GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. odmawiam uwzględnienia wniosku.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

Krajowa Reprezentacja Doktorantów

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Polityka Prywatności

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 6 listopada 2003 r.

Ustawa o ochronie danych osobowych oznacza Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO MIRACULUM. Postanowienia ogólne

Polityka prywatności

Polityka Prywatności

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

II SA/Wa 898/06 - Wyrok WSA w Warszawie

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

Polityka prywatności serwisu medycynapolska.pl. 1. Dane operatora serwisu :

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

1. Administrator danych

POLITYKA PRYWATNOŚCI BLOG O MLM

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

REGULAMIN KORZYSTANIA Z SERWISU BIURO KARIER UNIWERSYTETU KAZIMIERZA WIELKIEGO

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 4 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Definicje: Użytkownik w rozumieniu Polityki oznacza osobę fizyczną korzystającą z Serwisu.

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO WŁASNOŚCIOWEJ W PLESZEWIE

Regulamin Portalu

Ochrona danych osobowych przy obrocie wierzytelnościami

Bezpieczeństwo danych osobowych listopada 2011 r.

POLITYKA PRYWATNOŚCI serwisu GRUPA AMP MEDIA Sp. z o.o., obowiązuje od: 7 marca 2018

6. NEWSLETTER Usługa Elektroniczna pozwalająca Usługobiorcy na subskrybowanie i otrzymywanie na podany przez Usługobiorcę adres bezpłatnych

Polityka Prywatności

INFORMACJA O PAŃSTWA DANYCH OSOBOWYCH POLITYKA PRYWATNOŚCI

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Zasady udostępniania informacji gospodarczych na własny temat oraz wglądu do Rejestru Zapytań dla podmiotów niebędących konsumentami

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

SKARGA RZECZNIKA PRAW OBYWATELSKICH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

R E G U L A M I N PROGRAMU LOJALNOŚCIOWEGO SPÓŁKI Z O.O. SKR STRZELCE KRAJENSKIE

POLITYKA PRYWATNOŚCI. Postanowienia Ogólne

POLITYKA BEZPIECZEŃSTWA

REGULAMIN AKCJI PROMOCYJNEJ Drugi za grosz

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH


Ochrona wrażliwych danych osobowych

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

POLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Polityka prywatności. Informacje o Administratorze. Obowiązki informacyjne Administratora. Dane kontaktowe w sprawach przetwarzania danych osobowych

O firmie» Polityka prywatności

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

POLITYKA PRYWATNOŚCI i INFORMACJE O CIASTECZKACH.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

Polityka Prywatności

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 24 września 2009 r. DOLiS/DEC 967/09 dot. DOLiS /09 D E C Y Z J A

POLITYKA PRYWATNOŚCI. 1. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim

Radom, 13 kwietnia 2018r.

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Pursimiehenkatu 4 A, HELSINKI, Finlandia (FI ).

Zasady przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach

POLITYKA PRYWATNOŚCI I COOKIES

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO MAXIMUSPARTS.PL

Polityka prywatności sieci klubów Forma Fitness

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

REGULAMIN AKCJI AMBASADOR DEER DESIGN INFORMACJE WSTĘPNE

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH DOLiS/DEC 50/16 dot. DOLiS-440- dr Edyta Bielak-Jomaa Warszawa, dnia stycznia 2016 r. D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r. poz. 267 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22, 23 ust. 1 w związku z art. 35 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana B. S., reprezentowanego przez adwokata M. P., w sprawie przetwarzania jego danych osobowych m.in. w zakresie danych osobowych dotyczących jego adresu zamieszkania, numeru PESEL, numeru dokumentu tożsamości, na serwerach należących do podmiotu prowadzącego portal internetowy http://www.f... które zostały opublikowane w dniach.2015 r. na profilu utworzonym na portalu F. tj.. oraz.. nakazuję FP. Sp. z o.o. z siedzibą w W. usunięcie danych osobowych B.S., w zakresie jego adresu zamieszkania, numeru PESEL, numeru dokumentu tożsamości opublikowanych w.2015 r. na profilu utworzonym na portalu F. tj.. oraz. Uzasadnienie Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana B. S. zwanego dalej Skarżącym, reprezentowanego przez adwokata M.P., m. in. na przetwarzanie jego danych osobowych w zakresie jego adresu zamieszkania, numeru PESEL, numeru dokumentu tożsamości, na serwerach należących do podmiotu prowadzącego portal internetowy http://www.f..., które zostały opublikowane w dniach. 2015 r. na profilu utworzonym na portalu F. tj..oraz na profilu. Skarżący w treści skargi wskazał, iż w dniach. 2015 r. zostały upublicznione na portalu F. pod adresem internetowym. oraz. fotokopie akt śledztwa prowadzonego przez Prokuraturę Okręgowa w W., sygn. akt.zawierające dane osobowe Skarżącego w zakresie jego adresu zamieszkania, numeru PESEL oraz numeru dokumentu tożsamości. W ww. sprawie Skarżący posiada status pokrzywdzonego. W toku śledztwa Skarżący został kilkukrotnie przesłuchany w charakterze świadka, a podczas tych czynności, zgodnie z

