Mnoho obcí a miest, ale aj školy, príspevkové a rozpočtové organizácie majú svoje účty na Facebooku s cieľom upozorniť na služby obecnej samosprávy či na aktivity konané v obci/meste. Facebook patrí medzi najväčšie a najúspešnejšie sociálne siete, preto sa z neho stal nielen komunikačný nástroj týchto subjektov smerom k verejnosti, ale aj marketingový nástroj.
Súdny dvor Európskej únie (Súdny dvor) vydal 5. júna 2018 rozsudok vo veci C‑210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (vnútroštátny dozorný orgán) proti Wirtschaftsakademie Schleswig‑Holstein GmbH (Wirtschaftsakademie), podľa ktorého správca fanúšikovskej stránky na Facebooku je zodpovedný spolu s Facebookom za spracúvanie osobných údajov návštevníkov tejto stránky ohľadne funkcie Facebook Insight.
Správcovia fanúšikovských stránok môžu totiž získavať anonymné štatistické údaje o návštevníkoch týchto stránok, a to prostredníctvom funkcie s názvom Facebook Insight. Na spracúvanie údajov v rámci tejto agendy nie je potrebný súhlas dotknutých osôb. Právnym základom spracúvania osobných údajov v rámci fanúšikovskej stránky na Facebooku pri využívaní funkcie Facebook Insight je oprávnený záujem prevádzkovateľa [právny základ podľa čl. 6 ods. 1 písm. f) nariadenia GDPR].
Oprávnený záujem prevádzkovateľov spočíva v zbere dát potrebných na vypracovanie štatistík návštevnosti fanúšikovskej stránky na Facebooku s cieľom podpory riadenia a činností parametrov stránky. Nastavovanie filtrov a kritérií štatistík je zamerané na očakávaný cieľ prevádzkovateľa, ktorým je zvýšiť popularitu a návštevnosť fanúšikovskej stránky.
Pri tomto právnom základe (oprávnený záujem) sa vyžaduje vykonanie tzv. testu proporcionality (balančný test), a to ešte pred samotným začatím spracúvania osobných údajov. Vzor takéhoto testu proporcionality nájdete v prílohe (pozn. autora – test je len príkladom toho, ako môže vyzerať; musí zohľadňovať osobitosti spracúvania u každého prevádzkovateľa – obce/mesta).
Vzor: Test proporcionality
TEST PROPORCIONALITY NA POSÚDENIE OPRÁVNENÉHO ZÁUJMU PREVÁDZKOVATEĽA
(účel – spravovanie fanúšikovskej stránky na Facebooku – využívanie Facebook Insight)
(ďalej len „Test proporcionality“)
vypracovaný v súlade s čl. 6 ods. 1 písm. f) nariadenia európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „nariadenie“) a v súlade s § 13 ods. 1 písm. f) zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“)
Prevádzkovateľ:
Názov obce: ............................................................
Sídlo: ............................................................
IČO: ............................................................
(ďalej len „Prevádzkovateľ“)
I. Úvod
V rámci svojej činnosti Prevádzkovateľ spracúva osobné údaje svojich fanúšikov podobne ako mnohé ďalšie subjekty na sociálnej sieti Facebook.
Za súčasnej právnej úpravy je akékoľvek spracúvanie osobných údajov nutné podradiť pod niektorý z právnych základov uvedených v čl. 6 ods. 1 nariadenia.
Prevádzkovateľ má záujem spracúvať osobné údaje na základe oprávneného záujmu podľa čl. 6 ods. 1 písm. f) nariadenia.
S cieľom naplnenia podmienok pre použitie oprávneného záujmu ako právneho základu pri spracúvaní osobných údajov vypracoval Prevádzkovateľ tento test proporcionality.
Prevádzkovateľ v rámci testu proporcionality zodpovedal nasledujúce otázky:
- Aký je účel spracúvaných osobných údajov? Čo Prevádzkovateľ spracúvaním osobných údajov sleduje a aký je jeho záujem?
- Je záujem Prevádzkovateľa na spracúvaní osobných údajov legitímny?
- Je spracúvanie osobných údajov na základe oprávneného záujmu nevyhnutné? Nedá sa sledovaný cieľ dosiahnuť inak?
- Mohla dotknutá osoba primerane očakávať, že k spracúvaniu jej osobných údajov môže dôjsť?
- Splnil si Prevádzkovateľ voči dotknutej osobe informačnú povinnosť?
II. Identifikácia oprávneného záujmu
K otázke 1)
Účelom spracúvania osobných údajov je spravovanie fanúšikovskej stránky na Facebooku – využívanie Facebook Insight.
