Zastosowanie przepisów o ochronie danych osobowych do administratorów serwisów społecznościowych

Dane osobowe przetwarzane w zasobach teleinformatycznych administratora serwisu społecznościowego[1] podzielić można na dwie grupy. Do pierwszej zaliczyć należy dane, które przetwarza on na określone przez siebie cele[2]. Chodzić tu może przy tym zarówno o dane zgromadzone przez administratora serwisu (informacje podane w formularzu rejestracyjnym, informacje zebrane przy okazji korzystania przez użytkownika z serwisu), jak i informacje umieszczone w serwisie przez samego użytkownika (np. „własne” dane umieszczone w profilu użytkownika). Cele przetwarzania tych danych mogą mieć, w zależności od okoliczności stanu faktycznego, charakter „pierwotny” (realizacja usługi dostępu do serwisu) lub „wtórny” (np. marketing)[3]. Do drugiej grupy należą natomiast dane, które przetwarzane są w serwisie z inicjatywy ich użytkowników (np. „cudze” dane osobowe umieszczone w profilu użytkownika)[4].

Powstaje w związku z tym pytanie o status, jaki względem obu powyższych grup danych osobowych, posiada administrator serwisu. Przypomnijmy, że zgodnie z ustawą, w przetwarzaniu danych osobowych mogą brać udział dwie kategorie podmiotów: administrator danych oraz podmiot przetwarzający dane powierzone przez administratora. Kryterium wyróżniającym jest element decydowania o „celach i środkach przetwarzania danych osobowych”. W świetle tego sformułowania, nie budzi wątpliwości, że administrator serwisu społecznościowego jest administratorem danych względem pierwszej z powyższych grup użytkowników. Znacznie bardziej skomplikowana jest ocena roli, jaką administrator serwisu pełni względem danych osobowych przetwarzanych w nim na cele określone przez użytkowników. Na pierwszy rzut oka wydawać by się mogło, że jego działania stanowią typowy przykład sytuacji, o której mowa w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[5]. W praktyce, wątpliwości może budzić ocena dwóch okoliczności dotyczących ich działalności. Po pierwsze, administratorzy serwisów decydują o celach oraz zasadach (technicznych i organizacyjnych) funkcjonowania danej witryny. Po drugie, zgodnie z art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną[6], w sytuacji otrzymania wiadomości o bezprawnym charakterze danych przechowywanych w serwisie, zobowiązani są oni do uniemożliwienia dostępu do danych (w tym ewentualnie i danych osobowych). Jeżeli chodzi o pierwszą z powyższych sytuacji, to wyjaśnić należy, że administratorem w rozumieniu art. 7 pkt 4 Uodo. jest podmiot, który decyduje o tym które (konkretnie) dane osobowe mają być przetwarzane. Nie ulega wątpliwości, że decyzję tą podejmuje użytkownik serwisu, a nie jego administrator, który ustala jedynie cel działania danej witryny (np. serwis genealogiczny) i dostarcza oprogramowania (funkcjonalności) pozwalających na zamieszczanie w nie danych osobowych. Bardziej skomplikowana jest ocena drugiego przypadku. Decydowaniem o celach i środkach przetwarzania danych osobowych jest bowiem między innymi decydowanie o sposobach ich przetwarzania. O ile użytkownik podejmuję decyzję o umieszczeniu danych osobowych w serwisie i ich udostępnieniu innym jeszcze użytkownikom, to niewątpliwie w zakresie autonomicznej decyzji administratora serwisu pozostaje ewentualna decyzja o zablokowaniu dostępu do nich. Wydaje się jednak, że można mimo to twierdzić, że nie jest on administratorem danych, gdyż przedmiotem tej czynności jest uniemożliwienie dostępu do danych osobowych, a nie dokonywanie na ich operacji.

Określenie statusu administratora serwisu społecznościowego względem danych osobowych przetwarzanych w serwisie determinuje z kolei zakres jego obowiązków. Gdy działa jako administrator jest adresatem większości obowiązków określonych w ustawie. W takiej sytuacji powinien np. pozyskać zgodę osoby zainteresowanej na wtórne przetwarzanie jej danych w celach marketingowych. W zakresie w jakim natomiast występuje jako processor, jest zobowiązany jedynie do spełnienia obowiązków w zakresie zabezpieczenia danych osobowych, określonych w rozdziale 5 Uodo oraz wydanym na jego podstawie rozporządzeniu wykonawczym. W tym ostatnim przypadku Generalny Inspektor Ochrony Danych Osobowych nie jest więc uprawniony, jak to się trafnie podkreśla w doktrynie, do nakazania administratorowi serwisu usunięcia uchybień w procesie przetwarzania danych w szerszym zakresie, niż to wynika z katalogu obowiązków ciążących na nim jako na podmiocie przetwarzającym dane osobowe na zlecenie[7]. Przykładowo, w sytuacji stwierdzenia, że dane osobowe osoby trzeciej umieszczone w serwisie społecznościowym przez jego użytkownika są przetwarzane bez podstawy prawnej, Generalny Inspektor Ochrony Danych Osobowych nie będzie mógł wydać w stosunku do administratora serwisu decyzji o usunięciu tych danych, o ile ten ostatni działa w charakterze processora.