Posiadanie własnego fan page’a na Facebooku jest obecnie nie mniej istotne niż posiadanie strony www. Stworzenie własnej strony w tym serwisie jest zresztą o wiele łatwiejsze i szybsze od przygotowania standardowej www, a poza tym dzięki swojej formule bardziej zwraca uwagę na zawarte na niej treści. O istnieniu fan page’a klient dowiadujemy się często przypadkowo. Zasady tworzenia własnych stron w serwisie zostały zawarte w dokumencie pt. „Regulamin usługi strony na Facebooku” i stanowią „wewnętrzne prawo”, do którego stosowania zobowiązany jest każdy administrator powstałej na Facebooku strony pod groźbą jej usunięcia. Jest to zresztą chleb powszedni, albowiem charakter sformułowań „Regulaminu korzystania z portalu” daje Facebookowi (nie bez kozery na tę okoliczność zwanego „Facebogiem”) praktycznie nieograniczoną swobodę w podjęciu decyzji o usunięciu kont i stron użytkowników. Niezależnie od zobowiązań, które w zależności od funkcjonalności serwisu są mniej lub bardziej restrykcyjne, należy – jak przy każdej nowej inicjatywie biznesowej – uwzględnić obowiązujące przepisy prawa.
Z tego artykułu dowiesz się:
- czym w rozumieniu przepisów prawa jest fan page,
- jakie obowiązki prawne ciążą na firmie tworzącej stronę w serwisie Facebook,
- jakie dane o użytkownikach serwisu może przetwarzać właściciel fan page’a,
- jakie obowiązki informacyjne powinien przekazać tworzący stronę,
- z czym wiąże się instalacja „wtyczki społecznościowej” na stronie www.
Dane osobowe fanów
Wraz ze stworzeniem fan page’a oraz gromadzeniem w jego portfolio grupy wiernych fanów tworzy się zbiór danych osobowych w rozumieniu art. 7 pkt. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926), dalej zwana „uodo” , którego administratorem danych osobowych w rozumieniu art. 7 pkt. 4 uodo jest – co do zasady – tworzący promującą się stronę. Jest to efektem tego, że zgodnie z wyżej wskazanym przepisem prawa administratorem danych osobowych jest ten, kto decyduje „o celach i środkach przetwarzania danych w zbiorze”. Na powyższe rozstrzygnięcie nie wpływa to, że dane osobowe przetwarzane są jedynie przy użyciu funkcji dostępnych i narzuconych przez serwis. Co istotne, posiadania przymiotu administratora danych osobowych nie można uzależniać od faktycznego posiadania tych informacji. Sformułowanie „decyduje o celach i środkach przetwarzania danych osobowych” jest natomiast utożsamiane z faktycznym podejmowaniem decyzji w odniesieniu do przetwarzanych danych, jak również z samodzielnym podejmowaniem decyzji dotyczących przetwarzania danych. Decyzja administratora danych może polegać na wyborze do promowania własnych treści konkretnego narzędzia (np. fan page’a) wraz z jego rozwiązaniami techniczno-organizacyjnymi.
Powstanie zbioru danych osobowych niesie ze sobą wiele obowiązków prawnych wynikających głównie z Ustawy o ochronie danych osobowych. Te najprostsze w zastosowaniu to uwzględnienie zbioru danych osobowych w dokumentacji dotyczącej przetwarzania danych osobowych (zbioru obejmującego dane również z innych portali), wydanie upoważnień do przetwarzania tych danych osobom odpowiedzialnym za kształt strony i przetwarzane ich w jej ramach czy też zarejestrowanie zbioru w rejestrze Generalnego Inspektora Ochrony Danych Osobowych.
Słuchaj „Marketer+” Podcast
Niejednoznaczne i często pomijane jest natomiast rozstrzygnięcie: na jakiej podstawie właściciel fan page’a może przetwarzać dane osobowe swoich fanów, jaki zakres danych osobowych zbieranych w ramach jego facebookowej strony jest zgodny z prawem oraz o czym należy poinformować zarówno użytkowników ją „lajkujących”, jak i tych, którzy odwiedzają www, na której została zamieszczona wtyczka społecznościowa „Lubię to!”.
Punktem wyjścia do dalszych rozważań powinny być założenia przyjęte przez sam serwis Facebook. W części II. C Regulaminu strony na Facebooku dotyczącej zbierania danych wskazano, że w przypadku zbierania bezpośrednio od użytkowników informacji ich dotyczących i należących do nich treści administrator strony ma obowiązek wyraźnie ich poinformować, że to on (a nie serwis) gromadzi te dane, opublikowania informacji na temat zbieranych informacji i treści oraz uzyskania zgody użytkowników na gromadzenie i wykorzystywanie tych danych. Ponadto bez względu na sposób uzyskiwania informacji o użytkownikach i należących do nich treści administrator musi pozyskać odpowiednie zezwolenia na dalsze wykorzystanie tych danych. Jak więc widać, Facebook uchyla się od odpowiedzialności za dane osobowe, które są przetwarzane w interesie tworzących strony w tym serwisie.
Podstawa przetwarzania danych osobowych
Przetwarzanie danych osobowych jest dopuszczalne tylko wówczas, gdy administrator danych osobowych legitymuje się jedną z przesłanek dopuszczających ich przetwarzanie. Zostały one wskazane w art. 23 (w odniesieniu do danych zwykłych np.: imię i nazwisko, zdjęcie, e-mail) oraz w art. 27 uodo (w odniesieniu do danych sensytywnych np.: informacje o nałogach, wyznaniu, orientacji seksualnej).
Skoncentrujmy się na art. 23 uodo. Pierwszą z przesłanek, o której zdobycie mimo trudności w jej otrzymaniu najczęściej walczą administratorzy, jest „zgoda” na przetwarzanie danych osobowych. Mając jednak na uwadze charakter świadczonej przez przedsiębiorcę usługi, która w swojej pierwotnej postaci sprowadza się do udostępniania tekstów, wyświetlanych w newsfeedzie fana – można ją zakwalifikować jako usługę świadczoną drogą elektroniczną w rozumieniu art. 2 pkt. 4 Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002, nr 144, poz. 1204), dalej „uśude”. W obliczu powyższego najodpowiedniejszym przepisem prawa legalizującym przetwarzanie danych jest art. 23 ust. 1 pkt. 3 uodo, zgodnie z którym przetwarzanie danych jest dopuszczalne, gdy „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Trudno bowiem domagać się zgody na przetwarzanie danych osobowych w sytuacji, gdy realizacja usługi polegającej na dostępie do określonych treści jest zależna od „przekazania” danych przez usługobiorcę (fana) i nie może się odbyć w inny sposób. Porównanie podstaw prawnych przetwarzania danych osobowych wymienionych w art. 23 uodo i w rozdziale 4 uśude wyklucza skorzystanie z klauzuli „usprawiedliwionego celu” administratora danych w związku ze świadczeniem usług drogą elektroniczną, która to podstawa bardzo często często legalizuje przetwarzanie danych osobowych dla prowadzenia akcji promocyjnych. Zgodnie bowiem z art. 17. uśude dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę „w celu i zakresie” określonym w tej ustawie.
Wskazana wyżej podstawa przetwarzania danych osobowych dotyczy jedynie usługi fan page w najprostszej, wyżej określonej formule. Natomiast przetwarzanie dodatkowych danych i realizacja innych celów, które można osiągnąć w ramach strony stworzonej w serwisie, wymagają dodatkowych ustaleń co do podstaw przetwarzania danych osobowych (np. w celu organizacji konkursu, wysyłki newslettera), co nie jest przedmiotem niniejszego artykułu.
