W opinii 5/2009 w sprawie portali społecznościowych Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) przestawiła swoje stanowisko w sprawie SNS i ich obowiązków wypływających z przepisów prawa unijnego.

Czym jest SNS

Jak wspomniano – SNS to sieciowe serwisy społecznościowe, umożliwiające osobom fizycznym przystępowanie do sieci użytkowników o wspólnych upodobaniach. Należy zwrócić uwagę na to, że przetwarzanie danych osobowych przez użytkowników w większości przypadków podlega wyłączeniu do celów domowych. Grupa Robocza Art. 29 w opinii kładzie nacisk na to, że nawet jeżeli wyłączenie  do celów domowych nie obowiązuje, użytkownik SNS może korzystać z innych wyłączeń, na przykład wyłączenia na potrzeby dziennikarskie czy artystyczne.

W sensie prawnym serwisy społecznościowe są usługami społeczeństwa informacyjnego i posiadają kilka charakterystycznych cech:

 - użytkownicy (czyli osoby fizyczne) są zachęcani do przekazywania danych osobowych w celu stworzenia swojego profilu albo opisu osoby;

- możliwość tworzenia sieci kontaktów towarzyskich, dzięki którym użytkownicy mogą wchodzić w interakcje;

- obejmują narzędzia umożliwiające użytkownikom przesyłanie swoich własnych materiałów, np. fotografii

Z opinii Grupy Roboczej Art. 29 wynika, że w związku z tym, że dostawcy SNS ujawniają dane osobowe, ich działanie powinno odbywać się z poszanowaniem praw i wolności użytkowników, a dane powinny być przetwarzane zgodnie z europejskimi i krajowymi przepisami dotyczącymi ochrony danych osobowych.

Co istotne, przepisy dyrektywy o ochronie danych dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych mają zastosowanie do większości dostawców SNS, nawet jeżeli ich siedziby znajdują się poza Europejską Wspólnotą Gospodarczą (EOG).

Kto jest administratorem danych?

Z dyrektywy 95/46/WE o ochronie danych wynika, że „administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe.

Z uwagi na kształt powyższej definicji można wywieść, że dostawcy SNS są administratorami danych. Wynika to m.in. z faktu, że określają oni cel i sposób przetwarzania danych, zapewniają środki przetwarzania danych i świadczą różnego rodzaju usługi związane z zarządzaniem kontami użytkowników.

Warto nadmienić, że w przypadku, gdy dostawcy SNS świadczą usługi łączności elektronicznej, zastosowanie mają również przepisy dyrektywy 2002/58 o prywatności i łączności elektronicznej.

Obowiązki administratora danych

Jedną z najistotniejszych kwestii związanych z przetwarzaniem danych przez SNS jest odpowiednie stosowanie środków technicznych i organizacyjnych, które zagwarantują bezpieczne przetwarzanie informacji.

Dostawcy SNS powinni informować użytkowników o swojej tożsamości oraz o różnych celach przetwarzania danych osobowych zgodnie z przepisami określonymi w dyrektywie o ochronie danych.

Grupa Robocza Art. 29 zwraca także uwagę na to, że dostawcy SNS powinni zadbać o takie ustawienia domyślne, które chronią prywatność i są bezpłatne dla użytkowników oraz ograniczają dostęp do samodzielnie wybranych kontaktów.

Co istotne, będąc administratorami danych, SNS nie mogą przetwarzać szczególnie chronionych danych o członkach SNS lub osobach niebędących członkami SNS bez ich wyraźniej zgody, a jeśli dostawca SNS umieszcza w formularzu profilu dla użytkowników jakiekolwiek pytania dotyczące danych szczególnie chronionych, musi wyraźnie zaznaczyć, że odpowiadanie na te pytania jest całkowicie dobrowolne.

Grupa Robocza Art. 29 podkreśla, że oprócz głównej  usługi  świadczonej  przez  SNS, część dostawców oferuje użytkownikom dodatkowe  aplikacje  tworzone  przez dostawców  zewnętrznych, które również przetwarzają dane osobowe. W takim wypadku zalecane jest, by dostawcy SNS dopilnowali, aby dostarczane przez osoby trzecie były zgodne z dyrektywą o ochronie danych oraz dyrektywą o prywatności i łączności  elektronicznej.