Administrator fanpage na Facebooku ponosi odpowiedzialność za przetwarzanie danych osobowych swoich użytkowników

Szum dotyczący RODO nieco ucichł, co nie oznacza, że tryby sprawiedliwości nie mielą spraw dawniejszych. Dziś zatem kilka zdań o wyroku TSUE, z którego wynika, że administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka.


administrator fanpage facebook przetwarzanie danych osobowych

Administrator fanpage prowadzonego na Facebooku jest odpowiedzialny za przetwarzanie danych osobowych odwiedzających stronkę — nawet jeśli nie ma wpływu na sposób przetwarzania tych danych przez Facebooka (wyrok TSUE C-210/16)


wyrok TSUE z 5 czerwca 2018 r. w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16)
Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym. (…)

Orzeczenie wydano w sporze pomiędzy organem ochrony danych osobowych z landu Szlezwik-Holsztyn a spółką, która świadczy usługi edukacyjne poprzez fanpage na Facebooku.
Decyzją z 2011 r. organ nakazał dezaktywację fanpage, a to ze względu na brak informacji, że nikt — ani spółka, ani Facebook — nie informowali o gromadzeniu i przetwarzaniu danych osobowych poprzez cookies (chodziło o usługę Facebook Insights, która pozwala na powiązanie użytkownika poprzez przechowywany na jego urządzeniu plik — prowadzący fanpage ma z tego tylko anonimowe dane statystyczne, ale serwis otrzymuje komplet informacji o aktywności odwiedzającego stronkę).

W odwołaniu do sądu podmiot stwierdził, że nie może odpowiadać za ewentualne przetwarzanie danych osobowych przez Facebooka, zwłaszcza, że nie powierzono serwisowi przetwarzania danych, zaś spółka nie ma kontroli ani wpływu na przetwarzane dane osobowe.

Wniosek w trybie prejudycjalnym o wykładnię dyrektywy 95/46/WE z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (czyli tej uchylonej przez RODO) trafił do TSUE, który orzekł, że oczywiście Facebook jest administratorem danych osobowych użytkowników serwisu oraz osób, które odwiedzają strony tam prowadzone — ale na poziomie EU wspólnie odpowiedzialnymi za przetwarzanie danych są administrator fanpage oraz spółka Facebook Ireland.

Jest to konsekwencją tego, że to administrator podejmuje działania polegające na ustaleniu parametrów usługi — czyli określa cele i sposoby przetwarzania danych osobowych osób odwiedzających jego fanpage. Przetwarzanie danych dotyczących osób (danych demograficznych, o stylu życia i zainteresowaniach, danych geograficznych) odwiedzających fanpage następuje wyłącznie na podstawie jego dyspozycji.
Nie ma przy tym znaczenia, że korzysta z narzędzi dostarczanych przez Facebooka — skoro decyduje się na przetwarzanie danych osobowych w określonych przez siebie celach, ma obowiązek udzielić użytkownikom stosownych informacji oraz odebrać ewentualną zgodę.

Równocześnie TSUE orzekł, że organ nadzorczy może podejmować — w przypadku spółki z siedzibą poza EU — także decyzje w odniesieniu do lokalnych spółek zależnych od Facebooka (w tym przypadku Facebook Germany, jako odpowiedzialnej za działania marketingowe i sprzedaż powierzchni reklamowej) — zatem wykonując swoje uprawnienia interwencyjne wobec niemieckiego podmiotu nie musi zwracać się uprzednio do irlandzkiego regulatora.

Q.E.D.

14 comments for “Administrator fanpage na Facebooku ponosi odpowiedzialność za przetwarzanie danych osobowych swoich użytkowników

  1. 5 czerwca 2018 at 13:20

    Tak bez komentarza? 😊

    • Olgierd Rudak
      5 czerwca 2018 at 13:24

      Jak to bez? A „Q.E.D.” się nie liczy?
      W sprawach oczywistych ograniczam się właśnie do tego.

