RODO jako narzędzie w walce z fikcyjnym kontem w mediach społecznościowych

Fikcyjne konta podszywające się pod inne osoby to jeden z uciążliwych problemów, z którym muszą się zmagać osoby posiadające profile w mediach społecznościowych. Czy jednak fikcyjne konto to tylko problem twórcy, który prowadzi profil w danym medium?

Z tworzeniem fikcyjnego konta i podszywaniem się pod inną osobę nierozerwalnie związane jest także wykorzystywanie danych osobowych osoby pokrzywdzonej. Choć większość osób na hasło „RODO” krzywi się, to jednak w walce o likwidację fikcyjnego profilu przepisy o ochronie danych osobowych stanowią pomocne narzędzie, zwłaszcza jeżeli proces usuwania lub blokowania takiego konta trwa stosunkowo długo. 

Właściciel platformy społecznościowej jest administratorem danych osobowych, który musi m.in. zapewniać ich ochronę. Twórca internetowy, który założył konto w danym serwisie, wspólnie z jej właścicielem jest współadministratorem danych osobowych.

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Art. 26 ust. 1 RODO, zdanie pierwsze

1. Obowiązek dbania o prawidłowość i kompletność danych

Każdy administrator odpowiada nie tylko za prawidłowość i kompletność danych, lecz także za ich aktualność. Powinien on również podejmować działania mające na celu ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dane osobowe muszą być również przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo.

Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Art. 5 RODO

2. Prawo do sprostowania

Twórca internetowy, którego dane osobowe są wykorzystywane na fikcyjnym koncie, może wystąpić do właściciela platformy z żądaniem niezwłocznego sprostowania, wskazując, że są one nieprawidłowe. Nieprawidłowość danych osobowych może polegać na niezgodności ze stanem faktycznym, ich nieaktualności, błędnym zapisie lub jeszcze innych wadach, które sprawiają, iż mogą być uznane za nieprawidłowe. We wniosku należy zażądać skorygowania danych osobowych poprzez ich usunięcie z fikcyjnego konta.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Art. 16 RODO

3. Procedura naruszenia ochrony danych osobowych

Administrator ma obowiązek również stosować odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych, a także monitorować czy nie doszło do złamania ich ochrony. Takie działanie może polegać na naruszeniu integralności danych osobowych w postaci umyślnej lub ich nieumyślnej modyfikacji zarówno przez administratora, jak i podmioty trzecie.

Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 14 pkt 12 RODO

W przypadku naruszenia ochrony danych osobowych administrator musi rozpocząć procedurę weryfikacji, czy rzeczywiście doszło do tego procederu. 

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Art. 33 ust. 1 RODO

4. Inspektor ochrony danych osobowych

Co więcej, administrator, który wyznaczył IOD, ma obowiązek zapewnić, aby był on niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Art. 38 ust. 1 RODO

5. Kary administracyjne i odpowiedzialność cywilnoprawna

Na administratora, który nie przestrzega przepisów o ochronie danych osobowych, może zostać nałożona kara administracyjna.

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Art. 82 RODO

Co więcej, każda osoba, która ucierpiała na naruszeniu przepisów RODO, może dochodzić na drodze cywilnej odszkodowania za poniesioną szkodę (art. 83 RODO).

Podejmując działania mające na celu usunięcie fikcyjnego konta, warto powołać się na przepisy o ochronie danych osobowych, wskazując, że problem fake konta to nie tylko problem twórcy internetowego, który prowadzi dany profil, ale także właściciela danej platformy jako współadministratora danych osobowych. W korespondencji można wskazać, że w naszej ocenie doszło do naruszenia ochrony naszych danych oraz zażądać sprostowania ich. Warto również poprosić, aby na podstawie art. 38 ust. 1 RODO nasze zgłoszenie było rozpoznawane przy udziale IOD, o ile został on wyznaczony.

Właściciele platform społecznościowych stworzyli dedykowane formularze do kontaktu w celach związanych z ochroną danych osobowych:

Słowniczek pojęć

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.)

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na kontakt@stojanowska.com. 

Stan prawny na dzień: 05.04.2023 r.

 

Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Wyrok TSUE z dnia 5 czerwca 2018 r. w sprawie C-210/16, http://curia.europa.eu/juris/liste.jsf?num=C-210/16, 05.04.2023 r. 
  3. P. Fajgielski, komentarz do art. 16 [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Lex.

Źródło zdjęcia: geralnt, Pixabay, https://pixabay.com/pl/photos/rejestracja-zaloguj-sie-klawiatura-3938434/, dostęp: 17.04.2023

Dodaj komentarz