GIODO kontra Facebook – czy Dawid pokona Goliata?

W styczniu br., Generalny Inspektor Ochrony Danych Osobowych (GIODO) wydał decyzję, nakazującą usunięcie danych polskiego obywatela z portalu społecznościowego Facebook. Nakaz został skierowany przeciwko Facebook Poland Sp. z o.o., a więc polskiej spółce amerykańskiego giganta. Decyzję, od razu po jej wydaniu, nazwano precedensową, pokazującą, że nie jesteśmy bezbronni wobec potężnych firm zza oceanu i mamy możliwość walczenia o usunięcie danych, opublikowanych w serwisie bez naszej zgody.

Akta śledztwa na Facebooku

Sprawa ma swój początek w maju 2015 r., kiedy Zbigniew Stonoga na swoim profilu na Facebooku opublikował zdjęcia 13 tomów akt ze śledztwa w sprawie tzw. afery podsłuchowej. W sumie doszło do ujawnienia ponad dwóch tysięcy stron dokumentów, dowodów ze śledztwa, w tym adresów zamieszkania i numerów PESEL, a także zdjęć z postępowania. Już wtedy, Andrzej Lewiński, Zastępca GIODO, sygnalizował, że publikacja tego materiału to złamanie prawa. Jak podkreślał, odpowiedzialność ponoszą obie strony – udostępniający, gdyż przetwarzał dane bez podstawy prawnej, jak i prokuratura, która dane niewłaściwie zabezpieczyła. Przyznał on jednak, że biuro GIODO samo niewiele może w sprawie wycieku tych danych zrobić i najpierw skieruje zapytanie do prokuratury, a następnie dołączy się z wnioskiem dotyczącym odpowiedzialności z zakresu ochrony danych osobowych.

Facebook natomiast, szybko zablokował profile (gdyż w sumie były ich dwa), na których ujawniono materiały ze śledztwa. Sama dezaktywacja kont nie powoduje jednak całkowitego usunięcia danych z serwerów serwisu. Polega ona jedynie na tym, iż inni użytkownicy portalu nie mogą ich wyszukać, natomiast zgodnie z informacjami zawartymi na stronie internetowej Facebooka, kopie niektórych materiałów (np. plików dziennika) mogą pozostawać na serwerach z przyczyn technicznych, a informacje z kont profilowych (np. zdjęcia) na wypadek, gdyby użytkownik chciał powrócić do serwisu, są zapisywane i nadal będą na profilu po dokonaniu reaktywacji konta.

Mając to na uwadze, jedna z osób, mająca w aferze podsłuchowej status pokrzywdzonego, wystąpiła do GIODO o nakazanie serwisowi, aby ten usunął jej dane ujawnione w aktach śledztwa. Chodziło o takie informacje jak m.in. adres zamieszkania, numer PESEL, numer dokumentu tożsamości.

Po wpłynięciu skargi, GIODO stanął przed nie lada wyzwaniem i koniecznością odpowiedzi na kluczowe dla całej sprawy pytanie: czy polski organ ochrony danych osobowych jest właściwy do prowadzenia postępowań dotyczących przetwarzania danych osobowych w serwisie Facebook?

Polski Facebook jak hiszpański Google

GIODO badając, czy faktycznie ma kompetencje do stosowania środków prawnych wobec Facebooka, posłużył się w tym zakresie słynnym wyrokiem Trybunału Sprawiedliwości UE, dotyczącym hiszpańskiego oddziału Google i wprowadzającym tzw. prawo do bycia zapomnianym (o samym wyroku i jego znaczeniu pisaliśmy tutaj: https://blog-daneosobowe.pl/europejski-trybunal-sprawiedliwosci-poucza-google-prywatnosci/). To w nim TSUE wskazał, że krajowe prawo dotyczące ochrony prywatności państwa członkowskiego ma zastosowanie, jeżeli działalność prowadzona przez przedsiębiorstwo założone w tym państwie członkowskim jest nierozerwalnie związana z działalnością administratora.

