Witryny firmowe na LinkedIn, Facebooku i Twitterze po zmianach sektorowych po 4 maja 2019 r.

Niemal rok po rozpoczęciu obowiązywania RODO polski ustawodawca wprowadził tzw. nowelizację ustaw sektorowych, która zaczęła obowiązywać od dnia 4 maja 2019 r. Jej celem było dostosowanie polskich ustaw do przepisów RODO. Przedmiotowa nowelizacja obejmowała ponad 160 ustaw, których zapisy zostały częściowo zmienione. Część z tych znowelizowanych przepisów dotyczy witryn firmowych na portalach społecznoś­ciowych, takich jak LinkedIn, Facebook czy Twitter.

Obecnie duża część przedsiębiorców komunikuje się ze swoimi klientami za pomocą mediów społecznościowych, wykorzystując różne formy docierania do potencjalnych klientów, które te portale oferują. W związku jednak z korzystaniem z tego rodzaju mediów administratorzy danych muszą spełnić szereg obowiązków.
 

Ważne

W kontekście prowadzenia witryn firmowych na portalach społecznościowych duże znaczenie ma Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r., sygn. akt: C-210/16. W przedmiotowym wyroku Trybunał uznał, że administratorem danych jest też podmiot prowadzący fanpage firmowy na Facebooku. W tej sytuacji Trybunał wskazał, że administrator danych, który prowadzi fanpage’a na Facebooku, ponosi razem z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających jego stronę.

W praktyce oznacza to, że podmiot, który prowadzi fanpage’a na Facebooku, musi spełnić obowiązki admi­nistratora danych wynikające z RODO.


Obowiązek informacyjny w portalach społecznościowych

Jednym z podstawowych obowiązków, jaki spoczywa na wszystkich administratorach danych, jest obowiązek informacyjny. Nie inaczej jest w przypadku prowadzenia witryn w mediach społecznościowych. Podmioty korzystające z takich serwisów też muszą spełnić obowiązek informacyjny wobec użytkowników.

Warto jednak wskazać, że w tym zakresie doszło do zmiany w związku z nowelizacją dotyczącą dostosowania polskiego ustawodawstwa do RODO. Zmieniono art. 4a ustawy z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2014 r., poz. 827), zgodnie z którym administrator danych będący mikroprzedsiębiorcą wykonuje obowiązki, o których mowa w art. 13 RODO poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Przepisu tego nie stosuje się w zakresie, w jakim taki przedsiębiorca przetwarza dane szczególnych kategorii, czyli m.in. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, danych dotyczących zdrowia, danych genetycznych, danych biometrycznych.
 

Ważne

W każdym przypadku, w którym administrator danych prowadzi witryny firmowe w portalach społecznościowych, w ramach których dochodzi do powstania zbioru danych, np. osób „lubiących” fanpage na Facebooku, powinien spełnić obowiązek informacyjny względem tych osób.

Obowiązek taki może zostać spełniony przez udostępnienie tym osobom informacji wymaganych w art. 13 RODO np. poprzez zamieszczenie linku do polityki prywatności znajdującej się na firmowej stronie albo zamieszczenie postu z klauzulą informacyjną, który będzie „przypięty” na górze strony fanpage’a.


Korzystanie z komunikatorów w portalach społecznościowych

Posiadanie witryny firmowej w mediach społecznościowych wiąże się z korzystaniem z udostępnianych przez te witryny komunikatorów, np. Messengera. Korzystanie z tego rodzaju narzędzi do komunikacji z klientem jest jak najbardziej dopuszczalne. Należy jednak pamiętać, że również w tej sytuacji podmiot, z którym kontaktuje się osoba, której dane dotyczą, za pośrednictwem takiego komunikatora musi dopełnić obowiązków wynikających z RODO.

W tej sytuacji znowu spełnienie obowiązku informacyjnego będzie podstawową kwestią, której musi dopilnować administrator danych. Jak zostało wskazane wyżej, klauzula informacyjna powinna zostać udostępniona na samej witrynie firmowej. Może się jednak zdarzyć, że osoba, która będzie się kontaktować z administratorem danych za pomocą komunikatora np. nie „polajkowała” jego fanpage’a i nie miała szansy zapoznać się z klauzulą informacyjną. W tej sytuacji administrator danych powinien przesłać jej link do polityki prywatności albo zaproponować tej osobie komunikację za pomocą e-maila, gdzie również zostanie jej przekazana klauzula informacyjna czy to bezpośrednio w wiadomości e-mail, czy też poprzez przesłanie linku do polityki prywatności.
 

Wskazówka

Jeśli osoba, której dane dotyczą, sama nawiązała kontakt z administratorem danych za pomocą jego witryny w mediach społecznościowych lub komunikatorów, które te serwisy udostępniają, administrator danych nie musi już pytać tej osoby o zgodę na przetwarzanie danych osobowych czy też na przesłanie jej informacji handlowych.

