Firemný profil na Facebooku podľa GDPR

Je tomu tak preto, lebo založením firemného profilu napr. na Facebooku dochádza k určovaniu účelu a najmä prostriedku spracúvania osobných údajov zo strany vlastníka firemného profilu, čím sa z vlastníka profilu stáva prevádzkovateľ. Potvrdil to aj Súdny dvor EÚ v rozsudku vo veci Wirtschaftsakademie[1], ktorému sa budeme bližšie venovať v tomto príspevku. Len pre zopakovanie, budeme sa venovať výlučne firemným a nie osobným profilom na Facebooku.

História problému

Nie je to tak dávno, čo nad problematikou sociálnych sietí z pohľadu predpisov na ochranu osobných údajov väčšina firiem a poradcov len mávli rukou. Nespočetne veľa krát sme sa stretli s argumentom, že fyzická osoba predsa súhlasí s podmienkami Facebooku, a tým je všetko vyriešené. Ide o problém Facebooku a nie nás.

Alebo, že vôbec nedochádza k spracúvaniu osobných údajov z našej strany, „my len vytvoríme profil“. Na podobné úvahy nepriamo navádzal aj samotný Facebook, nakoľko vo svojej privacy policy[2] sa prirodzene venoval len spracúvaniu osobných údajov, ktoré vykonáva vo svojom vlastnom mene a prípadné postavenie vlastníkov firemných problémov a vzťah s nimi výslovne neriešil.

Niekedy v prvej polovici roku 2018 však Facebook nenápadne zverejnil samostatné podmienky s názvom Data Processing Terms.[3] V týchto podmienkach Facebook definuje, že spracúva osobné údaje aj ako sprostredkovateľ podľa čl. 28 GDPR tých osôb, na ktoré sa vzťahujú obchodné podmienky produktov Facebooku ako Facebook Business Tools Terms alebo Custom Audience Terms, a teda najmä vlastníkov firemných profilov. To znamená, že podľa aktuálnych podmienok Facebook súčasne vystupuje ako prevádzkovateľ pri B2C vzťahoch a ako sprostredkovateľ pri B2B vzťahoch.

Bez toho, aby si to väčšina vlastníkov firemných profilov na Facebooku uvedomovala, používa Facebook ako sprostredkovateľa a má s ním uzatvorenú zmluvu podľa čl. 28 GDPR. Tento prístup nás príjemne prekvapil, pretože klientom sme v minulosti odporúčali práve uzatvorenie danej zmluvy, vychádzajúc z rovnakého vnímania základných vzťahov. V čom je teda problém?

Rozsudok Súdneho dvora EÚ vo veci Wirtschaftsakademie

Rozruch v tejto oblasti spôsobil rozsudok Súdneho dvora EÚ vo veci Wirtschaftsakademie. V rámci právnej vety resp. odpovede na prvú prejudiciálnu otázku Súdny dvor EÚ odpovedá, že vlastník firemného profilu je prevádzkovateľom. Avšak, v bodoch 41, 42 a 43 daného rozsudku Súdny dvor EÚ hovorí o vzťahu medzi Facebookom a vlastníkom firemného profilu ako o vzťahu spoločnej zodpovednosti prevádzkovateľov:

„Navyše treba zdôrazniť, že fanúšikovské stránky umiestnené na Facebooku môžu navštevovať aj osoby, ktoré nie sú užívateľmi Facebooku a ktoré teda nemajú užívateľský účet na tejto sociálnej sieti. V tomto prípade sa zdá byť zodpovednosť správcu fanúšikovskej stránky týkajúca sa spracovania osobných údajov týchto osôb ešte väčšia, keďže samotné navštívenie fanúšikovskej stránky návštevníkmi automaticky vedie k spracovaniu ich osobných údajov.

Za týchto podmienok prispieva uznanie spoločnej zodpovednosti prevádzkovateľa sociálnej siete a správcu fanúšikovskej stránky umiestnenej na tejto sieti v súvislosti so spracovaním osobných údajov návštevníkov tejto fanúšikovskej stránky v súlade s požiadavkami smernice 95/46 k zaručeniu lepšej ochrany práv osôb, ktoré navštevujú fanúšikovskú stránku.

Vzhľadom na uvedené treba spresniť, ako uviedol generálny advokát v bodoch 75 a 76 svojich návrhov, že existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov, ktorých sa týka spracovanie osobných údajov. Tieto subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci.“

Prirodzene sa teda vyskytli otázky, či tým Súdny dvor EÚ myslel vzťah spoločných prevádzkovateľov v zmysle čl. 26 GDPR alebo nie, nakoľko v právnej vete používa Súdny dvor EÚ len pojem prevádzkovateľ.