      • 5 czerwca 2018 at 13:42

        Czyli mamy ponosic odpowiedzialność za to jak fb administruje danymi?

        • Olgierd Rudak
          5 czerwca 2018 at 13:47

          Nie, za to, że brakuje informacji o sposobie przetwarzania.

          [organ]nakazał Wirtschaftsakademie, zgodnie z § 38 ust. 5 zdanie pierwsze BDSG, dezaktywację fanpage’a stworzonego przez nią na Facebooku pod adresem: http://www.facebook.com/wirtschaftsakademie pod groźbą grzywny w przypadku niewykonania decyzji w wyznaczonym terminie ze względu na to, iż ani Wirtschaftsakademie, ani Facebook nie informowali osób odwiedzających fanpage’a o tym, że Facebook gromadził za pomocą plików cookies dotyczące ich dane osobowe oraz że następnie przetwarzali te informacje. (…) stworzywszy swój fanpage, Wirtschaftsakademie wniosła aktywny i dobrowolny wkład w gromadzenie przez Facebook danych osobowych dotyczących osób odwiedzających tego fanpage’a, z których to danych korzystała dzięki statystykom udostępnianym przez ten portal społecznościowy. (…)

          czyli chodzi o brak informacji, a jeśli z jakiejś przyczyny jej udzielenie jest niemożliwe, to:

          (…) naruszenie popełnione przez Wirtschaftsakademie polega na tym, iż powierzyła ona niewłaściwemu dostawcy – ponieważ nieprzestrzegającemu prawa właściwego w zakresie ochrony danych, w niniejszym przypadku Facebook Ireland – realizację, hosting i prowadzenie strony internetowej. Skierowany do Wirtschaftsakademie w zaskarżonej decyzji nakaz dezaktywacji jej fanpage’a zmierza więc do naprawienia tego naruszenia, ponieważ zakazuje jej dalszego używania infrastruktury Facebooka jako technicznej bazy dla jej strony internetowej.

  2. 5 czerwca 2018 at 14:28

    Skoro te dane takie ważne, to może by zacząć karać użytkowników portali, którzy wyrażają zgodę, nie czytając regulaminów. Pięć dych mandatu i zaraz będzie porządek.

    • Borek
      5 czerwca 2018 at 15:07

      No dobra, ale to by wymagało jakiegoś sposobu weryfikacji czy regulamin faktycznie został przeczytany, a na taką weryfikację pewnie też trzeba by uzyskać zgodę od potencjalnego użytkownika. To już prawie jak dowcip o TCP/IP. ;)

      • 5 czerwca 2018 at 15:27

        Ależ to bardzo proste. Powoła się policję RODO, która będzie chodziła po domach i sprawdzała komputery, jak się wykryje, że ktoś zakceptował regulamin, to się zrobi test z tego, co pamięta, jak nie, to mandat. Sugeruję tak co najmniej 5000zł, w końcu takie masowe wprowadzanie do obrotu jawnie fałszywych zgód to nie w kij dmuchał, a nako że rodo ma na celu doprowadzenie ludziom szczęścia i pomyślności (vide preambuła), to nie można się cackać z takimi fałszerzami.

    • Olgierd Rudak
      5 czerwca 2018 at 16:21

      Ale to jest pół problemu, te inne pół, niż mowa jest w wyroku.

      O ile dobrze rozumiem dzisiejsze orzeczenie TSUE, mamy mniej-więcej taki temat:

      • masz fanpejdża na Fejsbósiu — jesteś ADO (i tego tylko dotyczy wyrok, poniżej moje konkluzje),
      • skoro przetwarzasz dane w celach statystycznych (nie wiem czy ten „Insights” można włączyć/wyłączyć), to musisz podzielić się informacjami (kiedyś art. 25 uoodo, dziś art. 14 RODO),
      • nakłada się na to problem nieszczęsnych ciasteczek — bo dane są przetwarzane właśnie w oparciu o cookies (które na gruncie RODO na pewno są danymi osobowymi),
      • TSUE nie wypowiada się o sankcji, w szczególności o nakazie zamknięcia strony (nie tego dotyczyło pytanie prejudycjalne; nb. z wyroku wynika, że w niższych instancjach podmiot wygrywał).

