Ochrona danych osobowych w firmie i szkolenia ABI
GIODO na straży praw polskiego Użytkownika

GIODO na straży praw polskiego Użytkownika

shutterstock_170062403

Generalny Inspektor Ochrony Danych Osobowych odpowiedział w drodze decyzji DOLIS/DEC-50/16 na bardzo istotne pytanie: czy krajowy organ ochrony danych osobowych posiada kompetencje w zakresie stosowania środków prawnych wobec przetwarzania danych osobowych osób zamieszkałych na terytorium Rzeczypospolitej Polskiej w serwisie Facebook. Odpowiedź była twierdząca.

Ochrona danych osobowych w praktyce

Postępowanie zostało zainicjowane przez osobę, posiadającą status pokrzywdzonego w postępowaniu prowadzonym przez Prokuraturę i dotoczyło przetwarzania jej danych osobowych w zakresie: adresu zamieszkania, numeru PESEL, numeru dokumentu tożsamości. Dane te zostały opublikowane w 2015 r. na 2 profilach utworzonym na portalu Facebook, na serwerach należących do podmiotu prowadzącego portal internetowy Facebook. Dane te znajdowały się na fotokopiach akt śledztwa prowadzonego przez Prokuraturę, a dokładnie w protokołach przesłuchań (red. dla śledzących bieżące wydarzenia polityczne nie będzie trudnością identyfikacja osoby skarżącej).

Analiza GIODO

Generalny Inspektor Ochrony Danych Osobowych w pierwszej kolejności zbadał aspekt podmiotowy działalności spółki Facebook Poland Sp. z o.o i stwierdził, że Facebook Poland prowadzi działalność w zakresie badania rynku opinii publicznej, doradztwa w zakresie prowadzenia działalności gospodarczej i zarządzania, agencji reklamowych, związanej z reprezentowaniem mediów. GIODO zaznaczył, że spółka Facebook Poland Sp. z o.o. jest własnością jedngo wspólnika tj. spółki Facebook Global Holdings II, LLC. Ponadto jak stwierdził GIODO w ramach swojej działalności Facebook Poland na terytorium Rzeczypospolitej Polskiej świadczy usługi doradztwa marketingowego na rzecz podmiotów m.in. z terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego Facebook (stwierdzono ten fakt po kontroli, na podstawie umowy o współpracy zawartej przez Facebook Poland z Facebook Ireland Limited). Jak wynika z treści decyzji spółka Facebook Poland w toku procedury wyjaśniającej zajęła standardowe stanowisko, że administratorem danych osobowych użytkowników przetwarzanych w ramach serwisu Facebook, z wyłączeniem danych osobowych użytkowników zamieszkujących w Kanadzie i Stanach Zjednoczonych Ameryki jest Facebook Ireland Limited.

Działalność Facebook Poland

Jak zwrócił uwagę GIODO Facebook Poland Sp. z o.o. posiada odrębną od Facebook Inc. osobowość prawną i stanowi spółkę zależną od Facebook Inc. W tym aspekcie Facebook Poland prowadzi działalność gospodarczą zgodnie art. 4 ust. 1 lit a Dyrekywy 95/46/WE. („przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego;”). Wobec tego Państwo Członkowskie może stosować, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy dyrektywy także jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku Państw Członkowskich. Co więcej taki Administrator danych musi podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego. W celu uzasadnienia takiego stanowiska GIODO przytoczył wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 13 maja 2014 r. w sprawie C-131/12 – Google Spain i Google. W przedmiotowej sprawie TSUE  w pkt. 55 orzeczenia stwierdził:

„Uwzględniając ten cel dyrektywy 95/46 (vide. pkt 54 wyroku „niedopuszczenie do pozbawienia jednostek ochrony, do której mają one prawo na mocy tej dyrektywy, i dlatego przewidział on w przypadku tejże ochrony szczególnie szeroki terytorialny zakres jej zastosowania”) oraz brzmienie jej art. 4 ust. 1 lit. a), należy stwierdzić, że przetwarzanie danych osobowych dla potrzeb funkcjonowania wyszukiwarki internetowej takiej jak Google Search – której operatorem jest mające siedzibę w państwie trzecim przedsiębiorstwo dysponujące w państwie członkowskim działalnością gospodarczą – jest dokonywane „w kontekście prowadzenia działalności gospodarczej”, jeśli ma ona na celu zapewnienie w tym państwie członkowskim promocji i sprzedaży powierzchni reklamowych przez wyszukiwarkę, co zapewnia rentowność oferowanej przez tę wyszukiwarkę usługi.”

W tym momencie najbardziej istotnym stało się wyjaśnienie czy przetwarzanie przedmiotowych danych odbywa się w kontekście prowadzenia przez ich administratora działalności gospodarczej na terytorium Rzeczypospolitej Polskiej – stosownie do treści art. 4 ust. 1 lit a) dyrektywy 95/46/WE. I tu GIODO po analizie informacji dotyczących praw własności do serwisu Facebook, dokumentów w zakresie korzystania z serwisu i wykorzystania danych jego Użytkowników stwierdził, że to Facebook Inc., a nie Facebook Ireland Ltd. określa zasady przetwarzania danych osobowych i z tych też względów Facebook Inc. pełni rolę administratora danych przetwarzanych w ramach serwisu Facebook.

