Platformy społecznościowe są nieodłączną częścią naszej rzeczywistości. Łączą one ludzi z całego świata i umożliwiają stworzenie własnego profilu oraz wchodzenie w interakcje z innymi użytkownikami. Facebook, Instagram, Youtube, Reddit czy nasz lokalny Wykop – to wszystko przykłady popularnych platform społecznościowych. Obecnie z tego typu portali korzysta już ponad 4,7 miliarda użytkowników co odpowiada prawie 60 proc. światowej populacji i około 90% wszystkich internautów.

Patrząc na skalę tego zjawiska  kwestia prywatności i danych osobowych przetwarzanych przez te podmioty staje się bardzo istotna. Szczególnie jeżeli przyjrzymy się ilości danych, które świadomie oraz mniej świadomie tam udostępniamy.

Czytaj w LEX: Wytyczne 8/2020 dotyczące targetowania użytkowników mediów społecznościowych >>>

Czytaj w LEX: Atak hakerski a ochrona danych osobowych >>>

Co wie o nas Facebook?

Przeciętny użytkownik często nie zdaje sobie sprawy z zakresu danych które udostępnia w związku z korzystaniem z portalu społecznościowego. Okazuje się, że wielkie korporacje wiedzą o swoich użytkownikach prawie wszystko. Poniżej przedstawiam krótką listę danych które mogą posiadać o nas platformy społecznościowe:

  • Dane osobowe: Imię, Nazwisko, Wiek, Płeć
  • Dane kontaktowe: numer telefonu, adres e-mail
  • Nasz wizerunek w formie zdjęć i video (w związku z tym często również dane biometryczne)
  • Dane lokalizacyjne
  • Dane dotyczące naszych preferencji zakupowych
  • Informacje o zainteresowaniach
  •  Informacje o naszych poglądach politycznych
  •  Informacje na temat naszego wyznania, religii
  •  Często również naszą orientację seksualną, informacje o edukacji, iq, doświadczeniu zawodowym oraz zatrudnieniu.

Większość z tych informacji udostępniamy dobrowolnie i często nieświadomie. Teoretycznie bylibyśmy w stanie korzystać z tych platform bardziej anonimowo ukrywając swoje prawdziwe dane osobowe oraz nie udostępniając naszego wizerunku ani dodatkowych informacji. Ale jaki wtedy sens mają te portale dla użytkownika? Szczególnie, że anonimizacja naszych danych osobowych nie jest do końca zgodna z regulaminami serwisów oraz fakt, że nawet wtedy metadane oraz cookies mogą być wciąż zbierane i przetwarzane.

Patrząc na skalę popularności serwisów społecznościowych oraz na zakres przetwarzanych rekordów, wyłania się obraz najlepiej poinformowanych instytucji na świecie. Dane takie, w nieodpowiednich rękach mogłyby posłużyć do sterowania społeczeństwem, co jak opisuje poniżej, w przykładach minionych naruszeń - miało już miejsce.

Czytaj w LEX: Dziedziczenie dóbr cyfrowych w postaci dostępu do konta na portalu społecznościowym. Glosa do wyroku Federalnego Trybunału Sprawiedliwości z dnia 12 lipca 2018 r., III ZR 183/17 >>>

 

 

Problemy prawne platform społecznościowych

W podsumowaniu konkretnych przykładów postępowań oraz kar skupię się na firmie META LLC - właścicielowi największych serwisów społecznościowych: Facebooka, Instagrama jak również popularnego komunikatora WhatsApp:

Marzec 2018 - Afera Cambridge Analitica - Kara 5 mld dolarów.

Jedna z najpowszechniej komentowanych spraw o nielegalne przekazanie i przetwarzanie danych 87 milionów użytkowników Facebooka, które posłużyły do targetowania behawioralnego reklam o kontekście politycznym. To wciąż największy i najbardziej znany przypadek takiego naruszenia, które zapoczątkowało szeroką debatę publiczną nad kwestią ochrony danych. Dopasowanie komunikatów reklamowych przy użyciu zgromadzonych informacji, miało najprawdopodobniej ogromny wpływ na wyniki wyborów prezydenckich USA w 2016 oraz referendum, w którym Wielka Brytania postanowiła opuścić Unię Europejską. W konsekwencji tych zdarzeń Amerykańska Federalna Komisja Handlu nałożyła na META LLC “rekordową karę”, która była wciąż ułamkiem rocznego przychodu korporacji.

 Kwiecień 2021 - Publikacja danych ponad 533 mln użytkowników.

