Jak poinformował na swojej stronie internetowej norweski organ ds. ochrony danych osobowych (Datatilsynet), zdecydował się on nie korzystać już z usług Facebooka. Punktem wyjścia dla podjęcia decyzji o założeniu konta na Facebook’u było wykorzystanie najpopularniejszego portalu społecznościowego w celu szybkiej i skutecznej komunikacji z obywatelami. Jednak z biegiem czasu organ odwrócił perspektywę i spojrzał na przetwarzanie danych osobowych na portalu z punktu widzenia jego użytkowników. Regulator powziął wątpliwość czy przetwarzanie nadal może być przeprowadzone w sposób akceptowalny i budujący zaufanie.
Niełatwa ocena
Wszystkie podmioty przetwarzające dane osobowe mają obowiązek zapewnienia przetwarzania danych osobowych w zgodności z RODO. Obowiązki nałożone rozporządzeniem mają zastosowanie także w przypadku, gdy administrator korzysta z mediów społecznościowych, np. fanpage’a na Facebooku. Norweski organ nadzorczy uznał, że ryzyko dla praw i wolności osoby, której dane dotyczą, jest wysokie. Aby zapewnić ochronę prywatności osób odwiedzających fanpage organu nadzorczego, przeprowadzono zatem ocenę ryzyka i ocenę skutków dla ochrony danych w oparciu o art. 35 RODO.
Jak wskazał norweski regulator- ocena ta była trudna i kompleksowa. Doprowadziła do poddania w wątpliwość wielu kwestii związanych z technologią, prawem i etyką. Na stronie internetowej organu można znaleźć raport (https://www.datatilsynet.no/contentassets/8561465062b04a6b904c8c3573a24687/report-en_should-the-norwegian-dpa-create-a-page-on-facebook.pdf) zawierający systematyczny opis przetwarzania danych związanego z posiadaniem fanpage’a na Facebooku, w tym charakter, zakres, cel, kontekst, źródła i odbiorców, a także ocenę bezpieczeństwa umieszczanych tam informacji.
Norweski organ dokonał oceny z pominięciem Facebook’a. Wynikało to z tego, że regulator nie chciał mieszać funkcji organu nadzoru i administratora. Ocena ryzyka oparła się zatem na tych samych podstawach i warunkach jak w przypadku wszystkich innych podmiotów, które korzystają lub rozważają utworzenie fanpage’a na portalu społecznościowym.
W ocenie norweskiego organu nadzorczego zagrożenia dla praw i wolności osób, których dane dotyczą, związane z przetwarzaniem danych osobowych za pośrednictwem fanpage’a na Facebooku były zbyt wysokie. Jako właściciel fanpage’a, organ nie mógł wdrożyć środków mających na celu łagodzenie tego ryzyka. Przypomnijmy, że kwestie podziału ról i odpowiedzialności za prowadzenie fanpage’a na portalu społecznościowym zostały omówione w orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej (TSUE). W szczególności w dwóch orzeczeniach, Wirtschaftsakademie (C-210/16) i Fashion ID (C-40/17), stwierdzono, że interakcja między portalem społecznościowym a właścicielem fanpage’a może stanowić powstanie relacji współadministrowania (art. 26 RODO).
Monopol Facebook’a
Jak wskazał norweski regulator, do podjęcia decyzji o zaprzestaniu prowadzenia fanpage’a organu skłonił także fakt niemożności zawarcia z Facebook’iem odrębnej umowy, która zagwarantowałaby działania w pełni zgodne z RODO.
W ocenie regulatora, pomimo faktu, że organ jako właściciel fanpage’a przestrzega podstaw prawnych przetwarzania danych w tym zasady prywatności oraz respektuje prawa i wolności osób, których dane dotyczą, jest tak naprawdę skazany na łaskę Facebooka i jego warunków, tworząc i korzystając z fanpage’a. W opublikowanym raporcie organ nadzorczy przedstawił jednak pewne środki, które mogą ograniczyć niektóre zagrożenia związane z ochroną danych dla poszczególnych użytkowników.
Jak wynika z przeprowadzonej przez norweski organ oceny, uwzględnianie ochrony danych już w fazie projektowania i domyślna ochrona danych to kluczowe zasady w prawodawstwie dotyczącym ochrony danych. Zasady te powinny być również zawarte w porozumieniach z usługodawcami.
Szczególna odpowiedzialność podmiotów publicznych
Korzystając z najpopularniejszych, bezpłatnych narzędzi od gigantów technologicznych, podmioty publiczne niejako zachęcają podmioty z sektora prywatnego do gromadzenia i wykorzystywania danych. Jednocześnie z uwagi na praktycznie monopolistyczną pozycję Facebook’a powstaje związek zależności między właścicielem fanpage’a a portalem.
Pomimo, że wiele podmiotów skorzysta z doświadczenia norweskiego organu, należy wskazać, że te oceny dotyczą wyłącznie korzystania z usług Facebook’a przez organ do spraw ochrony danych osobowych. Należy zauważyć, że w tym kontekście norweski regulator nie zanegował ogólnej legalności działań podejmowanych przez organy publiczne korzystające ze stron na Facebooku lub ogólnie mediów społecznościowych w swoich działaniach komunikacyjnych.
Warto przypomnieć o niedawnym zaleceniu niemieckiego organu właściwego do spraw ochrony danych osobowych – Federalnego Komisarza ds. Ochrony Danych i Wolności Informacji (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) usunięcia wszystkich fanpage’ów prowadzonych na Facebook’u przez niemieckie organizacje rządowe (o czym pisaliśmy tutaj: https://gdpr.pl/organ-nadzorczy-zakazal-organom-publicznym-korzystania-z-facebooka).
Organ nadzorczy zakazał organom publicznym korzystania z Facebooka
Źródło:
Zapraszamy na szkolenie:
Szczegóły i formularz zgłoszenia znajdują się tutaj