Podľa nášho názoru je potrebné čítať judikát v súvislosti so skutkovým stavom daného prípadu, ale najmä v súvislosti so znením Smernice 95/46/ES (a nie GDPR) ako aj spolu s názorom generálneho advokáta, na ktorý rozsudok odkazuje. Smernica 95/46/ES v článku 2 písm. d) upravuje definíciu „kontrolóra (prevádzkovateľa) ako „fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov.“ Na rozdiel od GDPR však výslovne nerieši inštitút spoločných prevádzkovateľov tak, ako ho upravuje GDPR v článku 26.

V danej veci dostal vlastník profilu nariadené od dozorného orgánu, aby odstránil svoj profil z dôvodu, že ani vlastník profilu ani Facebook neinformovali návštevníkov profilu o tom, že v súvislosti s meraním návštevnosti profilu sú do počítačov užívateľov ukladané súbory cookies, ktoré pomocou tzv. Facebook Advertising IDs vedia užívateľa identifikovať alebo profilovať pri zobrazovaní alebo cielení reklamy.

Vlastník profilu sa bránil tým, že nie on, ale Facebook by mal zodpovedať za ochranu osobných údajov. Dozorný orgán následne zamietol aj sťažnosť vlastníka profilu a ten sa obrátil na nemecký správny súd (Verwaltungsgericht), pričom znova namietal, že mu nemožno pripísať spracúvanie osobných údajov spoločnosťou Facebook, keďže vlastník profilu Facebook nepoveril spracúvaním osobných údajov a nemôže teda ani kontrolovať alebo ovplyvňovať spracovateľské operácie.

Nemecký správny súd toto rozhodnutie zrušil a dal za pravdu vlastníkovi profilu. Toto rozhodnutie potvrdil aj Vyšší správny súd (Oberverwaltungsgericht), ktorý konštatoval, že o účele a prostriedkoch týkajúcich sa zberu a spracovania osobných údajov, o ktoré ide v tomto prípade rozhoduje len spoločnosť Facebook, pričom Wirtschaftsakademie ako taká dostáva len anonymizované štatistické údaje. Dozorný orgán následne podal opravný prostriedok na Spolkový správny súd (Bundesverwaltungsgericht), ktorý Súdnemu dvoru položili viaceré prejudiciálne otázky.

Súdny dvor sa vo svojom stanovisku opieral o návrhy generálneho advokáta Yvesa Bota (ďalej len „Návrhy“),[4] s ktorými sa stotožnil. Generálny advokát vo svojich Návrhoch viackrát výslovne odkazuje na interpretáciu pojmu spoločných prevádzkovateľov v stanovisku Pracovnej skupiny čl. 29 1/2010.[5] Generálny advokát pri svojej analýze viackrát hovorí o „spoločnej zodpovednosti“ a inklinuje tak k postaveniu vlastníka profilu a Facebooku ako spoločných prevádzkovateľov.

Svoje návrhy začína už v bode 42 konštatovaním, že „Wirtschaftsakademie (je potrebné) považovať za spoluzodpovednú za fázu spracovania, ktorá spočíva v zbere osobných údajov, ktorú uskutočňuje spoločnosť Facebook.“  Ešte silnejší náznak inštitútu spoločného prevádzkovateľa nachádzame v bode 51 Návrhov: „tieto dva subjekty treba so zreteľom na informácie, ktoré má Súdny dvor k dispozícii, považovať za spoločne zodpovedné za toto spracovanie.“

Následne v bode 56 generálny advokát dodáva: „Tento záver potvrdzuje konštatovanie, že správca fanúšikovskej stránky, akým je Wirtschaftsakademie, na jednej strane a poskytovatelia služieb, ako sú spoločnosti Facebook Inc. a Facebook Ireland, na druhej strane sledujú úzko prepojené ciele.“ Navyše v nasledujúcej analýze svoje tvrdenia opiera o fakt, že prevádzkovateľ fanúšikovskej stránky akceptuje účely a prostriedky spracúvania osobných údajov tak, ako ich vopred vymedzil Facebook a tým sa podieľa na ich určení.[6]

„Správca fanúšikovskej stránky teda určením okruhu návštevníkov, na ktorých sa chce zamerať, zároveň určí okruh osôb, ktorých osobné údaje môže spoločnosť Facebook zbierať a potom využívať. Správca fanúšikovskej stránky preto tým, že vytvorí túto stránku, nielenže rozhodne o začatí spracovania takých údajov, ale zohráva aj vedúcu úlohu pri vykonávaní tohto spracovania zo strany sociálnej siete Facebook. Takto sa podieľa na určení prostriedkov a účelov uvedeného spracovania, pričom ho fakticky ovplyvňuje.“[7]