Wyciek i publikacja danych osobowych ogromnej liczby użytkowników Facebooka. Tym razem obyło się bez konsekwencji finansowych dla właściciela platformy, ponieważ błąd techniczny umożliwiający wyciąganie danych osobowych został wcześniej poprawiony a same dane zostały prawdopodobnie pozyskane przez publikującego je hackera z różnych źródeł. Jeżeli jesteś ciekawy czy stałeś się ofiarą tego lub któregoś z innych wycieków, możesz to zrobić na stronie: https://haveibeenpwned.com/

 Wrzesień 2021 - Kara za niezgodne z zasadami RODO zarządzanie danymi pomiędzy Whatsapp’em i innymi aplikacjami META - 225 mln euro.
Irlandzka Komisja ds. Ochrony Danych nałożyła na META karę za nieprawidłowe zarządzanie i przekazywanie danych pomiędzy aplikacjami wewnątrz firmy. Kluczowy tutaj był również brak transparentnych informacji o celu i sposobie ich przetwarzania. Whatsapp łamał założenia art. 13 ust. 1 oraz 2 RODO.

Styczeń 2022 - Kara za utrudnienia w odrzucaniu plików cookie na stronie facebook.com - 60 mln euro.

Więcej w LEX: RODO w IT: pliki cookie – jak je ugryźć? >>>

Francuski CNIL nałożył na META karę za utrudnienia w odrzucaniu plików cookie. Zgodnie z art. 7 RODO odrzucenie ciasteczek powinno być tak samo proste jak ich zaakceptowanie. Tych wymagań nie spełniał w tym przypadku facebook.

Marzec 2022 - Kara za 12 przypadków naruszenia danych osobowych w 2018 roku - 17 mln euro.

Irlandzki organ nadzorczy badając napływające do nich między czerwcem i grudniem 2018 roku zgłoszenia stwierdził, że META naruszyła art. 5 ust. 2 i art. 24 ust. 1 RODO i zdecydował się ukarać za to właściciela platformy

Wrzesień 2022 - Kara nałożona na właściciela Instagram za nieprawidłowe zarządzanie danymi nastolatków - 405 mln euro.

W tym przypadku osoby w wieku 13-17 lat miały możliwość zakładania kont biznesowych co skutkowało upublicznieniem danych osobowych takich jak adres e-mail i numer telefonu. Europejska Rada Ochrony Danych osobowych na mocy art. 65 RODO opublikowała we wrześniu ostateczną decyzję nakładającą na Meta Platforms Ireland Limited (Instagram) karę wysokości 405 milionów euro. Platforma nie spełniła założeń następujących zapisów RODO: art. 5 ust. 1a i 1c, art. 6 ust. 1, art. 12 ust. 1, art. 24, art. 25 ust. 1, art. 25 ust. 2 oraz art. 35 ust 1META, nie jest oczywiście jedynym właścicielem platform społecznościowych naruszających zasady prywatności, Youtube którego właścicielem jest Google LLC miał okazję zapłacić 150 mln euro za nieprawidłowości w kwestiach zgody cookie. Relatywnie nowym globalnym i bardzo kontrowersyjnym graczem jest chiński TikTok, który w związku z pozwem zbiorowym dotyczącym zbierania i przetwarzania danych osobowych nieletnich, zgodził się zapłacić 92 mln dolarów.

Konkluzja?

Kary nakładane na hegemonów z doliny krzemowej to wciąż ułamki ich rocznych przychodów i nie są raczej traktowane jako poważne zagrożenie przez inwestorów i zarządy firm. W moim przekonaniu, każdy korzystający z platform społecznościowych oraz wszystkie podmioty reklamujące tam swoje produkty i usługi, powinny wspólnie naciskać na organy regulujące i nadzorcze na bardziej skrupulatne monitorowanie i surowe podejście do kontrowersyjnych działań tych gigantycznych korporacji. Historyczne wydarzenia są delikatnie mówiąc niepokojące i budują dosyć czarną wizję przyszłości. Biorąc pod uwagę skalę i zakres informacji, dających wręcz nieograniczoną wiedzę i możliwość profilowania, powinny pojawić się specjalne, ogólnoświatowe regulacje aby zapobiegać naruszeniom i legalnie chronić naszą prywatność. Przepisy powinny być przede wszystkim kierowane w stosunku do monopolistów na rynku, bez spowalniania rozwoju biznesów o niewielkiej skali.

Autor: Michał Maciołek, ekspert ds. ochrony danych osobowych i marketingu z LexDigital.