Nie cichnie temat ochrony danych osobowych w sieci! Jak informuje Trybunał Sprawiedliwości Unii Europejskiej (TSUE), nie tylko Facebook ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników, ale również administratorzy fanpage’y, którzy mają dostęp do anonimowych danych statystycznych. Za pomocą plików cookies, (które w niektórych okolicznościach uznawane są za dane osobowe) Facebook gromadzi dane o użytkownikach i przedstawia administratorom w postaci danych statystycznych.
Decyzja Trybunału pojawiła się w odpowiedzi na wieloletni proces firmy “X”, która nie informowała nikogo o tym, że zgromadzone dzięki swojemu fanpage’owi dane osobowe użytkowników, wykorzystuje we własnych celach marketingowych. Regionalny organ ds. ochrony danych wydał decyzję w tej sprawie, zobowiązując administratorów fanpage’a firmy do jego zamknięcia.
Ze swojej strony firma “X” odwołała się od tej decyzji, twierdząc, że dane, wykorzystywane przez nią dotychczas do promocji firmy, są danymi gromadzonymi anonimowo, a co za tym idzie administrator fanpage’a nie ma nad nimi żadnej kontroli. Ponadto trudno jest uznać, że odpowiedzialność za gromadzone przez Facebooka dane osobowe, jest równoznaczna odpowiedzialności, którą ponoszą administratorzy stron na Facebooku, którzy otrzymują zgromadzone, zanonimizowane dane w postaci statystyk.
Omawiana wyżej sprawa ciągnęła się w sądach kilka dobrych lat, po czym trafiła do Trybunału, który jednak uznał pierwotne orzeczenie za prawidłowe, i argumentował to tym, że korzystanie z sieci społecznościowej Facebook nie zwalnia nikogo z obowiązku chronienia danych osobowych innych użytkowników, a zarządzanie reklamami na Facebooku na podstawie dostępnych informacji o użytkownikach, jest już samo w sobie przetwarzaniem danych.
Z taką decyzją nie zgadzają sie nie tylko administratorzy fanpage’ów, ale również niektórzy eksperci:
„Konsekwencje prawne posiadania statusu podmiotowego administratora danych oznaczają konieczność wdrożenia w firmie systemu ochrony danych zgodnego z RODO. Wprowadzenie systemu ochrony danych osobowych zgodnie z RODO będzie wymagało podjęcia aktywności firmy w obszarach dotyczących wykonania obowiązków informacyjnych, analizy klauzul zgód, zawarcia umów powierzenia przetwarzania danych, dokonania oceny ryzyka, przygotowania dokumentacji wykazującej spełnienie zasady rozliczalności danych osobowych, zaprojektowania procedury zgłaszania naruszeń i obsługi wniosków osób, których prawa dotyczą i sporządzenia rejestru czynności przetwarzania. W zależności od skali działalności firmy będą musiały podjąć decyzje co do wyznaczenia Inspektora Ochrony Danych.”
M.Czaplińska, radca prawny, partner w SBC Kancelarii Radców Prawnych.
Dr. M.Matuszczak, radca prawny Kancelarii Babiaczyk, Skrocki i Wspólnici, jest zdania, że w swojej interpretacji odpowiedzialności za przetwarzanie danych osobowych, TSUE poszedł już za dałeko:
„Administrator fanpage’a nie ma dostępu do danych osobowych użytkowników takiej strony internetowej. Statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane administratorowi fanpage’a wyłącznie w formie zanonimizowanej.”
Dr. M.Matuszczak, radca prawny kancelarii Babiaczyk, Skrocki i Wspólnicy.
Obowiązki administratora fanpage’a na Facebooku
Każdy administrator fanpage’a powinien rozumieć, że zgodnie z RODO konieczne jest wdrożenie specjalnego systemu ochrony danych osobowych użytkowników w firmie. W tym celu może być także powołana specjalna osoba w firmie, Inspektor Ochrony Danych, który będzie dbać o zabezpieczenie procedur i narzędzia, które wiążą się z przetwarzaniem danych osobowych, w tym:
- dopełnienie obowiązku informacyjnego;
- analizę poprawności zapisów klauzul wyrażania zgód na przetwarzanie danych;
- zawieranie umów powierzenia danych w przypadku przetwarzania danych innym podmiotom;
- ocena ryzyka przetwarzania danych;
- przygotowanie schematu procedury zgłaszania naruszeń;
- spełniene zasady rozliczalności danych osobowych użytkowników;
- obsługa wniosków osób, których dotyczą dane;
- monitorowanie i doradztwo wdrażania zasad ochrony danych w firmie;
- sporządzenie specjalnego rejestru czynności przetwarzania danych.
Opisane powyżej czynności zależą przede wszystkim od skali działalności firmy. Ale każda firma musi mieć świadomość tego, że konsekwencje prawne posiadania statusu podmiotowego administratora jakichkolwiek danych osobowych zobowiązują do bezwzględnego wdrożenia i przestrzegania zasad ochrony danych zgodnie z RODO, które obowiązuje od 25 maja tego roku.
Jako podsumowanie powyższego warto podkreślić, że dane w zanonimizowanej formie nie są danymi osobowymi. Każde informacje anonimowe nie stanowią danych prywatnych. Skoro dane statystyczne – zgromadzone za pośrednictwem plików cookies, które są przetworzonymi przez Facebook’a danymi użytkowników owej platformy internetowej – użytkujemy we własnych celach marketingowych i również statystycznych, to podmiotem odpowiedzialnym za przetwarzanie pierwotnych danych powinna być platforma, która je gromadzi.
Źródło: https://interaktywnie.com/
, nie tylko Facebook ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników, ale również administratorzy fanpage’y, którzy mają dostęp do anonimowych danych statystycznych.){kind=link}
Jak w takim razie dopełnić obowiązków administratora danych?
W sieci na szczęście jest sporo poradników jak dopełnić obowiązków administratora danych. Dla własnego dobra trzeba się z nimi zapoznać bo kary za ich niedopełnienie mogą być ogromne i nie warto ryzykować :)