Oprávnený záujem Prevádzkovateľa spočíva vo vypracovaní štatistík návštevnosti fanúšikovskej stránky na Facebooku s cieľom podpory riadenia a činností parametrov stránky. Nastavovanie filtrov a kritérií štatistík s cieľom zvýšiť popularitu a návštevnosť fanúšikovskej stránky Prevádzkovateľa.
K otázke 2)
Legitímnosť záujmu sledovaného Prevádzkovateľom
Na to, aby sa dal oprávnený záujem považovať za legitímny, musí byť skutočný, daný a musí súvisieť s aktuálne vykonávanými aktivitami Prevádzkovateľa alebo s takými, ktorých realizácia sa dá očakávať v blízkej budúcnosti. V tomto ohľade je legitimita spracúvania daná skutočnosťou, že k činnostiam obce patrí aj jej propagácia, informovanie o aktivitách v obci, o podujatiach a pod. v prostredí siete internet a na sociálnych sieťach, ako je Facebook. Cieľom je aj zvyšovanie návštevnosti fun page obce na Facebooku, na čo slúži funkcia Facebook Insight.
K otázke 3)
Test nevyhnutnosti využitia oprávneného záujmu ako právneho základu spracúvania osobných údajov
Nevyhnutné je také spracúvanie, keď sa účel spracúvania Prevádzkovateľa nedá dosiahnuť iným, menej invazívnym spôsobom alebo také, kedy by sa tento účel dal dosiahnuť aj inak, avšak by si to vyžadovalo neúmerné úsilie.
Pokiaľ ide o otázku, či by Prevádzkovateľ vedel spracúvanie osobných údajov podradiť pod iný právny základ, jediným, ktorý by teoreticky prichádzal do úvahy, by bol súhlas podľa čl. 6 ods. 1 písm. a) nariadenia. V praxi je použitie tohto právneho základu v súvislosti s Facebookom prakticky nerealizovateľné, a to vzhľadom na nastavenia Facebooku.
K otázke 4)
Balančný test
Nad oprávnenými záujmami Prevádzkovateľa alebo tretej strany nesmú prevažovať záujmy alebo základné práva a slobody dotknutých fyzických osôb. Za účelom zistenia, či je oprávnený záujem Prevádzkovateľa prevažujúcim prvkom oproti záujmom dotknutých osôb, vykonal Prevádzkovateľ balančný test, v rámci ktorého sa zameral na posúdenie najmä nasledujúcich otázok:
a) Mohla dotknutá osoba primerane očakávať, že dôjde k spracúvaniu jej zverejnených osobných údajov?
Dotknuté osoby (návštevníci fanúšikovskej stránky Prevádzkovateľa na Facebooku) môžu primerane očakávať spracúvanie určitých osobných údajov s cieľom zistiť popularitu a návštevnosť danej fan page.
Navyše k tomuto Súdny dvor Európskej únie (Súdny dvor) vydal 5. júna 2018 rozsudok vo veci C‑210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (vnútroštátny dozorný orgán) proti Wirtschaftsakademie Schleswig‑Holstein GmbH (Wirtschaftsakademie), ktorý bol pomerne diskutovaný na internete, čiže povedomie dotknutých osôb sa zvýšilo vďaka novej judikatúre a následne informovaniu verejnosti o tomto spore.
b) Existuje medzi Prevádzkovateľom a dotknutou osobou predchádzajúci vzťah?
Medzi Prevádzkovateľom a dotknutou osobou nemusí existovať predchádzajúci vzťah. Táto skutočnosť však použitie oprávneného záujmu nevylučuje, nakoľko existenciou predchádzajúceho vzťahu čl. 47 recitálu nariadenia výslovne nepodmieňuje použitie oprávneného záujmu.
c) Korešponduje pôvodný účel spracúvania s účelom spracúvania vymedzeným Prevádzkovateľom a s jeho oprávneným záujmom?
Jedným z oprávnených záujmov Prevádzkovateľa na spracúvaní osobných údajov je propagácia jeho činnosti, informovanie verejnosti, zvyšovanie návštevnosti fun page na Facebooku. V súlade s platnou legislatívou a judikatúrou môžu dotknuté osoby očakávať spracúvanie ich osobných údajov.
d) Aký je vplyv spracúvania osobných údajov na dotknuté osoby, na Prevádzkovateľa?
Prevádzkovateľ pri posudzovaní vplyvu ním zamýšľaného spracúvania osobných údajov vychádza predovšetkým zo skutočnosti, že každý primerane zmýšľajúci návštevník Facebooku sa môže domnievať, že jeho správanie (návšteva stránok) je sledovaná spoločnosťou Facebook a tým pádom aj správcami jednotlivých účtov/fan page. Ich právna ochrana bola týmto poskytnutím značne oslabená. Prevádzkovateľ má za to, že ďalším spracúvaním osobných údajov o fyzickej osobe už nemôže viac zasiahnuť do jej práv, ako sa to stalo ich prvým poskytnutím spoločnosti Facebook.
