Blog

RODO w social media: Kto odpowiada za przetwarzanie danych na profilu FB?

12 czerwca 2018
Marzena Hełmecka
Blog, Ochrona danych osobowych

RODO w social media: Kto odpowiada za przetwarzanie danych na profilu FB?

„Europejski Trybunał Sprawiedliwości: Administrator fanpage’a na Facebooku odpowiada za przetwarzanie danych użytkowników”. Takie nagłówki pojawiły się w mediach po publikacji wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r. w sprawie niemieckiej spółki Wirtschaftsakademie Schleswig-Holstein. Przyjrzeliśmy się sprawie C-210/16.

Trybunał Sprawiedliwości Unii Europejskiej zastosował przy jej rozstrzygnięciu rozszerzającą wykładnię pojęcia „administratora danych osobowych”, wskazując, że są nim zarówno spółki Facebook’a, jak i administrator fanpage’a. Podmioty te łączą stosowne umowy i każdy z nich uczestniczy na pewnym etapie w „ustalaniu celów i sposobów przetwarzania danych osobowych”, co wyróżnia właśnie administratora danych osobowych.

Nie można jednak zbyt pochopnie interpretować tego wyroku, sugerując, że teraz każdy administrator fanpage’a powinien informować o plikach cookies zbierających informacje o odwiedzającym profil firmowy.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-210/16 został podjęty na gruncie Dyrektywy 95/46, a więc „poprzedniczki” RODO, a sprawa miała swój początek w 2011 r. Od tego czasu Facebook kilkukrotnie nowelizował swoje regulaminy. Serwis zrobił to m. in. w kwietniu tego roku, w związku z rychłym rozpoczęciem stosowania RODO. Użytkownicy zostali poproszeni o zaakceptowanie nowego Regulaminu, zaktualizowane zostały również zasady dotyczące danych oraz zasady dotyczące plików cookies. Akceptacja przez użytkownika tych zasad oznacza spełnienie przez Facebooka jako administratora danych osobowych obowiązku informacyjnego wymaganego przez RODO. Zgodnie z art. 13 RODO obowiązek informacyjny nie ma zastosowania, jeśli osoba, której dane dotyczą, dysponuje już tymi informacjami. Wynika z tego, że administrator fanpage’a musi uzupełnić obowiązek informacyjny tylko w takim zakresie, w jakim nie zrobił tego Facebook.

W związku z tym, jeśli administrator fanpage’a ujawni swoją tożsamość (np. spółka z o. o. prowadząca swój profil firmowy ujawni się w nazwie fanpage oraz dodatkowo w informacjach zmieści swoje dane adresowe), to organom kontrolującym bardzo trudno będzie obecnie uznać, że obowiązek informacyjny w rozumieniu RODO nie został zrealizowany wobec odwiedzającego fanpage.

Zdaniem prawnika

Szymon Goździk, prawnik, doktorant na WPAiE UWr

Wyrok Trybunału Sprawiedliwości jest w mojej ocenie kontrowersyjny. Przyjęcie, że administrator fanpage’a na Facebooku jest administratorem danych osobowych na gruncie nieobowiązującej już Dyrektywy 95/46 oznacza, że możemy go uznać za administratora również w myśl przepisów RODO, ponieważ definicja administratora danych nie zmieniła się w związku z niedawną reformą w sposób istotny dla omawianej sytuacji. To z kolei oznacza, że na administratora fanpage’a mogą zostać nałożone obowiązki, jakie według RODO ma administrator danych, np. będzie on musiał rozpatrzyć wniosek użytkownika, który zażąda usunięcia swoich danych zgromadzonych poprzez pliki cookies – a przecież tę czynność może wykonać obecnie tylko Facebook. Poza tym administrator danych osobowych odpowiada za bezpieczeństwo ich przetwarzania, podczas gdy administrator fanpage’a na Facebooku nie ma na to praktycznie żadnego wpływu. I tak opisana sytuacja obnaża kolejny absurd nowej reformy ochrony danych, których lista już w tym momencie nie jest wcale taka krótka.

Źródło:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081pl.pdf