Praktyka wskazuje, że zarówno organy administracji publicznej, jak i inne instytucje sektora finansów publicznych coraz częściej podejmują aktywne działania w mediach społecznościowych, wykorzystując je przede wszystkim do komunikacji z obywatelami i przekazywania informacji w ramach tzw. marketingu społecznego.

Media społecznościowe (SNS, z ang. social networking service) są niewątpliwie ważnym elementem komunikacji interpersonalnej. Są powszechnie wykorzystywanym narzędziem marketingowym. Dają instytucjom, organizacjom, podmiotom gospodarczym, osobom fizycznym możliwość prezentowania swojej działalności, misji, oferowania usług i towarów, propagowania idei, działań społecznych.

Media społecznościowe a działania urzędu

Współczesnej administracji stawia się trudne zadanie opracowania i wdrożenia zasad komunikacji, które obejmują nie tylko udzielanie informacji publicznej, ale także zdolność do pozyskiwania informacji zwrotnej od odbiorców tych treści. W kontekście rozwoju cywilizacyjnego zarządzanie informacją stało się kluczowym elementem decydującym o sukcesie w organizowaniu życia społecznego.

Sposób, w jaki jest realizowane prawo jednostki do informacji, stał się miarą demokracji i praworządności. Przy czym, co ważne dla dalszych rozważań, informowanie zakłada jednostronne przekazywanie informacji. Z kolei komunikowanie się jest rozumiane już jako proces dwukierunkowy, który obejmuje sprzężenie zwrotne i relacje, które prowadzą do pozyskiwania informacji również od odbiorców. Aby osiągnąć ten efekt, konieczne jest zatem precyzyjne określenie działań informacyjnych, poza stricte finansowym aspektem, w tym osobowym – kręgu odbiorców – interesariuszy, a co z tym związane, również metod i sposobów dotarcia do nich.

W dobie internetu i nieograniczonych, a co najważniejsze „bezkosztowych” możliwości komunikacji na odległość, najtańszym, najprostszym, najwygodniejszym, najszybszym sposobem komunikacji są media społecznościowe (SNS).

Podstawy aktywności organów władzy publicznej w SNS nie zostały uregulowane wprost w obowiązującym systemie prawa, co wydaje się niezwykle istotne w kontekście chociażby art. 7 Konstytucji RP, zgodnie z którym organy władzy publicznej w Polsce działają na podstawie i w granicach prawa. Kluczowym elementem, który powinien zostać przeanalizowany przez instytucje publiczne na etapie planowania strategii komunikacji z wykorzystaniem SNS, jest analiza podstaw prawnych dla tego rodzaju działalności. Organy władzy publicznej, planując kampanię komunikacyjną w SNS, muszą wziąć pod rozwagę również ten aspekt.

Prawodawca w art. 61 Konstytucji RP podkreśla, że każdy obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Czy na tej podstawie można wywodzić uprawnienie dla administracji publicznej do aktywności w SNS?

Odzwierciedleniem tego uprawnienia bez wątpienia są przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej. W jej rozumieniu każda informacja o sprawach publicznych stanowi informację publiczną. W celu powszechnego udostępniania informacji publicznych, w postaci ujednoliconego systemu stron w sieci teleinformatycznej, powstał urzędowy publikator teleinformatyczny – Biuletyn Informacji Publicznej (BIP). Tym samym stał się on podstawowym, usankcjonowanym prawnie, narzędziem udostępniania informacji przez organy administracji publicznej. Prowadzenie BIP przez organ administracji publicznej jest ponadto obowiązkiem tego organu, a wszystkie istotne informacje dotyczące działalności organu powinny więc być tam zamieszczane. Powstaje zatem pytanie, czy tylko tam? Czy może jednak w dobie postępu technicznego, globalizacji, społeczeństwa informacyjnego, opartych na informacji i wiedzy, uprawnione jest wykorzystywanie innych dostępnych form komunikacji?

Orzecznictwo

Przeglądając oficjalne strony internetowe podmiotów szeroko rozumianej administracji publicznej, nie sposób nie zauważyć ikonek bezpośrednio odsyłających do ich SNS. Najpopularniejsze to YouTube, Facebook, LinkedIn, Twitter (X), Instagram, czasami TikTok. Wszystko, by trafić z informacją do obywatela bądź klienta, zainteresować i przyciągnąć jego uwagę. Trzeba się jednak zastanowić nad legalnością takiego działania.

Działalność administracji publicznej w SNS stała się przedmiotem zainteresowania sądów. Analizując orzecznictwo, można natrafić na takie stanowiska sądów, które potwierdzają legalność takiego działania. Wojewódzki Sąd Administracyjny w Gdańsku w wyroku z 13 stycznia 2021 r. (II SAB/Gd 91/20) podkreślił, że:

w ostatnich latach intensywnego rozwoju technologicznego zwiększyły się potrzeby informacyjne ludzi, a także zmianie uległ sposób poszukiwania i prezentowania wszelkiego rodzaju informacji. Zmiany te dotyczą w szczególności mediów społecznościowych, które dla wielu stają się podstawowym narzędziem pozyskiwania wiadomości o otaczającym ich świecie. Ma to wpływ także na organy władzy publicznej, bowiem łatwy dostęp do Internetu i zamieszczanych tam informacji praktycznie w każdym czasie i miejscu powoduje, że obywatele chcą mieć równie łatwy dostęp do informacji o działalności tych organów i sprawach publicznych – zarówno na poziomie krajowym, jak i lokalnym. W konsekwencji organy dostosowały swój sposób komunikacji z obywatelami, korzystając w tym celu z mediów takich jak Facebook, Twitter czy Instagram. (…) Uwzględniając jednak ów rozwój komunikacji elektronicznej i społeczne potrzeby wymiany informacji z organami, a także między mieszkańcami za pośrednictwem organu, trudno nie zaakceptować tego, że organy administracji publicznej korzystają też, dobrowolnie, z mediów społecznościowych, czy to w celach informacyjnych, czy promocyjnych, komunikując się w ten sposób z członkami wspólnoty samorządowej i nie tylko. Praktykę taką trzeba więc uznać za działanie w ramach wykonywania władzy publicznej.

Podobnie wypowiedział się WSA w Warszawie w postanowieniu z 15 marca 2013 r. (II SAB/Wa 513/12):

Posiadanie przez Gminę strony w portalu społecznościowym typu Facebook służy zazwyczaj promocji, przedstawia dokonania władz lokalnych, określa zamierzenia i wskazuje na inicjatywy społeczne itp. Tego typu nośnik informacji jest używany do wymiany poglądów, prowadzenia dyskusji, komentowania pewnych zdarzeń itp.

Przy czym, jak dalej argumentuje sąd:

posiadanie takiej strony przez podmioty publiczne nie jest określone, a zatem i wymagane przepisami prawa. W obowiązującym porządku prawnym, tego typu strona nie jest dopuszczalnym sposobem komunikowania się w tzw. sprawach urzędowych, w tym nie służy wnoszeniu podań i wniosków.

Prowadzenie działań SNS wiąże się z ochroną danych osobowych, prawem do prywatności, a także, jak wskazują najnowsze doniesienia – z zagadnieniem cyberbezpieczeństwa. Dobrym przykładem w tym kontekście jest m.in.:

• „wyrok TSUE, który podważył dotychczasowe podstawy transferu danych osobowych do Stanów Zjednoczonych w ramach Tarczy Prywatności (zob. wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18, tzw. sprawa Schrems II);
• postanowienie dotyczące kwestii wymuszania zgody na profilowanie w celach reklamowych i śledzenia użytkowników (zob. wyrok TSUE z 28 maja 2020 r. w sprawie C‑319/20);
• oficjalnie wydany przez Komisję Europejską swoim pracownikom zakaz korzystania z aplikacji TikTok na telefonach, które zawierają dane poufne.

Podobne decyzje zostały podjęte także w USA i Kanadzie, Francji oraz na Łotwie i w wielu innych krajach. Przyczyną było zagrożenie przekazywaniem danych chińskiemu rządowi i zagrożenie cyberatakami.

Profile w SNS a dane osobowe

Stworzenie profilu, awatara, przesyłanie wiadomości, wykonanie zdjęcia i filmu, kupowanie i sprzedawanie przedmiotów nazywane przez SNS „aktywnością” to nic innego, jak gromadzenie metadanych i informacji o aktywności na profilu. Informacje podlegające szczególnej ochronie na mocy prawa polskiego i europejskiego to m.in.:

• „treści, w postaci postów, komentarzy;
• treści przekazywane za pośrednictwem funkcji aparatu lub ustawień rolki z aparatu bądź poprzez funkcje głosowe;
• wiadomości, które wysyła i otrzymuje użytkownik SNS;
• reklamy, które wyświetla lub z którymi wchodzi w interakcje użytkownik SNS, oraz informacje na temat tych interakcji;
• aplikacje i funkcje, z których korzysta użytkownik SNS, oraz informacje o podejmowanych w nich działaniach;
• zakupy lub inne transakcje, np. dokonywane za pośrednictwem funkcji przejścia do kasy, łącznie z danymi kart kredytowych;
• wykorzystywane przez użytkownika SNS hasztagi;
• czas, częstotliwość i trwanie aktywności użytkownika SNS w produktach SNS;
• wyświetlenia stron i interakcje ze stroną oraz jej treściami w celu dostarczania administratorowi strony zbiorczych informacji o tym, jak użytkownicy korzystają ze strony i jej treści, tzw. statystyki strony;
• a dodatkowo wszelkie informacje, które użytkownik SNS poda samodzielnie, takie jak: przekonania religijne, orientacja seksualna, poglądy polityczne, dane o zdrowiu, pochodzeniu rasowym lub etnicznym, przekonaniach filozoficznych bądź członkostwie w związku zawodowym.

Jednocześnie, planując zakładanie i prowadzenie profilu urzędu w SNS oraz każdej innej organizacji bądź podmiotu, który zgodnie z rodo może zostać uznany za administratora w myśl art. 4 ust. 7 rodo, należy pamiętać, że podmioty te są uznawane za administratorów danych osób, które obserwują lub odwiedzają ten profil (zob. wyrok TSUE z 5 czerwca 2018 r. w sprawie C-210/16). Wraz z administratorami – operatorami SNS ponoszą one wspólną na poziomie Unii Europejskiej odpowiedzialność za przetwarzanie tych danych Organy i instytucje planujące założenie i prowadzenie profilu w SNS są zobowiązane uwzględnić w tym procesie ochronę danych osobowych, zgodnie z zasadami wynikającymi z ogólnego rozporządzenia o ochronie danych.

Projektowanie ochrony danych osobowych w SNS

Kluczowym celem rodo jest zapewnienie skutecznej ochrony danych poprzez zastosowanie środków zabezpieczających zarówno w fazie projektowania (by design), jak i jako domyślnej (by default). Administrator powinien być w stanie udowodnić zastosowanie odpowiednich środków w procesie przetwarzania, których celem jest spełnienie zasad ochrony danych osobowych i skuteczna ochrona praw i wolności osób, których dane dotyczą. Powinno to mieć miejsce, gdy:

• dany rodzaj przetwarzania został wskazany w przepisie prawa, np. art. 35 ust. 3 rodo;
• dany rodzaj przetwarzania został wskazany w wykazie podanym do publicznej wiadomości przez krajowy organ nadzorczy, zgodnie z art. 35 ust. 4 rodo [1];
• poziom ryzyka określony został jako wysoki w wyniku jego szacowania przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania.

Już Grupa Robocza art. 29 w wytycznych dotyczących oceny skutków dla ochrony danych pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP 248), wyjaśniła m.in., że:

Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w rodo, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów rodo. Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.

W związku z powyższym rekomenduje się w pierwszej kolejności oszacowanie ryzyka dla projektu oraz przeprowadzenie oceny skutków dla ochrony danych. W ocenie autorek, operacje w ramach przetwarzania danych, do jakich dochodzi podczas prowadzenia profili w SNS, mieszczą się bowiem w wykazie UODO, a w szczególności dotyczą sytuacji wskazanych poniżej:

• dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania (np. dochodzi do zbierania szerokiego zakresu danych o przeglądanych stronach internetowych); przetwarzane są dane wrażliwe lub dane o charakterze wysoce osobistym;
• dochodzi do przeprowadzania porównań, ocen lub wnioskowania na podstawie analizy danych pozyskanych z różnych źródeł (zbieranie szerokiego zakresu danych o przeglądanych stronach, a następnie ich analiza w celu tworzenia profilu osoby);
• operacje wykonywane są z wykorzystaniem lub zastosowaniem innowacyjnych rozwiązań technologicznych lub organizacyjnych (np. systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi lokalizacyjnymi).

Metodologia

Analiza oceny skutków dla ochrony danych podzielona została na etapy, które opisano następująco:

1. Etap I – Opis administratora, gdzie wskazuje się na potrzebę określenia co najmniej:

• przedmiotu działania administratora;
• podmiotów uprawnionych do dostępu do przetwarzanych danych osobowych;
• zakresu przetwarzanych danych;
• sposobów ich zbierania.

2. Etap II – Tło oceny ryzyka, gdzie należy wskazać i usystematyzować co najmniej:

• proces przetwarzania danych osobowych (tu: w SNS);
• podstawowe cele prowadzenia profilu w SNS;
• zidentyfikowane dane, które będą przetwarzane;
• charakter przetwarzania;

ponadto także takie informacje, jak:

• osoby odpowiedzialne za prowadzenie profilu oraz umocowanie do zawarcia umowy z dostawcą danego SNS;
• inne osoby mające dostęp do danych przetwarzanych na profilu SNS oraz zakresy ich zadań;
• uprawnienia dostępowe poszczególnych osób oraz zasady nadawania uprawnień dostępowych;
• zasady korzystania z profilu;
• aktywa informacyjne wykorzystywane podczas zarządzania profilem w SNS;
• zdiagnozowane zagrożenia i podatności [2].

