Polski GIODO nakazał portalowi społecznościowemu usunięcie danych osobowych. Precedensowa decyzja dotyczy akt ze śledztwa związanego z aferą podsłuchową opublikowanych przez kontrowersyjnego biznesmena.
W czerwcu 2015 r. Zbigniew Stonoga opublikował na swoim profilu na Facebooku zdjęcia 21 tomów akt ze śledztwa tzw. afery taśmowej, łącznie z dokładnymi danymi występujących w nich osób. Serwis szybko zablokował konto, ale osoby, których dane ujawniono, obawiają się, że wciąż są one przechowywane na serwerach. Jedna z nich (ma w sprawie podsłuchowej status pokrzywdzonego) wystąpiła do generalnego inspektora ochrony danych osobowych o nakazanie serwisowi, aby usunął jej dane, takie jak imię i nazwisko, adres, numer dowodu czy PESEL. I GIODO niedawno wydał decyzję zgodną z tymi oczekiwaniami.
To precedens. Przed laty Facebook utrzymywał, że ponieważ przetwarzaniem danych osobowych zajmuje się amerykańska firma, to ona musi być stroną postępowania. Od pewnego czasu zaczął godzić się z tym, że może to być jej przedstawiciel na UE, czyli spółka w Irlandii. Tymczasem polski organ wydał decyzję wobec spółki Facebook Poland, która na terenie naszego kraju świadczy usługi doradztwa marketingowego w zakresie umieszczania reklam na Facebooku.
Szukając administratora
– – komentuje dr Paweł Litwiński z Instytutu Allerhanda.
– – dodaje.
Chodzi m.in. o głośny wyrok TSUE z 13 maja 2014 r. w sprawie Google Spain (C-131/12). Zgodnie z nim unijne przepisy o ochronie danych mają zastosowanie także wobec firm mających siedzibę poza UE, takich jak Google Inc. czy właśnie Facebook Inc. z siedzibami w USA. Warunek? Muszą one posiadać w państwie UE oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych, oraz kierować swoją działalność do osób zamieszkujących to państwo. Na to orzeczenie powołał się GIODO. Kluczowe jednak okazało się rozstrzygnięcie TSUE z 1 października 2015 r. w sprawie Weltimmo (C-230/14). Wcześniej uznawano bowiem, że sprawy dotyczące globalnych usługodawców internetowych powinny toczyć się w Irlandii lub Wielkiej Brytanii, gdyż tam znajdują się ich przedstawicielstwa, a często też serwery.
– – wyjaśnia dr Edyta Bielak-Jomaa, generalna inspektor ochrony danych osobowych.
Jak precyzuje, warunkiem dopuszczalności takiego rozwiązania jest to, by w kraju, którego przepisy będą stosowane, administrator prowadził faktyczną działalność, choćby nawet drobną, w kontekście której dokonuje się przetwarzania danych osobowych, a działalność ta była skierowana do osób zamieszkujących to państwo.
– – dodaje.
–– ocenia dr Paweł Litwiński.
Doktor Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy, nie podziela jednak tej opinii.
– – przekonuje.
Co ciekawe, swe wnioski wyciąga z tego samego orzeczenia TSUE dotyczącego Google Spain. Zdaniem dr. Sibigi wynika jednak z niego, że to wobec administratora danych – czyli amerykańskiej spółki – powinna zostać wydana decyzja GIODO. Z przywoływanego orzeczenia ma wynikać jedynie, że fakt prowadzenia działalności gospodarczej przez jego hiszpańską spółkę stanowił uzasadnienie do objęcia operatora zakresem unijnych przepisów.
– – przekonuje dr Sibiga.
Struktury korporacyjne
Jeśli Facebook Poland zaskarży decyzję, to sądy administracyjne rozstrzygną, czy GIODO w ogóle mógł wydać decyzję i wobec kogo. Problem w tym, że trudno jest przeniknąć przez struktury globalnych korporacji. Facebookiem zarządza amerykańska firma Facebook Inc.; polski użytkownik zawiera umowę z jego przedstawicielem w Irlandii - spółką Facebook Ireland Ltd.; a sprzedażą reklam na terenie Polski zajmuje się Facebook Poland.
– – komentuje dr Piotr Bodył-Szymala, radca prawny, wykładowca Wyższej Szkoły Bankowości w Poznaniu. – – zaznacza.
– – dowiedzieliśmy się w Biurze Prasowym portalu Facebook.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu