Federalny organ ochrony danych Niemiec 17 lutego 2023 r. wydał decyzję zobowiązującą Federalne Biuro Prasowe rządu Niemiec do zaprzestania prowadzenia fanpage’a rządu federalnego („Bundesregierung”) na Facebooku. Podstawą był zakaz przetwarzania danych na podstawie art. 58 ust.2 lit f RODO.
Niemiecka decyzja
Organ nadzorczy stwierdził naruszenie przez Federalne Biuro Prasowe zasady legalności przy przetwarzaniu danych osobowych przez gromadzenie danych osobowych w ramach fanpage’a na Facebooku i przekazywanie ich do firmy Meta co najmniej od 25 maja 2018 r. – mimo braku skutecznej podstawy prawnej do takiego działania. Dodaje, że Federalne Biuro Prasowe naruszyło obowiązki wynikające z art. 5 ust. 2 RODO przez prowadzenie fanpage’a na Facebooku mimo niemożności wykazania jego zgodności z zasadami przetwarzania danych osobowych.
Federalny pełnomocnik ochrony danych i wolności informacji odwołuje się też do niemieckiej ustawy o ochronie danych w telekomunikacji i telemediach. Wskazuje, że zapisano informacje w urządzeniach użytkowników końcowych bez zachowania podstawy prawnej oraz uzyskano dostęp do informacji już zapisanych w urządzeniach końcowych użytkowników.
„Od dawna zwracam uwagę, że prowadzenie fanpage’a na Facebooku nie jest możliwe zgodnie z przepisami o ochronie danych. Myślę, że ważne jest, aby państwo mogło dzielić się informacjami za pośrednictwem mediów społecznościowych, ale może to zrobić tylko wtedy, gdy są przestrzegane podstawowe prawa obywateli” – stwierdził prof. Ulrich Kelber, federalny pełnomocnik ochrony danych, w komunikacie prasowym.
Przedłużający się spór
Spór pomiędzy federalnym organem ochrony danych a instytucjami rządowymi prowadzącymi działalność informacyjną w mediach społecznościowych trwa od dawna. Już w maju 2019 r. federalny organ nadzorczy wystąpił do wszystkich inspektorów ochrony danych najwyższych władz federalnych i, bazując na stanowisku konferencji niezależnych organów nadzorczych ds. ochrony danych Niemiec (DSK), a przede wszystkim na wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 5 czerwca 2018 r. w sprawie funkcjonowania fanpage’ów na Facebooku (sprawa Az. C-210/16), wezwał władze publiczne do sprawdzenia zgodności z prawem swoich fanpage’ów i dostosowania ich (w razie potrzeby) do zmian w przepisach o ochronie danych.
Kolejne pismo „do wszystkich ministerstw federalnych i najwyższych władz federalnych” zostało skierowane w czerwcu 2021 r. Organ nadzorczy informował, że podjęte przez Federalne Biuro Prasowe negocjacje z Facebookiem są niewystarczające, a ten ostatni w dalszym ciągu nie jest w przygotowany na zmiany w przetwarzaniu danych. „Nie mogę dłużej czekać w związku z ciągłym naruszaniem ochrony danych osobowych użytkowników. Jeśli prowadzisz fanpage, zdecydowanie zalecam wyłączenie go do końca tego roku. Od stycznia 2022 r. zamierzam – w interesie zainteresowanych obywateli – stopniowo korzystać ze środków zaradczych dostępnych mi na podstawie art. 58 RODO” – napisał Ulrich Kelber.
W piśmie pojawiło się też zalecenie nieużywania na urządzeniach biznesowych takich aplikacji, jak Instagram, TikTok i Clubhouse.
W podsumowaniu tego wystąpienia czytamy, że „władze publiczne, które są szczególnie związane prawem, pełnią funkcję wzorcową w zakresie przestrzegania przepisów o ochronie danych. Dlatego uważam, że zachowanie zgodne z ochroną danych jest ich szczególnym obowiązkiem”. Zgodnie z zapowiedziami procedury kontroli zostały rozpoczęte w styczniu 2022 r., a ich konsekwencją był wydany 17 lutego br. zakaz przetwarzania danych.
