Koji su rizici privatnosti povezani s komuniciranjem putem stranice na Facebooku? I kakvu odgovornost za obradu osobnih podataka možemo imati kao vlasnik stranice?
U nastavku donosimo što je odlučilo norveško nadzorno tijelo (Norwegian Data Protection Authority – NDPA) nakon što su proveli procjenu prijenosa podataka TIA i procjenu učinka na zaštitu podataka DPIA za Facebook, na temelju obveza koje proizlaze iz propisa o zaštiti podataka. Sve strane koje obrađuju osobne podatke dužne su osigurati usklađenost s Općom uredbom o zaštiti podataka (GDPR). Obveze koje nameće Uredba primjenjuju se i kada organizacija koristi društvene mreže, npr. stranicu na Facebooku.
Kako bi se zaštitila privatnost ispitanika, Procjena utjecaja na zaštitu podataka (DPIA) važan je alat. To je alat koji su koristili u procjeni Facebooka, a koji je rezultirao sljedećim izvješćem.
Neće koristiti Facebook za komunikaciju
„Polazište za našu procjenu bilo je korištenje Facebooka u našim komunikacijskim aktivnostima, a cilj je bio uspostaviti Facebook stranicu. Prvotna i primarna svrha izvješća bila nam je omogućiti donošenje informirane odluke. Međutim, vjerujemo da bi ova procjena također bila od velikog interesa za mnoge druge organizacije i tvrtke“, kaže glavni direktor norveškog nadzornog tijela za zaštitu podatka Bjørn Erik Thon.
„Naš je zaključak bio da ne bi trebali koristiti Facebook u svojim komunikacijskim aktivnostima. Vjerujemo da su rizici po prava i slobode korisnika povezani s obradom osobnih podataka putem stranice na Facebooku previsoki. Također smo otkrili da NDPA ne bi bila dovoljno usklađena s člankom 26. o zajedničkim voditeljima obrade, jer smatramo da je standardni dogovor između Facebooka i nas neadekvatan.
Vjerujemo da bi posjetitelji naše stranice na Facebooku očekivali da imamo kontrolu nad onim što će se dogoditi ako, na primjer, kliknu “sviđa mi se” na našoj stranici ili kakve su informacije prikupljene samim posjetom našoj stranici. Na to jednostavno ne možemo odgovoriti“ kaže Thon.
Izazovnost ocjenjivanja
„Koliko znamo, jedina smo organizacija koja je provela temeljitu procjenu Facebook stranice na temelju obveza GDPR -a. Procjena je bila izazovna i sveobuhvatna te je dovela do niza razmatranja koja se odnose na tehnologiju, pravo i etiku. Vjerujemo da bi mnoge organizacije imale koristi od studije slučaja DPIA“ kaže Bjørn Erik Thon, koji naglašava da se procjene odnose samo na vlastitu upotrebu Facebooka od strane NDPA. Valja napomenuti da NDPA u ovom kontekstu ne komentira zakonitost organizacija koje koriste Facebook stranice ili općenito društvene mreže u svojim aktivnostima.
„Uloga NDPA u ovoj procjeni nije ni nadzorno tijelo ni ombudsman, već voditelj obrade, sa obvezama koje proizlaze iz ove uloge prema GDPR -u. Procjenu smo zasnovali na vlastitim smjernicama i kontrolnom popisu za procjene rizika i procjene utjecaja na zaštitu podataka. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/vurdere-personvernkonsekvenser/vurdering-av-personvernkonsekvenser/nar-er-risiko-hoy/
NDPA nije uključila Facebook u procjenu rizika. „To je zato da ne bismo riskirali miješanje naših uloga kao nadzornog tijela i voditelja obrade. Procjena rizika stoga se temelji na istoj izvornoj osnovi i istim uvjetima kao i za sva druga poduzeća koja koriste ili razmišljaju o stvaranju stranice na Facebook platformi.“
Posebna odgovornost za javne agencije
„Naš pristup samo je jedan od načina da se ovo postigne. Sve ocjene i doprinosi u ovom području su dobrodošli, a relevantno zakonodavstvo dopušta znatnu fleksibilnost u smislu metode, izvršenja i korištenja resursa. Želimo izgraditi diskurs o korištenju društvenih mreža od strane javnih vlasti“ kaže Bjørn Erik Thon.
