Polski GIODO nakazał portalowi społecznościowemu usunięcie danych osobowych. Precedensowa decyzja dotyczy akt ze śledztwa związanego z aferą podsłuchową opublikowanych przez kontrowersyjnego biznesmena.
Facebook wciąż rośnie w siłę / Dziennik Gazeta Prawna
W czerwcu 2015 r. Zbigniew Stonoga opublikował na swoim profilu na Facebooku zdjęcia 21 tomów akt ze śledztwa tzw. afery taśmowej, łącznie z dokładnymi danymi występujących w nich osób. Serwis szybko zablokował konto, ale osoby, których dane ujawniono, obawiają się, że wciąż są one przechowywane na serwerach. Jedna z nich (ma w sprawie podsłuchowej status pokrzywdzonego) wystąpiła do generalnego inspektora ochrony danych osobowych o nakazanie serwisowi, aby usunął jej dane, takie jak imię i nazwisko, adres, numer dowodu czy PESEL. I GIODO niedawno wydał decyzję zgodną z tymi oczekiwaniami.
To precedens. Przed laty Facebook utrzymywał, że ponieważ przetwarzaniem danych osobowych zajmuje się amerykańska firma, to ona musi być stroną postępowania. Od pewnego czasu zaczął godzić się z tym, że może to być jej przedstawiciel na UE, czyli spółka w Irlandii. Tymczasem polski organ wydał decyzję wobec spółki Facebook Poland, która na terenie naszego kraju świadczy usługi doradztwa marketingowego w zakresie umieszczania reklam na Facebooku.
Szukając administratora
– Jako człowieka cieszy mnie to, że prawo działa, nawet wobec tak globalnych gigantów, jak Facebook. Dochodzenie sprawiedliwości w USA ze względu na czas, pieniądze i skomplikowane procedury to dla Europejczyków iluzja. Tymczasem okazuje się, że z pomocą polskiego organu można już po kilku miesiącach bez znaczących kosztów uzyskać skuteczną ochronę prawną swoich danych – komentuje dr Paweł Litwiński z Instytutu Allerhanda.
– Jako prawnika cieszy mnie zaś, że polski GIODO jest w europejskiej awangardzie i tak szybko reaguje na orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej – dodaje.
Chodzi m.in. o głośny wyrok TSUE z 13 maja 2014 r. w sprawie Google Spain (C-131/12). Zgodnie z nim unijne przepisy o ochronie danych mają zastosowanie także wobec firm mających siedzibę poza UE, takich jak Google Inc. czy właśnie Facebook Inc. z siedzibami w USA. Warunek? Muszą one posiadać w państwie UE oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych, oraz kierować swoją działalność do osób zamieszkujących to państwo. Na to orzeczenie powołał się GIODO. Kluczowe jednak okazało się rozstrzygnięcie TSUE z 1 października 2015 r. w sprawie Weltimmo (C-230/14). Wcześniej uznawano bowiem, że sprawy dotyczące globalnych usługodawców internetowych powinny toczyć się w Irlandii lub Wielkiej Brytanii, gdyż tam znajdują się ich przedstawicielstwa, a często też serwery.
– W przywołanym orzeczeniu trybunał wskazał jednak przepisy unijnej dyrektywy o ochronie danych osobowych, które pozwalają na zastosowanie krajowych przepisów dotyczących ochrony danych osobowych, mimo iż administrator danych zarejestrowany jest w innym państwie UE – wyjaśnia dr Edyta Bielak-Jomaa, generalna inspektor ochrony danych osobowych.
Jak precyzuje, warunkiem dopuszczalności takiego rozwiązania jest to, by w kraju, którego przepisy będą stosowane, administrator prowadził faktyczną działalność, choćby nawet drobną, w kontekście której dokonuje się przetwarzania danych osobowych, a działalność ta była skierowana do osób zamieszkujących to państwo.
