Trybunał Sprawiedliwości Unii Europejskiej potrafi wydać wyroki, które zmuszają wielu przedsiębiorców do działania. Tak właśnie było dwukrotnie w przypadku właścicieli fanpage na Facebooku, korzystających z nich w celach promocji swoich biznesów, prowadzenia działań marketingowych albo szeroko pojętego informowania o swojej działalności. A precyzyjniej – tych przedsiębiorców, którzy mają fanpage firmowy na Facebooku.
Jakie wyroki Trybunału Sprawiedliwości dotyczą korzystania z Facebooka?
W sprawach dotyczących biznesowych użytkowników Facebooka Trybunał Sprawiedliwości Unii Europejskiej wydał dwa ważne orzeczenia:
1) wyrok z dnia 5 czerwca 2018 r. ws. C-210/16,
2) wyrok z dnia 29 lipca 2019 r. ws. C-40/17.
I o nich dziś napiszę - oraz oczywiście o tym jakie konsekwencje wiążą się z tymi wyrokami.
Mały disclaimer:
Oba te wyroku oparte są o stan prawny sprzed RODO, czyli stan oparty na nieobowiązującej już unijnej dyrektywie 95/46 dotyczącej ochrony danych osobowych. Ale Trybunał interpretował tam pewne podstawowe pojęcia, takie jak administrator danych, które nie uległy większej zmianie. Dlatego wywody w tych wyrokach zawarte (czyli przemyślenia składu Trybunału na pewne kwestie) są nadal aktualne. Co więcej – wskazują na istotne kierunki interpretacji, które mogą wpływać na stosowanie RODO przez najbliższe lata.
Czego dotyczy wyrok TSUE ws. C-210/16?
Pierwszy z wymienionych przeze mnie wyroków dotyczy tego kto jest administratorem danych na Facebooku. Przypomnijmy – administrator to ten podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. No proste, bo przecież administratorem danych osób na Facebooku jest Facebook. To jego regulamin akceptujemy i to na jego serwerach są informacje o nas.
Tak, ALE jest jeden haczyk.
Otóż Trybunał Sprawiedliwości uznał, że jeżeli mamy fanpage (np. firmowy, należący do jakiejś organizacji itp) na Facebooku, to jesteśmy administratorami danych, które są przetwarzane w ramach tego fanpage. Czyli, jeżeli ktoś polubi nasz fanpage albo wykazuje jakieś aktywności w ramach tego fanpage, administratorem danych (w tym zakresie oczywiście) jest nie tylko Facebook, ale także właściciel fanpage.
Jakich danych to dotyczy?
Dotyczy to danych osób, które obserwują fanpage, polubiły go, lajkują posty, zdjęcia itp, albo piszą nam komentarze.
Jesteśmy również administratorem danych tych osób, które widza nasze posty bo kierujemy do nich reklamy. To nic, że nie wiemy kto dokładnie je widzi – my zdecydowaliśmy (razem z Facebookiem oczywiście) o celu przetwarzania – my więc odpowiadamy za te dane. W grę wchodzi tu też kwestia plików cookies – Facebook zapisując je (tak przynajmniej stwierdził TSUE) tworzy statystyki, z których później korzysta również właściciel fanpage.
Co ciekawe, Trybunał Sprawiedliwości w swoim wyroku nie zająknął się ani słowem o tym, że właściciel fanpage jest administratorem danych osób, które ten fanpage obserwują, lajkują posty albo piszą komentarze . Moim zdaniem jednak, skoro uznajemy, że twórca fanpage jest administratorem danych zanonimizowanych osób, do których można kierować spersonalizowane reklamy i uzyskiwać w tym zakresie statystyki, to jest również administratorem danych osób, które po prostu polubiły profil, piszą komentarze i możemy z łatwością zidentyfikować ich tożsamość.
W innym przypadku doszlibyśmy do absurdalnego wniosku, że właściciel fanpage jest administratorem danych osób, do których kieruje reklamy, a nie jest administratorem danych osób, z którymi wymienia sobie komentarze pod postami.