Skoro nawiązanie kontaktu i ewentualna prośba o przesłanie oferty wyszła z inicjatywy osoby, której dane dotyczą, to administrator danych jest uprawniony, żeby prowadzić korespondencję z tą osobą i przesyłać jej ofertę, jeżeli został o to poproszony.

W takiej sytuacji administrator danych musi jednak pamiętać o spełnieniu obowiązku informacyjnego.


Reklamy w portalach społecznościowych

Portale społecznościowe oferują obecnie szereg narzędzi pozwalających na dotarcie do potencjalnych klientów. Jest to oferta szeroko rozumianej płatnej reklamy, która pozwala na przedstawienie swojej działalności wybranej grupie osób. Jednym z najbardziej popularnych narzędzi reklamy jest Facebook LeadAds. Jest to rodzaj sponsorowanego postu, w który użytkownik klika, a następnie przesyła formularz kontaktowy uzupełniony określonymi danymi.

Wykorzystanie tego narzędzia zgodnie z RODO jest możliwe, konieczne jest jednak spełnienie obowiązku informacyjnego z art. 13 RODO. Klauzulę informacyjną można przekazać bezpośrednio pod formularzem lub załączyć link do polityki prywatności znajdującej się np. na stronie internetowej administratora danych.

Drugim warunkiem, jaki musi spełnić administrator danych korzystający z tego rodzaju narzędzi, jest obowiązek uzyskania zgody na przetwarzanie danych osobowych. W tej sytuacji administrator danych powinien, w ramach formularza reklamy, zamieścić checkbox z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobo­wych we wskazanym celu.

Wyrażenie zgody na gruncie ustawy o świadczeniu usług drogą elektroniczną

W kwestii składania oświadczeń o wyrażaniu zgody należy wskazać, że w nowelizacji, która dostosowała polskie ustawodawstwo do RODO, zmieniono także zapisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204). W zamienionym art. 4 tej ustawy wskazano, że „jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych”.

Ten krótki przepis powoduje daleko idące konsekwencje prawne. Zgodnie bowiem z art. 10 tej ustawy przesyłanie informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej jest dopuszczalne wyłącznie za zgodą tej osoby.

Co więcej, nowelizacja, która weszła w życie 4 maja 2019 r., zmieniła też zapis art. 18 ust. 4 tej ustawy, zgodnie z którym „usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną”.

W tej sytuacji każde oświadczenie o wyrażeniu zgody, którego wymaga przedmiotowa ustawa, musi być zgodne z RODO. Oznacza to przede wszystkim, że administrator danych musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Powinien zatem posiadać potwierdzenie wyrażania zgody.

Dodatkowo samo zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Należy zatem zadbać o to, żeby zapytanie o zgodę dostatecznie wyróżniało się np. w formularzu Facebook LeadAds, tak aby osoba, która ma je złożyć, wiedziała, czego dotyczy składane przez nią oświadczenie.

Ponadto należy zamieścić informację, że osoba, która składa oświadczenie o wyrażeniu zgody, ma prawo w dowolnym momencie wycofać zgodę. Natomiast samo wycofanie zgody musi być równie łatwe jak jej wyrażenie, czyli np. polegać na wysłaniu e-maila na wskazany adres administratora danych.
 

Ważne

Po zmianie ustawy o świadczeniu usług drogą elektroniczną (z 4 maja 2019 r.) każde oświadczenie o wyrażeniu zgody składane przez użytkownika będącego osobą fizyczną na gruncie tej ustawy powinno spełniać warunki wyrażenia zgody określone w RODO.

Tym samym administrator danych, który korzysta z mediów społecznościowych, powinien zadbać o to, by w komunikacji z klientem za pomocą tych serwisów składane oświadczenia o wyrażaniu zgody były zgodne z wymaganiami RODO.


Dokumentacja RODO a prowadzenie witryn w portalach społecznościowych

Kolejną kwestią, jaką administrator danych musi uwzględnić w związku z korzystaniem z witryn na portalach społecznościowych, jest uregulowanie tego sposobu przetwarzania danych osobowych w wewnętrznej dokumentacji RODO. Przede wszystkim konieczne jest wprowadzenie odpowiednich zapisów w rejestrze czynności przetwarzania, który administratorzy danych powinni prowadzić zgodnie z art. 30 RODO.
 

Wskazówka

Korzystanie przez administratora danych z serwisów społecznościowych w zakresie prowadzonej przez niego działalności powoduje, że administrator danych wykonuje czynności przetwarzania danych osobowych, które powinny zostać wpisane w rejestrze czynności przetwarzania.


Ponadto trzeba również rozważyć wprowadzenie odpowiednich procedur do polityki bezpieczeństwa, jaką wdrożył administrator danych, zwłaszcza jeśli komunikacja za pomocą mediów społecznościowych stanowi istotny aspekt działania administratora danych. Warto, aby procedura kontaktu z klientem za pomocą tych serwisów czy też komunikatorów była chociaż częściowo sformalizowana, tak aby również w stosunku do tych osób zostały dopełnione obowiązki wynikające z RODO, a ich dane zostały w prawidłowy sposób zabezpieczone.