      I wcale nie na marginesie:
      – i RODO, i wcześniejsze ustawodawstwo pozwalają na pominięcie obowiązku informacyjnego w pewnych sytuacjach (kiedyś art. 25 ust. 2 pkt 3 lub pkt 6 uoodo, dziś art. 14 ust. 5 lit. b RODO),
      – jeśli zatem prawdziwe jest zdanie „masz Fejsbósia, masz zapodanego szpiega (także jak wchodzisz na Fejsbósia), i wszyscy o tym wiedzą” — to być może dałoby się wyłgać właśnie tymże art. 14 ust. 5 lit. b RODO,
      – feler jest taki, że problem zaczął się od cookies (czyli u nas byłby to art. 173 PT), gdzie nie ma przepisu na wyłganie się (odpowiednika art. 25 ust. 2 uoodo lub art. 14 ust. 5 RODO).

      Tak czy inaczej nie mam wątpliwości, że:
      – prowadzący stronę na Fejsbóku — zwłaszcza „biznesową” (nikt im nie kazał nie mieć swojej własnej domeny i tam prowadzić biznesu) — jest ADO,
      – czyli spoczywają na nim pewne obowiązki,
      – a jeśli Fejsbóś nie pozwala na udzielenie takich informacji, to oznacza, że się nie nadaje — a przecież to administrator odpowiada za wybór procesora (za jego nieudolność),
      – gdzie ja bym dodał, że to można kwalifikować jako winę w wyborze ;-)

      • Olgierd Rudak
        5 czerwca 2018 at 16:26

        A jeśli to dla kogoś tl;dr to moja najprostsza opinia jest taka — PORZUCAJTA FEJSBÓKI, BO BĘDZIE BIDA.

  3. 5 czerwca 2018 at 15:00

    Fanpage będą chyba zamykane – godzinę później o tym samym napisali na golem.de
    https://www.golem.de/specials/eu-dsgvo/

  4. Olgierd Rudak
    5 czerwca 2018 at 16:24

    Swoją drogą to ciekawe, że padło akurat na niemiecki serwis (u nich nawet strony impressum to pokaz siły informacji) — ale warto też zobaczyć (nawet jeśli nie umie się przeczytać, jak ja) tę stronkę:

    https://www.golem.de/sonstiges/Datenschutz.html

  5. gery
    6 czerwca 2018 at 12:22

    u nich nawet strony impressum to pokaz siły informacji
    Z tego co się orientuję to nakaz zamieszczania tych impressum dotyczy wszystkich jeśli robią strony w języku niemieckim lub w domenie .de. I ponoć Niemcy bardzo tego przestrzegają.

  6. sjs
    6 czerwca 2018 at 14:04

    Facebook informuje o ciasteczkach:

    „Używamy plików cookie, aby pomóc w personalizacji treści, dostosowywać i analizować reklamy oraz zapewnić bezpieczne korzystanie z serwisu. Klikając lub nawigując w tej witrynie, wyrażasz zgodę na gromadzenie przez nas informacji na Facebooku i poza nim przy użyciu plików cookie. Więcej informacji, łącznie z informacjami o dostępnych opcjach kontroli, znajdziesz w dokumencie : Zasady stosowania plików cookie.”

    • Olgierd Rudak
      7 czerwca 2018 at 20:11

      Sprawa sięga 2011 r., ciasteczka zaczęły straszyć na stronach www w 2013 r. — co by oznaczało, że sprawa dotyczy czasów, kiedy tylko najwięksi śmiałkowie myśleli o cookies w kategoriach danych osobowych.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.