13:36
11/2/2016

Jak skłonić Facebooka do usunięcia danych, które znalazły się w tym serwisie bez naszej zgody? Do tej pory wydawało się, że trzeba dochodzić swoich praw przed organem ochrony danych z innego państwa (np. Irlandii). W praktyce zniechęcało to do wnoszenia skarg. Teraz pojawiła się nadzieja na to, że polski GIODO pomoże naszym obywatelom. Tę nadzieje daje wydana właśnie decyzja DOLIS/DEC-50/16.

Decyzja GIODO

Decyzja GIODO

Dokumenty z prokuratury na Facebooku powodem skargi

Decyzja dotyczyła następującej sprawy: Polak poskarżył się do GIODO, że na Facebooku opublikowano akta śledztwa prowadzonego w pewnej prokuraturze. W tych aktach były jego dane –numer PESEL, numer dowodu, adres zamieszkania. W ramach postępowania w prokuraturze ten obywatel miał status pokrzywdzonego i jak informuje GIODO, ujawnienie jego danych publicznie stwarza zagrożenie dla jego i jego rodziny. Na marginesie można dodać, że opublikowane dokumenty to były tzw. akta Stonogi, choć na dłuższą metę jest to bez znaczenia.

Tutaj pojawia się kluczowe pytanie. Czy polski GIODO jest organem właściwym do działania w tej sprawie? Na stronach Facebooka każdy polski użytkownik może przeczytać, że administratorem danych jest Facebook Ireland Ltd. z siedzibą w Dublinie. Wydaje się zatem, że skarga powinna być kierowana do Irlandii.

Czy Facebook Polska to administrator danych?

GIODO mimo wszystko uznał, że może wydać decyzję w tej sprawie. Aby wyjaśnić jego rozumowanie trzeba sięgnąć do wyroku Trybunału Sprawiedliwości UE z maja 2014 roku (sprawa C-131/12). Był to ten wyrok Trybunału, który zmusił Google do wprowadzenia tzw. “prawa do bycia zapomnianym“.

Wówczas obywatel Hiszpanii skierował skargę przeciwko Google Spain. W tamtej sprawie chodziło zwłaszcza o to, czy wyszukiwarkę można uznać za administratora danych osobowych. Trybunał uznał, że można. Dodatkowo jednak wskazał, że w świetle unijnych przepisów przetwarzanie danych osobowych ma miejsce w ramach działalności prowadzonej przez zakład administratora danych, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki (i działalność tego oddziału lub spółki jest skierowana do osób zamieszkujących to państwo).

To nie są oddzielne Facebooki

Wróćmy teraz do sprawy na “polskim” Facebooku. GIODO musiał ustalić, czy przetwarzanie danych na Facebooku odbywa się w kontekście prowadzenia jakiejś działalności na terytorium naszego kraju. GIODO oczywiście nie miał wątpliwości, że działalność Facebook Poland ma związek z działalnością Facebooka. W wydanej decyzji czytamy:

…nie budzi wątpliwości, że istnieje nierozerwalny związek pomiędzy działalnością prowadzoną przez właściciela serwisu F. tj. F Inc. oraz działalnością prowadzoną przez FP Sp. z o.o., działalność FP Sp. z o.o. związana z usługami/powierzchniami reklamowymi służy bowiem uczynienie serwisu internetowego F. opłacalnym pod względem gospodarczym, natomiast serwis ten umożliwia prowadzenie tej działalności. (…) Powyższe oznacza, iż FP Sp z o.o. jest administratorem danych użytkowników serwisu F. z terytorium Rzeczypospolitej Polskiej, odpowiedzialnym za ich przetwarzanie…

Jeśli chcecie dokładniej przyjrzeć się rozumowaniu GIODO, zajrzyjcie do decyzji która dostępna jest facebook-dec_5016″>tutaj.

Co na to Facebook?

Biuro prasowe Facebooka przedstawiło następujący, krótki komentarz do tej sprawy.

Udostępnianie prywatnych informacji dotyczących innych ludzi narusza zasady Facebooka, dlatego te treści zostały usunięte od razu po ich zgłoszeniu. W związku z tym, że Facebook Ireland jest jedynym podmiotem, który przetwarza dane użytkowników Facebooka w Unii Europejskiej, wyjaśniamy tę sprawę z polskim GIODO.

Dlaczego to ważne?

Nie wiemy jeszcze jak finalnie na tę decyzje zareaguje polski Facebook, natomiast już teraz można uznać ją za bardzo ważną. Zgadza się z tym dr Paweł Litwiński, adwokat specjalizujący się w prawie ochrony danych osobowych, który udzielił mi krótkiego komentarza na temat decyzji:

GIODO zdecydował się na zastosowanie w praktyce najnowszych – i jednak nadal nieco kontrowersyjnych – orzeczeń Trybunału Sprawiedliwości UE (…) ta decyzja pokazuje, że nie jesteśmy bezbronni wobec gigantów zza oceanu – w praktyce, możliwość wyegzekwowania naszych praw przed sądem amerykańskim wobec Facebook Inc. jest żadna. A tutaj mamy organ administracji publicznej, który nasze prawa chroni. Oczywiście pośrednio cierpi na tym spółka zależna od podmiotu amerykańskiego, ale dzieje się to w zgodzie z prawem unijnym i ze stanowiskami TS UE

Warto zauważyć, że decyzja została wydana w ciekawym momencie. Niedawno Stany Zjednoczone i UE porozumiały się w sprawie przekazywania danych osobowych za ocean. Będzie to uregulowane w ramach nowego paktu o nazwie “EU-US Privacy Shield“. Te nowe zasady mają pozwolić obywatelom UE na wnoszenie skarg na działania firm. Skargi będą przekazywane do amerykańskiego Departamentu Handlu i Federalnej Komisji Handlu. Ciekawe jest to, że w tym przypadku obyło się bez takiego rozwiązania.


Przeczytaj także:





7 komentarzy

Dodaj komentarz
  1. “Niedawno Stany Zjednoczone i USA porozumiały się …”
    tu chyba miało być
    “Niedawno Ue i USA porozumiały się …”

    BTW, brawa dla GIODO.

    Pozdrawiam.

  2. Coś się zepsuło, i nie było mnie słychać…

  3. “Tę nadzieje” – albo rybki albo akwarium.

  4. Wreszcie,
    jeżeli jakiś podmiot działa na terytorium Polski to już dawno powinien być dojechany przez Polskie urzędy, zawsze było jakieś tłumaczenie, że jest to firma globalne, jeżeli tak to po co nam ten cały GIODO, aby represjonował tylko firmy z Polski?

  5. “W ramach postępowania w prokuraturze ten obywatel miał status pokrzywdzonego i jak informuje GIODO, ujawnienie jego danych publicznie stwarza zagrożenie dla jego i jego rodziny”.

    Chyba powinno być “dla niego i jego rodziny”. Po ilości zgłaszanych błędów w komentarzach, proponuję byście najpierw wytrzeźwieli a potem pisali, nie na odwrót :D

  6. Ciekawe jak to prawo do bycia zapomnianym wygląda w praktyce.
    Większość sporych systemów jakie widziałem nie ma możliwości usunięcia danych użytkownika, bo wtedyspora część systemu by się rozwaliła, zamiast tego jest pole boolowskie czy user/konto aktywne.

    Ciekawe czy firmy zadają sobie trud żeby nadpisać wszystkie dane zapominanego jakimś randomem na co też część systemów nie pozwala czy po prostu ustawia flagę aktywny na fałsz.

  7. Ale Facebook nie jest winien rozpowszechniania tych danych, a po zgłoszeniu je usunął, więc poszkodowany powinien iść nie do GIODO z prośbą o usunięcie plików, tylko do sądu, aby ten nakazał Facebookowi (tudzież pociągnął do tego podległą mu polską spółkę) ujawnić dane osoby, która opublikowała pliki naruszające prywatność.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: