NSA: Konto na Facebooku to nie zgoda na przetwarzanie danych

Naczelny Sąd Administracyjny w wyroku z dnia 20 maja 2025 r. (III OSK 1101/24) przesądził: samo założenie konta w serwisie społecznościowym i przystąpienie do grupy nie oznacza zgody na przetwarzanie danych osobowych przez innych użytkowników. Wyrok ma istotne znaczenie dla każdego, kto przetwarza dane pozyskane z mediów społecznościowych.

Stan faktyczny sprawy

Sprawa dotyczyła konfliktu między użytkownikami Facebooka, który rozpoczął się od publikacji certyfikatu szczepienia COVID-19. Kobieta wyraziła zgodę na zamieszczenie zdjęcia swojego certyfikatu szczepienia na blogu męża – burmistrza jednego z polskich miast – jednak pod warunkiem usunięcia wszelkich danych osobowych. Certyfikat miał służyć jedynie jako przykładowy dokument.
Jeden z użytkowników Facebooka pobrał zdjęcie certyfikatu ze strony burmistrza, a następnie przy użyciu aplikacji „Skaner Certyfikatów COVID” odczytał dane osobowe właścicielki kodu QR – jej imię i nazwisko. Dane te, wraz z przekreślonym zdjęciem certyfikatu, opublikował na zamkniętej grupie facebookowej liczącej ponad 6100 członków.
Użytkownik bronił się argumentem, że działał „w interesie publicznym” i „w dobrej wierze”, chcąc uświadomić kobiecie, że jej dane są publicznie dostępne. Twierdził również, że samo założenie konta na Facebooku i przystąpienie do grupy oznacza zgodę na przetwarzanie danych przez innych użytkowników.

Kluczowe rozstrzygnięcia sądu

NSA sformułował dwie fundamentalne tezy, które powinny stać się punktem odniesienia dla każdego praktyka zajmującego się ochroną danych osobowych w kontekście mediów społecznościowych.
„Założenie konta w portalu społecznościowym Facebook, przesyłanie powiadomień innym osobom, czy też przystąpienie do określonej grupy społecznościowej, nie jest równoznaczne z wyrażeniem zgody innym użytkownikom portalu na dalsze przetwarzanie zamieszczonych na swoim koncie danych osobowych.”

Sąd szczegółowo odniósł się do definicji zgody z art. 4 pkt 11 RODO, podkreślając, że musi ona być dobrowolna, konkretna, świadoma i jednoznaczna. Zgoda wymaga oświadczenia woli kierowanego do konkretnego odbiorcy. Kobieta nie składała żadnego oświadczenia woli względem użytkownika, który opublikował jej dane – a zatem nie można mówić o jakiejkolwiek zgodzie na przetwarzanie.

Co istotne, NSA wyraźnie wskazał, że z faktu opublikowania danych przez osobę posiadającą zgodę nie można wywodzić „dalszej, domniemanej zgody” na kolejne procesy przetwarzania przez inne osoby. Taka wykładnia byłaby sprzeczna z przepisami RODO określającymi warunki prawidłowej zgody.

Wyłączenie dla czynności osobistych lub domowych

Druga kluczowa kwestia dotyczyła art. 2 ust. 2 lit. c RODO, czyli wyłączenia stosowania rozporządzenia do przetwarzania danych o czysto osobistym lub domowym charakterze. Użytkownik argumentował, że jego działania mieściły się w tym wyłączeniu.

NSA nie podzielił tego stanowiska. Sąd wskazał, że publikacja danych na zamkniętej grupie facebookowej nie może być uznana za czynność o charakterze osobistym lub domowym, jeżeli osoba publikująca nie jest administratorem grupy, nie dobiera sobie osobiście jej uczestników, a jedynie do niej przystępuje. W takiej sytuacji pozostali członkowie grupy nie mają możliwości skutecznego sprzeciwienia się jej przystąpieniu. Czynności o „czysto osobistym lub domowym charakterze” są przeciwieństwem nie tylko czynności o charakterze zawodowym czy działalności gospodarczej, ale również form aktywności przybierających wymiar społeczny.

