Przepisy RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) obowiązują od wiosny tego roku, ale ich prawidłowa interpretacja i zastosowanie nadal budzi wiele wątpliwości. Wszystkie podmioty, które przetwarzają dane osobowe, w tym przedsiębiorcy przetwarzający dane osobowe swoich pracowników czy klientów, musieli dostosować stosowane przez siebie procedury do nowych zasad ochrony danych osobowych. Warto zastanowić się, czy nowe przepisy dotyczą również takich kanałów marketingowych jak firmowe strony na Facebooku.
Dane fanów podlegają ochronie RODO
Przedsiębiorcy wykorzystują rozmaite sposoby na pozyskanie klientów, a jedną z najbardziej popularnych metod jest utworzenie i prowadzenie stron firmowych na portalach społecznościowych. Bez wątpienia Facebook jest doskonałym narzędziem do komunikacji z potencjalnymi klientami i promowania własnej działalności, jednakże każdy przedsiębiorca korzystający z tego narzędzia musi również pamiętać o obowiązkach z tym związanych. Baza fanów (osób, które polubiły profil i obserwują zamieszczane na nim informacje) oznacza nie tylko korzyści, lecz również konieczność zapewnienia należytej ochrony pozyskiwanych i przetwarzanych danych osobowych.
Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z przywołanej powyżej definicji wynika, że w zasadzie wszystkie dane mogą stanowić dane osobowe i jako takie podlegają ochronie. Portal Facebook i inne portale społecznościowe pozwalają na uzyskanie dostępu do ogromnej liczby informacji. Zakres informacji zależy od ustawień konta konkretnego użytkownika, lecz w większości przypadków przedsiębiorca korzystający ze strony firmowej otrzyma nie tylko imię i nazwisko potencjalnego klienta, lecz również dane o jego miejscu zamieszkania, miejscu pracy, stanie rodzinnym, wykształceniu, wizerunku, metodzie i miejscu logowania do konta, a nawet osobistych preferencjach, stylu życia i posiadanych zainteresowaniach.
Przepisy RODO, choć nie wskazują jednego prawidłowego sposobu ochrony danych osobowych, nakładają na przedsiębiorców obowiązek zastosowania takich środków ochrony, które w możliwie najpełniejszy sposób będą chroniły dane osobowe klientów czy pracowników. Przedsiębiorcy stosują rozmaite metody, prowadzą rejestry przetwarzania danych, wyznaczają inspektorów ochrony danych, sięgają po metody zabezpieczeń od szaf pancernych po wyrafinowane systemy komputerowe. W kontekście wykorzystywanych w prowadzonej działalności stron internetowych przedsiębiorcy mogą zadawać sobie pytanie, czy muszą podejmować jakiekolwiek inne środki, skoro nie mają oni rzeczywistego wpływu na sposób działania podmiotu trzeciego, jakim jest sam portal społecznościowy. Przedsiębiorca prowadzący za pomocą Facebooka firmowy fanpage sam jest użytkownikiem tej strony i nie ma możliwości modyfikacji stosowanych przez portal zabezpieczeń.
Przedsiębiorca jest administratorem danych na Facebooku
Ewentualne wątpliwości przedsiębiorców korzystających z firmowych profili rozwiał jednoznacznie Trybunał Sprawiedliwości Unii Europejskiej, który w wyroku z 5 czerwca 2018 r. wydanym w sprawie o sygnaturze C-210/16 stwierdził jednoznacznie, że pojęcie administratora danych w rozumieniu rozporządzenia RODO odnosi się również do podmiotu prowadzącego fanpage firmowy na Facebooku.
W ocenie Trybunału, prawidłowa i możliwie jak najpełniejsza ochrona danych osobowych osób fizycznych wymaga stosowania wykładni rozszerzającej definicji zawartych w treści rozporządzenia.
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania
Co najistotniejsze, jak wskazał TSUE: w tych okolicznościach należy uznać, że administrator fanpage’a prowadzonego na Facebooku, (...) uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a. Z tego względu w niniejszym przypadku należy uznać, że ów administrator fanpage’a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland (podmiot odpowiadający za działania Facebooka na terenie Europy – dop. autora) za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go bowiem z jego obowiązków w dziedzinie ochrony danych osobowych.
Podsumowując te rozważania, należy wskazać, iż w ocenie Trybunału fakt, że podmiot prowadzący portal firmowy wyłącznie korzysta z narzędzi oferowanych przez Facebook, nie ma żadnego znaczenia dla uwolnienia tego podmiotu od odpowiedzialności za prawidłowe przetwarzanie i przechowywanie danych osobowych. TSUE przywołał inny wyrok wydany na gruncie przepisów RODO, zgodnie z którym przepis art. 4 ust. 1 lit. a) dyrektywy 95/46 nie ustanawia wymogu, aby przetwarzanie danych osobowych było dokonywane „przez” sam podmiot prowadzący działalność gospodarczą, lecz jedynie „w kontekście prowadzenia przez” niego działalności gospodarczej (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 52). Trybunał zwrócił jednocześnie uwagę, iż zasady ochrony winny obejmować nie tylko dane osób – użytkowników portalu, które polubiły stronę przedsiębiorcy – lecz również dane tych odwiedzających, którzy czynią to bez formalnej rejestracji w charakterze użytkownika.
Co to oznacza w praktyce?
Zaprezentowane powyżej stanowisko Trybunału Sprawiedliwości Unii Europejskiej ma kluczowe znaczenie w kontekście właściwej interpretacji przepisów rozporządzenia RODO. Z uwagi na tak jednoznaczne stanowisko TSUE, wszyscy przedsiębiorcy prowadzący firmowe fanpage’e w ramach prowadzonych przez siebie działań muszą pamiętać również o zabezpieczeniu pozyskiwanych i przetwarzanych w ten sposób danych osobowych.
Warto pamiętać, iż każdy przedsiębiorca oraz inny użytkownik prowadzący stronę firmową na portalu Facebook ma możliwość pobrania specjalnego raportu zawierającego informację o osobach, które polubiły profil i zakresie przetwarzanych danych. Funkcja umożliwiająca pobranie raportu została umieszczona w ustawieniach profilu. Uzyskany w ten sposób dokument będzie miał charakter zanonimizowany, jednak pozwoli przedsiębiorcy na dokładne sprawdzenie, jakie dane pozyskuje w ramach działań prowadzonych za pośrednictwem Facebooka.
Przedsiębiorcy, którzy rzetelnie zajęli się problemem ochrony danych osobowych swoich klientów, nie powinni mieć większych trudności z wypełnieniem wymogów wynikających z treści rozporządzenia RODO.
