W dzisiejszym wpisie chcę Ci opowiedzieć  o wyroku, który zapadł 5 czerwca 2018r., czyli stosunkowo niedawno.

Wyrok chociaż wprost dotyczył poprzednio obowiązujących przepisów (dyrektywy 95/46/WE), to jednak jest jak najbardziej aktualny w świetle RODO i zrozumienia, kto odpowiada jako administrator za przetwarzanie danych na Facebooku.

Sprawa na wagę wyroku Trybunały Sprawiedliwości UE

Sprawa rozpoczęła się w Niemczech i toczyła się przez kilka lat przechodząc przez kolejne sądy, zanim znalazła swój finał w Trybunale Sprawiedliwości Unii Europejskiej.

Stronami konfliktu była spółka specjalizująca się w dziedzinie edukacji i regionalny organ ds. ochrony danych.

Organ zażądał od spółki by ta dezaktywowała fanpage prowadzony na stronie Facebook Ireland Ltd.

Uzasadnieniem usunięcia profilu był brak informowania osoby odwiedzające fanpage o tym, że ich dane osobowe są gromadzone przez portal społecznościowy Facebook dzięki plikom cookies instalowanym na ich twardym dysku. A dane były gromadzone w celu sporządzenia statystyk wejść na stronę i umożliwienia emitowania dedykowanych reklam.

Ach te ciasteczka

Spór dotyczył zjawiska zwanego „webtracking”.

Jest to obserwowanie i analizowanie zachowań użytkowników w celach handlowych i marketingowych, czyli tym, co prawie każdy prowadzący fanpage na Fb  się zajmuje, aby zrozumieć co jego potencjalni klienci robią i chcą widzieć.

I po to właśnie potrzebne są „ciasteczka”, aby śledzić preferencje użytkowników twojego profilu. O ciasteczkach możesz więcej przeczytać klikając w link: JAK MÓWIĆ PROSTO O CIASTECZKACH.

Gdy w grę wchodzi reklama behawioralna

Tutaj dochodzimy do kolejnej kwestii,  a mianowicie reklamy behawioralnej.

Zgodnie z definicją podaną przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych w jej opinii 2/2010 z dnia 22 czerwca 2010 r. reklama behawioralna to reklama oparta na obserwacji zachowania osób fizycznych przez pewien czas.

Dąży do zbadania charakterystyki tego zachowania poprzez analizę działań użytkowników (powtórnie odwiedzane strony, interakcje, słowa kluczowe, produkcja treści internetowych itd.) w celu opracowania specjalnego profilu, a co za tym idzie zapewnienia osobom, których dane dotyczą, reklam dopasowanych do ich ustalonych zainteresowań”.

Aby uzyskać ten efekt, informacje pochodzące z wyszukiwarki i urządzenia końcowego użytkownika muszą zostać zgromadzone, a następnie wykorzystane.

Główna technika śledzenia stosowana w celu monitorowania użytkowników w Internecie bazuje na „szpiegujących plikach cookies”.

I tak „marketing behawioralny wykorzystuje zgromadzone informacje na temat zachowań użytkowników w zakresie przeglądania stron internetowych, takie jak odwiedzane strony lub wyszukiwania, w celu dobrania do jednostki odpowiedniej reklamy”*.

Natomiast, jak dotychczas było przyjmowane i RODO nadal to podkreśla gromadzenie i wykorzystywanie danych osobowych do celów tworzenia statystyk użytkowników i emitowania im dedykowanych reklam musi spełniać pewne warunki.

Warunki dla legalnego przetwarzania danych

W szczególności, przetwarzanie to nie może następować bez uprzedniego poinformowania zainteresowanych osób i bez ich uprzedniej zgody.

Po wejściu w życie RODO jeszcze bardziej akcentuje się świadomość użytkowników, jakie ich dane są zbierane, co administrator robi z tymi danymi i przez jaki czas je przetwarza.

W związku z tym, że Spółka niemiecka nie informowała swoich użytkowników o tym, dlaczego zbiera ich dane i po co, regionalny organ ds. ochrony danych żądła, aby Spółka dezaktywowała swój profil na Facebooku.

Ta jednak odmówiła uznając, że nie jest administratorem danych użytkowników,  a administratorem jest Facebook.

Mów mi administrator

Trybunał sprawiedliwości UE po rozpoznaniu sprawy uznał, że w omawianej sprawie Facebook Inc. oraz jeśli chodzi o Unię, Facebook Ireland są podmiotami określającymi w pierwszej kolejności cele i sposoby przetwarzania danych osobowych użytkowników Facebooka, a także osób, które odwiedziły fanpage’e prowadzone na Facebooku.

W związku z czym Facebook Inc. oraz  Facebook Ireland są administratorami danych.

Jednak, co ma istotne znaczenie dla podmiotów prowadzących fanpage, Trybunał przyjął, że administrator fanpage’a na portalu społecznościowym Facebook jest także administratorem danych osobowych osób, które odwiedzają ten fanpage.

Zaskoczony?? Od tej chwili nie ma możliwości, abyś zrzucał odpowiedzialność na Facebook. Jesteś administratorem!

* Opinia 1/2010 grupy roboczej art. 29 z dnia 16 lutego 2010 r. w sprawie pojęć „administrator danych” i „przetwarzający”, zwana dalej „opinią 1/2010”, s. 25.