Ochrona danych osobowych w mediach społecznościowych

1. Czym są media społecznościowe?

Media społecznościowe (social media) to serwisy powstałe w Internecie, działające po części jak media tradycyjne (np.: telewizja, gazety), które dostarczają użytkownikom wszelakich bieżących informacji, wiedzy oraz rozrywki. Skala mediów tradycyjnych jest jednak ograniczona co do możliwości ich rozprzestrzeniania i rodzaju świadczonych usług. Internet natomiast jest siecią dostępną praktycznie w każdym Państwie bez ograniczeń.

Media społecznościowe umożliwiają łączność między użytkownikami, niezależnie od miejsca ich przebywania, a jedynym wymogiem jest dostęp do Internetu. Przykładowo mogą to być:

• blogi (Twitter);

• serwisy społecznościowe (Facebook, Instagram, Tik Tok, LinkedIn);

• społeczności kontentowe (Wikipedia, YouTube);

• wirtualne światy społecznościowe (Second Life).

Media społecznościowe składają się z użytkowników, którzy wykorzystują platformy na masową skalę w życiu prywatnym i zawodowym. Bycie częścią tej społeczności wymaga w większości przypadków podania danych osobowych, najczęściej w zakresie obejmującym: imię, nazwisko, wizerunek, datę urodzenia, numer telefonu czy geolokalizację. Przepływ takiej ilości danych musi być odpowiednio uregulowany, aby zarówno usługobiorcy, jak i usługodawcy mieli wyznaczone prawa i obowiązki. Uregulowanie przepływu danych jest rzeczą podstawową, potrzebną do prawidłowego funkcjonowania strony, a także zapewnienia bezpieczeństwa ochrony danych.

2. Dane osobowe przetwarzane w portalach społecznościowych. Na co zwrócić uwagę?

Zarejestrowanie się w portalu społecznościowym praktycznie zawsze wiąże się z zaakceptowaniem Regulaminu oraz Polityki Plików Cookie, które posiadają informacje o przetwarzaniu danych przez stronę. Zaznaczenie zgody oznacza pełną akceptację zasad panujących w serwisie. Informują one, w jaki sposób są gromadzone, wykorzystywane i udostępniane dane użytkowników oraz informacje zebrane za pomocą plików cookie i podobnych technologii.

Dane osobowe przetwarzane są przy każdym logowaniu do mediów społecznościowych i czynnym uczestniczeniu w tworzonej przez nie społeczności, m.in. poprzez dodawanie zdjęć ze znacznikiem geolokalizacyjnym, czy też za pomocą plików Cookie, które śledzą aktywność użytkownika na stronie.

Musimy więc mieć świadomość, że każde podane przez nas dane, np. w celu uzupełnienia informacji na nasz temat na Facebooku, mogą być przetwarzane i udostępniane przez ten serwis, a jednocześnie muszą mieć podstawę prawną, która będzie regulowała te procesy.

3. Czym jest Polityka Prywatności?

Polityka Prywatności spełnia obowiązek informacyjny (art. 13 i 14 RODO) wobec osób, których dane są lub będą przetwarzane na stronie internetowej, a także obowiązki nałożone przez przepisy prawa telekomunikacyjnego, mówiące o informowaniu w niej o wykorzystywanych przez tę stronę plikach cookie.

Informacje, jakie powinna zawierać Polityka Prywatności obejmują:

• dane administratora danych osobowych, w tym dane kontaktowe,
• dane kontaktowe inspektora ochrony danych (jeśli został powołany),
• cele przetwarzania danych osobowych oraz podstawę prawną ich przetwarzania (art. 6 RODO),
• jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora – wskazanie tego interesu,
• odbiorców danych osobowych,
• informację czy dane będą przekazywane do państw trzecich lub organizacji międzynarodowych,
• okres przetwarzania danych osobowych,
• informację o prawach osoby, której dane są przetwarzane,
• gdy dane przetwarzane są na podstawie zgody – informację o możliwości jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem,
• informację o prawie wniesienia skargi do organu nadzorczego,
• informację czy podanie danych jest wymogiem ustawowym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i o ewentualnych konsekwencjach niepodania danych,
• informację o zautomatyzowanym podejmowaniu decyzji oraz profilowaniu.

Warto poświęcić trochę czasu na zapoznanie się z polityką prywatności, aby sprawdzić czy dane nie będą przetwarzane w niechciany przez nas sposób. Logując się do profili ze służbowego sprzętu i prowadząc komunikację biznesową na portalu społecznościowym, narażamy również dane organizacji. Należy więc zwrócić szczególną uwagę na bezpieczeństwo nasze i przedsiębiorstwa, w którym pracujemy, mając świadomość zasady: co raz zostanie wrzucone do Internetu, zostaje tam na zawsze.

4. Pliki cookie. Gdzie występują, co mogą, na co możemy się nie zgadzać i w jaki sposób nie udzielać zgody? Jak wycofać zgodę?

Większość serwisów internetowych wykorzystuje tzw. pliki Cookie. Są to pliki tekstowe wysyłane przez serwer i zapisywane po stronie użytkownika serwisu (np. na dysku twardym komputera czy laptopa). Główne regulacje dotyczące tych plików zawarte są w ustawie z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne. RODO ma jedynie pośredni wpływ na regulacje związane z plikami Cookie, natomiast z prawnego punktu widzenia mają one znaczenie w działalności serwisu.

Informacje na temat funkcjonowania wskazanych plików znajdować się powinny w Polityce Prywatności, chociaż może także zostać utworzona odrębna polityka plików Cookie. Dodatkowo, oprócz zamieszczenia na stronie podanych wyżej dokumentów, najważniejsze informacje o plikach Cookie zamieszcza się na stronie głównej serwisu, np. w formie komunikatu określającego cel, w jakim pliki są używane oraz sposób ich kontrolowania i usuwania. Użytkownik powinien mieć w tym zakresie zapewnioną samodzielność w dokonaniu decyzji, co umożliwia wskazanie mu w komunikacie, jakie rodzaje plików cookie mogą zostać zapisane na jego urządzeniu. Jeżeli dany użytkownik będzie chciał wyrazić zgodę na określony rodzaj plików cookie, wówczas może zaznaczyć odpowiedni checkbox. Brak zgody lub wyłączenie plików cookies może spowodować ograniczenia w korzystaniu z niektórych usług w ramach serwisów internetowych. Nie spowoduje to natomiast całkowitego braku możliwości czytania lub oglądania treści zamieszczonych w serwisie.

5. Regulamin w mediach społecznościowych.

Regulamin jest podstawowym dokumentem serwisu internetowego, spełniającym między innymi wymogi RODO. Jest to pewnego rodzaju umowa łącząca operatora serwisu z użytkownikami. Z tego tytułu musi określać prawa i obowiązki użytkowników, mając na uwadze specyfikę działalności internetowej.

Elementy, które powinny się znaleźć w regulaminie nie są jednoznacznie wskazane, a określają je między innymi przepisy ustawy o ochronie konkurencji i konsumentów, ustawy o prawach konsumenta, ustawy o świadczeniu usług drogą elektroniczną, a także odpowiednich rozporządzeń i aktów prawa unijnego. Regulamin ma obowiązek z nimi korelować.

W regulaminie nie powinno się umieszczać żadnych zapisów ograniczających prawa użytkownika. Przykładem takiego naruszenia mogą być klauzule abuzywne (art. 385¹ Kodeksu Cywilnego), czyli niedozwolone klauzule dotyczące trybu zmiany regulaminu czy też możliwości obciążenia konsumenta opłatami. Z mocy prawa taka klauzula jest nieważna, w związku z czym każdy może wystąpić do sądu, co wiązać się może z poniesieniem kosztów sądowych ze strony operatora.

Ważnym jest więc skrupulatne zapoznanie się z regulaminem wybranej przez nas strony, nawet pod kątem zawartych klauzul niedozwolonych, które mogą postawić nas w niekorzystnej sytuacji, wymagającej następnie interwencji sądowej.

