You are on page 1of 6

GENERALNY INSPEKTOR

OCHRONY DANYCH
OSOBOWYCH
dr Edyta Bielak-Jomaa

Warszawa, dnia

stycznia 2016 r.

DOLiS/DEC 50/16
dot. DOLiS-440-

DECYZJA
Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postpowania
administracyjnego (Dz. U. z 2013 r. poz. 267 z pn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 6,
art. 22, 23 ust. 1 w zwizku z art. 35 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2015 r. poz. 2135 z pn. zm.), po przeprowadzeniu postpowania
administracyjnego w sprawie skargi Pana B. S. , reprezentowanego przez adwokata M. P., w
sprawie przetwarzania jego danych osobowych m.in. w zakresie danych osobowych dotyczcych
jego adresu zamieszkania, numeru PESEL, numeru dokumentu tosamoci, na serwerach
nalecych do podmiotu prowadzcego portal internetowy http://www.f........ ktre zostay
opublikowane w dniach .2015 r. na profilu utworzonym na portalu F. tj. . oraz..
nakazuj FP. Sp. z o.o. z siedzib w W. usunicie danych osobowych B.S., w zakresie jego
adresu zamieszkania, numeru PESEL, numeru dokumentu tosamoci opublikowanych w
.2015 r. na profilu utworzonym na portalu F. tj. . oraz .
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpyna skarga Pana
B. S. zwanego dalej Skarcym, reprezentowanego przez adwokata M.P., m. in. na przetwarzanie
jego danych osobowych w zakresie jego adresu zamieszkania, numeru PESEL, numeru dokumentu
tosamoci, na serwerach nalecych do podmiotu prowadzcego portal internetowy
http://www.f....., ktre zostay opublikowane w dniach . 2015 r. na profilu utworzonym na
portalu F. tj. .oraz na profilu . Skarcy w treci skargi wskaza, i w dniach . 2015 r.
zostay upublicznione na portalu F. pod adresem internetowym . oraz . fotokopie akt ledztwa
prowadzonego przez Prokuratur Okrgowa w W., sygn. akt .zawierajce dane osobowe
Skarcego w zakresie jego adresu zamieszkania, numeru PESEL oraz numeru dokumentu
tosamoci. W ww. sprawie Skarcy posiada status pokrzywdzonego. W toku ledztwa Skarcy
zosta kilkukrotnie przesuchany w charakterze wiadka, a podczas tych czynnoci, zgodnie z

obowizujcymi przepisami, by zobligowany do podania swoich danych osobowych, m.in. adresu


zamieszkania, numeru PESEL, numeru dokumentu tosamoci. Te dane osobowe znajdoway si w
ujawnionych na ww. stronach internetowych materiaach z ww. ledztwa, a ich udostpnienie
stwarza zagroenie dla Skarcego i jego rodziny, w szczeglnoci wobec faktu, e jako .., peni
on funkcj zwizan z walk z przestpczoci, bdc .. Nastpnie Skarcy wskaza, i
Generalny Inspektor stosownie do zada okrelonych w art. 12 pkt 1 i 2 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135), zwanej dalej ustaw, posiada
uprawnienia zwizane z kontrol zgodnoci przetwarzania danych z przepisami o ochronie danych
osobowych oraz wydawaniem decyzji administracyjnych i rozpatrywania skarg w sprawach
wykonania przepisw o ochronie danych osobowych. Jednoczenie podnis, e norma wyraona w
art. 18 ust. 1 pkt 1 i 6 ustawy, przewiduje w przypadku naruszenia przepisw o ochronie danych
osobowych Generalny Inspektor, z urzdu lub na wniosek osoby zainteresowanej, w drodze decyzji
administracyjnej, nakazuje przywrcenie stany zgodnego z prawem, w szczeglnoci usunicie
uchybie oraz usunicie danych osobowych.
Majc na uwadze powysze organ ochrony danych osobowych podj czynnoci
zmierzajce do ustalenia stanu faktycznego. W tym miejscu wskaza naley, i na terenie
Rzeczypospolitej Polskiej prowadzi dziaalno gospodarcz FP Sp. z o.o. z siedzib w W., zwana
dalej rwnie Spk. Przedmiotem dziaalnoci ww. Spki, zgodnie z wydrukiem z rejestru
przedsibiorcw KRS nr ., jest badanie rynku opinii publicznej, pozostae doradztwo w zakresie
prowadzenia dziaalnoci gospodarczej i zarzdzania, dziaalnoci agencji reklamowych,
dziaalnoci zwizan z reprezentowaniem mediw. FP Sp. z o.o. wskazaa, i jest spk zalen
FGH LLC z siedzib w Stanach Zjednoczonych, a ramach swojej dziaalnoci na terytorium
Rzeczypospolitej Polskiej wiadczy usugi doradztwa marketingowego na rzecz podmiotw m.in. z
terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usug reklamowych oferowanych w
ramach serwisu internetowego F., na podstawie umowy o wsppracy zawartej z FIL. FP Sp z o.o..
W toku czynnoci kontrolnych przeprowadzonych w jej siedzibie przez upowanionych
pracownikw Biura Generalnego Inspektora Ochrony Danych Osobowych Spka owiadczya, e
administratorem danych osobowych uytkownikw przetwarzanych w ramach serwisu F., z
wyczeniem danych osobowych uytkownikw zamieszkujcych w Kanadzie i Stanach
Zjednoczonych Ameryki jest FIL. Administratorem danych osobowych uytkownikw serwisu F.
zamieszkujcych w Kanadzie i Stanach Zjednoczonych jest F Inc. z siedzib w Stanach
Zjednoczonych- spka dominujca grupy F.
W przedmiotowej sprawie zasadnicze znaczenie ma ustalenie, czy Generalny Inspektor
Ochrony Danych Osobowych posiada kompetencje w zakresie stosowania rodkw prawnych
przetwarzaniu danych osobowych osb zamieszkaych na terytorium Rzeczypospolitej Polskiej w
ww. serwisie F.
W zwizku z powyszym zwrci naley uwag na fakt i FP Sp. z o.o. posiada odrbn
od F Inc. osobowo prawn i stanowi spk zalen F Inc, dziaajc na terytorium
Rzeczypospolitej Polskiej. Jednoczenie z poczynionych ustale faktycznych wynika, e Spka
wykonuje dziaalno gospodarcz w rozumieniu art. 4 ust. 1 lit. A Dyrektywy 95/46/WE. Zgodnie

z ww. artykuem kade Pastwo Czonkowskie stosuje, w odniesieniu do przetwarzania danych


osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wwczas, gdy:
a) przetwarzanie danych odbywa si w kontekcie prowadzenia przez administratora danych
dziaalnoci gospodarczej na terytorium Pastwa Czonkowskiego; jeeli ten sam administrator
danych prowadzi dziaalno gospodarcz na terytorium kilku Pastw Czonkowskich, musi on
podj niezbdne dziaania, aby zapewni, e kade z tych przedsibiorstw wywizuje si z
obowizkw przewidzianych w odpowiednich przepisach prawa krajowego. Do spenienia
zawartego w tym przepisie kryterium warunkujcego stosowanie w odniesieniu do przetwarzania
danych osobowych przez ich administratora odbywao si w kontekcie prowadzenia przez
administratora danych dziaalnoci gospodarczej na terytorium pastwa czonkowskiego. Zgodnie
ze wskazaniem Trybunau Sprawiedliwoci Unii Europejskiej w sprawie C-131/12, art. 4 ust. 1 lit
a) dyrektywy 95/46/WE naley interpretowa w ten sposb, e przetwarzanie danych osobowych
ma miejsce w ramach dziaalnoci gospodarczej prowadzonej przez zakad administratora danych
odpowiedzialnego za to przetwarzanie na terytorium danego pastwa w rozumieniu tego przepisu,
jeli operator wyszukiwarki internetowej ustanawia w danym pastwie czonkowskim oddzia lub
spk zalen, ktrych celem jest promocja i sprzeda powierzchni reklamowych oferowanych za
porednictwem tej wyszukiwarki a dziaalno tego oddziau lub tej spki zalenej jest skierowana
do osb zamieszkujcych to pastwo. Wobec powyszego dla rozstrzygnicia, czy polski organ
ochrony danych jest waciwy do prowadzenia postpowa dotyczcych przetwarzania danych
osobowych w serwisie F. kluczowym jest dokonanie oceny, czy przetwarzanie przedmiotowych
danych odbywa si w kontekcie prowadzenia przez ich administratora dziaalnoci gospodarczej
na terytorium Rzeczypospolitej Polskiej stosownie do treci art. 4 ust. 1 lit a) dyrektywy
95/46/WE. Jak ju wczeniej wskazano, wacicielem serwisu F. prowadzonego w domenie
www.f.... jest F Inc. z siedzib w Stanach Zjednoczonych Ameryki spka dominujca grupy F.
Z treci regulaminu serwisu F. nie wynika jednak aby to F Inc. bya administratorem danych
uytkownikw z terenu Unii Europejskiej. W treci regulaminu serwisu poinformowano, e
administratorem danych uytkownikw z terenu Unii Europejskiej jest FIL, podmiot z ktrym,
zgodnie z postanowieniami regulaminu serwisu F., zawierana jest umowa dotyczca korzystania z
serwisu F. w przypadku uytkownikw zamieszkujcych poza Stanami Zjednoczonymi lub Kanad.
W zwizku z powyszym naley podnie, i zgodnie z informacj zawart na stronie internetowej
serwisu https://www.f.........., polityki prywatnoci zamieszczone w witrynie https://www.f....... s
politykami prywatnoci firmy F Inc. W politykach tych za okrelono zasady przetwarzania danych
osobowych uytkownikw serwisu F., w tym m.in. rodzaj gromadzonych danych, cele ich
przetwarzania, zasady usuwania danych, kategorie podmiotw, ktrym dane mog by
udostpnione lub przekazane. Ponadto, zgodnie z postanowieniami polityki bezpieczestwa F., jako
waciciel grupy spek dziaajcych w jego ramach, zastrzega sobie prawo do przekazywania
informacji wewntrz tej grupy w celu uatwienia, wsparcia i integracji dziaa tych firm oraz
usprawnienia usug F. Powysze wskazuje jednoznacznie na to, e to F Inc., a nie FIL okrela
zasady przetwarzania danych osobowych. Z tych te wzgldw F Inc. peni rol administratora
danych przetwarzanych w ramach serwisu F. Jednoczenie FP Sp. z o.o. posiada odrbn od F Inc.

osobowo prawn i stanowi spk zalen F Inc., a wykonywana przez ni dziaalno


gospodarcza jest prowadzona w formie zorganizowanej i w sposb stay oraz jest nierozerwalnie
zwizana z dziaalnoci prowadzon przez F Inc. Jak wynika z poczynionych ustale faktycznych,
FP Sp. z o.o, prowadzi biuro konsultingu, w ramach ktrego, dziaajc na podstawie umowy o
wsppracy zawartej z FIL, wiadczy usugi doradztwa marketingowego na rzecz podmiotw m.in.
z terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usug reklamowych oferowanych w
ramach serwisu internetowego F. W zwizku z powyszym dziaalno gospodarcza prowadzona
przez FP jest w istocie kontynuowaniem dziaalnoci F Inc. w ww. zakresie na terytorium
Rzeczypospolitej Polskiej. Trybuna Sprawiedliwoci Unii Europejskiej w przywoanym wyej
wyroku jasno wskaza, e krajowe prawo dotyczce ochrony prywatnoci pastwa czonkowskiego
ma zastosowanie, jeeli dziaalno prowadzona przez przedsibiorstwo zaoone w tym pastwie
czonkowskim, jest nierozerwalnie zwizana z dziaalnoci administratora i to niezalenie od
kwestii, czy przedsibiorstwo prowadzi dziaania w zakresie przetwarzania czy nie.
Podsumowujc, na FP Sp. z o.o. ciy obowizek zastosowania wszelkich rodkw, w tym
celu aby prawo krajowe o ochronie danych osobowych byo stosowane i przestrzegane na
terytorium Rzeczypospolitej Polskiej w zwizku z przetwarzaniem danych osobowych w ramach
serwisu F. Intencj Trybunau zawart w ww. wyroku byo objcie skuteczn ochron prawa do
prywatnoci osb, ktrych dane dotycz, przez ich wasne prawo krajowe w zakresie ochrony
danych, a ich prawa w tym zakresie musz by rzeczywici zapewnione i zagwarantowane. Jak
wskazuje belgijska Komisja Prywatnoci w swoim zaleceniu . skierowanym do F., cyt.: Motyw
19 preambuy (dyrektywy) potwierdza, e >>Prowadzenie dziaalnoci gospodarczej na terytorium
Pastwa Czonkowskiego zakada efektywne i rzeczywiste prowadzenie dziaa przez stabilne
rozwizania; forma prawna prowadzonej dziaalnoci gospodarczej, niezalenie czy jest to oddzia,
czy filia posiadajca osobowo prawn, nie jest w tym wzgldzie czynnikiem decydujcym, w
przypadku ustanowienia jednego administratora danych na terytorium kilku Pastw Czonkowskich,
szczeglnie w postaci filii, musi on zapewni, w celu uniknicia obejcia przepisw krajowych, e
kada z prowadzonych dziaalnoci gospodarczych bdzie spenia obowizki wynikajce z prawa
krajowego<<. Ponadto Trybuna Sprawiedliwoci Unii Europejskiej w wyroku z dnia 1
padziernika 2015 r. w sprawie C-230/14 wskaza, i cyt.: () art. 4 ust. 1 lit. a) dyrektywy
naley interpretowa w ten sposb, e zezwala on na zastosowanie przepisw prawnych
dotyczcych ochrony danych osobowych pastwa czonkowskiego rnego od pastwa, w ktrym
zarejestrowany jest administrator tych danych, o ile prowadzi on poprzez stabilne rozwizania
organizacyjne na terytorium tego pastwa czonkowskiego faktyczn i rzeczywist dziaalno,
choby nawet drobna () Majc powysze na uwadze, naley wskaza, i nie budzi wtpliwoci,
e istnieje nierozerwalny zwizek pomidzy dziaalnoci prowadzon przez waciciela serwisu F.
tj. F Inc. oraz dziaalnoci prowadzon przez FP Sp. z o.o., dziaalno FP Sp. z o.o. zwizana z
usugami/powierzchniami reklamowymi suy bowiem uczynienie serwisu internetowego F.
opacalnym pod wzgldem gospodarczym, natomiast serwis ten umoliwia prowadzenie tej
dziaalnoci. Z tego te wzgldu okrelone w art. 4 ust. 1 lit. a) dyrektywy 95/46/WE kryterium
warunkujce stosowanie w odniesieniu do przetwarzania danych osobowych przepisw prawa