Obowiązki informacyjne
Chcąc w pełni realizować powyższe założenia, należy przygotować regulamin świadczenia usługi – tj. regulamin fan page’a. Jego zaakceptowanie przez fana należy traktować jako swoistą formę zawarcia umowy pomiędzy właścicielem strony (usługodawcą) a fanem (usługobiorcą). Obowiązek udostępnienia takiego regulaminu, wraz z jego zawartością informacyjną, wynika zresztą z art. 8 uśude. Usługodawca powinien również przekazać informacje, o których mowa w art. 5 uśude.
Również Ustawa o ochronie danych osobowych nakłada na właściciela strony szczególne obowiązki informacyjne w stosunku do podmiotu, którego dane są przetwarzane. Ustawa ta kwalifikuje zakres przekazywanych obligatoryjnie informacji w zależności od tego, czy dane osobowe zostały pozyskane od podmiotu, którego dotyczą (art. 24 uodo), czy od podmiotu trzeciego (art. 25 uodo).
Niewątpliwie w sytuacji, gdy użytkownik „lajkuje” kolejną stronę, robi to w sposób świadomy i wie, że chodzi o usługi dostępne na Facebooku. Niemniej jego dane nie są przekazywane przez niego bezpośrednio, ale są pobierane przez fan page z danych przetwarzanych w serwisie. Wraz z kliknięciem przycisku „Lubię to!” do puli fanów danego fan page’a trafia kolejna osoba. W efekcie w grę wchodzi szerszy zakres obowiązku informacyjnego, tj. wynikający z art. 25 uodo. Zgodnie z tym przepisem należy wskazać na dane firmy, cel i zakres zbierania przez nią danych osobowych, jak również odbiorców lub kategorie odbiorców danych. Dodatkowo należy poinformować fana o źródle danych osobowych, prawie dostępu do danych oraz ich poprawiania oraz o uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 uodo. Jako źródło danych należy podać firmę Facebook, zaś uprawnienia wynikające z art. 32 ust. 1 pkt. 7 i 8 uodo to możliwość wniesienia w przypadkach wymienionych w art. 23 ust. 1 pkt. 4 i 5 uodo pisemnego, umotywowanego żądania zaprzestania przetwarzania danych użytkownika ze względu na jego szczególną sytuację oraz możliwość wniesienia sprzeciwu wobec ich przetwarzania w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 uodo w sytuacji, gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych użytkownika innemu administratorowi danych.
Co można wiedzieć o fanach
Katalog danych osobowych, jakie może przetwarzać usługodawca, został wskazany jedynie przykładowo w art. 18 uśude. Są to dane, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między stronami. Zakres ten jest bardzo szeroki (imię i nazwisko, PESEL, adres zameldowania). Należy mieć jednak na względzie treść art. 17 uśude, z którego wynika, iż zakres dopuszczalnego przetwarzania danych osobowych wyznacza cel, w jakim są one przetwarzane. Dodatkowo w grę wchodzi art. 26 ust. 1 pkt. 3 uodo, zgodnie z którym administrator danych osobowych powinien zapewnić, aby uzyskane dane były „adekwatne w stosunku do celów, w jakich są przetwarzane”. Mając na uwadze cele, które są realizowane w ramach stron tworzonych na Facebooku, należy uznać, iż jedynym, legalnym zakresem danych osobowych, jakie może zebrać administrator danych dla podstawowych funkcji usługi fan page, jest: imię i nazwisko (nick) oraz avatar (którym może być zdjęcie użytkownika serwisu). Za niedopuszczalne należy uznać głębsze ingerowanie w profile fanów, tym bardziej w informacje wrażliwe (które często widnieją w ich profilach, takie jak np. wyznanie czy orientacja seksualna). Naturalnie inne usługi świadczone w ramach fan page’a, np. konkursy, mogą powodować konieczność zebrania dodatkowych danych (np. celem wysłania nagrody), powinno to być jednak każdorazowo przeanalizowane w ramach tworzenia akcji, o czym mowa powyżej.