3. Etap III – Ocena konieczności i proporcjonalności, w tym środki planowane w celu wykazania zgodności.

4. Etap IV – Identyfikacja i ocena ryzyka, w tym środki planowane w celu wyeliminowania ryzyk.

5. Etap V – Weryfikacja zrealizowania wymogów rodo, uwzględniając wymogi zgodnie ze schematem:

– zapewniono systematyczny opis operacji przetwarzania (art. 35 ust. 7 lit. a):

• uwzględniono charakter, zakres, kontekst i cele przetwarzania (motyw 90);
• w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych;
• przedstawiono funkcjonalny opis operacji przetwarzania;
• zidentyfikowano zasoby, z którymi mają styczność dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań);
• uwzględniono przestrzeganie zatwierdzonych kodeksów postępowania (art. 35 ust. 8);

– oceniono niezbędność oraz proporcjonalność (art. 35 ust. 7 lit. b):

• wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia (art. 35 ust. 7 lit. d i motyw 90), uwzględniając:
  1. środki przyczyniające się do proporcjonalności i niezbędności przetwarzania, z uwzględnieniem następujących aspektów:
  2. konkretne, wyraźne i prawnie uzasadnione cele (art. 5 ust. 1 lit. b);
  3. zgodność przetwarzania z prawem (art. 6);
  4. dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c);
  5. ograniczony czas przechowywania (art. 5 ust. 1 lit. e);

– środki przyczyniające się do zachowania praw osób, których dane dotyczą:

• poinformowanie osoby, której dane dotyczą (art. 12, 13 i 14);
• prawo dostępu i prawo do przenoszenia danych (art. 15 i 20);
• prawo do sprostowania i do usunięcia danych (art. 16, 17 i 19);
• prawo do sprzeciwu i prawo do ograniczenia przetwarzania (art. 18, 19 i 21);
• relacje z podmiotem przetwarzającym (art. 28);
• zabezpieczenia przy międzynarodowym przekazywaniu danych (rozdział V);
• uprzednie konsultacje (art. 36);

– przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c):

• uwzględniono źródło, charakter, specyfikę i powagę ryzyka (zob. motyw 84), czy konkretniej, w przypadku każdego rodzaju ryzyka (bezprawnego dostępu, niepożądanej zmiany i zniknięcia danych), z punktu widzenia osób, których dane dotyczą:
• uwzględniono źródła ryzyka (motyw 90);
• zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych;
• zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych;
• oszacowano prawdopodobieństwo i powagę (motyw 90);
• określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku (art. 35 ust. 7 lit. d i motyw 90);

– zaangażowano zainteresowane strony:

• skonsultowano się z inspektorem ochrony danych w celu uzyskania zalecenia (art. 35 ust. 2);
• w stosownych przypadkach zasięgnięto opinii osób, których dane dotyczą, lub ich przedstawicieli (art. 35 ust. 9).

Przykłady ryzyka

Zidentyfikowanie ryzyk dla praw lub wolności użytkowników profilu urzędu, instytucji, organizacji, osoby fizycznej w SNS, a także osób go odwiedzjących nie jest łatwe, szczególnie gdy robi się to pierwszy raz. Sektor publiczny, planując aktywność w SNS, powinien skupić swoją uwagę na odmiennych aspektach niż pozostałe podmioty. Wymaga się od niego bezwzględnego poszanowania praw człowieka i obywatela. Istotną rolę w tym procesie będą odgrywały takie zagadnienia, jak:

• realizacja prawa dostępu do informacji publicznej i prawa do wiedzy;
• respektowanie wolności słowa i prawa do wypowiedzi;
• równy dostęp i niedyskryminacja osób wykluczonych cyfrowo;
• prawo do prywatności i ochrona danych osobowych.

 

Przypisy

1. Komunikat Prezesa UODO z 8 lipca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (MP 2019 r., poz. 666).
2. Przykłady: transfer do państw trzecich (zob. wyrok TSUE z 16 lipca 2020 r., C-311/18; decyzja KE z lipca 2023 r.); współadministrowanie vs. współodpowiedzialność; pliki cookies vs. ustawa – Prawo telekomunikacyjne, Prawo komunikacji elektronicznej (proces legislacyjny), dyrektywa e-Privacy; analiza aktualnych incydentów cyberbezpieczeństwa – raport o stanie bezpieczeństwa cyberprzestrzeni RP.

---

Autorzy

Natalia Bender

Autorka jest zastępczynią dyrektora Biura Cyberbezpieczeństwa Ministerstwa Sprawiedliwości, IOD, specjalistką z zakresu zarządzania, ochrony danych osobowych, cyberbezpieczeństwa i ryzyk związanych z wdrażaniem technologii z wykorzystaniem sztucznej inteligencji; trenerką, konsultantką i badaczką.

Beata Dąbrowska-Daciów

Autorka jest IOD, specjalistką i konsultantką z zakresu ochrony danych osobowych i bezpieczeństwa informacji; audytorką wewnętrzną ISO 27001.