Decyzją generalnego inspektora ochrony danych osobowych (GIODO) ze stycznia 2016 r. (DOLiS/DEC -50/16) spółce Facebook Poland sp. z o.o., będącej spółką zależną internetowego giganta, nakazano usunięcie opublikowanych na portalu danych osobowych polskiego obywatela. Co istotne, decyzja ta nie została skierowana bezpośrednio do właściciela serwisu, spółki Facebook Inc. z siedzibą w USA, ani do irlandzkiej spółki zależnej Facebook Ireland Ltd., która została wewnątrz grupy wyznaczona do pełnienia funkcji administratora danych osobowych użytkowników z terytorium Unii Europejskiej, ale do zajmującej się doradztwem marketingowym polskiej spółki, która nie była dotąd traktowana jako administrator danych osobowych (ADO).

Są nim osoby fizyczne, prawne i jednostki organizacyjne niemające osobowości prawnej, przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub do celów statutowych, decydujące o celach i środkach ich przetwarzania.

Według wyroku NSA z 30 stycznia 2002 r. (II SA 1098/01) administratorem danych osobowych nie jest ich każdy dysponent, ale tylko ten, który dysponuje faktycznym władztwem nad danymi.

GIODO na Facebooku

W trakcie kontroli polska spółka podniosła, że podmiotem odpowiedzialnym za przetwarzanie danych osobowych na portalu Facebook jest spółka niemająca siedziby na terytorium Polski. Zasadnicze dla GIODO stało się więc ustalenie, czy przetwarzanie danych osobowych na portalu podlega polskiej kognicji. Zgodnie z art. 4 ust. 1 lit a) dyrektywy 95/46/WE państwo stosuje swoje przepisy o ochronie danych osobowych wtedy, gdy dane są przetwarzane podczas prowadzenia przez ich administratora działalności gospodarczej na terytorium tego państwa. Jeżeli administrator prowadzi działalność gospodarczą na terytorium kilku krajów, musi zapewnić, że z obowiązków przewidzianych w przepisach prawa krajowego wywiązuje się każde z przedsiębiorstw. Dla rozstrzygnięcia o swojej właściwości dla GIODO najważniejsza była zatem ocena, czy przetwarzanie danych odbywa się na potrzeby prowadzenia przez ich administratora działalności gospodarczej na terytorium RP.

Google też jest ADO 

GIODO rozwinął argumentację przedstawioną m.in. w wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-131/12, w której spółka Google Inc. z siedzibą w USA została uznana za administratora danych przetwarzanych w związku z usługą wyszukiwarki, a jej spółka zależna Google Spain, promująca sprzedaż przestrzeni reklamowej na stronach Google, za „stabilne rozwiązanie" przesądzające o prowadzeniu przez Google działalności gospodarczej w Hiszpanii i przetwarzaniu w związku z tym danych osobowych w

Wirus ADO - zaraźliwy status administratora w rozumieniu przywołanego przepisu dyrektywy. Promocja i sprzedaż przestrzeni reklamowej przez Google Spain stanowiła zdaniem TSUE zasadniczą część komercyjnej działalności grupy, zapewniającą rentowność usługi wyszukiwarki, przez co była z tą usługą ściśle związana.

Mimo odrębnej osobowości prawnej spółki Google Spain i przetwarzania przez nią danych związanych tylko ze sprzedażą reklam TSUE podkreślił, że o prowadzeniu działalności gospodarczej na terytorium państwa członkowskiego przesądzają efektywne i rzeczywiste działania poprzez stabilne rozwiązania, niezależnie od formy organizacji prawnej.

Z kolei w sprawie C-230/14 Weltimmo TSUE przesądził o szerokim rozumieniu pojęcia „stabilnego rozwiązania". Za wystarczającą do powiązania administratora z danym krajem uznał obecność na tym terytorium nawet pojedynczego przedstawiciela - pod warunkiem utrzymywania stabilności przedsięwzięcia wystarczającej do świadczenia usług, choćby drobnych czy pomocniczych. Co więcej, działalność administratora może zostać przypisana do danego kraju bez względu na przynależność państwową osób, których dane są przetwarzane.

Podążając tym tokiem rozumowania, GIODO stwierdził, że działalność spółki Facebook Poland Sp. z o.o. była prowadzona w formie zorganizowanej i w sposób stały, nierozerwalnie związany z działalnością serwisu Facebook. Świadczone przez spółkę usługi doradztwa marketingowego miały bowiem na celu uczynienie portalu opłacalnym i były tym samym kontynuacją działań spółki Facebook Inc. na terytorium RP. GIODO ocenił ponadto postanowienia polityki bezpieczeństwa serwisu i uznał spółkę Facebook Inc. za administratora przetwarzanych w nim danych.

Można się zastanowić 

Decyzję wydał jednak w stosunku do polskiej spółki. Mimo swojej odrębnej osobowości prawnej została ona zatem „zainfekowana" statusem administratora przez spółkę matkę - przynajmniej po to, by być adresatem środków prawnych stosowanych przez GIODO, i to mimo niespełniania podstawowych przesłanek przesądzających o statusie ADO.

Z tych powodów organ uznał, że na polskiej spółce ciąży obowiązek zastosowania wszelkich środków, aby prawo krajowe ochrony danych osobowych było stosowane i przestrzegane na terytorium RP w związku z przetwarzaniem danych w ramach serwisu Facebook. Można się oczywiście zastanowić, czy dla uniknięcia stosowania rygorystycznych przepisów krajowych podmioty zagraniczne nie zdecydują się na ograniczenie działalności spółek zależnych. Takie rozwiązanie mogłoby być o tyle mało skuteczne, że - idąc w ślad za argumentacją GIODO - do „wirusowego" nabycia przez nie odpowiedzialności wystarczyłoby prowadzenie jakiejkolwiek działalności w ramach grupy.

Po nałożeniu na podmioty zagraniczne zbyt daleko idących obowiązków mogą one rozważyć takie ukształtowanie działalności, żeby miejscowemu prawu nie podlegać w ogóle, np. zlikwidować działalność spółek lokalnych. W takiej sytuacji zastosowanie może jednak znaleźć art. 4 ust. 1 lit. c) dyrektywy 95/46, zgodnie z którym przepisy prawa krajowego przyjmowane na mocy dyrektywy stosuje się także wtedy, gdy administrator danych nie prowadzi wprawdzie działalności gospodarczej na terytorium UE, ale wykorzystuje do celów ich przetwarzania środki, zautomatyzowane i inne, znajdujące się na terytorium państwa członkowskiego, jeżeli nie są one wykorzystywane wyłącznie do celów tranzytu przez UE.

Ponieważ celem prawodawcy unijnego było zapewnienie szerokiej ochrony prawa do prywatności w zakresie przetwarzania danych osobowych, można uznać, że pojęcie środków znajdujących się na terytorium państwa członkowskiego będzie interpretowane szeroko. Pod pojęciem tranzytu przez terytorium Wspólnoty kryje się natomiast przeważnie infrastruktura sieciowa służąca wyłącznie do celów przesyłu danych.

Długie ręce GIODO 

Przypisanie spółce matce cech ADO, tj. decyzyjności w stosunku do celów i środków przetwarzania danych, nastąpiło m.in. na podstawie polityki bezpieczeństwa serwisu - w tym postanowień regulujących dopuszczalność przekazywania informacji podmiotom z grupy. GIODO nie przyznał jednak podobnej doniosłości tym postanowieniom polityki, dzięki którym na terytorium UE to nie spółka Facebook Inc., ale spółka Facebook Ireland Ltd. była administratorem danych osobowych. Rozstrzygnięcie zapadło zatem niejako z pominięciem statusu administratora przewidzianego w strukturze grupy dla spółki zależnej, gdyż GIODO nie wdawał się w dalsze rozważania na temat ewentualnej właściwości organów irlandzkich. Krąg podmiotów potencjalnie odpowiedzialnych za naruszenia prawa ochrony danych osobowych rozszerzył się zatem diametralnie: w zasięgu GIODO znalazły się nie tylko te podmioty, które przetwarzając dane, były lub mogły być dotąd uznawane za ADO, ale także wszystkie te, które nierozerwalnie z nimi współpracują, nawet jeśli w myśl dotychczas wypracowanych zasad współpracy oraz wewnętrznej dokumentacji nie są w tym samodzielne czy nawet w ogóle nie przetwarzają danych osobowych. Ze względu na szeroką odpowiedzialność za naruszenia zasad ochrony danych osobowych - w tym odpowiedzialność karną - jest to kwestią szczególnie istotna dla wszystkich podmiotów przetwarzających dane osobowe w związku z działalnością zarobkową, zawodową czy statutową.

Niebezpieczna przystań 


Podejście takie, mając na celu m.in. likwidację zjawiska „forum shopping" (wybierania przez przedsiębiorców dla rejestracji ADO „bezpiecznych przystani", czyli krajów o dogodnych regulacjach prawnych i uwarunkowaniach praktycznych), znajduje oparcie w orzecznictwie TSUE i dyrektywie 95/46/WE. Na gruncie polskiej ustawy mogą się jednak pojawić pewne wątpliwości.

Brzmienie dyrektywy, a przez to także orzeczeń TSUE zapadłych na jej podstawie, niezupełnie przekłada się na przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2015 r. poz. 2135 ze zm.). Jak wcześniej wskazano, do przypisania przetwarzania danych osobowych do reżimu konkretnego prawa krajowego, a przez to do otwarcia drzwi organom krajowym do kontroli takiego przetwarzania, dyrektywa posługuje się koncepcją „kontekstu działalności gospodarczej administratora danych" na terenie tego kraju lub „wykorzystywania środków, zarówno zautomatyzowanych jak innych", znajdujących się na jego terytorium. Ustawa polska w art. 3 ust. 2 pkt 2) przyjmuje łączniki węższe: wymogiem jest terytorium RP jako miejsce zamieszkania lub siedziby podmiotu przetwarzającego dane, albo przetwarzanie danych przy wykorzystaniu środków technicznych znajdujących się na tym terytorium. Innymi słowy, na gruncie dyrektywy można rozważać powiązanie działalności spółki zależnej z działalnością spółki matki i uznanie spółki zależnej np. za swoiste środki organizacyjne, którymi posługuje się spółka matka, trudno jednak uzasadnić to na gruncie polskiej ustawy.

GIODO i przedsiębiorca znajdują się tym samym między młotem a kowadłem. Jeśli przy rozpatrywaniu skargi osoby, której dane są przetwarzane, podstawą rozstrzygnięcia będą tylko przepisy polskie, wynik może wbrew effet utile odbiegać od linii orzeczniczej TSUE. Z kolei orzekając na podstawie dyrektywy, którą stosuje się tylko pośrednio, GIODO może narazić się na zarzut naruszenia prawa krajowego. Stan taki utrzymywać się będzie zapewne do wejścia w życie zapowiadanego rozporządzenia Parlamentu Europejskiego i Rady o ochronie danych osobowych. Obowiązywałoby ono bezpośrednio, bez potrzeby wydawania ustaw wdrażających je do porządku krajowego. Można jednak założyć, że nie osłabnie trend szerokiej ochrony danych osobowych, mającej objąć unijnymi normami również przetwarzanie danych jej obywateli przez podmioty spoza UE. Potwierdzają to orzecznictwo TSUE i rozstrzygnięcia krajowych organów ochrony danych osobowych, które na razie wyprzedzają w tym względzie wspólnotowego prawodawcę.

Być mądrym przed szkodą 


Choćby dlatego przedsiębiorcy prowadzący działalność z grupą powiązanych czy ściśle współpracujących podmiotów, także bez elementu transgranicznego, powinni zadbać o zgodność modelu organizacyjnego i dokumentacji bezpieczeństwa, obiegu informacji i przetwarzania danych osobowych z krajowym i unijnym stanem prawnym.

Odkurzenie posiadanej dokumentacji może jednak nie wystarczyć. W świetle decyzji GIODO konieczne staje się ustalenie, czy istniejące polityki bezpieczeństwa, instrukcje zarządzania systemami i inne dokumenty ochrony danych osobowych nie wymagają gruntownego odświeżenia, a przede wszystkim czy nie powinny ich wdrożyć podmioty, które dotychczas ich nie stosowały. Zasadę ograniczonego zaufania należy kierować w szczególności do postanowień określających, które z powiązanych czy ściśle współpracujących spółek odpowiadają na zewnątrz grupy za przetwarzanie danych osobowych - można się liczyć z ograniczoną skutecznością takich klauzul. System ochrony danych jest tylko tak mocny, jak jego najsłabsze ogniwo.