Zamieszczenie na stronie internetowej wtyczki umożliwiającej polubienie fanpage tej strony na Facebooku stanowi przetwarzanie danych osobowych dotyczących osoby wchodzącej na stronę internetową. Taka informacja obiegła ostatnio Internet i wywołała dość dużo emocji.
Ten pogląd wynika z opinii Rzecznika Generalnego Trybunału Sprawiedliwości Unii Europejskiej wydanego w sprawie C-40/17. Z opinią możemy się zapoznać tutaj.
Najważniejsze kwestie związane z tą informacją:
Czy opinia ta wynika z wyroku TSUE?
Opinię tę wyraził Rzecznik Generalny Trybunału Sprawiedliwości Unii Europejskiej. Stąd też niektóre serwisy stwierdziły, że zrobił to po prostu Trybunał sam w sobie. To nie jest prawda - opinia Rzecznika Generalnego to nie to samo co wyrok samego Trybunału. Natomiast jest bardzo duża szansa, że Trybunał zgodzi się z tym stanowiskiem.
Czy to jakaś rewolucyjna informacja?
Nie, to że umożliwiając z poziomu strony internetowej polubienie jakiegoś fanpage na Facebooku, przyczyniamy się do przetwarzania danych użytkowników Facebooka nie jest jakąś rewolucją, wiedzieliśmy to już wcześniej. Opinia rzecznika tylko to potwierdza. Jest ona zresztą zgodna z wcześniejszymi stanowiskami Trybunału Sprawiedliwości dotyczącymi szerokiego rozumienia pojęcia administratora danych.
Czy to przez RODO?
Nie, cała sprawa w związku z którą wypowiedział się rzecznik ma oparcie w przepisach starej dyrektywy dotyczącej ochrony danych osobowych. Natomiast podkreślam jedną rzecz - RODO tutaj niczego nie zmienia. Tak jak rozumieliśmy pojęcie administratora danych na gruncie tej starej dyrektywy, tak samo rozumiemy mając na uwadze RODO.
Czy można używać wtyczek Facebooka na stronach internetowych zgodnie z RODO?
Można. I nie trzeba każdorazowo żądać osobnej zgody użytkownika w tym zakresie. Przetwarzanie bowiem opiera się na podstawie naszego prawnie uzasadnionego interesu - który z kolei nie wymaga zgody osoby, której dane dotyczą. Pamiętajmy jednak o dwóch rzeczach: Po pierwsze musimy poinformować taką osobę o wykorzystywaniu plików cookies Facebooka na naszej stronie internetowej. Po drugie - powinniśmy zamieścić odpowiednie informacje w polityce prywatności - czyli wskazać, że przekazujemy dane osób wchodzących na naszą stronę internetową Facebookowi. Oznacza to również przekazanie danych do USA - czyli do państwa trzeciego w rozumieniu RODO.
Kto właściwie jest administratorem danych użytkowników Facebooka zgodnie z RODO?
Wchodząc na naszą stronę internetową użytkownik z reguły przekazuje nam trochę swoich danych osobowych, takich jak adres IP (wiem, nie zawsze można po adresie IP ustalić konkretną osobę - dla ochrony danych nie ma to znaczenia), informacje o urządzeniu i kilka innych rzeczy. W tym momencie my już jesteśmy administratorem danych osobowych takiej osoby.
Dodatkowo, jeżeli używamy na naszej stronie internetowej wtyczki Facebooka, portal ten wie, że na naszą stronę wszedł dany użytkownik, który posiada na Facebooku konto. Jeżeli naciśnie przycisk lubię to na naszej stronie internetowej, informacja ta zostanie zapisana na samym Facebooku - bo stanie się obserwującym nasz profil. Dzięki temu możemy do takiej osoby kierować za pośrednictwem Facebooka komunikaty reklamowe itp. Dodam, że jest to możliwe nawet gdy osoba nie polubi naszego fanpage, a jedynie wejdzie na stronę internetową i zostawi w ten sposób ślad Facebookowi :)
W związku z tym nie tylko Facebook, ale także my jesteśmy administratorem danych osobowych tego użytkownika. Mamy bowiem jakiś wpływ na to co się dzieje z danymi osobowymi - a tym samym ustalamy "cele i sposoby przetwarzania danych". Dlatego właśnie w konsekwencji musimy spełniać pewne obowiązki wynikające z przepisów dotyczących ochrony danych osobowych.
UWAGA! Tę notatkę pisałem w 2018 r. Od tego czasu trochę się zmieniło. Jeśli chcesz dowiedzieć się więcej na temat tego jak należy podejść do przetwarzania danych na Facebooku, zachęcam Cię do przeczytania tego wpisu.