krajowego zostao w przedmiotowej sprawie spenione. Powysze oznacza, i FP Sp z o.o. jest


administratorem danych uytkownikw serwisu F. z terytorium Rzeczypospolitej Polskiej,
odpowiedzialnym za ich przetwarzanie, co powoduje, e do prowadzenia postpowa dotyczcych
przetwarzania danych osobowych w serwisie F. waciwy jest polski organ ochrony danych
osobowych.
W tym miejscu wskaza naley, i ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2015 r., poz. 2135 z pn. zm.), zwana dalej ustaw, okrela zasady
postpowania przy przetwarzaniu danych osobowych oraz prawa osb fizycznych, ktrych dane s
lub mog by przetwarzane w zbiorach danych osobowych (art. 2 ust. 1 ustawy). Stosownie do
brzmienia art. 7 pkt 2 ustawy o ochronie danych osobowych, pod pojciem przetwarzania danych
rozumie naley jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie, zmienianie udostpnianie i usuwanie, a zwaszcza te,
ktre wykonuje si w systemach informatycznych. Kada ze wskazanych w art. 7 pkt 2 ustawy
form przetwarzania danych osobowych powinna znale oparcie w jednej z przesanek
warunkujcych legalno procesu przetwarzania danych osobowych, enumeratywnie wymienionych
w art. 23 ust. 1 pkt 1-5 ustawy. Zgodnie z ww. artykuem przetwarzanie danych jest dopuszczalne
tylko wtedy gdy 10 osoba, ktrej dane dotycz, wyrazi na to zgod, chyba e chodzi o usunicie
dotyczcych jej danych, 2) jest to niezbdne dla zrealizowania uprawnienia lub spenienia
obowizku wynikajcego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba,
ktrej dane dotycz, jest jej stron lub gdy jest to niezbdne do podjcia dziaa przed zawarciem
umowy na danie osoby, ktrej dane dotycz, 4) jest niezbdne do wykonania okrelonych
prawem zada realizowanych dla dobra publicznego, 5) jest to niezbdne dla wypenienia prawnie
usprawiedliwionych celw realizowanych przez administratorw danych albo odbiorcw danych, a
przetwarzanie nie narusza praw i wolnoci osoby, ktrej dane dotycz. Co istotne, materialne
przesanki przetwarzania danych osobowych wskazane w art. 23 ust. 1 pkt 1-5 ustawy o ochronie
danych osobowych maj charakter rwnorzdny i autonomiczny co oznacza, e spenienie
ktrejkolwiek z nich stanowi wystarczajc podstaw przetwarzania danych osobowych.
Jak wynika ze stanu faktycznego przedmiotowej sprawy, dane osobowe Skarcego
zawarte w aktach ledztwa prowadzonego przez Prokuratur Okrgowa w W., sygn. , w
zakresie jego adresu zamieszkania, numeru PESEL oraz numeru dokumentu tosamoci, ktre
zostay udostpnione w dniach .. 2015 na profilach utworzonym na portalu internetowym F. pod
adresami oraz .. Pomimo, i powysze profile s aktualnie dezaktywowane, w taki sposb,
i inni uytkownicy portalu F. nie mog wyszuka powyszych profilw, to zgodnie z informacjami
zawartymi na stronie internetowej serwisu kopie niektrych materiaw (np. plikw dziennika)
mog pozostawa na serwerach z przyczyn technicznych, a informacje z kont profilowych (np. o
znajomych, zainteresowaniach i zdjcia) na wypadek gdyby uytkownik chcia powrci do serwisu
F. s zapisywane i nadal bd na profilu po dokonaniu reaktywacji konta. Z uwagi na fakt, i
Skarcy nie wyrazi zgody na przetwarzanie, w tym udostpnienie jego danych osobowych na ww.
profilach, a nastpio to w wyniku rozpowszechnienia ww. informacji bez zezwolenia waciwych
organw, a jednoczenie po stronie administratora portalu F. nie wystpuje adna z wymienionych

