Facebook kontra ochrona danych
W dzisiejszym wpisie chcę Ci opowiedzieć o wyroku, który zapadł 5 czerwca 2018r., czyli stosunkowo niedawno.
Wyrok chociaż wprost dotyczył poprzednio obowiązujących przepisów (dyrektywy 95/46/WE), to jednak jest jak najbardziej aktualny w świetle RODO i zrozumienia, kto odpowiada jako administrator za przetwarzanie danych na Facebooku.
Sprawa na wagę wyroku Trybunały Sprawiedliwości UE
Sprawa rozpoczęła się w Niemczech i toczyła się przez kilka lat przechodząc przez kolejne sądy, zanim znalazła swój finał w Trybunale Sprawiedliwości Unii Europejskiej.
Stronami konfliktu była spółka specjalizująca się w dziedzinie edukacji i regionalny organ ds. ochrony danych.
Organ zażądał od spółki by ta dezaktywowała fanpage prowadzony na stronie Facebook Ireland Ltd.
Uzasadnieniem usunięcia profilu był brak informowania osoby odwiedzające fanpage o tym, że ich dane osobowe są gromadzone przez portal społecznościowy Facebook dzięki plikom cookies instalowanym na ich twardym dysku. A dane były gromadzone w celu sporządzenia statystyk wejść na stronę i umożliwienia emitowania dedykowanych reklam.
Ach te ciasteczka
Spór dotyczył zjawiska zwanego „webtracking”.
Jest to obserwowanie i analizowanie zachowań użytkowników w celach handlowych i marketingowych, czyli tym, co prawie każdy prowadzący fanpage na Fb się zajmuje, aby zrozumieć co jego potencjalni klienci robią i chcą widzieć.
I po to właśnie potrzebne są „ciasteczka”, aby śledzić preferencje użytkowników twojego profilu. O ciasteczkach możesz więcej przeczytać klikając w link: JAK MÓWIĆ PROSTO O CIASTECZKACH.
Gdy w grę wchodzi reklama behawioralna
Tutaj dochodzimy do kolejnej kwestii, a mianowicie reklamy behawioralnej.
Zgodnie z definicją podaną przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych w jej opinii 2/2010 z dnia 22 czerwca 2010 r. reklama behawioralna to reklama oparta na obserwacji zachowania osób fizycznych przez pewien czas.
Dąży do zbadania charakterystyki tego zachowania poprzez analizę działań użytkowników (powtórnie odwiedzane strony, interakcje, słowa kluczowe, produkcja treści internetowych itd.) w celu opracowania specjalnego profilu, a co za tym idzie zapewnienia osobom, których dane dotyczą, reklam dopasowanych do ich ustalonych zainteresowań”.
Aby uzyskać ten efekt, informacje pochodzące z wyszukiwarki i urządzenia końcowego użytkownika muszą zostać zgromadzone, a następnie wykorzystane.
Główna technika śledzenia stosowana w celu monitorowania użytkowników w Internecie bazuje na „szpiegujących plikach cookies”.
I tak „marketing behawioralny wykorzystuje zgromadzone informacje na temat zachowań użytkowników w zakresie przeglądania stron internetowych, takie jak odwiedzane strony lub wyszukiwania, w celu dobrania do jednostki odpowiedniej reklamy”*.
Natomiast, jak dotychczas było przyjmowane i RODO nadal to podkreśla gromadzenie i wykorzystywanie danych osobowych do celów tworzenia statystyk użytkowników i emitowania im dedykowanych reklam musi spełniać pewne warunki.
Warunki dla legalnego przetwarzania danych
W szczególności, przetwarzanie to nie może następować bez uprzedniego poinformowania zainteresowanych osób i bez ich uprzedniej zgody.
Po wejściu w życie RODO jeszcze bardziej akcentuje się świadomość użytkowników, jakie ich dane są zbierane, co administrator robi z tymi danymi i przez jaki czas je przetwarza.
W związku z tym, że Spółka niemiecka nie informowała swoich użytkowników o tym, dlaczego zbiera ich dane i po co, regionalny organ ds. ochrony danych żądła, aby Spółka dezaktywowała swój profil na Facebooku.
Ta jednak odmówiła uznając, że nie jest administratorem danych użytkowników, a administratorem jest Facebook.
Mów mi administrator
Trybunał sprawiedliwości UE po rozpoznaniu sprawy uznał, że w omawianej sprawie Facebook Inc. oraz jeśli chodzi o Unię, Facebook Ireland są podmiotami określającymi w pierwszej kolejności cele i sposoby przetwarzania danych osobowych użytkowników Facebooka, a także osób, które odwiedziły fanpage’e prowadzone na Facebooku.
W związku z czym Facebook Inc. oraz Facebook Ireland są administratorami danych.
Jednak, co ma istotne znaczenie dla podmiotów prowadzących fanpage, Trybunał przyjął, że administrator fanpage’a na portalu społecznościowym Facebook jest także administratorem danych osobowych osób, które odwiedzają ten fanpage.
Zaskoczony?? Od tej chwili nie ma możliwości, abyś zrzucał odpowiedzialność na Facebook. Jesteś administratorem!
* Opinia 1/2010 grupy roboczej art. 29 z dnia 16 lutego 2010 r. w sprawie pojęć „administrator danych” i „przetwarzający”, zwana dalej „opinią 1/2010”, s. 25.
adw. Małgorzata Moczulska
Pomagam zrozumieć przepisy prawa i prowadzić legalnie biznes online. Moi Klienci to osoby mające odwagę spełniać marzenia o własnej firmie, w której realizują swoje pasje, ale także rozwijają dochodowe biznesy zgodnie z obowiązującymi przepisami.
Zdjęcie: Pexles.com
Dzień dobry, nawet jeżeli osoba nie polubi naszej strony, to jej wejścia na stron, profil jest odnotowywany za pomocą ciasteczek (cookies zewnętrzne) i w ten sposób dane osoby są przetwarzane. Dlatego nie rozróżniałabym osób lajkujących od tych, co tylko oglądają nasze wpisy na profilu firmowym w serwisie społecznościowym, ale ogólnie napisała, że administrator korzysta z cookies zewnętrznego za pomocą̨ serwisów społecznościowych …..(np. Facebook).
Osoby logujące się na FB muszą zaakceptować ich regulamin, w tym ich zasady przetwarzania danych. Ja zawsze proponuję klientom, aby w polityce prywatności informowali o piksel facebooka, jeżeli oczywiście stosują oraz informację, że administrator wykorzystuje Cookies zewnętrzne w celu popularyzacji serwisu za pomocą̨ serwisów społecznościowych Facebook.com
Dzień dobry, czy to oznacza, że jak prowadzę fanpage służbowy (firmy, której jestem właścicielem), to jestem administratorem tylko tych osób, które polubiły fanpage firmy lub obserwują, czy także innych, którzy lajkują poszczególne wpisy (ale nie są wyszczególnieni jako lubiący stronę) albo tylko oglądają i nie podejmują żadnej aktywności (lajki, komentarze itp).
Dzięki za artykuł :). Czy możesz napisać, co to oznacza w praktyce, bo nie mam jasności, czy w związku z tym wystarczą zapisy w polityce prywatności na stronie, czy coś trzeba dodawać na Facebooku…