Powszechną praktyką jest prowadzenie przez podmioty publiczne swoich stron na portalach społecznościowych, w szczególności na portalu Facebook. Z raportu Sieci Obywatelskiej Watchdog Polska pt. „Kto zabiera głos w gminnych social mediach?” wynika, że niemal 80% gmin prowadzi profil na Facebooku (tzw. fanpage) (zob. „Po co gminom media społecznościowe?” https://siecobywatelska.pl/po-co-gminom-ms/, dostęp: 29.01.2026 r.). Jak wygląda zgodność takiej praktyki z prawem, a w szczególności z zasadami ochrony danych osobowych?
Krótką odpowiedzią na pytanie jest, iż pomimo legalności takiego postępowania z uwagi na ogólne zasady ochrony danych osobowych rekomendujemy odstąpienie od prowadzenia takich kont.
Na wstępie należy wskazać, że nie istnieją przepisy wprost zabraniające podmiotom publicznym zakładania fanpage’ów. Orzecznictwo wielokrotnie wypowiadało się w tym temacie uznając iż „korzystanie z mediów społecznościowych przez organy władzy publicznej służy wspieraniu aktywności obywatelskiej, chociażby bowiem ze względu na przystępność i szybkość takiej formy dystrybucji informacji z pewnością więcej osób może skorzystać z przysługujących im praw do wypowiedzi w sprawach publicznych, niż w wypadku tradycyjnej formy – dyskusji publicznych w siedzibie organu w określonym dniu i czasie, a więc kiedy konieczne jest osobiste stawiennictwo” (wyrok WSA w Gdańsku z 13.01.2021 r., II SAB/Gd 91/20). Nie oznacza to jednak, iż funkcjonują one w prawnej próżni. Przetwarzanie danych osobowych na profilu społecznościowym wiąże się z przestrzeganiem powszechnie obowiązujących przepisów prawa nałożonych ustawowo na podmioty publiczne, w szczególności ustawy z dnia 19 lipca 2019 r. o zapewnianiu dostępności osobom ze szczególnymi potrzebami, ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, czy wreszcie RODO, czyli zasad ochrony danych osobowych, a także upubliczniania wizerunku.
Po pierwsze, publiczny profil FB i jego prowadzenie może stanowić przedmiot wniosku w trybie informacji publicznej, jak wskazuje się we wspomnianym orzeczeniu WSA w Gdańsku z 13.01.2021 r., niektóre informacje dotyczące prowadzenia profilu stanowią informację publiczną ponieważ odnoszą się „do działań publicznych organu władzy publicznej związanych ze sprawowaniem tej władzy w zakresie informacyjnym i promocyjnym, a jej pozyskanie służy kontroli przestrzegania przez organ zasady jawności i respektowania konstytucyjnych praw obywateli do swobody wypowiedzi i wolności myśli w sprawach publicznych”.
Po drugie należy pamiętać, że profil, jego zawartość powinny być dostosowane do potrzeb osób ze szczególnymi potrzebami, mówimy tutaj o m.in. dostępności cyfrowej, zarówno w warstwie tekstowej jak i audiowizualnej. W zakresie publikacji filmów chodzi tutaj np. o napisy do filmów, opisy alternatywne grafik, kontrast i czytelność.
Ustawa o zapewnianiu dostępności osobom ze szczególnymi potrzebami jasno podkreśla, że podmiot publiczny odpowiada za dostępność cyfrową elementów stron internetowych i aplikacji mobilnych, którymi zarządza, produkuje, finansuje lub nabywa. Konto facebookowe wpisuje się w tą definicję.
Po trzecie, jeśli jest to profil instytucji publicznej to obowiązują na nim zasady ochrony danych osobowych takie jak do innych obszarów przetwarzania danych osobowych z uwzględnieniem w szczególności ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych i przetwarzania wizerunku.
NSA w swoim wyroku z 16.10.2024 r., wskazał, że co do zasady aktywność osoby fizycznej na portalach społecznościowych, w tym na portalu Facebook, mieści w zakresie czynności o czysto osobistym charakterze (a zatem niepodlegającym przepisom RODO), o ile dostęp do udostępnianych treści, w tym danych, mają wyłącznie osoby wybrane osobiście przez udostępniającego. W przypadku jednak, gdy udostępnione treści dostępne są – choćby częściowo – w przestrzeni publicznej, a co za tym idzie wykraczają poza sferę prywatną określonej osoby, nie można traktować takiego działania jako przetwarzania danych osobowych w ramach czynności o czysto osobistym lub domowym charakterze. NSA zauważył, że analogiczne stanowisko przedstawił TSUE w wyroku z 11 grudnia 2014 r. (sprawa C-212/13, František Ryneš przeciwko Úřad pro ochranu osobních údajů). Co za tym idzie publikacja danych osobowych na portalu społecznościowym może podlegać zasadom przetwarzania określonym w RODO.
W procesie prowadzenia strony publikowane na niej mogą być dane osobowe osób udostępnione przez prowadzącego stronę, ale również dane osobowe innych osób (np. komentujących użytkowników), które w komentarzach mogą zamieszczać swoje dane osobowe lub dane osobowe osób trzecich.
Przede wszystkim, należy pamiętać, że wszystkie dane osobowe które są publikowane na profilu podmiotu publicznego mogą się tam pojawić jedynie wtedy, gdy osoba, której dane dotyczą wyraziła wyraźną zgodę na ich publikację. Nie można zasłaniać się przy tym, że skoro osoba fizyczna opublikowała na swoim profilu swoje dane osobowe, to jednocześnie wyraziła zgodę na publikowanie ich na profilu podmiotu publicznego. Nawet „oznaczenie” aktywnego użytkownika w komentarzach bez jego wyraźnej zgody potencjalnie może powodować naruszenie RODO. Zgodnie z motywem 32 RODO: „Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy”.
Ponadto, jak zawsze w przypadkach, gdy podstawą przetwarzania jest zgoda, może ona zostać w każdym momencie wycofana, co powoduje potrzebę zachowania stałej czujności administratora, ponieważ jest on wtedy zobowiązany do usunięcia wszystkich danych osobowych dotyczących tej osoby, co może wiązać się z koniecznością wstecznego przeglądania setek postów opublikowanych na profilu.
Wartym wspomnienia jest, iż Facebook działa tutaj jako osobny administrator danych osobowych. Jego właściciel, firma Meta Platforms., był już ukarany za niewykonywanie obowiązków wynikających z RODO, w tym za nieuzasadnione przesyłanie danych osobowych użytkowników poza granice Unii Europejskiej (więcej w tym temacie: UODO, „1,2 mld euro kary dla Facebooka w wyniku wiążącej decyzji EROD”, dostęp: https://uodo.gov.pl/pl/138/2723 , dostęp: 29.01.2026 r.). Z tych powodów nie można uznać Facebooka za wiarygodnego usługodawcę z punktu widzenia ochrony danych osobowych.
Z tych względów odradzamy podmiotom publicznym prowadzenia strony na Facebooku. Jeżeli podmiot zdecyduje się na prowadzenia fanpage’a, to ma on obowiązek opublikowania klauzuli informacyjnej zgodnie z art. 13 RODO. Poniżej zamieszczamy instrukcję, jak i gdzie najlepiej umieścić klauzulę.
Instrukcja zamieszczenia klauzuli:
- Umieszczamy klauzule na stronie internetowej podmiotu publicznego, kopiujemy link.
- Wchodzimy po kolei: Fanpage -> Informacje -> Zasady Ochrony Prywatności -> tutaj wkleić dokładny link do klauzuli informacyjnej opublikowanej na stronie.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).