Każdy aktywny użytkownik Facebooka z pewnością nie raz dostał zaproszenie do polubienia jakiegoś fanpage’a, konkretnego postu, czy wydarzenia. W ten sposób fanpage zyskują rzesze fanów, którym komunikują swoje produkty, eventy, kuszą konkursami. Z pozyskiwaniem fanów nieodłącznie związane jest gromadzenie ich danych osobowych, o czym warto pamiętać decydując się na utworzenie kolejnego fanpage’a. Fakt ten wiąże się z koniecznością zwrócenia uwagi na przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i wydanych na jej podstawie aktów wykonawczych, które na administratora danych nakładają określone obowiązki związane z przetwarzaniem tych danych.

Pytanie brzmi – kto jest administratorem danych osób „lajkujących” na fanpage’u oraz osób zapisujących się do danej grupy społecznościowej? Czy jest nim Facebook, jako podmiot prowadzący serwis? Czy też przedsiębiorca, który utworzył fanpage lub grupę? Otóż, biorąc pod uwagę fakt, że aby zostać fanem jakiegokolwiek produktu, marki lub wydarzenia promowanego poprzez fanpage założony przez ten podmiot, a także aby zapisać się do grupy społecznościowej, trzeba być już zarejestrowanym użytkownikiem Facebooka. Oznacza to, że status administratora danych tych osób należy przede wszystkim przypisać serwisowi. Niemniej nie oznacza to, że przedsiębiorcy tworzący fanpage i grupy społecznościowe nie mogą zostać uznani za administratorów tych danych. Jeżeli na podstawie danych udostępnionych przez fanów konkretnej inicjatywy możliwa jest ich identyfikacja (a najczęściej jest możliwa), to taki przedsiębiorca ma status administratora tych danych. To on podejmuje w sposób samodzielny konkretne decyzje w odniesieniu do przetwarzania danych osób, które zgromadził wokół swojej facebookowej strony, a więc decyduje o środkach i celach ich przetwarzania.

Przedsiębiorca jest administratorem danych

Warto jednak podkreślić, że o ile Facebook jest administratorem danych wszystkich osób zarejestrowanych w prowadzonym przez niego serwisie, to przedsiębiorca będzie administratorem danych tylko tych osób, które „lajkowały” promowany przez niego produkt, markę lub wydarzenie oraz tych osób, które zostały zapisane do prowadzonej przez niego grupy społecznościowej. W konsekwencji taki przedsiębiorca jest zobowiązany do zrealizowania wszystkich wymogów wynikających z przepisów o ochronie danych osobowych. Co to oznacza? Przede wszystkim powinien on dopełnić tzw. obowiązku informacyjnego wobec osób, których dane zebrał. Realizacja tego obowiązku polega na:
• udzieleniu tym osobom informacji o nazwie i adresie siedziby administratora danych,
• wskazaniu celu zbierania danych,
• poinformowania o znanych lub przewidywanych odbiorcach danych,
• przekazanie informacji o prawie dostępu do treści danych oraz możliwości ich poprawiania w dowolnej chwili,
• zapewnienia o dobrowolności podania danych,
• w przypadku osób, które zostały zapisane do grupy społecznościowej przez osoby trzecie, przedsiębiorca powinien poinformować danego użytkownika o źródle pozyskania jego danych oraz o prawie do wniesienia sprzeciwu wobec przetwarzania danych.

Te informacje powinny zostać zamieszczone w łatwo dostępnym miejscu, w którym każda osoba, która podaje przedsiębiorcy swoje dane osobowe, będzie mogła się z nimi w łatwy sposób zapoznać. Najlepiej, aby realizacja obowiązku informacyjnego nastąpiła poprzez zawarcie odpowiednich informacji w treści regulaminu fanpage’a lub grupy społecznościowej (który zresztą przedsiębiorca powinien opracować zgodnie z przepisami ustawy o świadczeniu usług drogą elektroniczną), z jednoczesnym zapewnieniem, że wszystkie osoby „lajkujące” oraz zapisujące się do grupy złożyły oświadczenie o zapoznaniu się i zaakceptowaniu regulaminu.

Dopuszczalne jest także stanowisko o braku konieczności realizacji obowiązku informacyjnego przy założeniu, że wszystkie wyżej wymienione osoby dysponują tymi informacjami (posiadanie tych informacji przez osoby, których dane dotyczą, jest okolicznością zwalniającą administratora danych z obowiązku informacyjnego). Przedsiębiorca decydujący się na takie rozwiązanie, powinien jednak zdawać sobie sprawę, że w przypadku sporu z osobą, której dane dotyczą, to na nim będzie spoczywał obowiązek wykazania, że osoba ta dysponuje informacjami, które powinny jej zostać udzielone zgodnie z przepisami o ochronie danych osobowych. Jeśli tego nie wykaże, to naraża się nie tylko na odpowiedzialność administracyjną, która może skutkować wydaniem wobec niego decyzji administracyjnej nakazującej wykonywanie obowiązku informacyjnego, ale przede wszystkim na odpowiedzialność karną (sankcje w takim przypadku obejmują grzywnę, karę ograniczenia wolności oraz karę pozbawienia wolności do roku).

Pamiętaj o GIODO

Innym obowiązkiem, który może powstać w związku z przetwarzaniem przez przedsiębiorcę danych osobowych użytkowników jest obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) utworzonego w ten sposób zbioru danych osobowych. Taki zbiór powstaje wówczas, gdy dane użytkowników są dostępne dla przedsiębiorcy według określonego kryterium, np. nazwiska. Zanim jednak dokonane zostanie zgłoszenie takiego zbioru do rejestracji GIODO, przedsiębiorca powinien zastanowić się, czy wśród zbiorów, które już zostały przez niego zgłoszone, nie ma zbioru obejmującego dane przetwarzane dla celów marketingowych. Należy bowiem pamiętać o tym, że fanpage na Facebooku może być jednym z wielu sposobów pozyskiwania przez przedsiębiorcę danych osobowych w celu ich przetwarzania dla potrzeb marketingowych. W takiej sytuacji nie ma konieczności zgłaszania odrębnego zbioru dla danych podanych przez osoby „lajkujące”, dla dopełnienia obowiązku prawnego w tym zakresie wystarczające będzie bowiem dokonanie zgłoszenia jednego zbioru, obejmującego dane zebrane dla celów marketingowych z różnych źródeł (w tym np. z fanpage’a) lub dokonanie aktualizacji już zgłoszonego zbioru w związku z rozszerzeniem działań marketingowych na Facebook.

Taki zbiór trzeba będzie natomiast zgłosić do rejestracji GIODO wówczas, gdy fanpage lub grupa społecznościowa są jedynymi źródłami pozyskiwania danych, a także w sytuacji, gdy dane są przetwarzane w innych celach niż te, które podane zostały w dotychczas zgłoszonych przez przedsiębiorcę zbiorach danych osobowych.

Autor artykułu:

Adam Myziak
Inspektor GIODO w latach 2000-2010, audytor wiodący Personal Data Protection Group (PDP Group), która opracowała pierwszy w Polsce system certyfikacji firm oraz instytucji w zakresie zgodnego z przepisami przetwarzania danych osobowych w ich działaniach.