Szczególne okoliczności stosowania „wtyczek społecznościowych”
Od kwietnia 2010 r. administratorzy stron www mogą zamieszczać na swoich stronach internetowych wtyczkę „Lubię to!”. Mimo że te przyciski są wyświetlane w innych witrynach internetowych, to ich zawartość pochodzi bezpośrednio z Facebooka. Pozwalają one zalogowanemu użytkownikowi serwisu na polubienie fan page’a bez wchodzenia na serwis. Dodatkowo zalogowany na Facebooku użytkownik odwiedzający daną www widzi swoich znajomych, którzy również polubili tę stronę. Sytuacja jest jednak bardziej skomplikowana, albowiem zastosowany mechanizm „wtyczek społecznościowych” powoduje, iż Facebook otrzymuje również informacje o tym, że zalogowany w serwisie użytkownik odwiedza stronę www zawierającą „wtyczkę” nawet wówczas, gdy ten absolutnie zignorował przycisk „Lubię to!”.
Administrator strony z uwagi na zastosowany iframes nie ma wpływu na wymianę danych pomiędzy Facebookiem a użytkownikiem serwisu i nie ma wiedzy na temat tego, komu z odwiedzających stronę wyświetliła się wtyczka, oraz tego, kto polubił stronę. Tym niemniej właściciel strony instalując wtyczkę, umożliwia serwisowi pobieranie danych o aktywności użytkowników Facebooka w sieci. Im więcej stron instaluje wtyczki, tym bardziej kompleksowa staje się wiedza Facebooka, na temat jego użytkowników. W efekcie atrakcyjniejsza staje się jego oferta reklamy behawioralnej. Trudno zakładać, że internauci zdają sobie sprawę, iż ich przeglądarka wysyła zapytanie do Facebooka w momencie ich odwiedzin na stronie internetowej, która zawiera taką wtyczkę. „Uczestnicząc” w takiej „wymianie” danych, właściciel strony www z zainstalowaną wtyczką powinien poinformować odwiedzających jego stronę użytkowników o zastosowanym mechanizmie.
Podsumowanie
Jak widać, skorzystanie z narzędzi dostępnych na Facebooku wraz z zebranymi przez niego danymi osobowymi wiąże się z szeregiem dodatkowych obowiązków prawnych towarzyszących tego typu przedsięwzięciom. Ich zaniedbanie może pociągnąć za sobą dużo dalej idące skutki aniżeli usunięcie strony przez „Faceboga”. Ustawa o ochronie danych osobowych przewiduje dotkliwie kary. Na przykład za przetwarzanie w zbiorze danych osobowych, choć ich przetwarzanie jest niedopuszczalne (np. posiadanie danych bez podstawy prawnej lub danych nieadekwatnych) grozi odpowiedzialność karna – grzywna, ograniczenie wolności lub jej pozbawienie do lat 2. Gdy czyn ten dotyka wskazanych w przepisie danych wrażliwych, kara pozbawienia wolności może być jeszcze dotkliwsza. Również brak spełnienia obowiązku informacyjnego, o którym mowa w art. 24 i 25 uodo, zgodnie z art. 54 uodo może skutkować odpowiedzialnością karną.
O ile nie znam rozstrzygnięć dotyczących „wtyczek społecznościowych” na gruncie polskim, o tyle wprowadzenie ich na Facebooku odbiło się głośnym echem u naszych sąsiadów zza Odry. Kolejne organy ds. ochrony danych osobowych krajów związkowych uznawały użycie „wtyczek” za nielegalne i nakazywały właścicielom stron ich usuwanie, co spowodowało istotne poruszenie na rynku, a jednocześnie zaowocowało ciekawymi publikacjami.
[kreska]
Warto doczytać:
- Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych.
- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
- Regulamin usługi strony na Facebooku.
- Informacja Niezależnego Centrum ds. Ochrony Danych Osobowych kraju związkowego Schleswig-Holstein (ULD) w sprawie wtyczek społecznościowych (w języku niemieckim).
