za to odpowiada. Admin fanpage powinien jedynie informować o tym, jakie dane, w jakim celu i zakresie udostępnia do Facebook Ireland. Po drugie, skoro w regulaminie Facebook Ireland informuje o tym, że odpowiada za legalność tego transferu i gwarantuje jego legalność, co z mojego punktu widzenia jest bardzo istotne.

Dzisiaj zauważyłam, że Facebook zaktualizował swoje Regulaminy dotyczące przetwarzania danych osobowych użytkowników. Zniknęły zapisy o Tarczy Prywatności, a pojawiła się deklaracja, że transfer jest oparty na standardowych klauzulach umownych oraz decyzjach KE stwierdzających, że dany kraj daje wystarczające gwarancje ochrony: https://www.facebook.com/privacy/explanation

Podsumowując: na dzień dzisiejszy, opierając się na uzyskanych informacjach oraz deklaracjach Facebook Ireland, mogę dalej prowadzić swój fanpage na Facebooku. Dość prawdopodobny jest scenariusz, że Facebook ostatecznie zaprzestanie transferu poza EOG, ze względu na koszty technologiczne i prawne.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie