Media społecznościowe, takie jak Facebook, są coraz bardziej popularne i nie chodzi tu tylko o utrzymywanie prywatnych relacji, ale o relacjonowanie działalności firmy lub urzędu oraz przekazywanie informacji w ramach tzw. społeczeństwa informacyjnego. Facebook umożliwia „polubienie” firmowego fanpage’a, dodawanie komentarzy pod postami, zamieszczenie wpisu na osi czasu czy też napisanie wiadomości. Czy prowadząc firmowy fanpage na Facebooku, firma/urząd ma obowiązki wobec osób, które aktywnie korzystają z jego portalu? Okazuje się, że tak!
Administrator fanpage’a jest administratorem danych osób, które odwiedzają portal, polubią go czy zamieszczą komentarz pod postem. Również zgodnie z regulaminem Facebooka to właściciel profilu firmowego jest Administratorem danych tam przetwarzanych. Zatem to firma/urząd musi spełnić pewne obowiązki wynikające z RODO.
Oto kilka najważniejszych zasad:
- Ustal przesłankę przetwarzania danych osobowych zgodnie z art. 6 ust. 1 RODO.
- Wypełnij obowiązek informacyjny wobec użytkownika Twojego fanpage’a zanim pozyskasz jego dane np. w miejscu, gdzie opublikowałeś informacje o firmie/urzędzie lub odpowiednio podlinkuj informacje o klauzuli informacyjnej o przetwarzaniu danych osobowych.
- Nie musisz pozyskiwać odrębnej zgody na przetwarzanie danych osobowych od osób, które odwiedzają Twój firmowy fanpage, jednak powinieneś odebrać zgodę na wykorzystanie plików cookies i zapisanie ich na urządzeniu końcowym użytkownika.
- Przy promocji wydarzeń i zamieszczaniu zdjęć zastanów się, czy nie musisz mieć zgody na udostępnienie/wykorzystanie wizerunku zgodnie z ustawą z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.
- Jeżeli chcesz wykorzystać dane pozyskane za pomocą portalu do celów marketingowych, zastanów się, czy nie musisz pozyskać odrębnej zgody od użytkownika Twojego fanpage’a.
- Uzupełnij Rejestr czynności przetwarzania danych osobowych (jeżeli masz obowiązek prowadzenia) wskazując w nim przekazywanie danych odbiorcy danych spoza EOG.
- Zadbaj o to, by osoba zarządzająca firmowym fanpage’em, wprowadzająca i edytująca treści na profilu, otrzymała stosowne upoważnienie do przetwarzania danych osobowych oraz określ zasady zarządzania profilem społecznościowym.
- Jeżeli Twoim fanpage’em zajmuje się firma zewnętrzna zadbaj o to, by spełnione były wymagania związane z powierzeniem przetwarzania danych osobowych. Wówczas odpowiednio uzupełnij Rejestr czynności przetwarzania danych osobowych (jeżeli masz obowiązek prowadzenia).
Facebook umożliwia również używanie swojej wtyczki „Lubię to” na innych stronach internetowych np. urząd/firma posiadający profil na Facebooku może umieścić wtyczkę na swojej stronie internetowej www. Dzięki temu użytkownik może szybciej trafić na profil społecznościowy urzędu/firmy. Zatem taki podmiot jest wspólnie z Facebookiem (dostawcą wtyczki społecznościowej „Lubię to”) administratorami danych osobowych osób korzystających z witryn takich podmiotów, a więc współadministratorami danych osobowych osób odwiedzających te witryny (w zakresie zbierania i transmisji danych Facebookowi). Taki wniosek płynie z wyroku, który 29 lipca 2019 r. wydał Trybunał Sprawiedliwości UE. Chodzi o wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV. Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożył Oberlandesgericht Düsseldorf.
Jakie rodzi to konsekwencje po stronie urzędu/firmy prowadzącej firmowy fanpage?
- Jeżeli używasz wtyczki „Lubię to” na innych stronach w Internecie – wskaż współadministratora danych w Rejestrze czynności przetwarzania danych osobowych (jeżeli masz obowiązek prowadzenia).
- Wypełnij obowiązek informacyjny wobec użytkownika Twojego fanpage’a zanim pozyskasz jego dane np. w miejscu, gdzie opublikowałeś informacje o firmie/urzędzie lub odpowiednio podlinkuj informacje o klauzuli informacyjnej o przetwarzaniu danych osobowych, wskazując m.in., że będziesz przekazywał Facebookowi informacje o adresie IP i identyfikatorze przeglądarki użytkownika.
- Należy zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO). Obecnie na stronie Facebooka w zakładce „Prywatność” możemy znaleźć poszczególne informacje np. W jaki sposób możesz skorzystać z praw przysługujących Ci na mocy RODO (ang. GDPR)? Jak kontaktować się z Facebookiem w celu uzyskania odpowiedzi na pytania? Jednak jest to stan informacji na dzień 19 kwietnia 2018 roku. Właściciel strony internetowej www korzystający z wtyczki „Lubię to” powinien również na firmowym fanpage’u zamieścić taką informację np. przygotować własną politykę prywatności, która w sposób jasny i czytelny będzie określała zasady przetwarzania danych osobowych.
Podsumowując, posiadanie przez urząd/firmę fanpage’a może być dobrym rozwiązaniem marketingowym lub informacyjnym dla użytkowników Facebooka. Prowadząc jednak taki fanpage należy pamiętać o wypełnieniu obowiązków wynikających z RODO. Bowiem każde przetwarzanie danych osobowych musi przebiegać w zgodzie z obowiązującym prawem.
Autor: Monika Kowalik, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.