Oczywiście administratorem danych jesteśmy tak długo jak długo podlegamy pod przepisy o ochronie danych dotyczące administratora. Oznacza to, że nie musisz się martwić o swój status administratora jeżeli prowadzisz fanpage to w związku ze swoim prywatnym życiem – np. piszesz o swoich przemyśleniach na temat Ekstraklasy albo dzielisz się obrazkami z uroczymi kotkami. To po prostu nie podpada pod RODO, bo jest związane z przetwarzaniem danych w celu związanym z Twoją osobistą (nie zawodową) działalnością.
Co muszę zrobić gdy mam fanpage na Facebooku?
Posiadanie fanpage oznacza, że jesteś administratorem danych osób, które mają związki z tym fanpage (np. wchodzą na niego i czytają, lajkują, komentują itp). Jesteś także administratorem danych tych osób, które na niego nie wchodzą, ale ty kierujesz do nich reklamy, świadomie czy nie).
W takim przypadku musisz poinformować te osoby o przetwarzaniu ich danych osobowych. Wymagają tego od Ciebie przepisy RODO, a dokładnie art. 13 – zakładam tutaj, że dostajesz te dane (jako jeden z dwóch administratorów, obok Facebooka) bezpośrednio od osoby, której dane dotyczą – chociaż oczywiście technicznie odbywa się to przez portal społecznościowy.
Jak poinformować osoby o przetwarzaniu ich danych osobowych na Facebooku?
To nie jest proste – bo pamiętajmy, że ta informacja powinna być napisana czytelnie, zrozumiale dla osoby, której dane dotyczą i podana w sposób przejrzysty. Dlatego osoba, która wchodzi na fanpage powinna mieć możliwość w miarę łatwego zapoznania się z tą informacją.
Na ten moment Facebook udostępnił w ramach poszczególnych fanpage możliwość wrzucenia linku do polityki prywatności właściciela fanpage. To rozwiązanie nie jest niestety pozbawione wad. Jakich? Polityka prywatności nie jest bezpośrednio na Facebooku, w dodatku aby odnaleźć link do polityki trzeba wejść w informacje dotyczące strony (fanpage). Póki co nie jednak innego narzędzia, chyba że zdecydujemy się na przypięty post u góry strony – ale tego nikt robić nie chce.
Stąd też przyjmijmy, że na razie zaktualizowanie polityki prywatności na stronie internetowej administratora o informacje związane z przetwarzaniem danych w ramach fanpage na Facebooku i podlinkowanie na Facebooku do tej polityki jest wystarczające.
Jaka jest podstawa prawna przetwarzania danych w ramach Fanpage?
Tutaj opcje są dwie – pierwsza z nich to zgoda osoby, której dane dotyczą. To dopuszczalne, acz ryzykowne. Dlaczego? Pamiętajmy, że zgoda musi być wyrażona w sposób świadomy, dobrowolny, konkretny i jednoznaczny.
Wejście na fanpage na Facebooku i polajkowanie go może być uznane za zgodę na pojawienie się wśród listy osób obserwujących fanpage. Ale taka zgoda nie musi oznaczać świadomości w zakresie w jakim przetwarzanie danych dotyczy np. statystyk albo reklam do osoby, której dane dotyczą. Można oczywiście twierdzić, że to Facebook odebrał te zgody - ale twierdzenie, że Facebook przetwarza dane w 100% zgodnie z RODO jest ryzykowne (zwłaszcza, że Facebook generalnie bazuje na tym, że przetwarza dane na podstawie umowy).
Dlatego moim zdaniem bezpieczniejszą i bardziej logiczną przesłanką do przetwarzania danych w ramach fanpage na Facebooku jest prawnie uzasadniony interes administratora danych – czyli przepis art. 6 ust. 1 lit f) RODO. Pamiętajmy, że taki prawnie uzasadniony interes może obejmować np. prowadzenie działań promocyjnych albo marketingowych – a to właśnie jeden z głównych celów dla których realizacji zakłada się fanpage na Facebooku.
Osoba, której dane dotyczą ma prawo do złożenia w tym zakresie sprzeciwu – tu pojawia się pytanie jak zrealizować takie żądanie jako administrator fanpage, skoro ma on ograniczone możliwości dostępu do danych – rozwiązaniem może być tu współdziałanie z supportem Facebooka, który usunie dane określonej osoby w ramach naszego fanpage.