Jakie ma to przełożenie na naszego ‘polskiego Facebooka’? Ustalając stan faktyczny sprawy, GIODO wskazał, że w Polsce działa Facebook Poland Sp. z o.o., która w ramach swojej działalności na terytorium Polski, świadczy usługi doradztwa marketingowego na rzecz podmiotów m.in. z terytorium naszego kraju, w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego Facebook.

To jednak, na pierwszy rzut oka oznacza, że spółka ta, tak właściwie nie zajmuje się administrowaniem danymi osobowymi. Ponadto, pozostaje jeszcze jedna przeszkoda, w postaci oświadczeń samego Facebooka, zamieszczonych na stronach serwisu. Zgodnie z nimi, dla użytkowników Facebooka w Unii Europejskiej, administratorem danych osobowych jest irlandzka spółka Facebook Ireland Ltd. z siedzibą w Dublinie. Amerykański Facebook jest natomiast administratorem danych dla użytkowników z USA i Kanady. To daje podstawy sądzić, iż skarga powinna być skierowana do Irlandii.

Na początku uzasadnienia decyzji, GIODO szybko rozprawił się z ustaleniem faktycznego administratora danych, przetwarzanych w ramach portalu Facebook. Zdaniem polskiego organu ochrony danych osobowych, m.in. w związku z tym, iż zawarte na stronie internetowej serwisu polityki prywatności są politykami prywatności firmy Facebook Inc., a w politykach tych określa się zasady przetwarzania danych osobowych użytkowników serwisu, to Facebook Inc. pełni rolę administratora wszystkich danych przetwarzanych w jego ramach, również danych użytkowników z obszaru UE.

Po ustaleniu, iż administratorem danych użytkowników serwisu jest Facebook Inc., pozostało jedynie przełożyć postanowienia wyroku TSUE na polski grunt i wykazać, iż działalność prowadzona przez przedsiębiorstwo założone w państwie członkowskim (Facebook Poland Sp. z o.o.) jest nierozerwalnie związana z działalnością administratora (Facebook Inc.). Zgodnie z dalszymi wskazaniami Trybunału, przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez zakład administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa, jeśli operator wyszukiwarki internetowej (sprawa dot. Google) ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo.

Nie może, zatem budzić wątpliwości, iż w tym przypadku istnieje nierozerwalny związek również pomiędzy działalnością prowadzoną przez właściciela serwisu Facebook tj. Facebook Inc. oraz działalnością prowadzoną przez spółkę zależną tj. Facebook Poland. Jest to związane z tym, iż działalność polskiej spółki, związana z usługami oraz powierzchniami reklamowymi, służy uczynieniu serwisu internetowego Facebook opłacalnym pod względem gospodarczym. Sam serwis umożliwia z kolei prowadzenie tej działalności. Mówiąc prościej – działalność polskiej spółki nie miałaby większego sensu, gdyby nie działalność Facebooka jako takiego.

To wszystko składa się na to, że Facebook Poland Sp. z o.o. jest administratorem danych użytkowników serwisu Facebook z terytorium Polski, który jest odpowiedzialny za ich przetwarzanie. To z kolei powoduje, że do prowadzenia postępowań dotyczących przetwarzania danych osobowych w serwisie Facebook właściwy jest polski organ ochrony danych osobowych.

Powyższe ustalenie pozwoliło Generalnemu Inspektorowi Ochrony Danych Osobowych na merytoryczne rozpatrzenie sprawy. Odnosząc się do przetwarzania danych osobowych skarżącego GIODO, nie doszukał się żadnych przesłanek, które pozwalałyby Facebookowi na to przetwarzanie. To z kolei było podstawą do wydania polskiej spółce Facebook Poland nakazu usunięcia danych osobowych skarżącego, opublikowanych w czerwcu 2015 r. na profilach utworzonych na portalu Facebook.

