Choć media społecznościowe wielu użytkownikom kojarzą się z przestrzenią prywatną, wyrok Naczelnego Sądu Administracyjnego przypomina, że publikowanie danych osobowych, nawet w zamkniętej grupie na Facebooku, może oznaczać poważne naruszenie przepisów RODO. Szczególnie gdy w grę wchodzą dane wrażliwe, takie jak informacje o stanie zdrowia.
Od skargi do wyroku: co się wydarzyło?
Sprawa rozpoczęła się w listopadzie 2021 roku, gdy do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga dotycząca ujawnienia danych osobowych jednej z użytkowniczek portalu społecznościowego. Kobieta poinformowała, że na jednej z zamkniętych grup facebookowych, liczącej ponad 6 tysięcy członków, od miesięcy widnieje post zawierający jej imię, nazwisko oraz powiązany z nimi kod QR certyfikatu szczepienia przeciwko COVID-19. Co istotne – sama zainteresowana nie wyraziła zgody na publikację tych informacji w takim zakresie.
Prezes UODO wszczął postępowanie i ustalił, że choć kobieta zgodziła się na zamieszczenie graficznego przedstawienia certyfikatu na blogu prowadzonego przez męża – miało to służyć wyłącznie celom edukacyjnym, bez podawania danych identyfikujących. Jednak inny użytkownik, korzystając z aplikacji do skanowania kodów QR, odszyfrował informacje i powiązał je publicznie z konkretną osobą, publikując w grupie post, w którym dane te były dostępne dla szerokiego grona odbiorców.
Nie ma „prywatności” w zamkniętej grupie
Zarówno PUODO, jak i sądy administracyjne – najpierw Wojewódzki, a ostatecznie Naczelny – uznały, że takie działanie narusza przepisy RODO. Sąd jednoznacznie stwierdził, że przetwarzanie danych osobowych, nawet w obrębie zamkniętej grupy na Facebooku, nie może być uznane za czynność o charakterze osobistym lub domowym, jeśli spełnione są określone warunki:
- osoba publikująca dane nie zarządza społecznością,
- nie ma wpływu na dobór jej członków,
- inni użytkownicy nie mają prawa skutecznego sprzeciwu wobec jej obecności w grupie,
- członkowie faktycznie nie są najbliższym kręgiem osób dla publikującego.
Tym samym Facebook – mimo że oferuje techniczne możliwości tworzenia grup zamkniętych – nie stanowi gwarancji unikania odpowiedzialności za publikowane dane na poziomie „prywatnego użytku” w rozumieniu RODO.
Dane medyczne – szczególna ochrona
W uzasadnieniu decyzji PUODO oraz orzeczeń sądowych podkreślono wyjątkowy status danych o stanie zdrowia. Informacje o szczepieniu – nawet jeśli nie są wyrażone wprost, lecz wynikają z analizy innych danych (np. zeskanowanego kodu QR) – należą do kategorii danych wrażliwych. Ich przetwarzanie wymaga szczególnej podstawy prawnej, a brak takiej podstawy czyni publikację nielegalną.
Co więcej, argumentacja autora posta, że działał w dobrej wierze, nie przekonała organów. Motywacja, choć może być istotna moralnie, nie znosi obowiązku przestrzegania przepisów prawa – w tym obowiązków wynikających z RODO.
Brak zgody = brak prawa do publikacji
Zarówno PUODO, jak i sądy wskazały jasno: nawet jeśli dane osobowe zostały wcześniej opublikowane na innej stronie (np. blogu), nie oznacza to, że każdy może je dalej przetwarzać lub rozpowszechniać. Zgoda na publikację w jednym kontekście nie rozciąga się automatycznie na inne. Tym bardziej nie można domniemywać zgody osoby, której dane dotyczą, tylko dlatego, że jakiś element – jak kod QR – pojawił się w przestrzeni publicznej.
Co z tego wynika dla użytkowników mediów społecznościowych?
Ta sprawa stanowi istotne przypomnienie, że odpowiedzialność za dane osobowe nie kończy się na granicy „zamkniętej grupy”. Jeśli publikujesz dane innych osób – nawet z intencją „uświadamiania” czy „działania w interesie publicznym” – musisz mieć odpowiednią podstawę prawną. W przeciwnym razie narażasz się nie tylko na upomnienie ze strony organów, ale również na odpowiedzialność cywilną, a w skrajnych przypadkach – na sankcje administracyjne. Co ważne, ten przypadek podkreśla, że administratorem danych osobowych, narażonym na konsekwencje są nie tylko firmy, czy instytucje, ale też prywatne osoby fizyczne.
W skrócie:
- Zamknięta grupa na Facebooku nie oznacza przyzwolenia na dowolną publikację danych osobowych innych osób w rozumieniu RODO.
- Publikacja danych, w szczególności wrażliwych – np. informacji o szczepieniu – bez zgody to naruszenie przepisów.
- Działanie w „dobrej wierze” nie usprawiedliwia nielegalnego przetwarzania danych.
- Zgody nie można domniemywać, nawet jeśli dane były wcześniej gdzieś widoczne.
- Domowy, czy prywatny użytek danych osobowych powinien być raczej wyjątkiem, niż regułą. Aby spełnić ten warunek należy rzeczywiście obracać się w środowisku rodzinnym.
- Osoba fizyczna również może odpowiadać za naruszanie przepisów RODO, tak samo jak przedsiębiorstwa, czy instytucje publiczne.
O czym należy pamiętać?
Choć sprawa dotyczy prywatnej osoby, jej przesłanie ma duże znaczenie także dla działów HR, marketingu i compliance. W dobie rosnącej liczby firmowych grup na social mediach i coraz większej aktywności online, warto przypominać pracownikom o odpowiedzialnym podejściu do danych osobowych. Publikowanie informacji o naszych współpracownikach, klientach czy kandydatach, w szczególności tych wrażliwych i osobistych, nawet w zamkniętym gronie, może prowadzić do poważnych naruszeń prawa.