Generálny advokát svoje úvahy o spoločnej zodpovednosti uzatvára konštatovaním, že takýto postup je v záujme ochrany práv návštevníkov Facebooku. „Uznanie spoločnej zodpovednosti správcov fanúšikovských stránok za fázu spracovania spočívajúcu v zbere osobných údajov, ktorý vykonáva spoločnosť Facebook, však prispieva k zaručeniu úplnejšej ochrany práv návštevníkov takýchto stránok. Okrem toho, ak majú správcovia fanúšikovských stránok aktívnu povinnosť dodržiavať pravidlá ochrany osobných údajov v dôsledku toho, že sú považovaní za prevádzkovateľov, môže to nepriamo nabádať samotnú platformu sociálnej siete, aby dodržiavala tieto pravidlá.“[8]

K takémuto vymedzeniu a interpretácií rozhodnutia vo veci Wirtschaftsakademie sa prikláňa aj generálny advokát Michal Bobek vo svojich návrhoch v prípade Fashion ID (zatiaľ bez finálneho verdiktu súdu),[9] ktorý sa skutkovo týka personálnej pôsobnosti aktérov spracúvania osobných údajov pri umiestnení sociálneho plug-inu Facebooku („páči sa mi to“) na webovú stránku. V rámci svojej analýzy generálny advokát interpretuje aj diskutované rozhodnutie Wirtschaftsakademie, ktoré chápe ako prípad spoločných prevádzkovateľov.[10]

Ide teda o spoločných prevádzkovateľov?

Podľa nášho názoru je vo všeobecnosti tento záver rozporuplný a diskutabilný, môže sa však aplikovať na niektoré čiastkové interakcie s údajmi. Je veľmi ťažké sa stotožniť s názorom, že vlastník profilu a Facebooku vo všeobecnosti vymedzujú rovnaké účely spracúvania pretože sme presvedčení, že tieto účely – odvíjajúce sa od obchodných záujmov strán – sú odlišné. Je jasné, že ak Facebook poskytuje svoje služby dotknutým osobám, je v postavení prevádzkovateľa.[11] Za dané spracúvanie vlastník profilu nijako nezodpovedá a nemá naňho ani žiadny dosah.

Vlastníkom profilov však Facebook poskytuje diametrálne odlišné služby, o ktorých použití, nasadení a konfigurácii rozhoduje vlastník profilu buď v rámci správy svojho konta alebo prostredníctvom konzoly Facebook Business. Je predsa na vlastníkovi profilu ako ho bude využívať, aké publikum bude cieliť platenou reklamu Facebooku, ako bude s týmto online publikom komunikovať alebo koho pozve na „lajknutie“ svojho profilu.

Ide o výlučné rozhodovanie vlastníka profilu, ktorý na tento účel použije (vo svojom mene) Facebook ako poskytovateľa služby. V tomto prípade je Facebook softvérová služba ako každá iná, a preto je podľa nášho názoru Facebook jednoznačne sprostredkovateľom vlastníkov profilov. Skutočnosť, že tieto vzťahy existujú popri sebe na tom nič nemení. Napokon, hovoria to aj najnovšie Data Processing Terms Facebooku.

Avšak, Facebook v nadväznosti na rozsudok Wirtschaftsakademie prijal dokument resp. dodatok s názvom "Page Insights Controller Addendum". Page Insights predstavujú anonymné štatistiky, ktoré Facebook zobrazuje vlastníkovi profilu. V danom dokumente už Facebook deklaruje, že vystupuje ako ako spoločný prevádzkovateľ s vlastníkom profilu, pričom daný dokument predstavuje zmluvu spoločných prevádzkovateľov podľa čl. 26 GDPR. Táto zmluva okrem iného prenáša zodpovednosť za informovanie podľa GDPR, vybavovanie žiadostí dotknutých osôb alebo akýchkoľvek podnetov dozorných orgánov na Facebook Ireland, Inc. a obsahuje povinnosť každého vlastníka profilu poslať každú takú žiadosť Facebooku do 7 kalendárnych dní používajúc nasledovný formulár. Táto zmluva však pokrýva výlučne anonymné štatistické údaje, ktoré sa nachádzajú v menu firemného profilu pod "Insights" alebo "Štatistiky stránky" a nepotvrdzuje vzťah spoločných prevádzkovateľov na akékoľvek osobné údaje spracúvané prostredníctvom Facebooku. 

