Decyzją generalnego inspektora ochrony danych osobowych (GIODO) ze stycznia 2016 r. (DOLiS/DEC – 50/16) spółce Facebook Poland sp. z o.o., będącej spółką zależną internetowego giganta, nakazano usunięcie opublikowanych na portalu danych osobowych polskiego obywatela. Co istotne, decyzja ta nie została skierowana bezpośrednio do właściciela serwisu, spółki Facebook Inc. z siedzibą w USA, ani do irlandzkiej spółki zależnej Facebook Ireland Ltd., która została wewnątrz grupy wyznaczona do pełnienia funkcji administratora danych osobowych użytkowników z terytorium Unii Europejskiej, ale do zajmującej się doradztwem marketingowym polskiej spółki, która nie była dotąd traktowana jako administrator danych osobowych (ADO).
Są nim osoby fizyczne, prawne i jednostki organizacyjne niemające osobowości prawnej, przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub do celów statutowych, decydujące o celach i środkach ich przetwarzania.
Według wyroku NSA z 30 stycznia 2002 r. (II SA 1098/01) administratorem danych osobowych nie jest ich każdy dysponent, ale tylko ten, który dysponuje faktycznym władztwem nad danymi.
GIODO na Facebooku
W trakcie kontroli polska spółka podniosła, że podmiotem odpowiedzialnym za przetwarzanie danych osobowych na portalu Facebook jest spółka niemająca siedziby na terytorium Polski. Zasadnicze dla GIODO stało się więc ustalenie, czy przetwarzanie danych osobowych na portalu podlega polskiej kognicji. Zgodnie z art. 4 ust. 1 lit a) dyrektywy 95/46/WE państwo stosuje swoje przepisy o ochronie danych osobowych wtedy, gdy dane są przetwarzane podczas prowadzenia przez ich administratora działalności gospodarczej na terytorium tego państwa. Jeżeli administrator prowadzi działalność gospodarczą na terytorium kilku krajów, musi zapewnić, że z obowiązków przewidzianych w przepisach prawa krajowego wywiązuje się każde z przedsiębiorstw. Dla rozstrzygnięcia o swojej właściwości dla GIODO najważniejsza była zatem ocena, czy przetwarzanie danych odbywa się na potrzeby prowadzenia przez ich administratora działalności gospodarczej na terytorium RP.
Google też jest ADO
GIODO rozwinął argumentację przedstawioną m.in. w wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-131/12, w której spółka Google Inc. z siedzibą w USA została uznana za administratora danych przetwarzanych w związku z usługą wyszukiwarki, a jej spółka zależna Google Spain, promująca sprzedaż przestrzeni reklamowej na stronach Google, za „stabilne rozwiązanie" przesądzające o prowadzeniu przez Google działalności gospodarczej w Hiszpanii i przetwarzaniu w związku z tym danych osobowych w rozumieniu przywołanego przepisu dyrektywy. Promocja i sprzedaż przestrzeni reklamowej przez Google Spain stanowiła zdaniem TSUE zasadniczą część komercyjnej działalności grupy, zapewniającą rentowność usługi wyszukiwarki, przez co była z tą usługą ściśle związana.