Sąd odwołał się przy tym do wcześniejszego orzecznictwa TSUE oraz opinii Grupy Roboczej Art. 29, zgodnie z którą przetwarzanie danych w portalach społecznościowych mieści się w wyłączeniu osobistym tylko wtedy, gdy dostęp do danych mają wyłącznie osoby wybrane samodzielnie przez użytkownika. W przypadku grupy liczącej ponad 6000 osób, do której każdy może przystąpić, ten warunek nie jest spełniony.

Dane o stanie zdrowia

Sprawa miała dodatkowy wymiar związany z przetwarzaniem szczególnych kategorii danych osobowych. NSA potwierdził stanowisko UODO, że publikacja przekreślonego kodu QR certyfikatu szczepienia – nawet w formie uniemożliwiającej jego odczytanie – w połączeniu z imieniem i nazwiskiem właścicielki stanowiła ujawnienie danych o stanie zdrowia w rozumieniu art. 9 ust. 1 RODO.
Sam fakt zamieszczenia zdjęcia kodu QR certyfikatu szczepienia pozwalał bowiem wyprowadzić jednoznaczny wniosek o poddaniu się szczepieniu – a ta informacja należy do kategorii danych dotyczących zdrowia.

Pojęcie „upublicznienia” danych

Warto zwrócić uwagę na stanowisko NSA dotyczące pojęcia „upublicznienia” danych osobowych, którym posługiwał się skarżący. Sąd jednoznacznie stwierdził, że jest to pojęcie pozaprawne, nieposiadające na gruncie RODO znaczenia prawnego. Zgodnie z art. 6 ust. 1 RODO sytuacja „upublicznienia” nie stanowi samodzielnej przesłanki legalizującej przetwarzanie danych osobowych.
To istotna wskazówka dla praktyków – fakt, że dane są „publicznie dostępne” w internecie, nie oznacza automatycznie, że można je swobodnie przetwarzać. Każde przetwarzanie wymaga odrębnej podstawy prawnej.

Wnioski praktyczne

• Dla użytkowników mediów społecznościowych: Samo założenie konta i przystąpienie do grupy nie oznacza zgody na dowolne wykorzystanie danych przez innych użytkowników. Każdy ma prawo decydować, w jakim zakresie rezygnuje z prawa do prywatności.
• Dla administratorów danych: Pozyskanie danych z profilu społecznościowego innej osoby nie daje automatycznej podstawy do ich dalszego przetwarzania. Konieczne jest uzyskanie odrębnej zgody lub wykazanie innej przesłanki z art. 6 ust. 1 RODO.
• Dla działów compliance: Wyłączenie dla czynności osobistych lub domowych ma bardzo wąski zakres zastosowania w kontekście mediów społecznościowych. Publikacja na grupach – nawet zamkniętych – z reguły nie będzie się w nim mieścić.
• W kontekście danych wrażliwych: Informacje pośrednio wskazujące na stan zdrowia (jak sam fakt posiadania certyfikatu szczepienia) podlegają szczególnej ochronie na podstawie art. 9 RODO.

Znaczenie wyroku

Orzeczenie NSA wpisuje się w linię orzeczniczą podkreślającą, że przepisy RODO należy interpretować w sposób zapewniający skuteczną ochronę osób, których dane dotyczą. W dobie powszechnego korzystania z mediów społecznościowych wyrok stanowi ważny sygnał: obecność w przestrzeni cyfrowej nie oznacza rezygnacji z ochrony danych osobowych.
Dla praktyków ochrony danych osobowych wyrok jest cennym źródłem argumentacji w sprawach dotyczących przetwarzania danych pozyskanych z mediów społecznościowych. Jasno wskazuje, że mechanizmy platform społecznościowych – takie jak możliwość oznaczania, komentowania czy udostępniania treści – nie tworzą automatycznej podstawy prawnej do przetwarzania danych innych użytkowników poza funkcjonalnościami samej platformy.

Źródło: Wyrok Naczelnego Sądu Administracyjnego z dnia 20 maja 2025 r., sygn. akt III OSK 1101/24