Objavujú sa tiež ďalšie zdroje, ktoré rozvíjajú myšlienku spoločných prevádzkovateľov. Napr. organizácia Privacy International vo svojej správe konštatovala dané postavenie medzi vývojármi a Facebookom vo vzťahu k využívaniu SDK funkcionality Facebooku. Odkazovala pritom na zaujímavé rozhodnutie belgického súdu. 

Prečo rozhodol Súdny dvor tak ako rozhodol?

Napriek tomu, že s plošným nastavením tohto vzťahu ako spoločných prevádzkovateľov nesúhlasíme, myslíme si, že v skutočnosti Súdny dvor rozsudkom Wirtschaftsakademie chránil milióny vlastníkov profilov. Prečo? Netreba zabúdať na to, že spor vo veci sa týkal výkladu Smernice 95/46/ES, ktorá nevyžadovala medzi spoločnými prevádzkovateľmi výslovnú zmluvu ako vyžaduje čl. 26 GDPR. Ak by Súdny dvor potvrdil, že vlastníci profilov sú prevádzkovatelia a Facebook sprostredkovateľ, vystavil by ich zodpovednosti za nesúlad s legislatívou, ktorá obligatórne vyžaduje pre tento vzťah uzatvorenie zmluvy so sprostredkovateľom.

V tom čase totiž Data Processing Terms, v ktorých by Facebook konštatoval, že je sprostredkovateľom podľa čl. 28 GDPR neexistovali. Ak čítame rozsudok v tomto svetle môže sa dokonca zdať, že ani neodporuje nastaveniu daného vzťahu ako prevádzkovateľa so sprostredkovateľom, nakoľko výslovne potvrdzuje najmä to, že vlastník profilu je prevádzkovateľ.

Čo by mal urobiť vlastník firemného profilu na Facebooku?

Bez ohľadu na debatu vyššie je nepochybné, že vlastník profilu je prevádzkovateľom a návštevníci profilu sú dotknutými osobami. Každý vlastník profilu je povinný svojich návštevníkov informovať podľa čl. 13 resp. čl. 14 GDPR. Facebook zaviedol možnosť umiestniť na popis profilu odkaz na zásady ochrany súkromia (Privacy Policy) vlastníka profilu, ktoré sa aplikujú súbežne popri zásadách Facebooku. Každý užívateľ má následne možnosť cez sekciu „about“ resp. „o nás“ oboznámiť sa s týmito informáciami, viď nižšie.

Je možné polemizovať o tom, či Data Processing Terms spolu s ďalšími zmluvnými podmienkami Facebooku spĺňajú náležitosti podľa čl. 28 GDPR a či spôsob informovania užívateľov vyššie uvedeným spôsobom je v súlade s princípmi transparentnosti a jednoduchosti podľa čl. 12 GDPR. Ak si však porovnáme túto situáciu s tým, ako Facebook uľahčoval splnenie súladu s predpismi na ochranu osobných údajov pár rokov dozadu, ide jednoznačne o posun vpred.

Ďalej by sa mal každý vlastník profilu na Facebooku zamyslieť nad tým, na aký účel spracúvania využíva svoj profil a prispôsobiť tomu svoju informačnú povinnosť. V praxi ide najčastejšie o:

• propagáciu resp. zvyšovanie povedomia o vlastníkovi profilu jeho produktoch, službách alebo značke;

• priamy marketing (napr. cielenie marketingových ponúk prostredníctvom služby Custom Audiences resp. prostredníctvom rôznych kampaní, boostovanie príspevkov, analýza úspešnosti kampaní); 

• organizovanie a vyhodnocovanie spotrebiteľských súťaží;

• poskytovanie služieb resp. predaj tovarov priamo cez Facebook;

• pracovno-právne účely (napr. hľadanie nových zamestnancov, zverejňovanie pracovných ponúk a prijímanie uchádzačov); alebo

  štatistické účely.

Je takisto potrebné informovať návštevníkov o ukladaní súborov cookies do ich zariadení v súlade s § 55 ods. 5 Zákona o elektronických komunikáciách a zamyslieť sa nad potrebou získavania súhlasu s takým ukladaním alebo súhlasu so zasielaním marketingovej komunikácie podľa § 62 ods. 2 Zákona o elektronických komunikáciách, ak sú také súhlasy potrebné.

Aktuálne tiež platí, že akékoľvek údaje spracúvané prostredníctvom Facebooku budú interne v rámci Facebooku prenášané aj do USA, a to na základe mechanizmu EU-US Privacy Schield. O tejto skutočnosti síce informuje aj Facebook, formálno-právne by tak mal robiť aj vlastník firemného profilu ako prevádzkovateľ.

