X

Zapisz się na darmowy newsletter SOCIALPRESS

Dlaczego warto się zapisać

Nasz newsletter subskrybuje już 12 500 osób!

Facebook i ochrona danych osobowych – czy to w ogóle możliwe?

Facebook i ochrona danych osobowych – czy to w ogóle możliwe?

Każdy aktywny użytkownik Facebooka z pewnością nie raz dostał zaproszenie do polubienia jakiegoś fanpage’a, konkretnego postu, czy wydarzenia. W ten sposób fanpage zyskują rzesze fanów, którym komunikują swoje produkty, eventy, kuszą konkursami. Z pozyskiwaniem fanów nieodłącznie związane jest gromadzenie ich danych osobowych, o czym warto pamiętać decydując się na utworzenie kolejnego fanpage’a. Fakt ten wiąże się z koniecznością zwrócenia uwagi na przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i wydanych na jej podstawie aktów wykonawczych, które na administratora danych nakładają określone obowiązki związane z przetwarzaniem tych danych.

Pytanie brzmi – kto jest administratorem danych osób „lajkujących” na fanpage’u oraz osób zapisujących się do danej grupy społecznościowej? Czy jest nim Facebook, jako podmiot prowadzący serwis? Czy też przedsiębiorca, który utworzył fanpage lub grupę? Otóż, biorąc pod uwagę fakt, że aby zostać fanem jakiegokolwiek produktu, marki lub wydarzenia promowanego poprzez fanpage założony przez ten podmiot, a także aby zapisać się do grupy społecznościowej, trzeba być już zarejestrowanym użytkownikiem Facebooka. Oznacza to, że status administratora danych tych osób należy przede wszystkim przypisać serwisowi. Niemniej nie oznacza to, że przedsiębiorcy tworzący fanpage i grupy społecznościowe nie mogą zostać uznani za administratorów tych danych. Jeżeli na podstawie danych udostępnionych przez fanów konkretnej inicjatywy możliwa jest ich identyfikacja (a najczęściej jest możliwa), to taki przedsiębiorca ma status administratora tych danych. To on podejmuje w sposób samodzielny konkretne decyzje w odniesieniu do przetwarzania danych osób, które zgromadził wokół swojej facebookowej strony, a więc decyduje o środkach i celach ich przetwarzania.

Przedsiębiorca jest administratorem danych

Warto jednak podkreślić, że o ile Facebook jest administratorem danych wszystkich osób zarejestrowanych w prowadzonym przez niego serwisie, to przedsiębiorca będzie administratorem danych tylko tych osób, które „lajkowały” promowany przez niego produkt, markę lub wydarzenie oraz tych osób, które zostały zapisane do prowadzonej przez niego grupy społecznościowej. W konsekwencji taki przedsiębiorca jest zobowiązany do zrealizowania wszystkich wymogów wynikających z przepisów o ochronie danych osobowych. Co to oznacza? Przede wszystkim powinien on dopełnić tzw. obowiązku informacyjnego wobec osób, których dane zebrał. Realizacja tego obowiązku polega na:
• udzieleniu tym osobom informacji o nazwie i adresie siedziby administratora danych,
• wskazaniu celu zbierania danych,
• poinformowania o znanych lub przewidywanych odbiorcach danych,
• przekazanie informacji o prawie dostępu do treści danych oraz możliwości ich poprawiania w dowolnej chwili,
• zapewnienia o dobrowolności podania danych,
• w przypadku osób, które zostały zapisane do grupy społecznościowej przez osoby trzecie, przedsiębiorca powinien poinformować danego użytkownika o źródle pozyskania jego danych oraz o prawie do wniesienia sprzeciwu wobec przetwarzania danych.

Te informacje powinny zostać zamieszczone w łatwo dostępnym miejscu, w którym każda osoba, która podaje przedsiębiorcy swoje dane osobowe, będzie mogła się z nimi w łatwy sposób zapoznać. Najlepiej, aby realizacja obowiązku informacyjnego nastąpiła poprzez zawarcie odpowiednich informacji w treści regulaminu fanpage’a lub grupy społecznościowej (który zresztą przedsiębiorca powinien opracować zgodnie z przepisami ustawy o świadczeniu usług drogą elektroniczną), z jednoczesnym zapewnieniem, że wszystkie osoby „lajkujące” oraz zapisujące się do grupy złożyły oświadczenie o zapoznaniu się i zaakceptowaniu regulaminu.

Dopuszczalne jest także stanowisko o braku konieczności realizacji obowiązku informacyjnego przy założeniu, że wszystkie wyżej wymienione osoby dysponują tymi informacjami (posiadanie tych informacji przez osoby, których dane dotyczą, jest okolicznością zwalniającą administratora danych z obowiązku informacyjnego). Przedsiębiorca decydujący się na takie rozwiązanie, powinien jednak zdawać sobie sprawę, że w przypadku sporu z osobą, której dane dotyczą, to na nim będzie spoczywał obowiązek wykazania, że osoba ta dysponuje informacjami, które powinny jej zostać udzielone zgodnie z przepisami o ochronie danych osobowych. Jeśli tego nie wykaże, to naraża się nie tylko na odpowiedzialność administracyjną, która może skutkować wydaniem wobec niego decyzji administracyjnej nakazującej wykonywanie obowiązku informacyjnego, ale przede wszystkim na odpowiedzialność karną (sankcje w takim przypadku obejmują grzywnę, karę ograniczenia wolności oraz karę pozbawienia wolności do roku).

Pamiętaj o GIODO

Innym obowiązkiem, który może powstać w związku z przetwarzaniem przez przedsiębiorcę danych osobowych użytkowników jest obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) utworzonego w ten sposób zbioru danych osobowych. Taki zbiór powstaje wówczas, gdy dane użytkowników są dostępne dla przedsiębiorcy według określonego kryterium, np. nazwiska. Zanim jednak dokonane zostanie zgłoszenie takiego zbioru do rejestracji GIODO, przedsiębiorca powinien zastanowić się, czy wśród zbiorów, które już zostały przez niego zgłoszone, nie ma zbioru obejmującego dane przetwarzane dla celów marketingowych. Należy bowiem pamiętać o tym, że fanpage na Facebooku może być jednym z wielu sposobów pozyskiwania przez przedsiębiorcę danych osobowych w celu ich przetwarzania dla potrzeb marketingowych. W takiej sytuacji nie ma konieczności zgłaszania odrębnego zbioru dla danych podanych przez osoby „lajkujące”, dla dopełnienia obowiązku prawnego w tym zakresie wystarczające będzie bowiem dokonanie zgłoszenia jednego zbioru, obejmującego dane zebrane dla celów marketingowych z różnych źródeł (w tym np. z fanpage’a) lub dokonanie aktualizacji już zgłoszonego zbioru w związku z rozszerzeniem działań marketingowych na Facebook.

Taki zbiór trzeba będzie natomiast zgłosić do rejestracji GIODO wówczas, gdy fanpage lub grupa społecznościowa są jedynymi źródłami pozyskiwania danych, a także w sytuacji, gdy dane są przetwarzane w innych celach niż te, które podane zostały w dotychczas zgłoszonych przez przedsiębiorcę zbiorach danych osobowych.

Autor artykułu:

Adam Myziak
Inspektor GIODO w latach 2000-2010, audytor wiodący Personal Data Protection Group (PDP Group), która opracowała pierwszy w Polsce system certyfikacji firm oraz instytucji w zakresie zgodnego z przepisami przetwarzania danych osobowych w ich działaniach.

  • Michal Poczmański

    Na jakiej podstawie autor twierdzi że będzie miała zastosowanie polska ustawa o ochronie danych osobowych?

    Na jakiej podstawie autor twierdzi, że jeśli ktoś klika „lubię to” to dane tej osoby są przetwarzane?

    Ciekawe..

    • Adam Myziak

      Panie Michale,

      Dziękuję za komentarz do artykułu i już odpowiadam.

      Dane są przetwarzane przez polskiego przedsiębiorcę, który samodzielnie zadecydował o wykorzystaniu narzędzi oferowanych przez Facebooka
      (np. fanpage, grupa społecznościowa) do zbierania danych osobowych i ich wykorzystania w związku z prowadzoną przez siebie działalnością promocyjna/marketingową
      (temu przecież służy „lajkowanie”, konkursy, itp.). A skoro w związku z tą działalnością przedsiębiorca pozyskuje dane osób lajkujących lub zapisujących
      się do grupy społecznościowej, które pozwalają na ich identyfikację, to tym samym je przetwarza (zbieranie danych jest jedną z operacji traktowanych przez ustawę
      o ochronie danych osobowych jako przetwarzanie). Ta czynność musi więc odbywać się zgodnie z przepisami ustawy o ochronie danych osobowych, która określa stosowne zasady./

      • Michal Poczmański

        Czy jeśli więc polubię profil SocialPress na Facebooku, to SocialPress przetwarza moje dane osobowe?

        Jeśli tak, to na podstawie ustawy jakiego kraju?

      • mkarnicki

        Trudno mi uwierzyć, że inspektor danych osobowych z 10-letnim doświadczeniem pisze takie rzeczy.

        Przypomnę innymi czytelnikom, że zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

        Pisze Pan, że ‚przedsiębiorca pozyskuje dane osób lajkujących’, nie jest to jednak gromadzenie ani przetwarzanie danych pod jego kontrolą, tym bardziej, że we wspomnianym zbiorze znajdują się nie tylko osoby, które zaprosiliśmy do polubienia strony, ale i takie, które same zdecydowały się ją polubić, z resztą – nie ma to większego znaczenia. Istotne jest to, że dane przetwarza Facebook Ireland Ltd. Jeśli uważa Pan, że to przedsiębiorca staje się administratorem danych (w związku z czym musi zgłosić taki zbiór, jeśli jest on jedyny), to zachęcam do podzielenia się z czytelnikami jak sporządzić dokumentację techniczną wraz z wykazem pól tabeli z bazy danych, która winna stanowić załącznik do Polityki bezpieczeństwa.

        Z poważaniem,
        Michał Karnicki

Newsletter

Bądź na bieżąco z najświeższymi informacjami. Zapisz się na bezpłatny newsletter.

free newsletter templates powered by FreshMail