Decyzję organu ochrony danych skomentowali przedstawiciele zarówno firmy Meta, jak i Federalnego Biura Prasowego. Zdaniem rzeczniczki Meta „platformy i kanały mediów społecznościowych, takie jak strony na Facebooku, umożliwiają firmom i organizacjom, w tym departamentom i agencjom rządowym, komunikowanie się z ludźmi. Ważne jest dla nas, aby te organizacje mogły nadal korzystać z mediów społecznościowych zgodnie z prawem”. Federalne Biuro Prasowe poinformowało z kolei, że szczegółowo i dokładnie przeanalizuje decyzję. „Na podstawie tego przeglądu podejmiemy decyzję o dalszych krokach w terminie wyznaczonym przez organ ochrony danych. Obecność na Facebooku jest ważną częścią działań public relations rządu federalnego. Media społecznościowe umożliwiają bezpośredni i szybki kontakt z obywatelami, co jest szczególnie ważne w czasach kryzysu, między innymi w celu przeciwdziałania dezinformacji – tam, gdzie ona powstaje. Rząd federalny dokłada wszelkich starań, aby media społecznościowe były jak najbardziej przyjazne dla prywatności” – czytamy w komunikacie. Federalne Biuro Prasowe ma 30 dni na zaskarżenie decyzji organu nadzorczego do sądu administracyjnego w Kolonii.
W ślad za federalnym organem ochrony danych poszedł już kościelny inspektor ochrony danych Kościoła katolickiego w Bawarii, który wydał zakaz prowadzenia fanpage’y przez instytucje kościelne Bawarii.
Czy tylko Facebook?
Do końca 2019 r. oficjalne konto na Twitterze prowadził organ ochrony danych Badenii-Wirtembergii. Zostało ono zlikwidowane. Jak tłumaczył Stefan Brink, ówczesny pełnomocnik ochrony danych i wolności informacji Badenii-Wirtembergii, korzystanie z Twittera nie jest zgodne z działalnością organu ochrony danych, ponieważ są tu zbierane dane użytkowników, a następnie wykorzystywane w celach reklamowych. Powstrzymywanie się od korzystania z sieci społecznościowych jest nie tylko konieczne dla organu ochrony danych, lecz także dla wszystkich organów i prywatnych firm korzystających z mediów społecznościowych.
Krajowy pełnomocnik ochrony danych i wolności informacji Bawarii zalecał z kolei, aby instytucje publiczne w tym landzie krytycznie oceniły swoją obecność na Facebooku i innych mediach społecznościowych, ponieważ „ewentualne korzyści w zakresie reklamy nie uzasadniają żadnych naruszeń ochrony danych”.
To krytyczne podejście znajdowało wyraz w wielu sprawozdaniach z działalności niemieckich organów nadzorczych, gdzie wskazywano, że funkcje rożnych portali społecznościowych są coraz bardziej podobne, a ich podstawowym modelem biznesowym jest ekonomiczne wykorzystywanie danych osobowych użytkowników. Dlatego będą podejmowane działania wynikające z art. 58 RODO – najpierw wobec podmiotów publicznych, ponieważ „podlegają przepisom prawa i mają szczególne obowiązki w zakresie praworządności, muszą działać znacznie szybciej i bardziej rygorystycznie niż podmioty niepubliczne”.
A co z Polską?
„Fakt, że operator fanpage’a korzysta z platformy utworzonej przez Facebooka w celu korzystania z usług z nią związanych, nie może go zwalniać z wypełniania obowiązków w zakresie ochrony danych osobowych” – stwierdził TSUE w wyroku C-210/16. O tych obowiązkach zapominają operatorzy fanpage’ów także w Polsce. Trudno nie zgodzić się z prof. Kelberem, że to właśnie na podmiotach publicznych ciąży większa odpowiedzialność za poszanowanie prawa.
W Polsce strony na Facebooku ma wiele instytucji publicznych: urzędy, samorządy, Kancelaria Prezydenta RP, kancelaria premiera i bodaj wszystkie ministerstwa. W różnych publikacjach znajdziemy zachęty do zakładania urzędowych profili jako udogodnienia informacyjnego. Najczęściej bez ostrzeżenia o zagrożeniach dla prywatności odwiedzających je użytkowników.
Tymczasem Facebook nie jest darmową tablicą ogłoszeń. Każdy odwiedzający istniejące na platformie profile płaci swoimi danymi. Polski Urząd Ochrony Danych Osobowych nie prowadzi strony na Facebooku, ale nie znalazłem też żadnych ostrzeżeń wobec innych władz publicznych.
Nielegalność przetwarzania danych przy wykorzystywaniu portali społecznościowych przez instytucje publiczne to tylko jeden z wielu problemów. Rzadko się zdarza, by wszystkie informacje zamieszczane na fanpage’ach były również dostępne na własnym, niezależnym kanale informacyjnym. To ograniczenie komunikacji ze społeczeństwem przez wykluczenie osób niekorzystających np. z Facebooka.
Nie ma też żadnych powodów, by podmioty publiczne, akceptując regulaminy tworzone przez prywatne podmioty, podporządkowywały się narzucanym przez nie regułom, czego konsekwencją może być blokowanie informacji lub likwidacja konta. ©℗