Pliki cookies a prowadzenie witryn internetowych w portalach społecznościowych

Po nowelizacji przepisów ustawy Prawo telekomunikacyjne z 4 maja 2019 r. pojawiła się ponownie dyskusja dotycząca plików cookies i ewentualnej zgody na ich użycie. Ze względu na fakt, że korzystanie z serwisów społecznościowych skutkuje zastosowaniem plików cookies, warto w tym miejscu odnieść się do tej kwestii.

Przede wszystkim należy wskazać, że sam przepis dotyczący plików cookies, tj. art. 173 ustawy Prawo telekomunikacyjne, nie uległ zmianie w wyniku przedmiotowej nowelizacji z dnia 4 maja 2019 r. Zgodnie z tym przepisem przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

  1. abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:
    celu przechowywania i uzyskiwania dostępu do tej informacji,
    możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
  2. abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa powyżej, wyrazi na to zgodę.

Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa powyżej, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, czyli np. wyrażenie zgody może nastąpić poprzez odpowiednie usadowienia przeglądarki internetowej.

Zmianie uległ natomiast art. 174 ustawy Prawo telekomunikacyjne, zgodnie z którym „do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”. W tej sytuacji do wyrażenia zgody na gruncie prawa telekomunikacyjnego, podobnie jak w przypadku ustawy o świadczeniu usług drogą elektroniczną, konieczne jest spełnienie warunków określonych w RODO, a zatem zgoda musi być wyrażona w sposób wyraźny i świadomy, poprzez aktywne działanie, czyli np. kliknięcie przycisku „akceptuj” albo „zgadzam się”. Natomiast zgoda nie może być wyrażona w sposób dorozumiany, np. poprzez ustawienia przeglądarki internetowej, które mają zastosowania do wszystkich odwiedzanych stron i przez wielu ekspertów nie jest to uznawane za „aktywnie” wyrażoną zgodę.

W tym kontekście wielu ekspertów ma wątpliwości, czy dotychczasowa praktyka w stosowaniu plików cookies, która sprowadzała się w zasadzie do informowania w polityce prywatności o stosowanych plikach cookies jest wystarczająca, czy też po zmianie przepisów z 4 maja 2019 r. nie powinno się wymagać od użytkowników wyrażenia aktywnej zgody na cookies (a od administratorów danych wdrożenia narzędzi, które umożliwiłyby wyrażanie świadomiej zgody z uwzględnieniem warunków określonych w RODO).

Obecnie oba poglądy mają swoich zwolenników i przeciwników. Zwolennicy pierwszego poglądu wskazują, że prawo telekomunikacyjne nie wymaga zgody, jeśli wykorzystanie plików cookies jest konieczne do:

  1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej,
  2. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Dodatkowo zwolennicy tego poglądu wskazują, że wykorzystanie plików cookies w celach analitycznych lub reklamowych może być oparte na art. 6 ust. 1 lit 6 RODO, czyli ich wykorzystanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Natomiast zwolennicy drugiego poglądu powołują się oczywiście na wskazaną wyżej nowelizację art. 174 ustawy Prawo telekomunikacyjne.

Rozwiązanie tej kwestii nastąpi jednak już wkrótce, bowiem trwają prace nad rozporządzeniem e-Privacy, które będzie regulowało szczegółowo kwestie wyrażenia zgody na użycie plików cookies, tak aby sposób ich przetwarzania był zgodny z RODO.

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej

Kolejnym istotnym zagadnieniem dotyczącym witryn firmowych w serwisach społecznościowych jest przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Przepisy RODO dość szczegółowo regu­lują zakres przekazywania danych osobowych poza obszar Unii Europejskiej. Jest to o tyle znaczące, że większość serwisów społecznościowych to podmioty działające poza Unią Europejską, w szczególności w USA.
 

Ważne

Administrator danych, który wykorzystuje serwisy społecznościowe do przetwarzania danych osobowych, powinien przeanalizować, czy w tym zakresie nie dochodzi do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Jeżeli okaże się, że tak jest, to administrator danych powinien spełnić wszystkie wymogi, jakie w tej sytuacji nakłada na niego RODO, w szczególności wdrożyć odpowiednie zabezpieczenia.

Administrator danych musi pamiętać, że w takiej sytuacji (zgodnie z art. 13 ust. 1 f RODO) powinien zawrzeć w klauzuli informacyjnej informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Dodatkowo należy pamiętać, że przepisy RODO wymagają także zamieszczenia w rejestrze czynności przetwarzania informacji o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwy tego państwa trzeciego lub organizacji międzynarodowej, a w określonych przypadkach także o udokumentowaniu odpowiednich zabezpieczeń dotyczących takiego przekazania danych.