Wtyczki społecznościowe a przetwarzanie danych osobowych, czyli jak „przypadkiem” nie zostać współadministratorem
„Lubię to” – tę wtyczkę Facebooka można znaleźć na wielu witrynach internetowych. Umieszczenie jej pozwala użytkownikowi „polubić” odwiedzaną stronę. Problem w tym, że nie tylko. „Przy okazji” do Facebooka trafiają dane osobowe internauty. Dzieje się tak również wtedy, gdy nie kliknie on przycisku, a nawet – gdy nie ma konta na Facebooku! Czy prowadzący stronę internetową odpowiada zatem za dane, które trafiają do portalu społecznościowego? Do tej kwestii odniósł się końcem lipca tego roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku w sprawie C-40/17.
Facebook lubi zbierać nasze dane
O co chodzi? Otóż firma Fashion ID zajmująca się sprzedażą odzieży przez internet umieściła na swojej stronie wtyczkę „Lubię to” portalu społecznościowego Facebook. Wtyczka ta powodowała, że po wejściu użytkownika na stronę firmy jego adres IP, dane dotyczące odwiedzanej witryny i dane dotyczące wykorzystywanej przeglądarki były automatycznie przekazywane do Facebook Ireland (nie trzeba było ani klikać przycisku „Lubię to”, ani mieć konta na Facebooku), czego internauta zwykle nie był świadomy. Należy przy tym zauważyć, że działanie tego sklepu internetowego nie było niczym nadzwyczajnym – przycisk „Lubię to” umieszcza na swoich stronach wiele podmiotów – a problem dotyczy także wtyczek innych portali społecznościowych.
Przekazywanie danych osobowych przez Fashion ID Facebookowi dzięki wtyczce społecznościowej nie spodobało się niemieckiemu stowarzyszeniu Verbraucherzentrale NRW broniącemu praw konsumentów. Zarzuciło ono sklepowi internetowemu udostępnianie danych osobowych użytkowników jego strony bez ich zgody i wiedzy (niedopełnienie obowiązku informacyjnego). Firma Fashion ID argumentowała, że nie jest administratorem danych, które trafiły do Facebooka. Zajmujący się sprawą wyższy sąd krajowy w Düsseldorfie zwrócił się z prośbą o interpretację do TSUE. Warto zauważyć, że sprawa była rozpatrywana jeszcze z perspektywy przepisów poprzedzających RODO.
Masz wtyczkę społecznościową? Jesteś współadministratorem danych…
Trybunał uznał, że firma Fashion ID przez umieszczenie wtyczki „Lubię to” na swojej stronie internetowej w decydujący sposób wpłynęła na gromadzenie i przekazywanie danych osobowych jej użytkowników na rzecz Facebooka. Według TSUE sklep prawdopodobnie miał świadomość, że za pomocą wtyczki portal społecznościowy może pozyskiwać dane osobowe użytkowników, niezależnie od tego, czy mają oni na nim założone konto, czy nie. Zdaniem Trybunału dzięki zastosowaniu wtyczki społecznościowej i transferze tych danych korzyści osiągają zarówno Fashion ID, jak i Facebook. Korzyścią dla Fashion ID jest większa widoczność w portalu społecznościowym reklam produktów oferowanych przez firmę, z kolei Facebook może wykorzystywać otrzymane dane do swoich celów komercyjnych. Oba podmioty określają więc sposoby i cele przetwarzania danych osobowych użytkowników. TSUE wskazał, że nie muszą one być tożsame. Mogą być „równoległe”.
Co za tym idzie – TSUE stwierdził, że Fashion ID jest współadministratorem danych osobowych zbieranych przez Facebooka dzięki wtyczce (nawet jeśli nie ma do tych danych dostępu), ale tylko w odniesieniu do ich zbierania i udostępniania na rzecz tego portalu społecznościowego za pomocą wtyczki. Firma nie jest natomiast administratorem tych danych (czynności przetwarzania) w odniesieniu do tego, w jaki sposób są przetwarzane przez Facebooka dalej. Oczywiście administratorem pozyskanych danych osobowych jest też sam Facebook. Mamy zatem do czynienia z sytuacją, w której jest dwóch współadministratorów. Obaj są jednak zaangażowani w proces przetwarzania danych na różnych jego etapach oraz w różnym stopniu i mają przypisane własne odpowiedzialności.
Masz więc obowiązki
Z wyroku Trybunału wynika więc, że firma Fashion ID, jako że jest współadministratorem danych, powinna ocenić odpowiednio rodzaje ryzyka, zapewnić rozliczalność procesów gromadzenia i udostępniania danych na rzecz Facebooka, a także umieć wskazać właściwą podstawę prawną dla takiego przetwarzania. Podmiot prowadzący stronę internetową, który chce używać wtyczki społecznościowej, musi zatem ustalić, na jakiej podstawie prawnej może transmitować dane osobowe użytkowników do portalu społecznościowego, a jeśli uzna, że potrzebuje na to ich zgód, musi je uzyskać. Poza tym jest zobowiązany dopełnić obowiązku informacyjnego: poinformować użytkowników swojej strony jeszcze przed rozpoczęciem korzystania z niej, że ich dane są temu portalowi społecznościowemu przekazywane, choć nie ma obowiązku poinformowania, co się dzieje z nimi dalej (zwłaszcza że zwykle o tym nie wie). Powinien również dodać informacje dotyczące przekazywania danych osobowych za pośrednictwem wtyczki społecznościowej w swojej polityce prywatności.
Jak nie zostać współadministratorem danych?
Widgety innych serwisów, wprawdzie łatwo jest zwykle wykorzystać bez wielkiej wiedzy technicznej ale od zawsze niosły ryzyko znacznego spowolnienia działania serwisu i pogorszenie oceny w algorytmach wyszukiwarek. Teraz dochodzi zagrożenie bycia współadministratorem i wynikających z tego faktu zawiłości. Czy to oznacza, że może lepiej ich nie stosować?
Wydaje się to słabym pomysłem, w sytuacji kiedy firmy wzmacniają wiarygodność swojej komunikacji przez integrację wszystkich kanałów komunikacji /w tym tych w social mediach/ w witrynie organizacji.
Można jednak inaczej. Wpisy z mediów społecznościowych można integrować z witryną za pomocą API - application programming interface w taki sposób aby wyeliminować wszystkie możliwe problemy dotyczące szybkości jej działania i prywatności. W praktyce rozwiązanie wyświetla automatycznie wpisy które pojawiły się w mediach społecznościowych bez połączenia miedzy serwisami w warstwie graficznej serwisu tylko bazuje na danych przekazywanych z wykorzystaniem API. Taka metoda jest stosowana w biurach prasowych, serwisach IR i witrynach budowanych przez netPR.pl.
Trochę trudniej będzie wyeliminować ten problem przy klasycznym oprogramowaniu do zarządzania treściami. W takim przypadku będzie trzeba taki mechanizm indywidualnie oprogramować a następnie utrzymać w ruchu. W rezultacie takie rozwiazanie może się okazać kosztowne. Z pewnością to kolejny argument dla wykorzystywania technologii chmurowych przy tworzeniu serwisów internetowych.