FANPAGE NA FACEBOOKU, PRZETWARZANIE DANYCH OSOBOWYCH, A RODO

RODO Fanpage Facebook

Fanpage na Facebooku

Kto w dzisiejszych czasach wyobraża sobie całkowitą rezygnację z serwisów społecznościowych? A jeśli nawet, to w naszym otoczeniu trudno będzie znaleźć osoby, którym te miejsca w sieci są zupełnie obojętne (szczególnie dzięki RODO). Idą za tym różne względy, szukanie znajomych z lat szkolnych, wymiana notatek czy zdjęć, szukanie mieszkania, wspieranie fanpage firm, które lubimy lub poszukiwania pracy.

W Polsce najpopularniejsza platforma gromadzi ok.16 mln unikalnych użytkowników powyżej 13 roku życia. Szacuje się, że 80 procent z nich loguje się do serwisu codziennie. Niewiele jednak zastanawia się jak przetwarzane są dane osobowe, które gromadzi Facebook, który pierwotnie powstał by rejestrować użytkowników tworzących sieci, grupy, by dzielić się wiadomościami oraz zdjęciami, a także korzystać z aplikacji. Użytkowników wciąż przybywa, a wraz z nimi przybywa także pytań i wątpliwości, dotyczących kwestii ochrony zbieranych danych. Jednym z zagadnień jest prowadzenie fanpage’a na Facebooku i statusu prawnego firm, które się tym zajmują.

Wyrok…

Temat RODO nie jest już w centrum uwagi, głośnym za to stał się wyrok z 5 czerwca 2018 r. w sprawie C‑210/16 Trybunału Sprawiedliwości Unii Europejskiej, który niewątpliwie zrewolucjonizuje podejście niektórych do korzystania z najbardziej popularnego serwisu społecznościowego. Sprawa dotyczyła spółki Wirtschaftsakademie, znajdującej się w Niemczech, która kształci za pośrednictwem fanpage’a Facebook. Ponadto korzystano w tym przypadku także z Facebook Insights, który analizuje statystyki dotyczące użytkowników, którzy odwiedzają fanpage. Dane są anonimizowane, w związku z czym nieświadoma przetwarzania danych osobowych spółka nie informowała osób korzystających ze strony o zbieraniu danych osobowych poprzez pliki cookies.

Trybunał w wyroku podał, że Facebook nie będzie jedynym odpowiadającym za przetwarzanie danych osobowych, odwiedzających fanpage osób. Drugim zupełnie odrębnym administratorem danych osobowych użytkowników zbieranych za pomocą tzw. plików cookies na fanpage będzie dodatkowo administrator bądź administratorzy fanpage. To swoiste novum, niosące ze sobą liczne kontrowersje, ponieważ dotychczas przyjęło się, że to portal Facebook jest wyłącznym administratorem danych osobowych użytkowników.

Konsekwencjami wyroku jest zobligowanie osoby prowadzącej fanpage do informowania wchodzących na stronę o przetwarzaniu ich danych osobowych (skorzystanie z tzw. obowiązku informacyjnego), a w przypadku sprawy Wirtschaftsakademie z Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein dezaktywacja fanpage’a. Jest to związane z możliwością określenia celów i sposobów przetwarzania danych w czym gromadzenia danych odnośnie szczegółów demograficznych dotyczących korzystających z portalu i fanpage użytkowników m.in. takich jak dane odnośnie stanu cywilnego, zainteresowań, stylu życia, wieku, płci, a także statusu zawodowego.

Facebook

Już od 10 lat, a liczba jego użytkowników ciągle się zwiększa. Należałoby tutaj podkreślić, że zbierane przez serwis i administratora dane są danymi osobowymi, a zatem istotne jest przeanalizowanie podstawy prawnej przetwarzania. Czy w tym przypadku można by mówić o uzasadnionym interesie, czy będziemy mieć do czynienia ze zgodą? Być może proces zbierania danych osobowych, który jest przedmiotem dywagacji winien szukać swoich podstaw w profilowaniu, które odbywa się w celu marketingu bezpośredniego, określonego przez RODO jako cel wynikający z uzasadnionych interesów administratora. Wydaje się, że już na początku przy procesie zbierania danych osobowych ,ale także na konkretny wniosek osób powinno się informować o profilowaniu i oczekiwać wyrażenia zgody, bez uzyskania której nie ma podstawy na przetwarzanie danych osobowych. W związku z powyższymi rozważaniami właściciele firm, agencji marketingowych i właściciele fanpage na Facebooku są zainteresowani tym kiedy i jak odpowiednio można uzyskać zgodę użytkowników oraz przedstawić obowiązek informacyjny wraz z klauzulami informacyjnymi. Kolejnym problemem jawi się być odpowiedzialność w przypadku, gdy administrowaniem konkretnych profili zajmują się firmy zewnętrzne. Tego rodzaju postanowienia powinny być rozważone i określone następnie w umowach. Druga zaś strona medalu wygląda tak, że sama obecność tj. rejestracja na portalach społecznościowych może być szerzej interpretowana jako dorozumiana zgoda, ponieważ jest to świadome działanie użytkowników związane z przetwarzaniem danych osobowych w sieci, często wraz z prezentacją swojego wizerunku, ponadto imienia, nazwiska bądź nazwisk, zainteresowań, preferencji politycznych, często miejsca zamieszkania i innych danych.

Co dalej?

Niewątpliwie i niezmiennie Facebook zajmuje pierwsze miejsce wśród portali społecznościowych. Dzięki prostemu interfejsowi przyciąga w bardzo szybkim tempie zarówno młodszych i starszych użytkowników, którzy z chęcią z niego korzystają. Zdecydowanie próbuje opanować jak największą liczbę obszarów życia człowieka. Aby dogonić tendencje i trendy Facebook sprytnie korzysta z funkcjonalności prezentowanej przez Google, Youtube, Snapchat etc. a następnie wdraża te rozwiązania do siebie. Zdaje się, że podstawowe funkcje, takie jak kontakt ze znajomymi, czy prezentowanie zdjęć przechodzą do lamusa. Platforma rozrosła się do ogromnego stopnia. W ciągu ostatnich dziesięciu lat Facebook jest jednym z najbardziej trafiających do konsumentów typem reklamy. Posiada rozwiązania i narzędzia, aby poprawiać zasięgi i trafiać poprzez różne jej formaty. Prócz możliwości biznesowych Facebook gromadzi dane demograficzne, a także geolokalizacyjne poprzez oznaczanie się w konkretnych miejscach, dodawanie statusów, czy udostępnianie miejsca pobytu. Platforma umożliwia zapoznanie się z czyimś gustem muzycznym, kulinarnym, preferencjami dotyczącymi lokalizacji. Bardzo często, kiedy dany użytkownik jest zainteresowany uczestniczeniem bądź weźmie udział w imprezie masowej, koncercie bądź warsztatach jego znajomi zostają poinformowani o tym fakcie. Aplikacje, które posiadamy na smartphonach takie jak Instagram, Messenger, WhatsApp, a nawet Tinder połączone automatycznie z Facebookiem zdradzają szereg informacji o użytkownikach. Są to wizerunek, ich dane behawioralne, czasem dane dotyczące orientacji seksualnej. Messenger, przez który można wymieniać wiadomości nie będąc znajomymi w bardzo wielu przypadkach zastępuje komunikacje wiadomościami tekstowymi na telefonie, to tam użytkownicy wymieniają się danymi przyjętymi za poufne, zdjęciami, danymi takimi jak numery dostępu do konta, loginy etc. Dla serwisu zainteresowanie użytkownika swoistymi nowinkami ma na celu zapoznanie z reklamami. To, jak można kategoryzować dopasowywanie reklam dzięki Facebookowi jest zbawiennym źródłem dla rozwoju biznesu.

Autor: Monika Liwoch

SZKOLENIA TO PODSTAWA

RODO szkolenie

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

Uwaga na fałszywe wiadomości o kontroli GIODO!

Uwaga na fałszywe wiadomości o kontroli GIODO!

Na stronie GIODO: http://www.giodo.gov.pl/pl/259/10050 została umieszczona informacja o podejrzanych fałszywych wiadomościach/mailach:

„Dzisiaj wiele kancelarii prawnych otrzymało informację o planowanej kontroli Generalnego Inspektora Ochrony Danych Osobowych. UWAGA – wiadomość nie pochodzi od GIODO! Maile nie zostały wysłane z serwera GIODO. Ostrzegamy przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Niebezpieczna wiadomość zawiera złośliwe oprogramowanie szyfrujące dane na komputerze i żądające opłaty za klucz pozwalający na ich odkodowanie (ransomware). Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl. Jednocześnie zaleca się zwiększenie ostrożności w trakcie korzystania z poczty elektronicznej oraz otwierania przesłanych załączników np. z dokumentami MS Office, które mogą zawierać makra JavaScript lub PowerShell, za pomocą których złośliwe oprogramowanie może zostać pobrane.”

w dniu 26-06-2017:

Pragniemy poinformować, że nie tylko kancelarie prawne ale i inne firmy otrzymały takie maile. Chcemy przypomnieć o środkach bezpieczeństwa i o zachowaniu szczególnej ostrożności przy otwieraniu wszelakich załączników oraz przy uruchamiani linków zawartych w mailach z „podejrzanego pochodzenia” nie tylko w wiadomościach służbowych, ale i w prywatnej korespondencji też.

Niepotwierdzone źródła podają, że po uruchomieniu złośliwego oprogramowania z maila, dane na komputerze zostają zaszyfrowane. Sprawcy żądają za kod/hasło do odszyfrowania 200 $.