powyej przesanek, o ktrych mowa w art. 23 ust. 1 pkt 1-5 ustawy, pozwalajca na aktualne
przetwarzanie tych danych osobowych, stwierdzi naley, i przetwarzanie jego danych osobowych
na serwerach waciciela portalu internetowego F., w sposb opisany powyej nie znajduje oparcia
w obowizujcych przepisach prawa i dokonywane jest z naruszeniem przepisw dotyczcych
ustawy o ochronie danych osobowych oraz dodatkowo stwarza zagroenie dla Skarcego, w
szczeglnoci, w kontekcie penienia przez niego funkcji publicznych zwizanych ze zwalczaniem
przestpczoci. W myl art. 35 ust. 1 ustawy, w razie wykazania przez osob, ktrej dane osobowe
dotycz, e s one niekompletne, nieaktualne, nieprawdziwe lub zostay zebrane z naruszeniem
ustawy albo s zbdne do realizacji celu, dla ktrego zostay zebrane, administrator danych jest
obowizany, bez zbdnej zwoki, do uzupenienia, uaktualnienia, sprostowania danych, czasowego
lub staego wstrzymania przetwarzania kwestionowanych danych lub ich usunicia ze zbioru, chyba
e dotyczy to danych osobowych, w odniesieniu do ktrych tryb ich uzupenienia, uaktualnienia lub
sprostowania okrelaj odrbne ustawy. W razie niedopenienia przez administratora danych
obowizku, o ktrym mowa w ust. 1, osoba, ktrej dane dotycz, moe si zwrci do Generalnego
Inspektora z wnioskiem o nakazanie dopenienia tego obowizku.
Zgodnie z art. 18 ust. 1 ustawy, w przypadku naruszenia przepisw o ochronie danych
osobowych Generalny Inspektor z urzdu lub na wniosek osoby zainteresowanej, w drodze decyzji
administracyjnej, nakazuje przywrcenie stanu zgodnego z prawem Powyej opisane okolicznoci
faktyczne i prawne powoduj, e konieczne jest na podstawie art. 18 ust. 1 pkt 6 ustawy nakazanie
wyeliminowania nieprawidowoci w procesie przetwarzania danych osobowych Skarcego
poprzez nakazanie FP Sp. z o.o. usunicia danych osobowych Skarcego przetwarzanych na
serwerach waciciela portalu internetowego F.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych
rozstrzygn, jak w sentencji.

Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 w zw. z
art. 127 3 Kodeksu postpowania administracyjnego stronom przysuguje, w terminie 14 dni od
dnia dorczenia niniejszej decyzji, prawo zoenia do Generalnego Inspektora Ochrony Danych
Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora
Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).