„Koristeći najpopularnije dostupne alate, koji su besplatni, javne agencije pozivaju komercijalne aktere da prikupljaju i koriste podatke norveških državljana. Istodobno se stvara odnos ovisnosti iz kojeg se teško osloboditi jer postoji svega nekoliko alternativnih pružatelja usluga.“
Izvješće o obradi podataka
Izvješće daje sustavni opis obrade podataka povezanih sa posjedovanjem stranice na Facebooku. Cilj je, kao voditelju obrade podataka, steći opsežan pregled obrade i osigurati da su opisi što potpuniji i što jasniji. Ti opisi uključuju prirodu, opseg, svrhu, kontekst, izvore i primatelje podataka, kao i ocjenu informacijske sigurnosti rješenja.
„Vjerujemo da su rizici po prava i slobode ispitanika povezani s obradom osobnih podataka putem stranice na Facebooku previsoki. Kao vlasnik stranice ne bismo mogli provesti mjere za zadovoljavajuće smanjenje ovih rizika“ kaže Anders Ballangrud – savjetnik za komunikacije u NDPA i voditelj interne procjene.
Radna skupina također je pokušala razjasniti pravnu odgovornost. Uloge i obveze društvenih medija razmatrane su u presudama Europskog suda pravde (ECJ). Konkretno, dvije presude, Wirtschaftsakademie i Fashion ID, utvrđuju da interakcija između društvenih mreža i drugih strana može predstavljati zajedničke voditelje obrade u skladu s člankom 26. Opće uredbe o zaštiti podataka.
„Naša je procjena da NDPA ne bi bilo u skladu s člankom 26. o zajedničkim voditeljima obrade. Vjerujemo da ugovor NDPA s Facebookom nije zadovoljavajući. Nije moguće uspostaviti zaseban aranžman s Facebookom“, kaže Ballangrud.
Radna skupina je procjenila i neophodnost i proporcionalnost obrade podataka. Cilj je osigurati da su izbori koji se donose u svojstvu voditelja obrade podataka legitimni i izvedeni na način da je obrada razmjerna svrsi.
„Unatoč činjenici da bismo mi, kao vlasnik stranice, imali namjeru štititi pravnu osnovu, načela privatnosti te prava i slobode ispitanika, bili bismo na milost i nemilost Facebooka i njegovih odredbi i uvjeta stvaranjem i korištenjem stranicu na platformi. Ipak, u izvješću predstavljamo neke mjere koje mogu umanjiti neke rizike zaštite podataka za pojedinog korisnika“, kaže Ballangrud.
„Ovo je proces u kojem preokrećemo perspektivu i gledamo na obradu sa stajališta ispitanika. Zadržavamo fokus na zaštiti podataka, ali također uzimamo u obzir suodlučivanje, transparentnost i predvidljivost obrade iz perspektive korisnika Facebooka. Činimo to kako bismo utvrdili može li se obrada ipak provesti na prihvatljiv način i graditi povjerenje u odnosu na one čije osobne podatke obrađujemo“ kaže Ballangrud.
Na temelju izvješća koje uključuje preporuke radne skupine i službenika za zaštitu podataka, norveško nadzorno tijelo za zaštitu podataka odustalo je od kreiranje vlastite stranice na Facebooku i komuniciranja putem nje.
Imate li vi svoju Facebook stranicu?
Ukoliko niste proveli TIA ili DPIA u odnosu na korištenje Facebook stranice – javite nam se!