Reklamy na Facebooku a RODO
Oczywiście problemem są też reklamy kierowane do konkretnych grup odbiorców. Bo tutaj możemy mieć do czynienia z profilowaniem, a także znanym z RODO zautomatyzowanym podejmowaniem decyzji opartym o to profilowanie albo istotnym wpływem na osobę w inny sposób, również z użyciem profilowania. Takie działanie może polegać m.in. na tym, że w istotny sposób wpływamy na jakąś osobę wyświetlając jej bardzo spersonalizowaną reklamę.
Prawnicy spierają się, czy samo oferowanie jakiejś usługi jest związane z “istotnym wpływaniem na osobę”. Nie będę tutaj rozstrzygał tego sporu, wspomnę tylko, że Europejska Rada Ochrony Danych (która w temacie ma sporo do powiedzenia) uważa, że jeżeli reklama będzie dość “mocno spersonalizowana” to mamy do czynienia z takim wpływem na osobę. A w takiej sytuacji potrzebujemy zgody osoby na prowadzenie tych działań wobec niej. Oczywiście nie mamy wpływu na to w jaki sposób Facebook zbiera zgody na profilowanie – pamiętajmy tylko, ze to także nasz problem (tzn. ewentualne nieprawidłowe zbieranie zgód przez Facebooka) bo jesteśmy administratorem tych danych.
Co z wtyczką Facebooka na stronie internetowej?
Drugi ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej został wydany bardzo niedawno bo 29 lipca 2019 r. w sprawie o sygnaturze C 40/17.
Fashion ID (przedsiębiorstwo z branży mody) miało na swojej stronie internetowej zamieszczoną wtyczkę Facebooka. Nie taki zwykły link do swojego fanpage na Facebooku ale wtyczkę, która pokazuje, jacy znajomi osoby odwiedzającej stronę już polubili fanpage. Ta wtyczka widoczna była na stronie internetowej Fashion ID, ale za jej wyświetlanie (m.in. za miniatury zdjęć znajomych) odpowiadał Facebook.
Innymi słowy, strona Fashion ID zawierała fragment kodu przygotowany przez Facebooka. Gdy użytkownik wchodził na stronę, łączył się nie tylko z serwerem, na której była zamieszczona strona Fashion ID, ale także z serwerami Facebooka. Dodatkowo, osoba odwiedzająca witrynę mogła od razu polubić profil Fashion ID na Facebooku – nawet bez wchodzenia na ten portal społecznościowy. Oczywiście Facebook korzystał z tego faktu najlepiej jak potrafił – zbierał dane dotyczące tego, że dana osoba weszła na stronę Fashion ID i łączył te fakty z jej profilem na Facebooku, tak żeby potem np. wyświetlać tej osobie spersonalizowane reklamy.
No i Trybunał stwierdził, że w takim razie Fashion ID jest administratorem danych osobowych użytkownika, które są przekazywane do Facebooka. Innymi słowy – Fashion ID jest administratorem nie tylko tych danych, które sam przetwarza w ramach strony internetowej, np. takich jak adres IP, informacje o urządzeniu, dane wpisane do formularza kontaktowego, sklepu internetowego albo dane zapisane w ramach plików cookies. Fashion ID jest również administratorem danych przekazywanych do Facebooka – bo uczestniczy w ustalaniu celów i sposobów przetwarzania danych osobowych.
Decyzja o umieszczeniu wtyczki Facebooka jest bowiem pozostawiona właścicielowi strony internetowej – tym samym to on decyduje o tym, czy dane będą przekazane Facebookowi. Nie ma tutaj znaczenia fakt, że twórca strony może wcale nie wiedzieć co się z tymi danymi później stanie i co Facebook z nimi zrobi. Trybunał uznał, że umieszczenie wtyczki Facebooka na stronie jest związane z określeniem (albo chociaż wpływem w tym zakresie) przez właściciela strony celów i środków przetwarzania danych w tym zakresie – a to podręcznikowa definicja administratora danych.
W skrócie: właściciel strony internetowej jest administratorem danych, które przekazywane są Facebookowi w związku z umieszczeniem na tej stronie wtyczki Facebooka, powiązanej z fanpage tej strony.
Na jakiej podstawie możemy przekazać dane osoby odwiedzającej stronę internetową Facebookowi?
Trybunał nie rozstrzygnął definitywnie, czy dane osobowe powinny zostać przekazane wyłącznie po uzyskaniu zgody użytkownika na takie działanie. Teoretycznie (z punktu widzenia przepisów o ochronie danych osobowych) mogłoby to nastąpić również na podstawie prawnie uzasadnionego interesu administratora danych.