Prevádzkovateľ nevykonáva nijaké operácie, ktorými by znevažujúcim alebo neprimeraným spôsobom nakladal s poskytnutými osobnými údajmi ani nijakým spôsobom neobťažuje dotknuté osoby v súvislosti so spracúvanými osobnými údajmi.
V kontexte testu proporcionality má význam aj určenie rozsahu spracúvaných osobných údajov, osobitne so zameraním sa na to, či sa spracúvajú citlivé osobné údaje zvláštnej kategórie. V podmienkach Prevádzkovateľa k spracúvaniu takýchto osobných údajov nedochádza.
K otázke 5)
Splnil si Prevádzkovateľ voči dotknutým osobám informačnú povinnosť?
Prevádzkovateľ informoval dotknuté osoby o podmienkach spracúvania ich osobných údajov na svojom webovom sídle.
Má dotknutá osoba možnosť namietať voči spracúvaniu?
Nariadenie priznáva každej dotknutej osobe právo namietať voči spracúvaniu jej osobných údajov a Prevádzkovateľ dotknuté osoby o tomto ich práve informoval na svojom webovom sídle.
III. Prijal Prevádzkovateľ dodatočné bezpečnostné opatrenia v súvislosti so spracúvaním osobných údajov?
Prevádzkovateľ chráni osobné údaje ich umiestnením v chránenom priestore, ku ktorému má prístup len vymedzený okruh osôb. Fyzické nosiče osobných údajov (ako USB, pevné disky a pod.) sú bezpečne uložené v uzamykateľných priestoroch.
K osobným údajom majú prístup len osoby na základe poverenia Prevádzkovateľa, ktoré sú riadne poučené o svojich právach a povinnostiach v oblasti spracúvania osobných údajov (ďalej len „poverené osoby“). Poverené osoby sú zároveň zaviazané povinnosťou mlčanlivosti o osobných údajoch, s ktorými prišli pri výkone svojej činnosti do styku, pričom táto povinnosť trvá aj po ukončení ich pracovného pomeru. Prevádzkovateľ zároveň dbá na to, aby mali poverené osoby zabezpečené náležité vzdelávanie v oblasti týkajúcej sa ochrany osobných údajov.
V prípade porušenia zabezpečenia osobných údajov sú poverené osoby poučené o postupe pri oznamovaní porušenia ochrany osobných údajov, a to za účelom včasného prijatia preventívnych alebo nápravných opatrení. Všetky bezpečnostné incidenty bez ohľadu na ich rozsah sú zaznamenávané do evidencie Prevádzkovateľa.
IV. Posúdenie dopadu na vybrané práva a slobody dotknutých osôb
|
Dotknuté právo |
Spôsob zásahu a predchádzanie, dôležitosť záujmu pre Prevádzkovateľa (popis) |
Miera zásahu do súkromia (stupeň obmedzenia) |
|
Právo osoby na súkromie |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva na súkromie. |
Nízka |
|
Právo na zachovanie ľudskej dôstojnosti |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva na zachovanie ľudskej dôstojnosti. |
Nízka |
|
Právo na zachovanie osobnej cti |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
|
Právo na ochranu mena |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
|
Právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
|
Právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
|
Právo na ochranu osobných údajov |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
|
Právo na informácie |
Nie je predpoklad zásahu. Nedochádza k takým spracovateľským operáciám a spracúvaniu osobných údajov takého charakteru, ktoré by boli spôsobilé významným spôsobom zasiahnuť do práva. |
Nízka |
V. Vyhodnotenie testu proporcionality
V rámci testu proporcionality Prevádzkovateľ vyhodnotil, že práva a slobody dotknutej osoby neprevažujú nad oprávnenými záujmami Prevádzkovateľa.
Na základe vyššie uvedeného, v súlade s platnou právnou úpravou a s prihliadnutím na podporné použité právne dokumenty Prevádzkovateľ urobil rozhodnutie, že je u neho daný oprávnený záujem na spracúvaní osobných údajov pri spravovaní fanúšikovskej stránky na Facebooku – využívanie Facebook Insight za účelom podpory riadenia a činností parametrov stránky, nastavovania filtrov a kritérií štatistík s cieľom zvýšiť popularitu a návštevnosť fanúšikovskej stránky na Facebooku v zmysle čl. 6 ods. 1 písm. f) nariadenia a je oprávnený spracúvať tieto osobné údaje dotknutých osôb na právnom základe oprávneného záujmu.
V ..................... dňa ..................
Prevádzkovateľ – obec