6. Minimalizacja ryzyka związanego z korzystaniem z mediów społecznościowych.

Wraz z rozwojem technologii i coraz większymi możliwościami komunikacji, pojawiło się wiele niebezpieczeństw takich jak: wyciek danych, kradzież tożsamości czy utrata dostępu do danych. Nasza aktywność na platformach w dużej mierze opiera się na prywatnych danych. Bardzo ważną kwestią jest wiedza o tym, w jaki sposób zarządzać ustawieniami bezpieczeństwa i prywatności na swoich kontach. Informacje na ten temat odnoszące się do popularnych serwisów można znaleźć pod poniższymi linkami:

Facebook – Podstawowe ustawienia i narzędzia ochrony prywatności

Twitter – Twitter – Jak chronić swoje Tweety

Instagram – Ustawienia prywatności oraz informacje

YouTube – Prywatność i Centrum bezpieczeństwa

LinkedIn – Zarządzanie kontem i ustawieniami prywatności Informacje

Najważniejszym zabezpieczeniem jest silne hasło dające dostęp do danych osobowych znajdujących się na stronie. W celu stworzenia mocnego hasła, można posłużyć się ich generatorem. Należy jednak pamiętać, że hasła nie powinny się powtarzać względem różnych portali i systemów.

Logowanie do konta może się odbywać za pomocą dwuetapowej weryfikacji, polegającej na podaniu loginu i hasła, a następnie potwierdzeniu próby logowania za pomocą innego urządzenia czy też podania kodu wysłanego na numer telefonu. Chroni to przed phishingiem, przechwytywaniem sesji czy wyłudzeniem danych, co ogólnie można określić atakami hakerskimi. Przeciwieństwem opisanej wyżej opcji jest logowanie za pomocą konta z serwisu społecznościowego bez podawania innych haseł. Jest to uproszczona opcja, w której logowanie odbywa się za pomocą innych dużych serwisów społecznościowych (np. Facebook, Twitter, Google). Teoretycznie takie rozwiązanie jest bezpieczne w przypadku korzystania z urządzenia zabezpieczonego dodatkowo odciskiem palca czy skanem twarzy. Sytuacja zmienia się natomiast przy korzystaniu z tej metody na obcym komputerze. Niezabezpieczone urządzenia czy włączona opcja zapamiętywania haseł mogą umożliwić osobom trzecim dostęp do kont. Tracąc dostęp do portalu, tracimy także połączone z nim konta, serwisy i strony, co stwarza zwiększone ryzyko utraty danych osobowych.

Logowanie się na nieznanych urządzeniach, niezależnie od stosowanej metody logowania zawsze stwarza ryzyko i większe prawdopodobieństwo ataków hakerskich na nasze dane. Urządzenia lub sieci Wifi (najczęściej publiczny hotspot) niewiadomego pochodzenia mogą nie mieć wystarczających zabezpieczeń systemowych, umożliwiając tym samym łatwiejszy dostęp do naszego urządzenia i konta, osobom trzecim.

Należy więc zwracać większą uwagę na to, gdzie i w jakich okolicznościach korzystamy z Internetu i przywiązywać większą wagę do zabezpieczenia naszych danych, ponieważ ułatwienie czy przyspieszenie czynności nie zawsze idzie w parze z bezpieczeństwem.

7. Jakie mamy prawa względem przekazanych danych do mediów społecznościowych?

Każdy użytkownik mediów społecznościowych może skorzystać z praw przewidzianych w art. 12-22 RODO wobec sposobów wykorzystania jego danych osobowych. Są to prawa do:

• przenoszenia danych,
• wniesienia sprzeciwu wobec przetwarzania danych,
• niepodlegania profilowaniu,
• bycia poinformowanym o operacjach przetwarzania,
• sprostowania i uzupełnienia danych,
• ograniczenia przetwarzania danych,
• usunięcia danych (tzw. prawo do bycia zapomnianym),
• dostępu do swoich danych.

W przypadku nierespektowania tych praw przez administratorów, każdy może złożyć skargę do Prezesa UODO. Ponadto, zgodnie z art. 79 RODO, każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym. Jeżeli ktoś uzna, że w wyniku naruszenia przepisów RODO poniósł szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania.