Współadministrowanie danymi osobowymi a korzystanie z wtyczki „Lubię to”
Używanie wtyczki „Lubię to” a współadministrowanie danymi osobowymi
Współadministrowanie danymi osobowymi – zamieszczenie wtyczki „Lubię to” przez administratorów stron www
Podmioty, które zamieszczają wtyczkę „Lubię to” na swoich witrynach internetowych, są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób, które korzystają z witryn.
Po pierwsze – obowiązek informacyjny to podstawa
Osoby odwiedzające witryny internetowe, na których znajduje się wtyczka społecznościowa portalu Facebook – zgodnie z art. 13 RODO – muszą wypełniać obowiązek informacyjny względem osób korzystających z witryn. Co oznacza to w praktyce? Odwiedzając witrynę dana osoba musi wiedzieć, że operator przekazuje jej dane do Facebooka. Mamy na myśli takie dane jak: adres IP oraz identyfikator przeglądarki użytkownika. Co ważne – obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych organizacji.
Po drugie – prawo do wiedzy o tym, co dzieje się z danymi użytkownika
Podmiot, który przetwarza dane osobowe w zakresie przekazania ich do portalu społecznościowego, musi posiadać zgodę (prawnie uzasadniony interes) w zakresie posiadania przesłanki do przetwarzania danych użytkowników.
Po trzecie – osobna klauzula zgody na przekazywanie danych Facebookowi
Czym tak naprawdę jest zgoda? Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, które osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (zgodnie z art. 4 pkt 11 RODO). Natomiast, na bazie motywu 43 RODO, zgody nie uważa się za dobrowolną, jeśli nie można jej wyrazić osobno na różne operacje przetwarzania danych osobowych. Jeśli przetwarzanie służy różnym celom, podmiot potrzebuje zgody na wszystkie te cele.
Klauzula zgody na przekazywanie danych Facebookowi powinna być sformułowana odrębnie od klauzul zgód na przetwarzanie danych osobowych w innych celach i powinna spełniać wszystkie przesłanki, o których mowa w RODO. Zgodnie z decyzją Trybunału Sprawiedliwości – gdy przetwarzanie jest konieczne do realizacji uzasadnionych interesów, to każdy ze współadministratorów danych (operator witryny internetowej oraz dostawca wtyczki społecznościowej) musi w ramach gromadzenia i przekazywania danych uzasadnić, dlaczego określone operacje są wykorzystywane w jego działalności.
Po czwarte – przekazywanie danych osobowych do Facebooka
Podmioty, które są współadministratorami powinny określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO (zgodnie z art. 26 ust. 1 RODO). Warto zauważyć także, że podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO (art. 26 ust. 1 RODO). Jest to istotne w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO.
Ważną kwestią jest również uwzględnienie w polityce bezpieczeństwa kwestii przekazywania danych osobowych do Facebooka. Ważny jest fakt, że oba podmioty muszą zapewnić osobom, których dane dotyczą, informacje, do którego administratora danych zwrócić się, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO).
Wniosek określony na bazie wyroku Trybunału Sprawiedliwości UE z dnia 29 lipca 2019 r., który określa role podmiotów biorących udział w procesie przetwarzania danych osobowych (całość dostępna tutaj).