Dane osobowe na Facebook – decyzja GIODO

Wiele się dzieje na europejskiej scenie ochrony danych. Rozporządzenie o ochronie danych się zbliża, Safe Harbor oddala. A tymczasem, po cichu i bez rozgłosu, pojawiła się decyzja GIODO w sprawie przetwarzania danych osobowych przez Facebook.

Postępowania dotyczyło danych osobowych zawartych w aktach postępowania sądowego. Zdjęcia tych akt zostały umieszczone na publicznie dostępnych profilach na Facebooku. Znalazły się tam dane dosyć istotne – adres zamieszkania, numer PESEL oraz numer dokumentu tożsamości, w dodatku dotyczyły osoby publicznej. Osoba, której dane zostały upublicznione, pełniła „funkcję związaną z walką z przestępczością” (Prokurator? Policjant? Nie wiadomo dokładnie, bo decyzja została zanonimizowana). GIODO zauważył, że „udostępnienie [tych danych] stwarza zagrożenie dla Skarżącego i jego rodziny”.

Sama decyzja jest zgodna ze schematem często spotykanym w orzeczeniach Generalnego Inspektora – ustalono, że dane osobowe przetwarzane są bez podstawy prawnej i nakazano ich usunięcie. Jak zwykle, najciekawsze są szczegóły.

Kto jest administratorem danych osobowych umieszczonych na profilu Facebook?

Tutaj trzeba zacząć od drobnego wyjaśnienia. Facebook ma zagmatwaną strukturę, która jest dodatkowo komplikowana przez prawo ochrony danych osobowych. Sam portal społecznościowy jest prowadzony przez Facebook Inc. z siedzibą w USA. Polska spółka, Facebook Poland Sp. z o. o., jest spółką zależną Facebook Global Holdings II LLC, również z siedzibą w USA. Facebook Poland świadczy usługi doradztwa marketingowego na rzecz podmiotów z terytorium Polski, m. in. w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego Facebook. Poza tym, polski oddział zajmuje się badaniem rynku opinii publicznej, działalnością agencji reklamowych, działalnością związaną z reprezentowaniem mediów (takie obszary działalności występują w ich wpisie w KRS).

Facebook Poland nie zajmuje się jednak bezpośrednio działalnością, z której Facebook jest najbardziej znany – prowadzeniem portalu społecznościowego. Polscy użytkownicy, którzy zakładają konto na tym portalu, są związani umową z Facebook Ireland Ltd. Użytkownicy z USA oraz Kanady, zakładając konto, zawierają umowę z Facebook Inc. (punkt 18(1) regulaminu Facebook). Z regulaminu oraz z oświadczeń zebranych przez GIODO podczas kontroli wynika, że administratorem danych polskich użytkowników jest spółka irlandzka.

GIODO podważył te postanowienia regulaminu i ustalił, że

to [Facebook] Inc., a nie [Facebook Ireland Ltd.] określa zasady przetwarzania danych osobowych. Z tych też względów [Facebook Inc.] pełni rolę administratora danych przetwarzanych w ramach serwisu [Facebook]

Decyzja początkowo wskazuje, że administratorem danych zawartych w portalu społecznościowym jest Facebook Inc., a następnie, kilka akapitów dalej, że administratorem jest Facebook Poland, ale nie ma to znaczenia dla ogólnej interpretacji znaczenia tej decyzji – niezależnie, kto jest administratorem danych osobowych, jeżeli przetwarza dane użytkowników z terytorium RP, jest związany postanowieniami polskiego prawa ochrony danych osobowych.

Te ustalenia dotyczące administratora danych zostały podjęte na marginesie głównego wniosku – GIODO ustalił, że ponieważ działalność polskiej spółki jest kontynuacją działalności Facebook Inc. i jest nierozerwalnie związana z działalnością spółki amerykańskiej, to

na [Facebook Poland Sp. z o. o.] ciąży obowiązek zastosowania wszelkich środków, w tym celu aby prawo krajowe o ochronie danych osobowych było stosowane i przestrzegane na terytorium Rzeczypospolitej Polskiej w związku z przetwarzaniem danych osobowych w ramach serwisu [Facebook]

GIODO nakazał Facebook Poland usunięcie zdjęć, zawierających dane osobowe Skarżącego.

Jakie znaczenie ma ta decyzja?

Z decyzji GIODO wynika, że Facebook Inc., z uwagi na fakt, że prowadzi swoją działalność również w Polsce przez spółkę Facebook Poland, jest objęty polskim prawem ochrony danych osobowych. Warto zauważyć, że identyczne rozstrzygnięcie (tylko dotyczące prawa belgijskiego), wydał belgijski sąd w postępowaniu dotyczącym działalności Facebook w tym kraju.

Inspektor, opierając się między innymi na wyroku w sprawie Google Spain (wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-131/12 z dnia 3 maja 2014 r.), podzielił pogląd, że lokalne spółki, zakładane przez światowe koncerny, są odpowiedzialne za działalność swoich spółek matek, nawet jeśli te krajowe podmioty prowadzą aktywność tylko pośrednio związaną z główną działalnością.

Decyzja GIODO, podobnie jak przywołane orzeczenie belgijskiego sądu, są zgodne z ogólnym kursem, którym podąża europejskie prawo ochrony danych osobowych, aby objąć Unijnymi normami również podmioty mające siedzibę poza Unią, które przetwarzają dane osobowe obywateli UE. Taka idea szerokiej ochrony stanowi jeden z fundamentów trwającej unijnej reformy prawa ochrony danych osobowych – przeczytaj więcej w naszym artykule o General Data Protection Regulation (Ogólnym Rozporządzeniu o Ochronie Danych Osobowych).

Pobierz plik pdf z treścią decyzji

About Redakcja 297 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.