Jeszcze jakiś czas temu NFT było nadzwyczaj popularnym tematem, w którego promocję zaangażowane były gwiazdy światowego formatu. Na dzień dzisiejszy (raczej) można stwierdzić, iż wielki szał sprzedaży cyfrowych obrazków, grafik czy gifów minął, a bańka NFT pękła. Jednakże, pojawia się zasadnicze pytanie, czy potencjał wykorzystania tej technologii zmalał? Czym jest NFT? NFT („non-fungible token”), w tłumaczeniu na język polski, jest to tzw. „niewymienialny token” będący unikalnym elementem kodu blockchain, charakteryzujący się tym, że nie można go wymienić na inny. Inaczej mówiąc, NFT to unikalny kod w łańcuchu bloków, stanowiący zapis własności dowolnego towaru cyfrowego lub fizycznego, a zarazem potwierdzający, że […]
Administrator Fanpage'a to administrator danych osobowych ?
26 czerwca 2018 |
Odpowiedź na dzisiejsze pytanie, co zaskakujące, nie jest związana z wejściem z życie RODO. To czy administratorem danych przetwarzanych za sprawą Fanpage’a na Facebooku jest jego posiadacz czy Facebook zostało rozstrzygnięte wyrokiem Trybunału Sprawiedliwości Unii Europejskiej 5 czerwca 2018 r. (C-210/16). Czy zatem prowadząc Fanpage’a jesteś administratorem danych osobowych ? Otóż Trybunał Sprawiedliwości uznał, że TAK. O tym, w jakim zakresie prowadzący profile na Facebooku są administratorami danych osobowych opowiemy w dzisiejszym wpisie 😉
Treść wyroku Trybunału Sprawiedliwości UE nie pozostawia wątpliwości. Administrator fanpage’a prowadzonego na portalu społecznościowym ponosi na równi z portalem wspólną odpowiedzialność za przetwarzanie danych osób, które odwiedzają stronę. Co ciekawe wyrok został wydany jeszcze na podstawie „starych” przepisów – w trybie prejudycjalnym o wykładnię dyrektywy 95/46/WE z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. I chociaż wykładnia dotyczy dyrektywy którą RODO uchyliło, to rozważania zawarte w treści orzeczenia pozostają nadal aktualne. Ale po kolei… 😉
Stan faktyczny sprawy przez TSUE
Spór, którego efektem jest orzeczenie Trybunału Sprawiedliwości UE, wynikł pomiędzy spółką Wirtschaftsakademie Schleswig-Holstein GmbH (spółka prawa prywatnego specjalizująca się w dziedzinie edukacji) a Unabhängiges Landszentrum für Datenschutz Schleswig-Holstein (niezależny regionalny organ ds. ochrony danych kraju związkowego Szlezwik-Holsztyn, Niemcy) i dotyczył zgodności z prawem wydanego przez ULD wobec spółki nakazu dezaktywacji jej fanpage’a prowadzonego na portalu Facebook.
Czym jest fanpage według Trybunału Sprawiedliwości UE? 😉 W wyroku przeczytamy, że „to konto użytkownika, które mogą być skonfigurowane na Facebooku przez osoby fizyczne lub przedsiębiorstwo. W tym celu po zarejestrowaniu się na Facebooku autor fanpage’a może wykorzystywać platformę oferowaną przez Facebook do zaprezentowania się użytkownikom tego portalu społecznościowego, jak również osobom odwiedzającym fanpage’a oraz do zamieszczania informacji wszelkiego rodzaju na rynku mediów i poglądów.”
Dlaczego nakazano dezaktywacji konta decyzją z dnia 3 listopada 2011 r.? ULD, jako organ nadzorczy na podstawie dyrektywy 95/45, nakazał Wirtschaftsakademie, zgodnie z § 38 ust. 5 zdanie pierwsze BDSG*, dezaktywację fanpage’a stworzonego przez nią na Facebooku pod groźbą grzywny w przypadku niewykonania decyzji w wyznaczonym terminie ze względu na to, iż ani Wirtschaftsakademie, ani Facebook nie informowali osób odwiedzających fanpage’a o tym, że Facebook gromadził za pomocą plików cookies (o których opowiemy Wam w kolejnym artykule 😉 ) ich dane osobowe oraz że następnie przetwarzali te informacje.
Spółka wniosła odwołanie od tej decyzji, w którym podniosła że nie była odpowiedzialna ani za przetwarzanie danych dokonywane przez Facebook, ani za zainstalowane przez niego pliki cookies. Sprawa przeszła, nie bez echa, przez instancje niemieckiego sądu administracyjnego, by swój finał 5 czerwca 2018r. mieć przez Trybunałem Sprawiedliwości UE.
Administrator Fanpage’a administratorem danych
W orzeczeniu TSUE przypomniał, że treść art. 1 ust. 1 i motywu 10 dyrektywy 95/46 ma na celu zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych. Zgodnie z tym celem, art. 2 lit. d) dyrektywy definiuje w sposób szeroki pojęcie „administratora danych” jako oznaczające osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych.
TSUE nie miał wątpliwości co do tego, że Facebook Inc. oraz w przypadku Unii Facebook Ireland są uznane „za podmioty które określają w pierwszej kolejności cele i sposoby przetwarzania danych osobowych użytkowników Facebooka, a także osób, które odwiedziły fanpage’e prowadzone na Facebooku, w związku z czym objęte są one pojęciem „administratora danych” w rozumieniu dyrektywy 95/46.” Mając nawet szczątkową wiedzę na temat ochrony danych osobowych i kierując się czystą logiką, wielu użytkowników Facebooka za jedynego administratora swoich danych po prostu postrzegają Facebook. Według TSUE to jednak nie jedyny administrator danych.
Dlaczego Trybunał uznał administratora fanpage’a za administratora danych?
Kluczowym dla Trybunału było rozstrzygnięcie czy i w jakim zakresie administrator fanpage’a prowadzonego na Facebooku przyczynia się w ramach swojej strony do określania, razem z Facebook, celów i sposobów przetwarzania danych osobowych osób odwiedzających dany fanpage.
Sedno sprawy sprowadza się do faktu, że przetwarzanie danych osobowych dokonywane jest poprzez zapisywane przez Facebook na komputerze czy też innym urządzeniu z którego korzysta osoba fizyczna plików cookies. Pliki te przechowują informacje w przeglądarkach internetowych i pozostają aktywne przez dwa lata. Facebook otrzymuje, zapisuje i przetwarza informacje zawarte w plikach- ciasteczkach. Co najważniejsze z cookies mogą korzystać partnerzy oraz osoby trzecie, za sprawą produktów Facebook.
Ciasteczka pomagają w pierwszej kolejności Facebookowi w poprawie systemu reklam. Jednak korzyści odnosi także administrator fanpage’a – bowiem uzyskuje statystyki tworzone w oparciu o liczbę odwiedzających jego stronę. Cel jest prosty- zarządzanie promocją. Administrator profilu uzyskuje statystyki, dzięki którym może poznać profil odwiedzających i zaproponować im bardziej odpowiednie treści.
Trybunał odkreślił, że „sam fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal„. Większość użytkowników w tym momencie odetchnęła z ulgą 😉
Niemniej jednak administrator fanpage’a, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a ( i to bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie). Utworzenie strony na Facebooku wiąże się z „podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.”
Każdy administrator fanpage’a może zwrócić się w dowolnym momencie do Facebook’a, celem otrzymania statystyk, zawierających dane demograficzne użytkowników dla niego docelowych (w szczególności tendencji w zakresie wieku, płci, stanu cywilnego i statusu zawodowego) informacji na temat stylu życia i zainteresowań jego użytkowników docelowych, a także informacji dotyczących zakupów i zachowań w sieci osób odwiedzających jego stronę, kategorii produktów lub usług, które najbardziej ich interesują, jak również danych geograficznych. Po co? Pozwala to administratorowi fanpage’a ustalić, gdzie należy przeprowadzić promocje lub zorganizować wydarzenia, czy jak najlepiej ukierunkować swą ofertę informacyjną.
I chociaż, co znalazło się w treści wyroku, dane przekazywane przez Facebook są dla administratora fanpage’a anonimowymi statystykami, to TSUE uznał, że „sporządzanie tych statystyk opiera się na wcześniejszym gromadzeniu, za pomocą plików cookies instalowanych przez Facebook na komputerach lub na wszelkich innych urządzeniach osób odwiedzających tę stronę, i na przetwarzaniu danych osobowych tych osób w celach statystycznych„. Co więcej, przepisy z zakresu ochrony danych nie wymagają, aby administrator miał dostęp do danych osobowych (co brzmi całkiem absurdalnie).
Operator fanpage’a uczestniczy w przetwarzaniu danych osobowych, jak uznał TSUE, jako administrator, bo podejmuje działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a.
Tym samym pojęcie „administratora danych” zgodnie z orzeczeniem TSUE obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym, chociaż na pierwszy rzut oka wiadomym jest, że w tej relacji to portal ma przewagę nad administratorem fanpage’a.
*BDSG - Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych)
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.