Kolejno GIODO stwierdził, że jednocześnie Facebook Poland Sp. z o.o. posiada odrębną od Facebook Inc. osobowość prawną i stanowi spółkę zależną od Facebook Inc., a wykonywana przez nią działalność gospodarcza jest prowadzona w formie zorganizowanej i w sposób stały oraz jest nierozerwalnie związana z działalnością prowadzoną przez Facebook Inc. i co wskazuje na to, że działalność gospodarcza prowadzona przez Facebook Poland jest w istocie kontynuowaniem działalności Facebook Inc. (w zakresie świadczenia usługi doradztwa marketingowego na rzecz podmiotów m.in. z terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego Facebook na terytorium Rzeczypospolitej Polskiej).

GIODO wskazuje jednoznacznie, że krajowe prawo dotyczące ochrony prywatności państwa członkowskiego ma zastosowanie, jeżeli działalność prowadzona przez przedsiębiorstwo założone w tym państwie członkowskim, jest nierozerwalnie związana z działalnością administratora i to niezależnie od kwestii, czy przedsiębiorstwo prowadzi działania w zakresie przetwarzania czy nie (vide pkt. 56 wyroku TSUE z dnia 13 maja 2014 r. w sprawie C-131/12 – Google Spain i Google). Co w prostym tłumaczeniu oznacza tyle, że Facebook Poland Sp. z o.o. został uznany administratorem danych użytkowników serwisu Facebook z terytorium Rzeczypospolitej Polskiej i jednocześnie  jest odpowiedzialny za ich przetwarzanie, co w dalszej kolejności uzasadnia stanowisko, że do prowadzenia postępowań dotyczących przetwarzania danych osobowych polskich użytkowników w serwisie Facebook właściwy jest polski organ ochrony danych osobowych. Co więcej zgodnie z art. 4 ust. 1 lit. a) Dyrektywy 95/46/WE na Facebook Poland ciąży obowiązek zastosowania wszelkich środków, w tym celu aby prawo krajowe o ochronie danych osobowych było stosowane i przestrzegane na terytorium Rzeczypospolitej Polskiej w związku z przetwarzaniem danych osobowych w ramach serwisu Facebook.

Treść decyzji

Mając powyższe uzasadnienie GIODO stwierdził w zakresie objętym skargą, że:

  • dane osobowe Skarżącego zawarte w aktach śledztwa prowadzonego przez Prokuraturę, w zakresie: adresu zamieszkania, numeru PESEL oraz numeru dokumentu tożsamości Skarżącego, zostały udostępnione na profilach utworzonych na portalu internetowym Facebook,
  • profile na których zostały udostępnione dane zostały dezaktywowane, wobec czego inni użytkownicy nie mogą wyszukać profilów, jednak zgodnie z informacjami zawartymi na stronie internetowej serwisu kopie niektórych materiałów (np. plików dziennika) mogą pozostawać na serwerach z przyczyn technicznych (z kont profilowych np. o znajomych, zainteresowaniach na wypadek gdyby użytkownik chciał powrócić do serwisu są zapisywane i nadal będą na profilu po dokonaniu reaktywacji konta),
  • wobec faktu, iż Skarżący nie wyraził zgody na przetwarzanie, w tym udostępnienie jego danych osobowych na profilach z użyciem, których udostępniono dane, a nastąpiło to w wyniku rozpowszechnienia przedmiotowej informacji również bez zezwolenia właściwych organów, a jednocześnie po stronie administratora portalu Facebook. nie występuje żadna z przesłanek umożliwiająca przetwarzania danych, o których mowa w art. 23 ust. 1 pkt 1-5 Ustawy, przetwarzanie danych osobowych Skarżącego na serwerach właściciela portalu internetowego Facebook, nie znajduje oparcia w obowiązujących przepisach prawa i dokonywane jest z naruszeniem przepisów dotyczących ustawy o ochronie danych osobowych,
  • w zw. z art. 35 ust. 1 Ustawy administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy,
  • w razie niedopełnienia przez administratora danych obowiązku (art. 35 ust. 1 Ustawy), osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku (zgodnie z art. 18 ust. 1 Ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem).

Mając to wszystko na uwadze GIODO nakazał Facebook Poland Sp. z o.o. usunięcie danych osobowych Skarżącego, przetwarzanych na serwerach właściciela portalu internetowego Facebook.

Komentarz

Decyzja ma bardzo doniosłe znaczenie. Oto polski organ ochrony danych osobowych w oparciu m.in. o europejskie normy prawa i przyjęte orzecznictwo w zakresie ochrony danych osobowych zabezpiecza interes polskiego Użytkownika serwisu Facebook. Jest to dość mocny sygnał do tego, że Facebook musi mieć na uwadze prawa Użytkowników do dochodzenia swoich praw w przed organem ich Państwa. Tak bardzo odważny krok GIODO oznacza znaczący zwrot w kierunku zwiększenia możliwości dochodzenia praw użytkownika serwisu przed krajowym organem ochrony danych osobowych, nie tylko w Polsce, ale również w Europie. Nie zapominajmy, że krajowe organy ochrony danych osobowych w Europie korzystają z wniosków płynących z decyzji każdego z tych podmiotów oraz w zakresie własnego decydowania często biorą pod uwagę argumenty przytoczone w uzasadnieniu decyzji wydanej przez organ ochrony danych osobowych innego państwa członkowskiego UE. Z niecierpliwością będziemy monitorować dalszy bieg sprawy.

Więcej na:

– GIODO każe Facebookowi skasować dane Polaka (Niebezpiecznik.pl)

– Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 13 maja 2014 r. w sprawie C-131/12 – Google Spain i Google

– Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady

– treść decyzji DOLIS/DEC-50/16

Marcin Kaleta

Prezes Zarządu