PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 22 kwietnia 2022 r.

Decyzja

DKE.523.37.2021

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 60, art. 160 ust. 1, 2 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781) oraz art. 3 ust. 2, art. 6 ust. 1, art. 17 ust. 1., art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana C. W., zam. w S. przy ul. (…), dotyczącej nakazania I. z siedzibą w Nowym Jorku przy (…) Street, właścicielowi wyszukiwarki internetowej „(...)”, usunięcia danych osobowych Skarżącego z wyników tej wyszukiwarki, Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Generalnego Inspektora Danych Osobowych (dalej także „GIODO”) aktualnie Prezesa Urzędu Ochrony Danych Osobowych (dalej także „Prezes UODO”) wpłynęła skarga Pana C. W., zam. w S. przy ul. (…), dotycząca nakazania I. z siedzibą w Nowym Jorku przy (…), właścicielowi wyszukiwarki internetowej (...), usunięcia danych osobowych Skarżącego z wyników tej wyszukiwarki, do następujących stron internetowych:

  1. (…)
  2. (…)
  3. (…)
  4. (…)
  5. (…)
  6. (…)
  7. (…)
  8. (…)
  9. (…)
  10. (…)
  11. (…)
  12. (…)
  13. (…)
  14. (…)
  15. (…)
  16. (…)
  17. (…)
  18. (…)
  19. (…)
  20. (…)
  21. (…)
  22. (…)
  23. (…)
  24. (…)
  25. (…)
  26. (…)
  27. (…)
  28. (…)
  29. (…)
  30. (…)
  31. (…)
  32. (…)
  33. (…)
  34. (…)
  35. (…)
  36. (…)
  37. (…)
  38. (…)
  39. (…)
  40. (…)
  41. (…)
  42. (…)
  43. (…)
  44. (…)
  45. (…)
  46. (…)
  47. (…)
  48. (…)
  49. (…)
  50. (…)
  51. (…)
  52. (…)
  53. (…)
  54. (…)
  55. (…)
  56. (…)
  57. (…)
  58. (…)
  59. (…)
  60. (…)
  61. (…)
  62. (…)
  63. (…)
  64. (…)
  65. (…)
  66. (…)
  67. (…)
  68. (…)
  69. (…)

Stan faktyczny

  1. W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
  1. Wyszukiwarka „(…)” po wpisaniu imienia i nazwiska lub samego tylko nazwiska Skarżącego, tj. fraz „(…)”, „(…)” oraz „(…)”, indeksuje dane osobowe Skarżącego w zakresie jego imienia i nazwiska, wizerunku, daty urodzenia oraz danych związanych ze skazaniem za przestępstwo na tle seksualnym. W zakładce: „(…)” zawarte jest pismo w języku angielskim zawierające informacje o skazaniu oraz o apelacjach i próbach odwoływaniu się Skarżącego od wydanych wyroków sądu w Stanie (…) w USA.
  2. Wyszukiwarką „(…)” kieruje spółka A. LLC z siedzibą w Stanach Zjednoczonych, która jest spółką zależną, należącą do spółki holdingowej I. z siedzibą w Nowym Jorku przy (…) stret. Z treści w/w polityki prywatności spółki A. LLC, dostępnej na stronie „(…)” wynika, że dane osobowe użytkowników, zebrane w ramach świadczenia usług, mogą być udostępniane innym podmiotom wchodzącym w skład macierzystej spółki holdingowej I.
  3. Usługi oferowane przez ww. podmioty w witrynie „(…)” to m. in. wyszukiwanie informacji, aplikacje mobilne, newslettery, konta poczty e-mail.
  4. Z polityki prywatności zawartej na stronie „(…)” a także z treści polityki prywatności spółki A. LLC, dostępnej na stronie „(…)” wynika, że dostęp do usług świadczonych przez te podmioty jest niezależny od miejsca pobytu czy też lokalizacji, z której dokonywany jest dostęp do tych usług. Dane osobowe przetwarzane są na serwerach znajdujących się w Stanach Zjednoczonych a usługi oferowane są także obywatelom z obszaru Unii Europejskiej, co zostało bezpośrednio opisane w polityce prywatności: „Twoja przeglądarka wchodzi w bezpośrednią interakcję z naszymi serwerami Witryny w Stanach Zjednoczonych. Odwiedzając lub korzystając z naszych Witryn, Twoje dane są automatycznie gromadzone, przetwarzane i przechowywane na serwerach znajdujących się w Stanach Zjednoczonych. Jeśli znajdujesz się w Wielkiej Brytanii („Wielka Brytania”), Szwajcarii lub Europejskim Obszarze Gospodarczym („EOG”), oznacza to, że Twoje dane są przechowywane w kraju, którego prawo może zapewniać mniejszą ochronę danych osobowych niż Twój kraj. Przetwarzamy Twoje dane zgodnie z wymogami określonymi w Ogólnym Rozporządzeniu UE o Ochronie Danych i masz prawo wnieść skargę do organu nadzorczego w Twoim kraju, jeśli uważasz, że przetwarzaliśmy Twoje dane niezgodnie z prawem.”
  5. W punkcie 10 Polityki prywatności  zawartej w witrynie „(…)” wskazano dane kontaktowe do Inspektora Ochrony Danych, z których użytkownik, będący mieszkańcem Unii Europejskiej, może skorzystać w przypadku pytań lub wątpliwości w zakresie sposobu, w jaki dane są przetwarzane i przekazywane poza Europejski Obszar Gospodarczy a także w celu składania wniosków: A..
  6. Skarżący nie występował do żadnego podmiotu z wnioskiem o usunięcie jego danych osobowych z wyników wyszukiwarki „(...)”. W piśmie do organu z dnia 12 listopada 2019 r. Skarżący poinformował organ, że cyt.: „Informuję również ze nie występowałem z wnioskiem o usunięcie moich danych osobowych z wyników wyszukiwania wyszukiwarki (…) (…) W 2016 r. kiedy pisałem wnioski o usunięcie moich danych osobowych jedynie G. i M. udostępniały w tym celu formularze. Po odmownych odpowiedziach od G. i M. z 2016 r. (…) zwątpiłem w podjęcie jakichkolwiek działań przez inne podmioty będące właścicielami wyszukiwarek, tym bardziej, ze zalecono mi rozwiązywanie sporów bezpośrednio z właścicielami witryn publikującymi moje dane osobowe.”

Uzasadnienie prawne

  1. Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.

Przepisy

  1. Od dnia 25 maja 2018 r. zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej także „RODO”.
  2. Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej także „ustawą o ochronie danych osobowych z 2018 r.”.
  3. Zgodnie z art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zwaną dalej także „ustawą o ochronie danych osobowych z 1997 r.”, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
  4. Zgodnie z art. 18 ust. 1 ustawy o ochronie danych osobowych z 1997 r., w zw. z art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2).
  5. Zgodnie z art. 2 ust. 2 lit. a) RODO, Rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii.
  6. Zgodnie z art. 3 ust. 2 lit. a) i b) RODO, przepisy rozporządzenia mają zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii, przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
  7. Przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 RODO, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
  8. Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, m.in. jeżeli osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania (lit. c).
  9. Artykuł 21 ust. 1 RODO przyznaje osobie, której dane dotyczą prawo do tego, by w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f, w tym profilowania na podstawie tych przepisów wskazując zarazem, że administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. W sytuacji, gdy żądanie przewidziane w art. 21 ust. 1 RODO jest zasadne, osoba, której dane dotyczą ma prawo skutecznie domagać się realizacji prawa do bycia zapomnianym (art. 17 ust. 1 lit. c RODO).
  10. Przytaczając motyw 47 RODO należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem administratora w rozumieniu RODO. Dochodzenie roszczeń i przetwarzanie w tym celu adekwatnych danych osobowych nie stanowi nieproporcjonalnego ograniczenia praw i wolności osoby, której dane dotyczą.

Ocena prawna

  1. Odnosząc przytoczone wyżej przepisy i orzecznictwo do stanu faktycznego ustalonego w niniejszej sprawie należy stwierdzić, że w wyszukiwarce „(...)” są przetwarzane dane dotyczące osób przebywających w Unii Europejskiej. W związku z tym spełnione są przesłanki z art. 3 ust. 2 RODO, zatem przepisy RODO znajdują zastosowanie do przetwarzania danych osobowych Skarżącego w wyszukiwarce „(...)”.
  2. W dalszej kolejności należy ocenić, czy dane osobowe Skarżącego są przetwarzane zgodnie z prawem, tj. czy zostały spełnione przesłanki z art. 6 RODO. Istotne orzeczenie w tym zakresie w dniu 13 maja 2014 r. Trybunał Sprawiedliwości Unii Europejskiej, dalej jako „TSUE”, wydał wyrok sprawie C-131/12 Google Spain i Google Inc przeciwko Afencia Espanola de Pretección de Datos (AEPD) i Mario Costeja González, dalej jako „wyrok w sprawie Google Spain”, w którym uznano, że operatorzy wyszukiwarek przetwarzają dane osobowe w rozumieniu art. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w  zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, dalej jako „dyrektywa 95/46/WE” (pkt. 27 i 28 wyroku w sprawie Google Spain). Operator wyszukiwarki internetowej określa bowiem cele i sposoby prowadzenia tej działalności, a więc przetwarzania w tych ramach danych osobowych i związku z tym na podstawie art. 2 lit. d dyrektywy 95/46/WE powinni oni zostać uznani za „administratora” przetwarzanych w ten sposób danych (pkt. 33 wyroku w sprawie Google Spain).
  3. Istotne jest to, że przetwarzanie danych osobowych, które ma miejsce w ramach działania wyszukiwarki, różni się od tego dokonywanego przez wydawców stron internetowych i polegającego na zamieszczaniu tych danych na stronie internetowej oraz ma dodatkowy względem niego charakter (pkt. 35 wyroku w sprawie Google Spain). W wyroku TSUE w sprawie Google Spain, zasadnie, jako podstawę prawną w/w przetwarzania danych osobowych wskazano art. 7 lit. f dyrektywy 95/46/WE, czyli konieczność przetwarzania dla potrzeb wynikających z uzasadnionego interesu administratora lub stron trzecich, którym dane są ujawniane (pkt. 73 wyroku w sprawie Google Spain). Ustalenia dokonane przez Trybunał Sprawiedliwości w wyroku w sprawie Google Spain zachowują swoją aktualność pomimo uchylenia dyrektywy 95/46/WE. Artykuł 7 lit. f) dyrektywy 95/46/WE jest bowiem tożsamy z art. 6 ust. 1 lit. f) RODO. W wyroku w sprawie Google Spain TSUE wskazał, że prawa przewidziane w art. 7 i 8 Karty Praw Podstawowych są co do zasady nadrzędne wobec interesu, jaki odbiorcy mogą mieć w znalezieniu informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska danej osoby. Jednak TSUE stwierdził jednocześnie, że nadrzędność prawa do prywatności i ochrony danych osobowych nie zachodzi, jeśli ze szczególnych powodów, takich jak rola odgrywana przez daną osobę w życiu publicznym, należy uznać, że ingerencja w prawa podstawowe tej osoby jest uzasadniona nadrzędnym interesem kręgu odbiorców, polegającym na posiadaniu dostępu do danej informacji, dzięki jej zawarciu na liście wyników wyszukiwania (zob. pkt 97 wyroku). Kryterium pełnienia roli w życiu publicznym jest wskazane także w wyroku TSUE w sprawie z dnia 24 września 2019 r. w sprawie C-136/17 GC, AF, BH, ED przeciwko Commision nationale de linformatique et des libertes (CNIL), dalej jako „wyrok w sprawie CNIL”, w odniesieniu do szczególnych kategorii danych (pkt 66 i 77 wyroku). Jak wskazuje Grupa Robocza Art. 29, TSUE uczynił tym samym wyjątek od zasady nadrzędności prawa do prywatności w przypadku wniosków o usunięcie linków z listy wyników wyszukiwania złożonych przez osoby, które odgrywają rolę w życiu publicznym, gdy istnieje interes ogółu społeczeństwa w posiadaniu dostępu do tych informacji. Grupa Robocza Artykuł 29 ds. Ochrony Danych w dniu 26 listopada 2014 r. przyjęła wytyczne dotyczące wykonania wyroku TSUE w sprawie Google Spain, dalej jako „wytyczne WP225”.
  4. We wskazanych wytycznych WP225 została opracowana lista kryteriów, które mają być wykorzystywane przez organy ochrony danych przy ocenie zachowania zgodności z prawem ochrony danych osobowych odmowy uwzględnienia wniosków o usunięcie z listy wyników wyszukiwania przez operatorów wyszukiwarek. Wśród kryteriów, jakie należy wziąć pod uwagę przy ocenie wniosku o usunięcie danych osobowych są m.in. czy dotyczą osoby pełniącej funkcję publiczną, czy są prawdziwe, czy dotyczą działalności zawodowej, czy prywatnej, czy przetwarzanie danych wyrządza szkodę osobie, której dane dotyczą, czy dane mają nieproporcjonalnie negatywny wpływ na prywatność osoby, której dane dotyczą. Podkreślono, że dobrą zasadą przy ocenie interesu ogółu społeczeństwa w posiadaniu dostępu do określonych informacji udostępnianych w wynikach wyszukiwania na podstawie nazwiska osoby, której dane dotyczą jest ustalenie, czy posiadanie tych informacji mogłoby ochronić inne osoby przed niewłaściwym publicznym lub zawodowym zachowaniem osoby, której dane dotyczą.
  5.  Z przedstawionej powyżej argumentacji wynika, że fakt przetwarzania danych osobowych przez wyszukiwarki internetowe nie oznacza jeszcze, że to przetwarzanie jest niezgodne z prawem. Podstawę prawną przetwarzania danych przez wyszukiwarki internetowe jest art. 6 ust. 1 lit. f) RODO tj. przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  6. Rolą organu do spraw ochrony danych osobowych jest ocena zgodności z prawem przetwarzania danych osobowych. Warunkiem tej oceny jest - w przypadku przetwarzania tych danych przez wyszukiwarkę internetową – uprzednie skierowanie przez osobę, której dane dotyczą, wniosku do administratora wyszukiwarki, zawierającego sprzeciw wobec przetwarzania danych osobowych lub żądanie usunięcia tych danych. Dopiero informacja zwrotna od administratora, w postaci odrzucenia lub zignorowania tego wniosku, daje podstawy do kwestionowania zgodności z prawem takiego przetwarzania.
  7. Skarżący nie występował do żadnego podmiotu z wnioskiem zawierającym żądanie usunięcia jego danych z wyników wyszukiwarki „(...)”. W niniejszym postępowaniu nie można zatem dokonać oceny zgodności z prawem przetwarzania danych Skarżącego w tej wyszukiwarce. Skarżący powinien wystąpić do operatora wyszukiwarki z żądaniem usunięcia danych osobowych a dopiero na skutek odmowy lub braku odpowiedzi operatora wyszukiwarki, wnieść skargę do Prezesa UODO.
  8. Wobec powyższego w rozpatrywanej sprawie brak jest podstaw do wydania przez Prezesa UODO jakiejkolwiek decyzji nakazującej przywrócenie stanu zgodności z prawem.
  9. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Pouczenie

Na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2022-04-22
Wprowadził informację:
user Mathias Proch
date 2023-10-19 12:35:22
Ostatnio modyfikował:
user Edyta Madziar
date 2023-10-30 08:19:07