obowiązującymi przepisami, był zobligowany do podania swoich danych osobowych, m.in. adresu zamieszkania, numeru PESEL, numeru dokumentu tożsamości. Te dane osobowe znajdowały się w ujawnionych na ww. stronach internetowych materiałach z ww. śledztwa, a ich udostępnienie stwarza zagrożenie dla Skarżącego i jego rodziny, w szczególności wobec faktu, że jako.., pełnił on funkcję związaną z walką z przestępczością, będąc.. Następnie Skarżący wskazał, iż Generalny Inspektor stosownie do zadań określonych w art. 12 pkt 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135), zwanej dalej ustawą, posiada uprawnienia związane z kontrolą zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawaniem decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych. Jednocześnie podniósł, że norma wyrażona w art. 18 ust. 1 pkt 1 i 6 ustawy, przewiduje w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor, z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stany zgodnego z prawem, w szczególności usunięcie uchybień oraz usunięcie danych osobowych. Mając na uwadze powyższe organ ochrony danych osobowych podjął czynności zmierzające do ustalenia stanu faktycznego. W tym miejscu wskazać należy, iż na terenie Rzeczypospolitej Polskiej prowadzi działalność gospodarczą FP Sp. z o.o. z siedzibą w W., zwana dalej również Spółką. Przedmiotem działalności ww. Spółki, zgodnie z wydrukiem z rejestru przedsiębiorców KRS nr., jest badanie rynku opinii publicznej, pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania, działalności agencji reklamowych, działalności związaną z reprezentowaniem mediów. FP Sp. z o.o. wskazała, iż jest spółką zależną FGH LLC z siedzibą w Stanach Zjednoczonych, a ramach swojej działalności na terytorium Rzeczypospolitej Polskiej świadczy usługi doradztwa marketingowego na rzecz podmiotów m.in. z terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego F., na podstawie umowy o współpracy zawartej z FIL. FP Sp z o.o.. W toku czynności kontrolnych przeprowadzonych w jej siedzibie przez upoważnionych pracowników Biura Generalnego Inspektora Ochrony Danych Osobowych Spółka oświadczyła, że administratorem danych osobowych użytkowników przetwarzanych w ramach serwisu F., z wyłączeniem danych osobowych użytkowników zamieszkujących w Kanadzie i Stanach Zjednoczonych Ameryki jest FIL. Administratorem danych osobowych użytkowników serwisu F. zamieszkujących w Kanadzie i Stanach Zjednoczonych jest F Inc. z siedzibą w Stanach Zjednoczonych- spółka dominująca grupy F. W przedmiotowej sprawie zasadnicze znaczenie ma ustalenie, czy Generalny Inspektor Ochrony Danych Osobowych posiada kompetencje w zakresie stosowania środków prawnych przetwarzaniu danych osobowych osób zamieszkałych na terytorium Rzeczypospolitej Polskiej w ww. serwisie F. W związku z powyższym zwrócić należy uwagę na fakt iż FP Sp. z o.o. posiada odrębną od F Inc. osobowość prawną i stanowi spółkę zależną F Inc, działającą na terytorium Rzeczypospolitej Polskiej. Jednocześnie z poczynionych ustaleń faktycznych wynika, że Spółka wykonuje działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. A Dyrektywy 95/46/WE. Zgodnie 2

z ww. artykułem każde Państwo Członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy: a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku Państw Członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego. Do spełnienia zawartego w tym przepisie kryterium warunkującego stosowanie w odniesieniu do przetwarzania danych osobowych przez ich administratora odbywało się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego. Zgodnie ze wskazaniem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-131/12, art. 4 ust. 1 lit a) dyrektywy 95/46/WE należy interpretować w ten sposób, że przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez zakład administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa w rozumieniu tego przepisu, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo. Wobec powyższego dla rozstrzygnięcia, czy polski organ ochrony danych jest właściwy do prowadzenia postępowań dotyczących przetwarzania danych osobowych w serwisie F. kluczowym jest dokonanie oceny, czy przetwarzanie przedmiotowych danych odbywa się w kontekście prowadzenia przez ich administratora działalności gospodarczej na terytorium Rzeczypospolitej Polskiej stosownie do treści art. 4 ust. 1 lit a) dyrektywy 95/46/WE. Jak już wcześniej wskazano, właścicielem serwisu F. prowadzonego w domenie www.f... jest F Inc. z siedzibą w Stanach Zjednoczonych Ameryki spółka dominująca grupy F. Z treści regulaminu serwisu F. nie wynika jednak aby to F Inc. była administratorem danych użytkowników z terenu Unii Europejskiej. W treści regulaminu serwisu poinformowano, że administratorem danych użytkowników z terenu Unii Europejskiej jest FIL, podmiot z którym, zgodnie z postanowieniami regulaminu serwisu F., zawierana jest umowa dotycząca korzystania z serwisu F. w przypadku użytkowników zamieszkujących poza Stanami Zjednoczonymi lub Kanadą. W związku z powyższym należy podnieść, iż zgodnie z informacją zawartą na stronie internetowej serwisu https://www.f..., polityki prywatności zamieszczone w witrynie https://www.f... są politykami prywatności firmy F Inc. W politykach tych zaś określono zasady przetwarzania danych osobowych użytkowników serwisu F., w tym m.in. rodzaj gromadzonych danych, cele ich przetwarzania, zasady usuwania danych, kategorie podmiotów, którym dane mogą być udostępnione lub przekazane. Ponadto, zgodnie z postanowieniami polityki bezpieczeństwa F., jako właściciel grupy spółek działających w jego ramach, zastrzega sobie prawo do przekazywania informacji wewnątrz tej grupy w celu ułatwienia, wsparcia i integracji działań tych firm oraz usprawnienia usług F. Powyższe wskazuje jednoznacznie na to, że to F Inc., a nie FIL określa zasady przetwarzania danych osobowych. Z tych też względów F Inc. pełni rolę administratora danych przetwarzanych w ramach serwisu F. Jednocześnie FP Sp. z o.o. posiada odrębną od F Inc. 3

osobowość prawną i stanowi spółkę zależną F Inc., a wykonywana przez nią działalność gospodarcza jest prowadzona w formie zorganizowanej i w sposób stały oraz jest nierozerwalnie związana z działalnością prowadzoną przez F Inc. Jak wynika z poczynionych ustaleń faktycznych, FP Sp. z o.o, prowadzi biuro konsultingu, w ramach którego, działając na podstawie umowy o współpracy zawartej z FIL, świadczy usługi doradztwa marketingowego na rzecz podmiotów m.in. z terytorium Rzeczypospolitej Polskiej w zakresie korzystania z usług reklamowych oferowanych w ramach serwisu internetowego F. W związku z powyższym działalność gospodarcza prowadzona przez FP jest w istocie kontynuowaniem działalności F Inc. w ww. zakresie na terytorium Rzeczypospolitej Polskiej. Trybunał Sprawiedliwości Unii Europejskiej w przywołanym wyżej wyroku jasno wskazał, że krajowe prawo dotyczące ochrony prywatności państwa członkowskiego ma zastosowanie, jeżeli działalność prowadzona przez przedsiębiorstwo założone w tym państwie członkowskim, jest nierozerwalnie związana z działalnością administratora i to niezależnie od kwestii, czy przedsiębiorstwo prowadzi działania w zakresie przetwarzania czy nie. Podsumowując, na FP Sp. z o.o. ciąży obowiązek zastosowania wszelkich środków, w tym celu aby prawo krajowe o ochronie danych osobowych było stosowane i przestrzegane na terytorium Rzeczypospolitej Polskiej w związku z przetwarzaniem danych osobowych w ramach serwisu F. Intencją Trybunału zawartą w ww. wyroku było objęcie skuteczną ochroną prawa do prywatności osób, których dane dotyczą, przez ich własne prawo krajowe w zakresie ochrony danych, a ich prawa w tym zakresie muszą być rzeczywiści zapewnione i zagwarantowane. Jak wskazuje belgijska Komisja Prywatności w swoim zaleceniu. skierowanym do F., cyt.: Motyw 19 preambuły (dyrektywy) potwierdza, że >>Prowadzenie działalności gospodarczej na terytorium Państwa Członkowskiego zakłada efektywne i rzeczywiste prowadzenie działań przez stabilne rozwiązania; forma prawna prowadzonej działalności gospodarczej, niezależnie czy jest to oddział, czy filia posiadająca osobowość prawną, nie jest w tym względzie czynnikiem decydującym, w przypadku ustanowienia jednego administratora danych na terytorium kilku Państw Członkowskich, szczególnie w postaci filii, musi on zapewnić, w celu uniknięcia obejścia przepisów krajowych, że każda z prowadzonych działalności gospodarczych będzie spełniać obowiązki wynikające z prawa krajowego<<. Ponadto Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 1 października 2015 r. w sprawie C-230/14 wskazał, iż cyt.: ( ) art. 4 ust. 1 lit. a) dyrektywy należy interpretować w ten sposób, że zezwala on na zastosowanie przepisów prawnych dotyczących ochrony danych osobowych państwa członkowskiego różnego od państwa, w którym zarejestrowany jest administrator tych danych, o ile prowadzi on poprzez stabilne rozwiązania organizacyjne na terytorium tego państwa członkowskiego faktyczną i rzeczywistą działalność, choćby nawet drobna ( ) Mając powyższe na uwadze, należy wskazać, iż nie budzi wątpliwości, że istnieje nierozerwalny związek pomiędzy działalnością prowadzoną przez właściciela serwisu F. tj. F Inc. oraz działalnością prowadzoną przez FP Sp. z o.o., działalność FP Sp. z o.o. związana z usługami/powierzchniami reklamowymi służy bowiem uczynienie serwisu internetowego F. opłacalnym pod względem gospodarczym, natomiast serwis ten umożliwia prowadzenie tej działalności. Z tego też względu określone w art. 4 ust. 1 lit. a) dyrektywy 95/46/WE kryterium warunkujące stosowanie w odniesieniu do przetwarzania danych osobowych przepisów prawa 4

krajowego zostało w przedmiotowej sprawie spełnione. Powyższe oznacza, iż FP Sp z o.o. jest administratorem danych użytkowników serwisu F. z terytorium Rzeczypospolitej Polskiej, odpowiedzialnym za ich przetwarzanie, co powoduje, że do prowadzenia postępowań dotyczących przetwarzania danych osobowych w serwisie F. właściwy jest polski organ ochrony danych osobowych. W tym miejscu wskazać należy, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych (art. 2 ust. 1 ustawy). Stosownie do brzmienia art. 7 pkt 2 ustawy o ochronie danych osobowych, pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7 pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 pkt 1-5 ustawy. Zgodnie z ww. artykułem przetwarzanie danych jest dopuszczalne tylko wtedy gdy 10 osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Co istotne, materialne przesłanki przetwarzania danych osobowych wskazane w art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych mają charakter równorzędny i autonomiczny co oznacza, że spełnienie którejkolwiek z nich stanowi wystarczającą podstawę przetwarzania danych osobowych. Jak wynika ze stanu faktycznego przedmiotowej sprawy, dane osobowe Skarżącego zawarte w aktach śledztwa prowadzonego przez Prokuraturę Okręgowa w W., sygn., w zakresie jego adresu zamieszkania, numeru PESEL oraz numeru dokumentu tożsamości, które zostały udostępnione w dniach.. 2015 na profilach utworzonym na portalu internetowym F. pod adresami oraz.. Pomimo, iż powyższe profile są aktualnie dezaktywowane, w taki sposób, iż inni użytkownicy portalu F. nie mogą wyszukać powyższych profilów, to zgodnie z informacjami zawartymi na stronie internetowej serwisu kopie niektórych materiałów (np. plików dziennika) mogą pozostawać na serwerach z przyczyn technicznych, a informacje z kont profilowych (np. o znajomych, zainteresowaniach i zdjęcia) na wypadek gdyby użytkownik chciał powrócić do serwisu F. są zapisywane i nadal będą na profilu po dokonaniu reaktywacji konta. Z uwagi na fakt, iż Skarżący nie wyraził zgody na przetwarzanie, w tym udostępnienie jego danych osobowych na ww. profilach, a nastąpiło to w wyniku rozpowszechnienia ww. informacji bez zezwolenia właściwych organów, a jednocześnie po stronie administratora portalu F. nie występuje żadna z wymienionych 5

powyżej przesłanek, o których mowa w art. 23 ust. 1 pkt 1-5 ustawy, pozwalająca na aktualne przetwarzanie tych danych osobowych, stwierdzić należy, iż przetwarzanie jego danych osobowych na serwerach właściciela portalu internetowego F., w sposób opisany powyżej nie znajduje oparcia w obowiązujących przepisach prawa i dokonywane jest z naruszeniem przepisów dotyczących ustawy o ochronie danych osobowych oraz dodatkowo stwarza zagrożenie dla Skarżącego, w szczególności, w kontekście pełnienia przez niego funkcji publicznych związanych ze zwalczaniem przestępczości. W myśl art. 35 ust. 1 ustawy, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. W razie niedopełnienia przez administratora danych obowiązku, o którym mowa w ust. 1, osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku. Zgodnie z art. 18 ust. 1 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem Powyżej opisane okoliczności faktyczne i prawne powodują, że konieczne jest na podstawie art. 18 ust. 1 pkt 6 ustawy nakazanie wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego poprzez nakazanie FP Sp. z o.o. usunięcia danych osobowych Skarżącego przetwarzanych na serwerach właściciela portalu internetowego F. W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 w zw. z art. 127 3 Kodeksu postępowania administracyjnego stronom przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres