Fanúšikovská stránka na Facebooku a informačná povinnosť jej správcu

V tomto videu sa dozviete, prečo je potrebné transparentne plniť informačnú povinnosť v prípade, ak ste správcom fanúšikovskej stránky, ktorá je umiestnená napríklad na Facebooku.

Pre tých z vás, ktorí radšej čítate, je celý text v článku pod videom.

Rozhodnutie v spore

Ešte minulý rok padol rozsudok Súdneho dvora, ktorý sa týkal sporu medzi nezávislým orgánom jednej zo spolkovej krajiny v Nemecku pre ochranu osobných údajov (Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein) a komerčnej firmy, ktorá podniká v oblasti vzdelávania (Wirtschaftsakademie Schleswig‑Holstein GmbH). Tento nezávislý kontrolný orgán pre ochranu osobných údajov nariaďoval Wirtschaftsakademie dokonca deaktiváciu fanpage, a to z toho dôvodu, že neplnila informačnú povinnosť voči dotknutým osobám. Nesplnila ju Wirtschaftsakademie a neplnil je ani Facebook. (Znenie rozsudku môžete nájsť na stránke.)

Spoločný prevádzkovateľ podľa čl. 26

Pre nás, ktorí pracujeme v ochrane osobných údajov bol tento rozsudok dôležitý aj z toho dôvodu, že Facebook Ireland tu bol označený za jedného zo spoločných prevádzkovateľov. Teda Facebook je spolu so správcom fanpage spoločným prevádzkovateľom.

Aby sme tomu rozumeli:

  • Prevádzkovateľom je taký subjekt, či už je to fyzická alebo právnická osoba a právnická osoba, ktorý určil účel a prostriedky spracúvania osobných údajov.
  • Správca fanpage je prevádzkovateľom z toho dôvodu, že vytvára stránku a nastavuje rôzne parametre a kritériá. Napríklad podľa svojej cieľovej skupiny. Určil účel a v podstate aj prostriedky spracúvania osobných údajov.
  • Na druhej strane je druhým prevádzkovateľom Facebook Ireland. A to z toho dôvodu, že umiestňuje cookies, teda krátke textové súbory, ktoré sú ukladané do zariadenia návštevníka tejto fanpage. Či už do stolového počítača alebo do notebooku alebo do mobilu. Teda do zariadenia, prostredníctvom ktorého si návštevník túto fanpage prezerá. To znamená, že vkladá do tohto zariadenia cookies, prostredníctvom ktorého následne získava a spracúva osobné údaje. Aj napriek tomu, že v konečnom dôsledku štatistiky, ktoré sprístupňuje správcom týchto fanpage sú v anonymizovanej podobe.

Ako sa problémom s úradom vyhnúť?

V prvom rade zabezpečiť informačnú povinnosť voči dotknutým osobám. To znamená, že ak ste správcom fanpage, rozhodne dôkladne plniť informačnú povinnosť zmysle článku 13 všeobecného nariadenia a ochrane údajov. (Z dôvodu, že osobné údaje sú v tomto prípade získavané priamo od dotknutej osoby –  postupujeme podľa článku 13 a nie 14.) Zároveň musíme splniť požiadavku v zmysle článku 26, ktorý hovorí o spoločných prevádzkovateľov.
Takže minimálne tieto dva body je potrebné dodržiavať, aby sme sa v budúcnosti vyhli podobným problémom, ako mala Wirtschaftsakademie.

Informačná povinnosť správcu fanpage

Keď si otvoríte všeobecné nariadenie o ochrane údajov, tak článku 13 vidíte, že ste povinný ako prevádzkovateľ, dotknutým osobám pri prvom kontakte s nimi, oznámiť svoju totožnosť a kontaktné údaje. Môžete uviesť napríklad svoje obchodné meno, sídlo spoločnosti, váš kontaktný e-mail alebo telefonický kontakt. Tu odporúčam uviesť aj kontaktné údaje druhého prevádzkovateľa, ktorým je v tomto prípade Facebook (a keďže sme v Európskej únii, potom uvádzame Facebook Ireland).
Ak ste poverili výkonom dohľadu nad ochranou osobných údajov zodpovedná osoba, potom uveďte aj kontaktné údaje na ňu. Nemusíte uvádzať meno a priezvisko, stačí keď uvediete kontaktný e-mail alebo telefonický kontakt na poverenú zodpovednú osobu.

V ďalšom bode uveďte dôvod, prečo osobné údaje budete spracúvať. Môže ísť napríklad o poskytnutie štatistík o návšteve stránky.

Ďalej je potrebné dotknutým osobám oznámiť právny základ, ktorý pri spracúvaní osobných údajov použijete. Taký, ktorý vám dáva oprávnenie osobné údaje spracúvať. V prípade týchto cookies hovoríme o súhlase so spracovaním osobných údajov.

V ďalšom bode musíte zabezpečiť informovanie dotknutých osôb o tom, že osobné údaje môžu byť spracované aj ďalšími príjemcami. Kde za príjemcov považujeme napríklad aj sprostredkovateľov alebo ich subdodávateľov. Odporúčam uviesť aj Facebook, Inc., ktorý sídli v Spojených štátoch amerických. Sú totiž situácie, kde Facebook Ireland využíva na subdodávky pre zastrešovanie istých činností aj Facebook, Inc. zo Spojených štátov amerických A keďže Spojené štáty americké patria medzi tretie krajiny, ktoré neprijali primerané záruky v oblasti spracúvania osobných údajov, potom uveďte, že Facebook, Inc. postupuje v režime bezpečného prístavu. Tu môžete uviesť aj odkaz na dokument, ktorým toto preukazujete.

V rámci ďalšieho informovania uveďte lehotu uchovávania alebo dobu spracúvania osobných údajov. Môžete to byť napríklad, že cookies zostávajú aktívne dva roky, ak nie sú samozrejme používateľom zmazané.

Keďže právnym základom je súhlas so spracovaním, potom uveďte aj existenciu práva dotknutej osoby, že môže kedykoľvek súhlas odvolať. Taktiež môžete uviesť odkazy na postup, akým spôsobom môže tieto cookies riadiť, prípadne vymazať.

Ak využívate aj rôzne nástroje od spoločnosti Facebook, potom zvážte aj to, že uvediete informáciu o tom, že osobné údaje, ktoré prostredníctvom týchto nástrojov spracúvate, môžete využiť aj pre účely profilovania. To znamená, že si môžete zákazníkov alebo vašich potenciálnych klientov zatriediť do rôznych skupín, napríklad podľa veku alebo podľa miesta, kde sa títo nachádzajú. A to napríklad z dôvodu rôznych personalizovaných reklám.

Nezabudnite ani na informáciu o právach dotknutej osoby a práve podať sťažnosť na náš dozorujúci úrad ktorým je Úrad na ochranu osobných údajov Slovenskej republiky.

Čo so spoločným prevádzkovateľom?

Podľa článku 26 GDPR by medzi spoločnými prevádzkovateľmi mala byť dohoda. Táto určuje napríklad príslušné zodpovednosti za plnenie jednotlivých článkov všeobecného nariadenia o ochrane údajov, na strane jedného alebo druhého prevádzkovateľa. Táto dohoda respektíve jej základné a dôležité časti by mali byť poskytnuté dotknutým osobám.

Záverečné zhrnutie

Ak ste správcom takejto fanúšikovskej stránky rozhodne si skontrolujte, či si plníte informačnú povinnosť voči dotknutým osobám. Teda či uvádzate informácie o tom, ako budete osobné údaje spracúvať. Tieto informácie môžu byť umiestnené priamo na vašej fanpage alebo na vašich firemných webových stránkach.
Informácie si skontrolujte, či naozaj obsahujú všetky náležitosti, ktoré článok 13 GDPR vyžaduje.
No a ako posledný bod zverejnite odkaz alebo priamo celých dokument, ktorý je vlastne dohodou medzi vami ako správcom fanúšikovskej stránky a Facebook Ireland. (Dokument,  ktorý sa týka dohody medzi spoločnými prevádzkovateľmi nájdete pod týmto odkazom).

2019-04-08T11:46:23+00:00

O autorovi:

Martina Kroupová
Vyštudovala som fakultu mechatroniky Trenčianskej univerzity Alexandra Dubčeka. Od roku 2005 sa aktívne venujem ochrane osobných údajov. Osobne sa podieľam na analýzach spracúvania osobných údajov a spolupracujem pri vypracovávaní bezpečnostných dokumentácií, ktoré sú založené na systémoch procesného riadenia tak, aby dokumentácia vyhovovala auditom a požiadavkám na certifikáciu systémov manažérstva kvality a zároveň bola v súlade so všeobecným nariadením o ochrane údajov (GDPR). Som hlavnou autorkou a gestorkou internetovej knižnice Centra ochrany osobných údajov. Pôsobím ako lektorka odborných školení.