W wyroku Naczelnego Sądu Administracyjnego z 20 maja 2025 r. (sygn. III OSK 1101/24) dokonano istotnej analizy przepisów dotyczących ochrony danych osobowych w Internecie. Rozstrzygnięcie to ma kluczowe znaczenie dla oceny, kiedy aktywność osób fizycznych w mediach społecznościowych przestaje być sferą prywatną, a zaczyna podlegać restrykcjom prawnym. W praktyce to właśnie spór na linii zamknięta grupa na Facebooku a RODO budzi błędne przekonanie o „bezkarności”.

Zamknięta grupa na Facebooku a RODO w praktyce

Postępowanie dotyczyło sytuacji, w której mężczyzna pozyskał ze strony internetowej zdjęcie kodu QR certyfikatu szczepienia innej kobiety. Przy użyciu aplikacji mobilnej odczytał jej imię i nazwisko. Następnie, bez zgody zainteresowanej, opublikował te dane na facebook’owej zamkniętej grupie tematycznej liczącej ponad 6,1 tys. członków. Argumentował to działaniem w „dobrej wierze” i w „interesie publicznym”.

Prezes UODO udzielił mężczyźnie upomnienia, co zostało podtrzymane przez sądy obu instancji.

Najważniejsze rozstrzygnięcia sądu

W wydanym wyroku NSA uznał, że mężczyzna przetwarzał dane bez podstawy prawnej, formułując następujące stanowiska:

• Brak charakteru domowego: Publikacja danych na zamkniętych grupach społecznościowych nie jest przetwarzaniem o charakterze „czysto osobistym lub domowym”, jeśli publikujący nie jest administratorem grupy, nie dobiera samodzielnie jej uczestników i nie ma wpływu na to, kto do niej dołącza. Zamknięta grupa na Facebooku nie oznacza automatycznie „prywatności”.

• Brak domniemanej zgody: Fakt wcześniejszego „upublicznienia” danych przez kogoś innego w sieci nie daje prawa osobom trzecim do ich dalszego rozpowszechniania.

• Autonomia zgody: Posiadanie konta w serwisie społecznościowym nie oznacza zgody na przetwarzanie danych przez innych użytkowników (art. 4 rodo).

Wyłączenie dla czynności „osobistych lub domowych”.

Przepisy o ochronie danych nie dotyczą przetwarzania w celach czysto osobistych i „domowych”. Wyłączenie to nie ma jednak zastosowania do form aktywności, które przybierają wymiar społeczny.

Jeśli treść kierowana jest do szerokiego grona anonimowych osób na publicznej platformie, przetwarzanie traci swój prywatny charakter, także na zamkniętych grupach na Facebooku. Dlatego przy ocenie zamknięta grupa na Facebooku a RODO kluczowe jest realne (a nie deklarowane) grono odbiorców i kontrola nad nim.

Dane na temat zdrowia, czyli dane szczególne

Sąd potwierdził, że informacja o szczepieniu (nawet zamazany kod QR powiązany z nazwiskiem) to dane o szczególnej kategorii, a ich przetwarzanie jest zabronione, chyba, że spełniony zostanie jeden z wyjątków (np. wyraźna zgoda), co w omawianej sprawie nie miało miejsca. To szczególnie ważne w kontekście RODO, ponieważ użytkownicy często nie dostrzegają, że „screen” czy „kod QR” może ujawniać dane wrażliwe.

Wnioski praktyczne:

1. Zamknięta grupa w mediach społecznościowych nie jest przestrzenią prywatną, jeżeli liczy znaczną liczbę osób (tu: ponad 6 tysięcy), a użytkownik publikujący treści nie ma kontroli nad składem jej członków.

   
   

2. Udostępnienie danych przez kogoś innego w sieci nie daje prawa osobom trzecim do ich dalszego kopiowania i rozpowszechniania. Zamknięta grupa na Facebooku nie uchyla obowiązków RODO.

   
   

3. Zgoda na przetwarzanie danych musi być dobrowolna i konkretna. Samo posiadanie konta czy dołączenie do grupy, nie jest równoznaczne z przyzwoleniem na to, by inni użytkownicy udostępniali nasze dane lub wizerunek.

   
   

4. Działanie w rzekomej „dobrej wierze” lub w celu „uświadomienia” o zagrożeniach w sieci, nie zwalnia z odpowiedzialności za bezprawne udostępnianie cudzych informacji osobowych.

   
   

5. Każda osoba zachowuje pełną autonomię w decydowaniu o tym, w jakim zakresie rezygnuje z prawa do prywatności, a inni użytkownicy nie mogą tego prawa ograniczać.

Złudzenie prywatności na zamkniętych grupach na Facebooku

Ekstremalną ilustracją zagrożeń wynikających z błędnego pojmowania „prywatności” w Internecie stał się przypadek włoskiej zamkniętej grupy Facebook „Mia Moglie” (Moja Żona), która w momencie zablokowania przez platformę liczyła aż 32 tysiące członków. Na grupie mężczyźni masowo udostępniali intymne zdjęcia żon i partnerek bez ich wiedzy i zgody, co było połączone z agresywnymi komentarzami o charakterze seksualnym.

W świetle omawianego wyroku NSA aktywność w tak licznym gronie traci charakter „czysto osobisty lub domowy” i nabiera wyraźnego wymiaru społecznego, co niezależnie od odpowiedzialności karnej, nakłada na każdego publikującego pełną odpowiedzialność RODO.

Przechodząc na grunt prawa polskiego - w kontekście samej sprawy, udostępnianie intymnych zdjęć kobiet bez ich wiedzy jest także bezpośrednim naruszeniem art. 81 prawa autorskiego. Zgodnie z tym przepisem, rozpowszechnianie wizerunku wymaga wyraźnego zezwolenia osoby na nim przedstawionej. Publikowane zdjęcia na zamkniętych grupach na Facebooku nie spełniały żadnego z wyjątków ustawowych - osoby te nie stanowiły jedynie „szczegółu całości” (takiej jak zgromadzenie, krajobraz czy publiczna impreza), co zgodnie z art. 81 ust. 2 zwalniałoby z obowiązku uzyskania zgody. Przeciwnie, były one głównym i jedynym tematem fotografii, co sprawia, że ich wizerunek podlega ochronie prawnej.

Przykład grupy „Mia Moglie” pokazuje, że brak kontroli nad kręgiem odbiorców w połączeniu z uprzedmiotowieniem wizerunku, który nie jest tylko „tłem” wydarzenia, stanowi proceder wielopoziomowego naruszenia porządku prawnego. Od złamania wspomnianego art. 81 prawa autorskiego, drastycznego pogwałcenie nienaruszalnej godności człowieka, prawa do ochrony życia prywatnego i decydowania o swoim życiu osobistym (art. 30 i 47 Konstytucji), aż po przepisy kodeksu karnego czy dyrektywy DSA (akt o usługach cyfrowych).

Omawiane sprawy kończą dyskusję o bezkarności w ramach tzw. „zamkniętych grup”. Jako użytkownicy musimy mieć świadomość, że udostępnienie cudzego zdjęcia, nazwiska czy screena z danymi, może zakończyć się odpowiedzialnością administracyjną, cywilną, a nawet karną.

Źródło: Wyrok Naczelnego Sądu Administracyjnego z dnia 20 maja 2025 r., sygn. akt III OSK 1101/24