• GIODO nakazał polskiemu Facebookowi usunięcie danych na temat polskiego obywatela.
• Sporne dane zostały opublikowane bez zgody osoby, której dotyczyły.
• Decyzja GIODO dotyczy polskiej spółki Facebooka.
• GIODO oparł się na wyroku TSUE dotyczącym "prawa do bycia zapomnianym". 

Doczekaliśmy się tego, że polski Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nakazującą Facebookowi usunięcie pewnych danych. Ta decyzja może dawać Polakom nadzieję, że jednak jesteśmy w stanie jakoś zapanować nad publikowaniem naszych danych na Facebooku, szczególnie jeśli ktoś opublikuje je bez naszej wiedzy lub zgody. 

Dokumenty z prokuratury na FB

Opiszmy krótko podłoże tej decyzji. Pewien polski obywatel (nazwijmy go B.S.) poskarżył się do GIODO, że na serwerach Facebooka znajdują się jego dane osobowe takie jak PESEL, adres zamieszkania, numer dokumentu tożsamości. B.S. nie umieścił tych danych na serwerze. Po prostu na Facebooku ktoś opublikował fotokopie akt śledztwa prowadzonego przez pewną Prokuraturę Okręgową. B.S. posiadał status pokrzywdzonego i był kilkakrotnie przesłuchiwany. 

Tak szczerze mówiąc to chodziło o akta Stonogi, ale to właściwie bez znaczenia. 

Generalny Inspektor Ochrony Danych musiał przede wszystkim ustalić, czy faktycznie ma kompetencje do stosowania jakichś środków prawnych wobec Facebooka. W Polsce działa spółka Facebook Poland, ale ona właściwie nie zajmuje się administrowaniem danymi osobowymi. Dla użytkowników Facebooka w Europie administratorem danych osobowych jest irlandzka spółka Facebooka (Facebook Ireland Ltd. z siedzibą w Dublinie). Amerykański Facebook jest natomiast administratorem danych dla użytkowników z USA i Kanady.

Facebook i... prawo do bycia zapomnianym

GIODO znalazł sposób by z tego wybrnąć. W decyzji zwrócił on uwagę na słynny już wyrok Trybunału Sprawiedliwości UE dotyczący Google. To ten wyrok, który dotyczył hiszpańskiego oddziału Google i wprowadził tzw. prawo do bycia zapomnianym. W tym wyroku Trybunał wskazał, że krajowe prawo dotyczące ochrony prywatności państwa członkowskiego ma zastosowanie, jeżeli działalność prowadzona przez przedsiębiorstwo założone w tym państwie członkowskim jest nierozerwalnie związana z działalnością administratora.  

GIODO ustalił, że działalność polskiego oddziału Facebooka ma związek z działalnością Facebooka amerykańskiego. Działalność Facebook Poland nie miałaby przecież sensu, gdyby nie działalność Facebooka jako takiego. Polski organ ochrony danych uznał, że Facebook Poland jest w praktyce administratorem danych użytkowników Facebooka z terytorium Rzeczypospolitej Polskiej, odpowiedzialnym za ich przetwarzanie.

Badając tę sprawę GIODO nie doszukał się żadnych przesłanek, które pozwalałyby Facebookowi przetwarzać dane polskiego obywatela. W związku z tym postanowił nakazać polskiemu Facebookowi usunięcie wspomnianych danych osobowych B.S.

Nie jesteśmy bezbronni wobec gigantów

Decyzję skomentował dla nas dr Paweł Litwiński z instytutu Allerhanda, adwokat i specjalista od ochrony danych osobowych.

- Co najistotniejsze, decyzja została skierowana do polskiej spółki Facebook Poland sp. z o. o., a nie do spółki z USA, czy z Irlandii. GIODO zastosował tutaj tą samą konstrukcję prawną, jaką przyjął Trybunał Sprawiedliwości UE w sprawie Google Spain - mówił prawnik. 

- Dlaczego ta decyzja jest taka ważna? Po pierwsze dlatego, że GIODO zdecydował się na zastosowanie w praktyce najnowszych – i jednak nadal nieco kontrowersyjnych – orzeczeń TSUE (w uzasadnieniu, prócz Google Spain, pojawia się także wyrok w spr. Weltimmo, również dotyczący międzynarodowych aspektów ochrony danych osobowych). Mnie jako prawnika zajmującego się ochroną danych osobowych to cieszy. Po drugie, ta decyzja pokazuje, że nie jesteśmy bezbronni wobec gigantów zza oceanu – w praktyce, możliwość wyegzekwowania naszych praw przed sądem amerykańskim wobec Facebook Inc. jest żadna. A tutaj mamy organ administracji publicznej, który nasze prawa chroni. Oczywiście pośrednio cierpi na tym spółka zależna od podmiotu amerykańskiego, ale dzieje się to w zgodzie z prawem unijnym i ze stanowiskami TS UE. Cena globalizacji, można by powiedzieć - podsumowuje dr Paweł Litwiński.

GIODO: Chodzi o faktyczną ochronę

Sprawę skomentowała dla Dziennika Internautów również Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. 

- Jako osoba stojąca na straży danych osobowych Polaków z satysfakcją przyjmuję zmianę podejścia do tego niełatwego przecież tematu, którą widać zarówno w orzecznictwie TSUE, jak i wyrokach sądów krajowych czy decyzjach poszczególnych organów ds. ochrony danych osobowych państw członkowskich UE. Wprawdzie obywatele Unii swoich praw mogli i mogą dochodzić w amerykańskich sądach, ale było to trudne i drogie – stąd iluzoryczność tej możliwości. Również postępowanie przed organami ds. ochrony danych osobowych z państw członkowskich nie należy do najłatwiejszych, co niejednokrotnie zniechęca do jego inicjowania. Mam nadzieję, że argumentacja GIODO przyjęta w sprawie dotyczącej Facebooka jest zgodna z nowymi tendencjami mającymi na celu zagwarantowanie jednakowego poziomu ochrony danych osobowych Europejczyków, niezależnie od tego, przez jaki podmiot są one przetwarzane- powiedziała dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. 

Facebook: Usuniemy, wyjaśnimy

Facebook przesłał nam następujący komentarz odnośnie tej sprawy. 

Udostępnianie prywatnych informacji dotyczących innych ludzi narusza zasady Facebooka, dlatego te treści zostały usunięte od razu po ich zgłoszeniu. W związku z tym, że Facebook Ireland jest jedynym podmiotem, który przetwarza dane użytkowników Facebooka w Unii Europejskiej, wyjaśniamy tę sprawę z polskim GIODO.

Poniżej, dla zainteresowanych, zanonimizowana kopia wydanej decyzji. 

Facebook Dec 5016 by Dziennik Internautów