Według doniesień prasowych UOKiK i GIODO badają działanie portalu Facebook. Sprawa jest na etapie postępowania wyjaśniającego. Aktywność UOKiK na polu ochrony danych osobowych może wynikać z ograniczeń terytorialnych, jakim podlega GIODO. 

Facebook od dawna znajduje się na celowniku europejskich organów ochrony danych osobowych. W 2011 r. audyt portalu prowadził organ irlandzki. W 2015 r. belgijska Komisja Ochrony Prywatności oskarżyła portal o śledzenie użytkowników nieposiadających konta na portalu bez ich zgody, ale w 2016 r. Sąd Apelacyjny w Brukseli uchylił decyzję i uznał, że wyłączną jurysdykcję wobec portalu ma organ irlandzki (europejska siedziba Facebooka znajduje się w Dublinie). W marcu 2016 sąd w Dusseldorfie nakazał sprzedawcy odzieży używającemu na swojej stronie przycisku „Like”, aby ostrzegał użytkowników, że polubienie strony wiąże się z zapisaniem ich adresu IP. Ostatnio norweski Datatilsynet wszczął z kolei postępowanie dotyczące usługi Facebook at Work. Oczywiście w międzyczasie rozstrzygnięto tzw. sprawa Schremsa, w której Trybunał Sprawiedliwości UE de facto unieważnił tzw. Safe Harbour pozwalające na transfer danych z UE do USA (12 lipca USA i UE weszła w życie następczyni Safe Harbour – tzw. Privacy Shield).

Do powyższego najwyraźniej dojdą problemy z organami ochrony konkurencji. W marcu postępowanie przeciwko Facebookowi rozpoczął niemiecki Bundeskartellamt (Facebook nadużywa pozycji dominującej przez zbieranie danych osobowych?), a w tym miesiącu w jego ślady poszedł polski organ antymonopolowy. Uzasadnienie wszczęcia postępowania podane przez Bundeskartellamt było dość zaskakujące – podejrzenie dotyczyło nadużywania pozycji dominującej poprzez naruszanie przepisów o ochronie danych osobowych. Organ od razu przyznał co prawda, że naruszenie przepisów o ochronie danych osobowych nie oznacza automatycznego naruszenia prawa konkurencji, ale wskazał, że będzie badał związek pomiędzy ewentualnym naruszeniem przepisów o ochronie danych a pozycją dominującą Facebooka. Powody wszczęcia postępowania przez UOKiK (znamy je na razie tylko z doniesień prasowych) mogą być bardzo podobne, ponieważ rzecznik UOKiKu powołała się wyraźnie na postępowanie prowadzone przez Bundeskartellamt.

Oczywiście nie można wykluczyć, że organy antymonopolowe rzeczywiście dostrzegają potrzebę stosowania prawa konkurencji do naruszeń prawa ochrony danych osobowych (choć powstaje pytanie, dlaczego w takim razie nie stosują go np. w przypadku naruszeń Prawa telekomunikacyjnego czy Prawa energetycznego). Przyczyna zaangażowania organów antymonopolowych w krucjatę przeciwko portalowi M. Zuckerberga może być jednak znacznie bardziej prozaiczna. Jak wynika z przywołanej sprawy belgijskiej, właściwość organów ochrony danych osobowych poszczególnych krajów UE wobec portalu mającego siedzibę w Irlandii może być kwestionowana. W szczególności polską ustawę o ochronie danych osobowych stosuje się tylko do podmiotów:

które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej” (art. 3 ust. 2 u.o.d.o.)

Z tego powodu GIODO odmawia m.in. rejestrowania zbiorów danych osobowych obywateli polskich, których administratorami są podmioty z innego kraju UE. O ile zatem Facebook wykorzystuje zagraniczne serwery, właściwość polskiego GIODO jest wątpliwa. Tymczasem właściwość UOKiK została określona znacznie szerzej. UOKiK jest właściwy w sprawie wszystkich praktyk, które:

wywołują lub mogą wywoływać skutki na terytorium Rzeczypospolitej Polskiej” (art. 1 ust. 2 u.o.k.k.)

UOKiK może więc badać praktyki Facebooka niezależnie od tego, gdzie znajduje się jego siedziba i gdzie zlokalizowane są jego serwery. Być może zatem zainteresowanie organów antymonopolowych domniemanymi naruszeniami prawa ochrony danych osobowych wynika z terytorialnych ograniczeń organów ochrony danych osobowych. Co ciekawe, najwyraźniej ograniczenia te nie są postrzegane jako wada przez europejskiego prawodawcę, ponieważ jednym z głównych założeń nowego rozporządzenia w sprawie ochrony danych osobowych (eur-lex) jest wprowadzenie zasady one stop shop, tj. poddanie administratorów danych wyłącznej jurysdykcji organu tego kraju, w którym mają siedzibę.

 

Photo by Sean MacEntee