W dniu 5 września 2018 r. Konferencja niezależnych organów nadzorczych na poziomie krajowym oraz federalnym (zwana dalej DSK lub Konferencją) opublikowała uchwałę/decyzję w sprawie fanpage’y na Facebooku. Uchwała ta, bazując na czerwcowym wyroku Trybunału Sprawiedliwości Unii Europejskiej (TS UE) w sprawie C-210/16 Schleswig-Holstein, wyraża stanowisko niemieckich organów na temat obowiązków, jakie spoczywają na podmiotach zakładających fanpage na Facebooku (zwanych dalej „administratorem fanpage’a”)[1].
W ww. wyroku podmioty takie zostały uznane wraz z Facebook’iem za współ-administratora danych osób odwiedzających fanpage. W związku z tym DSK, grupująca wszystkie niemieckie organy ochrony danych, zarówno federalny jak i działające na poziomie krajów związkowych, przyjęła uchwałę precyzującą obowiązki spoczywające na takich podmiotach. Warto również zwrócić uwagę, że spełnienie tych obowiązków może być w praktyce trudne, przynajmniej w obecnym kształcie usługi Fanpage’u.
Jednocześnie należy podkreślić, że temat czerwcowego wyroku TS UE jest bardzo żywy wśród niemieckich organów, o czym świadczą liczne artykuły umieszczane na ich stronach internetowych.
Poniżej zamieszczono tłumaczenie uchwały DSK, której niemiecką wersję językową można znaleźć pod następującym adresem:
https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/beschluesse.
Uchwała DSK w sprawie fanpage’y na Facebooku
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł w swoim wyroku z dnia 5 czerwca 2018 r., sygn. Akt C-210/16, że dochodzi do współadministrowania pomiędzy administratorem fanpage’a oraz Facebookiem. Konferencja niezależnych organów nadzorczych na poziomie krajowym oraz federalnym (DSK) w swojej decyzji z dnia 6 czerwca 2018 r. wyraźnie wskazała, jakie konsekwencje wynikają z powyższego wyroku w odniesieniu do współadministratorów – w szczególności administratora strony.
W odniesieniu do współadministratowania, Ogólne Rozporządzenie o Ochronie Danych (RODO) wymaga, m. in., porozumienia pomiędzy uczestnikami, które jasno określa w jaki sposób obowiązki nałożone przez RODO będą wypełniane.
Od momentu wydania wyroku przez TS UE upłynęły 3 miesiące. Istotnie, Facebook wprowadził pewne zmiany w swojej ofercie – np. w odniesieniu do plików cookie , jednakże pliki cookie z identyfikatorami nadal będą umieszczane w przypadku osób, które nie są użytkownikami Facebooka, zawsze gdy wywołają Fanpage’a za pośrednictwem strony startowej Facebooka.
Również, tak samo jak poprzednio, wizyty osób, których dane dotyczą na fanpage’u będą oceniane na podstawie określonych kryteriów, częściowo ustanowionych uprzednio w ramach tzw. funkcji Insight Facebooka, a następnie przekazywane do dyspozycji administratora fanpage’a.
TS UE podkreślił również m. in., że: fanpage’e prowadzone na Facebooku mogą być odwiedzane również przez osoby, które nie są użytkownikami Facebooka i które w związku z tym nie posiadają konta użytkownika na tym portalu społecznościowym. W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”
Jak do tej pory Facebook nie wydał oficjalnych oświadczeń, dotyczących tego czy oraz jakie kroki zostaną podjęte, w celu umożliwienia zgodnego z prawem korzystania z fanpage’y. Porozumienie na mocy art. 26 RODO (współadministratorzy), zapowiedziane przez Facebooka jeszcze w czerwcu 2018 r., nie zostało do tej pory przedstawione. Z tego względu niemieckie organy nadzorcze dążą do tego, aby przyjęto uzgodnione stanowisko wobec Facebooka na forum europejskim.
Również administratorzy fanpage’y muszą przyjąć swoją odpowiedzialność w zakresie prawa ochrony danych. Administrowanie fanpage’m bez porozumienia na mocy art. 26 RODO, w sposób jaki obecnie jest oferowany przez Facebooka jest niezgodne z prawem.
Z tego względu DSK wymaga, aby od tej pory wymogi prawa ochrony danych były wypełniane przez administratora fanpage’y. W szczególności dotyczy to wyjaśnienia sytuacji przez współadminsitratorów oraz przekazanie wymaganych informacji osobom, których dane dotyczą (czyli osobom odwiedzającym fanpage).
Współadministrowanie oznacza jednak również, że administratorzy fanpage’y (niezależnie od tego, czy chodzi tutaj o administratorów będących instytucją publiczną czy nie), muszą zapewnić zgodność z prawem przetwarzania danych, które podlega współadministrowaniu
i muszą być w stanie to wykazać. Ponadto osoby, których dane dotyczą mogą wykonać swoje prawa określone w RODO wobec każdego ze współadministratorów (art. 26 ust. 3 RODO).
W szczególności, zarówno Facebook jak i administrator strony, muszą być w stanie odpowiedzieć na pytania zawarte w załączniku.
Załącznik z katalogiem pytań
- W jaki sposób ustalono Pomiędzy Państwem a drugim współadministratorem, kto
z Państwa odpowiada za wykonanie poszczególnych obowiązków nałożonych przez RODO (art. 26 ust. 1 RODO)? - Na podstawie jakiego porozumienia uzgodnili Państwo pomiędzy sobą, kto z Państwa przekazuje poszczególne informacje zgodnie z art. 13 oraz 14 RODO?
- W jaki sposób zostaną udostępnione osobom, których dane dotyczą kluczowe elementy tego porozumienia?
- W jaki sposób zapewnią Państwo, że prawa osób, których dane dotyczą (art. 12
i następne RODO), w szczególności prawo do usunięcia danych, zgodnie z art. 17 RODO, prawo do ograniczenia przetwarzania, zgodnie z art. 18 RODO, prawo do sprzeciwu, zgodnie z art. 21 RODO oraz prawo dostępu, zgodnie z art. 15 RODO będą mogły być wykonane? - W jakich celach oraz na jakiej podstawie prawnej przetwarzają Państwo dane osobowe osób odwiedzających fanpage’e? Które dane osobowe będą przechowywane? W jakim stopniu będą ustanawiane lub wzbogacane profile na podstawie odwiedzin fanpage’y Facebooka? Czy w celu utworzenia profilu będą wykorzystywane również dane osobowe osób, niebędących użytkownikami Facebooka? Jakie przewidziano okresy przechowywania danych?
- W jakim celu oraz na jakiej podstawie prawnej będą tworzone wpisy w tzw. pamięci lokalnej w przypadku pierwszego wywołania strony również w odniesieniu do osób, niebędących użytkownikami Facebooka.
- W jakim celu oraz na jakiej podstawie prawnej, po wywołaniu podstrony na podstawie oferty umieszczonej na fanpage’u będą umieszczane sesyjne pliki cookie oraz pliki cookie stron trzecich, których okres przechowywania wynosi od 4 miesięcy do 2 lat?
- Jakie podjęli Państwo środki, aby pozostawać w zgodności z Państwa obowiązkami wynikającymi z art. 26, jako współadministratora oraz aby zawrzeć odpowiednie porozumienie?
[1] Dla porządku należy zaznaczyć, że pojęcie administrator fanpage’a nie jest tożsame z pojęciem administratora na gruncie Rozporządzenia 679/2016/UE i w niemieckiej wersji językowej ww. wyroku oraz RODO użyto innych pojęć. Jednakże w polskiej wersji wyroku TS UE jest mowa o „administratorze fanpage’u”, dlatego zdecydowaliśmy się zachować to pojęcie, zwłaszcza że ostatecznie „administrator fanpage’a/ podmiot zarządzający fanpage’em” został uznany za współadministratora.