Spółka udostępnia zdjęcia z wizerunkami pracowników i członków zarządu w postach na portalach społecznościowych oraz na stronie internetowej. Czy w takim przypadku jako odbiorcę danych osobowych należy wskazać wszystkich użytkowników sieci, czy wyłącznie
ODPOWIEDŹ
W przypadku publikacji zdjęć zawierających wizerunki pracowników lub członków zarządu na stronie internetowej spółki lub w mediach społecznościowych, jako odbiorców danych osobowych należy wskazać przede wszystkim właściciela danej platformy (np. Meta, LinkedIn, X), a nie każdego użytkownika internetu.
Użytkownicy tych platform co do zasady nie stają się odbiorcami danych w rozumieniu RODO w relacji do administratora publikującego dane – nie są bowiem stroną, której dane są przekazywane przez administratora.
Można jednak przyjąć, że użytkownicy platformy społecznościowej mogą stać się odbiorcami danych względem właściciela platformy – np. Meta – jeżeli samodzielnie decydują o celach i sposobach dalszego przetwarzania danych (np. kopiują, udostępniają lub wykorzystują zdjęcie do własnych celów). W takim przypadku to Meta występuje jako administrator danych w odniesieniu do tych działań i relacji.
W kontekście transferu danych osobowych do państw trzecich – publikacja wizerunku na platformach społecznościowych, takich jak Meta, może wiązać się z przekazaniem danych do podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym, w szczególności do Stanów Zjednoczonych.
Aktualnie transfer danych osobowych do USA w ramach usług świadczonych przez Meta może odbywać się na podstawie ramy ochrony danych UE–USA (tzw. Tarcza Prywatności 2.0), zatwierdzonej decyzją wykonawczą Komisji Europejskiej z dnia 10 lipca 2023 r. (Data Privacy Framework). Meta Platforms, Inc. została objęta zakresem certyfikacji w ramach tego mechanizmu.