Samozrejme informovaním dotknutých osôb a „akou-takou“ zmluvou podľa čl. 28 GDPR nie je súlad s GDPR vyriešený. Ide však o najdôležitejší základ a výrazný posun oproti minulosti. Rôzne zahraničné zdroje koketujú s myšlienkou prepojiť používanie sociálnych sietí a najmä nástrojov na cielenie reklamy s posúdením vplyvu.

Môžu sa vyskytnúť problémy s preverovaním Facebooku ako sprostredkovateľa, pri vynucovaní auditov Facebooku ako sprostredkovateľa, pri oznamovaní porušení ochrany súkromia, pri získavaní súčinnosti zo strany Facebooku pri vybavovaní žiadostí dotknutých osôb alebo pri otázkach zodpovednosti vlastníkov profilov za porušenia GDPR zo strany Facebooku. Pre lepšiu ilustráciu týchto problémov odporúčame sledovať mnohé prebiehajúce konania voči Facebooku v iných členských štátoch.

Záver

Je potrebné prijať záver, že firemný profil na Facebooku je len ďalším z nástrojov na spracúvanie osobných údajov na úplne bežné účely spracúvania. Ak využívate Facebook alebo sociálne siete na firemné účely, je potrebné osobitnosti každej siete v prvom rade zohľadniť vo Vašich zásadách ochrany súkromia (privacy policy) a posilniť v čo najväčšej možnej miere transparentnosť a jednoduchosť poskytovaných informácií takým spôsobom, aby sa dotknuté osoby mali možnosť sa s nimi oboznámiť pri navštívení profilu.

Netreba však žiť v ilúzii, že týmito krokmi je súlad s GDPR zabezpečený. Využívanie sociálnych sietí ako Facebooku stále predstavuje riziko pre vlastníkov profilov, pretože mnohé aspekty súladu s GDPR nie sú úplne pokryté. Pragmatickým prístupom je sledovať vývoj konaní pred dozornými orgánmi z iných členských štátov voči Facebooku a zohľadňovať prípadné riziká z nich vyplývajúce vo vlastnej dokumentácii. Netreba zabúdať ani na prichádzajúce e-Privacy nariadenie, ktoré môže mať dopad aj na problematiku využívania sociálnych sietí.

Takisto je potrebné sledovať ako dopadne rozsudok Súdneho dvora vo veci Fashion ID, aj keď sa bude týkať výkladu Smernice 95/46/ES a nie GDPR. 

[1] Rozsudok Súdneho dvora EÚ z 5. júna 2018 vo veci C‑210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein proti Wirtschaftsakademie Schleswig‑Holstein GmbH, za účasti: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht dostupný na http://curia.europa.eu/juris/document/document.jsf;jsessionid=C53D35061A50593F4E4EBC5F93B14980?text=&docid=202543&pageIndex=0&doclang=SK&mode=lst&dir=&occ=first&part=1&cid=1514789

[2] Aktuálna verzia dostupná na https://www.facebook.com/policy.php

[3] https://www.facebook.com/legal/terms/dataprocessing

[4] NÁVRHY GENERÁLNEHO ADVOKÁTA YVES BOT prednesené 24. októbra 2017 vo veci C-210/16, dostupné na: http://curia.europa.eu/juris/document/document_print.jsf?docid=195902&text=&dir=&doclang=SK&part=1&occ=first&mode=DOC&pageIndex=0&cid=2557192

[5] Pozri napr. body 61 a 76 Návrhov.

[6] Bod 56 Návrhov.

[7] Bod 57 Návrhov.

[8] Bod 74 Návrhov.

[9] NÁVRHY GENERÁLNEHO ADVOKÁTA MICHAL BOBEK prednesené 19. decembra 2018 vo veci C‑40/17, dostupné na http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=SK&mode=lst&dir=&occ=first&part=1&cid=2571633.

[10] Body 66 a 87.

[11] Viď recitál 18 GDPR: „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez spojenia s profesijnou alebo komerčnou činnosťou. Osobné alebo domáce činnosti by mohli zahŕňať korešpondenciu a uchovávanie adries či využívanie sociálnych sietí a online činnosti vykonávané v kontexte takýchto činností. Toto nariadenie sa však vzťahuje na prevádzkovateľov alebo sprostredkovateľov, ktorí poskytujú prostriedky na spracúvanie osobných údajov na takéto osobné alebo domáce činnosti.“