Každý, kdo si založí na Facebooku nikoli osobní, ale fanouškovský profil, se stává správcem osobních údajů. Z aktuálních výsledků kontrol Úřadu pro ochranu osobních údajů vyplývá, že do pasti osobních dat na FB padly politické strany. Podle ÚOOÚ vlastník profilu sdílí jako správce osobní údaje s Facebookem, který je od založení stránky shromažďuje, a to i když jsou anonymizovaná. Úřad při tom vychází z rozsudku Soudního dvora EU z roku 2018. Kontrola se týkala TOP09 a SPD v rámci akce EU spravedlivé volby.
Kontroly podle Úřadu proběhly v rámci celé EU kvůli tzv. spravedlivým volbám: „Úřad vykonal kontrolu, jejímž předmětem bylo zpracování osobních údajů prováděné politickou stranou (nebo za ni jejím jménem) se zaměřením na cílené oslovování jednotlivců pro politické účely, a to jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni, tedy na čekatele na členství, zájemce o členství, příznivce a jiné oslovované osoby (potenciální voliči). Tato kontrola byla do kontrolního plánu pro rok 2019 zařazena s ohledem na aktuální téma spravedlivých voleb v rámci celé Evropské unie,“ uvádí důvody kontrol Úřad pro ochranu osobních údajů.
Vlastník stránky je společný správce s Facebookem
Podle popisu průběhu kontroly strany TOP09 kontrolující zjistili, že „kontrolovaná osoba shromažďuje informace o zájemcích o zasílání newsletteru (registrují svoji e-mailovou adresu), podporovatelích (registrují se prostřednictvím webové stránky nebo portálu my.top09.cz) a členech strany, resp. uchazečích o členství (vyplňují přihlášku). Kontrolovaná osoba dále využívá sociální sítě (Facebook, Instagram, Twitter), kde má tzv. fanouškovskou stránku, resp. Účet“. „Kontrolovaná osoba tedy zpracovává osobní údaje zájemců o zasílání newsletteru, podporovatelů, uchazečů o členství a členů a dále se podílí na zpracování osobních údajů uživatelů sociálních sítí, kteří navštívili její fanouškovské stránky,“ uvádí Úřad ke kontrole politické strany TOP09 doslova.
A právě návštěvníci fanouškovské stránky na Facebooku a dalších sítích jsou z hlediska osobních údajů problém, i když strana nezná jejich identitu: „S ohledem na uvedené je tedy kontrolovaná osoba v postavení správce, resp. ve vztahu k osobám, které jsou oslovovány prostřednictvím kampaní zadaných na sociálních sítích, v postavení společného správce. Ve smyslu rozsudku velkého senátu Soudního dvora Evropské unie ze dne 5. června 2018 ve věci C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH) je totiž za správce osobních údajů, resp. společné správce nutno považovat jak společnosti Facebook Ireland Ltd. a Facebook Inc., tak i jednotlivé vlastníky fanouškovských stránek (profilů) na sociální síti Facebook. Ačkoli tedy v tomto případě kontrolovaná osoba fakticky nedisponuje informacemi o identitě osob, které byly osloveny (tj. osobními údaji), je třeba ji jako vlastníka fanouškovské stránky považovat za společného správce spolu s uvedenými společnostmi, které tuto sociální síť provozují,“ uvádí Úřad doslova. O předmětném rozsudku SDEU již dříve informovaly některé odborné portály.
Facebook ukládá cookies od okamžiku návštěvy
Pro detailní vysvětlení je nutné jít do předmětného rozsudku Soudního dvora EU z roku 2018, kdy toto těleso rozhodovalo předběžné otázky ve sporu Obchodní akademie s německým úřadem pro ochranu dat. Obchodní akademie o sobě šířila informace prostřednictvím profilu na Facebooku bez upozornění na cookies a úřad jí nařídil profil deaktivovat.
Takto jsou v rozsudku SDEU popsána základní fakta: „Wirtschaftsakademie poskytuje služby vzdělávání prostřednictvím fanouškovské stránky umístěné na Facebooku. Fanouškovské stránky jsou uživatelskými účty, které mohou jednotlivci nebo podniky nastavit na Facebooku. Za tímto účelem může autor fanouškovské stránky poté, co se zaregistruje u Facebooku, využít platformu provozovanou Facebookem k tomu, aby se prezentoval uživatelům této sociální sítě a osobám, které tuto stránku navštíví, a šířil na mediálním trhu sdělení všeho druhu a názory. Správci fanouškovských stránek mohou získávat anonymní statistické údaje o návštěvnících těchto stránek za pomoci funkce nazvané Facebook Insight, kterou jim zdarma poskytuje Facebook za nezměnitelných podmínek použití. Tyto údaje jsou shromažďovány za pomoci záznamových souborů (dále jen „soubory cookies“), kdy každý z těchto souborů obsahuje jedinečný kód uživatele, který je aktivní po dobu dvou let a Facebook jej ukládá na pevný disk počítače nebo jiný nosič návštěvníka fanouškovské stránky. Kód uživatele, který lze propojit s údaji o připojení uživatelů zaregistrovaných na Facebooku, je shromážděn a zpracován v okamžiku otevření fanouškovských stránek. V tomto ohledu z předkládacího rozhodnutí vyplývá, že Wirtschaftsakademie ani společnost Facebook Ireland Ltd přinejmenším v období relevantním pro původní řízení neinformovaly o operaci uložení a funkci tohoto souboru cookie ani následném zpracování údajů,“ uvádí se v předmětném rozsudku Soudního dvora EU.