Uczciwie jednak przypominam o przepisach ustawy Prawo telekomunikacyjne – na pliki cookies potrzebna jest zgoda, która powinna dodatkowo spełniać cechy zgody z RODO. To oznacza, że powinna być m.in. konkretna – a więc wyrażenie jednej zgody na wszystkie cele, w związku z którymi wykorzystywane są pliki cookies może być niewystarczające. Problem jest jednak taki, że póki co większość rozwiązań technicznych, wtyczek itp., które zarządzają plikami cookies przewiduje tylko takie rozwiązanie – albo akceptujesz albo nie.
Czy są pozytywne przykłady? No są, np. brytyjski urząd ds. ochrony danych ma piękny komunikat o plikach cookies, gdzie od razu można wskazać na to na co się zgadzamy a na co się jednak nie zgadzamy. Link? Proszę bardzo. Warto z niej brać przykład :)
Czy jestem współadministratorem danych razem z Facebookiem?
Myśleliście, że to co opisałem dotąd to jakieś trudne rozważania pełne niuansów? No to informuję Was, że najgorsze dopiero teraz: Trybunał zasugerował, że w ramach korzystania z wtyczki Facebooka na stronie internetowej nie jesteśmy jakimś tam zwykłym administratorem danych. Jesteśmy bowiem współadministratorem danych razem z Facebookiem. A magiczne słowo “współadministrator” powoduje niestety dodatkowe konsekwencje.
W RODO bowiem kwestia współadministrowania danymi została uregulowana w szczególny sposób – a więc skoro jesteśmy współadministratorami danych wraz z Facebookiem, to podlegamy tym szczególnym regulacjom.
Jakie to regulacje? Zgodnie z RODO do współadministrowania dochodzi w sytuacji gdy co najmniej dwóch współadministratorów wspólnie ustala cele i sposoby przetwarzania danych. Można by tutaj dyskutować czy rzeczywiście zamieszczając wtyczkę Facebooka na naszej stronie internetowej, ustalamy razem z nim cele I sposoby przetwarzania danych, ale skoro TSUE tak uznał, to przyjmijmy na razie, że tak jest i porozmawiajmy o konsekwencjach. Bo konsekwencje są takie:
współadministratorzy powinni określić (razem) odpowiednie zakresy swojej odpowiedzialności dotyczącej wykonywania obowiązków wynikających z RODO – chodzi tu w szczególności wykonywania praw osób, których dane dotyczą – np. informowania jej o przetwarzaniu danych osobowych albo odpowiadania na żądania np. Dostępu do danych albo ich usunięcia,
te uzgodnienia powinny być jakoś udokumentowane (bo w RODO mamy zasadę rozliczalności, a ta wymaga żebyśmy byli w stanie udowodnić, że spełniamy obowiązki), a zasadnicza część uzgodnień powinna być dostępna dla osób których dane dotyczą – czyli musimy informować osoby, których dane przetwarzamy o tym, że dokonaliśmy wspólnych uzgodnień z Facebookiem i jaka jest ich treść.
No i to jest problemem – Facebook bowiem na razie nie ma takiej opcji, a indywidualne uzgodnienia z tym gigantem raczej nie wchodzą w grę.
EDIT czerwiec 2020:
Facebook udostępnił w ramach swojej platformy umowę dot. współministrowania danymi, ktora wiąże go i podmioty posiadające fanpage na Facebooku. Innymi słowy, Facebook dostosował się do wymogów wynikających z wyroku TSUE.
Jak postępować zgodnie z RODO i opisanymi wyrokami TSUE?
Polecam zrobić trzy rzeczy:
zaktualizować obowiązki informacyjne, zarówno na swojej stronie internetowej jak i na fanpage na Facebooku,
stworzyć taki model wyrażania zgody na pliki cookies na stronie internetowej aby dawał on realną możliwość wyboru tego, czy dane osobowe odwiedzającego będą przekazane Facebookowi,
Masz dodatkowe pytania dotyczące przetwarzania danych w ramach Facebooka? Możesz do mnie napisać na kontakt@bytelaw.pl albo skorzystać z z formularza kontaktowego tutaj.