– Po analizie działalności polskiego oddziału Facebooka okazało się, że biorąc pod uwagę najnowsze orzecznictwo, można uznać go za administratora danych osobowych polskich użytkowników, w związku z czym GIODO mógł wydać decyzję nakazującą określone postępowanie, zgodne z przepisami polskiej ustawy o ochronie danych osobowych – dodaje.
– W mojej ocenie GIODO w ślad za TSUE trafnie zauważył, że tak naprawdę nie ma znaczenia, kto przetwarza dane osobowe. Skoro polska spółka działa niejako w imieniu amerykańskiej korporacji i prowadzi tu działalność związaną z jej promocją, to także wobec niej można żądać prawa do bycia zapomnianym – ocenia dr Paweł Litwiński.
Doktor Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy, nie podziela jednak tej opinii.
– Adresatem nakazów GIODO nie powinna być krajowa spółka zajmująca się jedynie marketingiem usług internetowych, w związku z którymi przetwarzane są dane osobowe. Rzeczywistą obsługą czy zarządzaniem tymi usługami zajmują się bowiem inne podmioty, często z siedzibą poza UE, i to one są administratorami danych, które mogą być stronami decyzji GIODO – przekonuje.
Co ciekawe, swe wnioski wyciąga z tego samego orzeczenia TSUE dotyczącego Google Spain. Zdaniem dr. Sibigi wynika jednak z niego, że to wobec administratora danych – czyli amerykańskiej spółki – powinna zostać wydana decyzja GIODO. Z przywoływanego orzeczenia ma wynikać jedynie, że fakt prowadzenia działalności gospodarczej przez jego hiszpańską spółkę stanowił uzasadnienie do objęcia operatora zakresem unijnych przepisów.
– Takie stanowisko znalazło potwierdzenie w licznych późniejszych orzeczeniach sądów krajowych, m.in. brytyjskich, niemieckich czy francuskich. Odmienne podejście GIODO może okazać się niekorzystne dla osób, których dane dotyczą. Polska spółka może nie być w stanie wykonać nakazu, ponieważ nie sprawuje kontroli nad danymi osobowymi w tych usługach – przekonuje dr Sibiga.
Struktury korporacyjne
Jeśli Facebook Poland zaskarży decyzję, to sądy administracyjne rozstrzygną, czy GIODO w ogóle mógł wydać decyzję i wobec kogo. Problem w tym, że trudno jest przeniknąć przez struktury globalnych korporacji. Facebookiem zarządza amerykańska firma Facebook Inc.; polski użytkownik zawiera umowę z jego przedstawicielem w Irlandii - spółką Facebook Ireland Ltd.; a sprzedażą reklam na terenie Polski zajmuje się Facebook Poland.
– Złożone struktury korporacyjne mogą stawiać w pozycji nie do pozazdroszczenia nie tylko człowieka, który próbuje chronić swoją prywatność, ale także nadzorców rynków lokalnych. Tymczasem prawo do bycia zapomnianym nie jest barokowym ornamentem, ale prawem, które buduje naszą autonomię informacyjną – komentuje dr Piotr Bodył-Szymala, radca prawny, wykładowca Wyższej Szkoły Bankowości w Poznaniu. – Dobrze byłoby, aby lokalnie dało się przymusić graczy globalnych do efektywnych zachowań, w tym do anonimizacji danych. Póki co należy jednak rozgraniczyć prawo GIODO do weryfikacji i interwencji w sprawie operacji przetwarzania, która ma miejsce w Polsce, od prawa do karania podmiotów podległych obcej jurysdykcji – zaznacza.
– Udostępnianie prywatnych informacji dotyczących innych ludzi narusza zasady Facebooka, dlatego te treści zostały usunięte od razu po ich zgłoszeniu. W związku z tym, że Facebook Ireland jest jedynym podmiotem, który przetwarza dane użytkowników FB w UE, wyjaśniamy tę sprawę z polskim GIODO – dowiedzieliśmy się w Biurze Prasowym portalu Facebook.