Rozsudek je v češtině k dispozici zde.
Vlastník profilu umožnil jeho založením sběr dat
Podle rozsudku SDEU se v tomto ohledu jeví, že „každá osoba, která má v úmyslu vytvořit na Facebooku fanouškovskou stránku, uzavírá se společností Facebook Ireland zvláštní smlouvu, jež se týká zřízení takové stránky, podle níž souhlasí s podmínkami používání této stránky, včetně s ním související politiky v oblasti souborů cookies, což přísluší ověřit vnitrostátnímu soudu“.
„V tomto kontextu vyplývá z informací poskytnutých Soudnímu dvoru, že vytvoření fanouškovské stránky na Facebooku na straně jejího správce znamená, že provedl úkon nastavení mimo jiné podle své cílové skupiny a cílů řízení nebo propagace svých činností, které má vliv na zpracování osobních údajů za účelem vypracování statistických výkazů získaných na základě návštěv fanouškovské stránky. Tento správce může s využitím filtrů, jež mu poskytuje Facebook, vymezit kritéria, na jejichž základě mají být tyto statistické výkazy vypracovány, a rovněž vymezit kategorie osob, jejichž osobní údaje budou Facebookem využívány. Správce fanouškovské stránky umístěné na Facebooku tudíž přispívá ke zpracovávání osobních údajů návštěvníků své stránky,“ vysvětluje se v rozsudku Soudního dvora EU.
Data jsou anonymní, ale byla shromážděna
Data jsou sice anonymizována, ale před tím jsou shromažďována: Přestože je pravda, že statistické údaje o návštěvnících v podobě výkazů vypracovaných Facebookem jsou předávány správci fanouškovské stránky výlučně v anonymizované podobě, nic to nemění na tom, že tyto statistické výkazy jsou vypracovávány na základě předchozího shromažďování osobních údajů těchto návštěvníků pomocí souborů cookies, jež Facebook umísťuje na počítačích nebo jakýchkoli jiných zařízeních osob, které navštívily tuto stránku, a na základě zpracování k takovým statistickým účelům. Směrnice 95/46 každopádně nevyžaduje, když je dána společná odpovědnost několika aktérů za totéž zpracování, aby měl každý z nich přístup k dotčeným osobním údajům.
„Za těchto okolností je třeba mít za to, že takový správce fanouškovské stránky umístěné na Facebooku, jako je Wirtschaftsakademie, se svým úkonem nastavení parametrů, mimo jiné podle své cílové skupiny a cílů řízení a propagace svých činností, podílí na určení účelu a prostředků zpracování osobních údajů návštěvníků své fanouškovské stránky. Z tohoto důvodu je třeba mít v případě tohoto správce v projednávané věci za to, že je společně se společností Facebook Ireland správcem ve smyslu čl. 2 písm. d) směrnice 95/46,“ uvádí se v rozsudku SD EU.
„Skutečnost, že správce fanouškovské stránky používá platformu poskytovanou Facebookem, aby využíval souvisejících služeb, jej totiž nezprošťuje odpovědnosti za dodržování svých povinností v oblasti ochrany osobních údajů,“ dodává k tomu Soudní dvůr Evropské unie.
Strana stav neprodleně napravila
Podle kontrolorů z českého Úřadu pro ochranu osobních údajů politická strana TOP09 spolupracovala ještě s dalším správcem: „V souvislosti s předmětným zpracováním pak kontrolovaná osoba využívá služeb zpracovatelů a spolupracuje s dalším společným správcem, přičemž kontrolou bylo ověřeno, že uzavřela smlouvy vyhovující požadavkům čl. 26 odst. 1 a 28 odst. 3 nařízení (EU) 2016/679. Předmětné zpracování je dle kontrolních zjištění založeno na souhlasu se zpracováním osobních údajů, resp. oprávněném zájmu správce a na plnění smlouvy,“ uvádí se ke kontrole TOP09, která nalezla minimum pochybení. „Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků a od uložení pokuty upustil,“ uzavírá Úřad záznam o kontrole.
Kontroly předmětných politických stran uskutečnil Úřad pro ochranu osobních údajů v roce 2019. Co se týče SPD, zahájil Úřad řízení o přestupku a vyslal směrem k této straně doporučení. Co se týče strany TOP09, identifikoval Úřad problém správcovství osobních údajů v souvislosti s Facebookem a vydal doporučení stejně jako u SPD.
Irena Válová