Facebook będzie wyjaśniał

Jak na decyzję zareagował sam Facebook? Biuro prasowe giganta wydało krótkie oświadczenie, w którym nie do końca zgadza się z argumentacją GIODO przedstawioną w decyzji. Stanowisko właściciela serwisu jest następujące: Udostępnianie prywatnych informacji dotyczących innych ludzi narusza zasady Facebooka, dlatego te treści zostały usunięte od razu po ich zgłoszeniu. W związku, z tym, że Facebook Ireland jest jedynym podmiotem, który przetwarza dane użytkowników Facebooka w Unii Europejskiej, wyjaśniamy tę sprawę z polskim GIODO. Oznacza to, że sprawa będzie najprawdopodobniej miała swój ciąg dalszy, a Facebook nie dopuszcza uznania polskiej spółki za odpowiedzialnej za przetwarzanie danych polskich użytkowników portalu.

GIODO: celem gwarancja jednakowego poziomu ochrony danych

Już w czerwcu 2015 r., trzy miesiące po złożeniu ślubowania, dr Edyta Bielak-Jomaa podkreślała, że nie można bać się konfrontacji z takimi koncernami jak Facebook, a pole do walki o swoje prawa ze światowymi gigantami otworzył właśnie wyrok TSUE dotyczący Google. Jak widać GIODO dość szybko przeszedł od słów do czynów i w swoich decyzjach w praktyce stosuje najnowsze, choć nadal nieco kontrowersyjne, orzeczenia Trybunału.

Mam nadzieję, że argumentacja GIODO przyjęta w sprawie dotyczącej Facebooka jest zgodna z nowymi tendencjami mającymi na celu zagwarantowanie jednakowego poziomu ochrony danych osobowych Europejczyków, niezależnie od tego, przez jaki podmiot są one przetwarzane – mówiła dr Edyta Bielak-Jomaa po publikacji decyzji.

Polski użytkownik z prawami

Dla zwykłego użytkownika portalu, w samej decyzji GIODO najistotniejsze jest to, ze skierowana ona została przeciwko Facebook Poland Sp. z o.o., a więc polskiej spółce, a nie spółce amerykańskiej czy irlandzkiej. Otworzyła ona przed polskimi obywatelami możliwość egzekwowania swoich praw przed polskim organem ochrony danych osobowych. Nie ma, bowiem wątpliwości, że w starciu z Facebook Inc. przed amerykańskim sądem, polski użytkownik nie ma większych szans na zwycięstwo. Również postępowanie przed organami do spraw ochrony danych osobowych z państw członkowskich UE do najłatwiejszych nie należy, co zniechęca do jego inicjowania.

Polski użytkownik Facebooka zyskał również oręż do walki z podmiotami, które bez jego zgody publikują w serwisie jego dane. Dotyczyć to może, w szczególności firm prowadzących swój marketing przy wykorzystaniu profilu na portalu. Przykładowo, udostępniając informacje na temat zwycięzcy konkursu, istotne jest wcześniejsze pozyskanie od niego zgody w tym zakresie, bądź dysponowanie inną przesłanka legitymującą ujawnienie danych. Inaczej może się okazać, że Facebook zobligowany przez GIODO, usunie zamieszczone informacje, a nawet idąc dalej, dezaktywuje profil, na którym zostały upublicznione.

Czy w związku z tą decyzją, do Generalnego Inspektora spłynie lawina skarg skierowanych przeciwko jednemu z najpopularniejszych portali społecznościowych na świecie? Dużo w tym wypadku zależy od ostatecznych wyników rozmów na linii Facebook – GIODO i od tego, czy polski organ podtrzyma swoje stanowisko w sprawie, czy też ulegnie argumentacji przedstawicieli serwisu.

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Pusty rejestr naruszeń RODO – powód do dumy czy niepokoju?
Odpowiedzialność IOD, czyli za co IOD może odpowiadać

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO