Przetwarzanie danych osób trzecich: hamburski inspektor ochrony danych osobowych vs. Facebook

W myśl zasady, że warto uzyskać po lekturze tekstu kilka informacji, jak: kto, co, kiedy, itp., wypada odnotować doniesienia medialne o działaniach hamburskiego pełnomocnika ds danych osobowych związanych z serwisem Facebook. Chodzi o przetwarzanie danych osób, które nie są klientami tego serwisu, a których dane są przetwarzane w wyniku uzyskania ich od udostępniających swoje skrzynki kontaktowe (adresów poczty elektronicznej i numerów telefonicznych). Za pomocą takiego mechanizmu Facebook usiłuje poszerzać bazę kliencką, a regulator z Hamburga uważa, że dochodzi do naruszenia zasad przetwarzania danych osobowych. Jednocześnie warto postawić kilka pytań, wśród których jednym z ciekawszych jest chyba to, przeciwko komu hamburski regulator wszczął procedurę kontrolną? Przeciwko spółce z Kalifornii (USA), czy przeciwko spółce niemieckiej?

Kto? W Niemczech struktura regulatorów ochrony danych osobowych jest nieco bardziej skomplikowana niż w Polsce. Tam maja pełnomocników ds ochrony danych osobowych w poszczególnych Landach (Landesbeauftragte für den Datenschutz, Datenschutz Aufsichtsbehörden). Jednym z takich pełnomocników jest prof. Dr. Johannes Caspar, który jest regulatorem dla Hamburga (Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich in Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit).

Kiedy? Tenże inspektor dwa miesiące temu opublikował na stronach urzędu tekst Sammlung der Daten von Nicht-Nutzern durch Facebook unzulässig, co przetłumaczymy na język polski, jako "niedopuszczalne jest gromadzenie przez Facebook danych o innych osobach" (bez ich zgody - trzeba by dodać). A chodzi o to, że już od połowy lutego hamburski Komisarz ds. Ochrony Danych i Wolności Informacji przygląda się działaniom serwisu Facebook, ponieważ otrzymuje od obywateli skargi. Zaniepokojenie wzbudziło zwłaszcza to, że ktoś, kto nie jest użytkownikiem serwisu otrzymuje komunikaty zachęcające go do przyłączenia się do tej sieci powiązań. Skąd Facebook zna dane osób, które nie są klientami tej firmy? Jedną z odpowiedzi jest to, że użytkownicy serwisu zachęcani są do dzielenia się ze spółką swoimi kontaktami, by spółka mogła rozszerzyć bazę konsumencką.

Co? Johannes Caspar jednak stwierdził, że dochodzi tu do pozyskiwania danych osobowych "za plecami" osób, których dane dotyczą, a to jest sprzeczne z zasadą bezpośredniego pozyskania danych od osoby (§ 4 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) - federalnej ustawy o ochronie danych osobowych). Analizował również sytuację związaną z ewentualną możliwością przetwarzania danych po ich uzyskaniu nie od osoby, której dane dotyczą i doszedł do wniosku, że w analizowanej sytuacji spółka nie przestrzega zasad takiego przetwarzania danych (podobnie, jak w Polsce, należałoby spełnić wobec osoby, której dane dotyczą, szereg obowiązków informacyjnych, zapewnić też prawo sprzeciwu, etc.).

Z dostępnych komunikatów nie potrafię wywnioskować jakiemu właściwie podmiotowi przygląda się inspektor hamburski. Czy przygląda się spółce z siedzibą w Niemczech, czy też może spółce amerykańskiej? Jest tylko zasygnalizowana wątpliwość, czy przetwarzanie przez serwis Facebook danych pozyskanych od Niemców nie leży w sprzeczności z zasadami prawa międzynarodowego, w szczególności umów związanych z przekazywaniem danych osobowych z Unii Europejskiej do USA.

Prof. Johannes Caspar wezwał Facebook do przestrzegania niemieckich przepisów, w szczególności wezwał do zaprzestania przetwarzania danych osób, które nie są klientami wydawcy serwisu (bez ich wyraźnej zgody). Tak było w kwietniu.

Dziś w Sieci czytamy szereg doniesień dotyczących działań hamburskiego regulatora. Jest np. depesza PAP pt. Niemcy podejmują kroki prawne przeciwko Facebookowi, która opiera się na depeszy AP: Germany takes legal steps against Facebook. Dowiadujemy się z niej, że biuro hamburskiego regulatora (a więc nie całe Niemcy) uruchomiło procedurę kontrolną, że Facebook ma czas do 11 sierpnia, by formalnie ustosunkować się do zgłoszonych zarzutów, od czego też zależy, czy procedura będzie kontynuowana (a więc nie, że wydawca serwisu Facebook zostanie na pewno ukarany).

Nie wynika z tych depesz i informacji, czy hamburski regulator wysłał zarzuty do Palo Alto w Kalifornii (USA), czy przekazał je w inny sposób (i komu). Przypominana jest jednak historia zarzutów dotyczących Google Street View, gdy okazało się, że samochody jeżdżące po ulicach niemieckich miast gromadziły również informacje o "otwartych" sieciach bezprzewodowych w okolicach, przez które przejeżdżały (są zresztą notatki na ten temat na stronach hamburskiego regulatora: Google-Street-View-Fahrten werden auch zum Scannen von WLAN-Netzen genutzt, WLAN Desaster – Rückhaltlose und zügige Aufklärung gefordert oraz WLAN-Scanning durch Google – Überprüfung hat begonnen; nota bene: o działaniach szwajcarskiego regulatora ochrony danych osobowych pisałem w tekście Google Street View - kłopoty w Szwajcarii).

A na marginesie jeszcze warto przypomnieć tekst Poruszenie związane ze zmianą regulaminu nk.pl, co robię właściwie tylko po to, by odnotować komentarz Tomasza Grynkiewicza dla Wyborcza.biz: Stryjek z Naszej-klasy przeniósł się na Facebooka. Pisze on w kontekście zmian w regulaminie nk.pl, że Facebook i inne serwisu mają czasem dalej idące regulaminy niż nk, pozyskują zgody na przetwarzanie informacji na wielu różnych polach, ale nie zawsze je potem wykorzystują. Dlaczego:

I tu warto odpowiedzieć sobie na pytanie: skoro zapisy są od lat, dlaczego nie ma kubków ze zdjęciami z Facebooka? Z dwóch powodów: po pierwsze, Facebook doskonale wie, co to by była za granda, gdyby zdjęć tak użył. Po drugie, takich zapisów, podobnie jak Blip, Grono czy Nasza-klasa, potrzebuje na razie z zupełnie innych powodów. Przykładowo: do wyświetlania naszego zdjęcia w grach - widzą je inni gracze, wraz z naszymi osiągnięciami. A poza serwisem? Każda strona internetowa może zdjęcia swoich fanów z Facebooka wyświetlać u siebie...

Ale w przypadku sygnalizowanego zamieszania w Hamburgu raczej należałoby przywołać inną sprawę z polskiego podwórka, mianowicie historię opublikowania w serwisie nasza-klasa.pl zdjęcia klasowego. Zdjęcie opublikował ktoś, kto był użytkownikiem serwisu, ale na zdjęciu znajdował się wizerunek kogoś, kto użytkownikiem serwisu nie był i nie zamierzał nim być. Tu jest właśnie ta analogia do przetwarzania danych o osobach, które potencjalnie mogłyby być konsumentami przedsiębiorstwa, ale same w tym celu nie przekazały przedsiębiorstwu swoich danych.

Jak znam życie Facebook odpowie, że on nie przetwarza tych danych, a informacje do swoich znajomych przesyła sam "udostępniający swoje skrzynki kontaktowe" (jak chciałby hamburski regulator) użytkownik Facebooka.

Przeczytaj:

PS
Tymczasem 29 czerwca GIODO wydał kolejną decyzję w tej sprawie zdjęcia klasowego. GIODO uchyla zaskarżoną wcześniej decyzję administracyjną z 27 maja 2008 roku i odmawia uwzględnienia wniosku...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

A co z danymi w Paypalu?

Z tego co było mi dane ostatnio przeglądać umowy, które użytkownik musi z nimi zawrzeć po przekazaniu im dowolnej danej osobowej taka dana nigdy nie jest przez nich usuwana. Nie ma możliwości nakazania paypalowi usunięcia danych - uzasadniają to wymogami UE dotyczącymi bezpieczeństwa płatności.

PP realizuje jakieś działania biznesowe na terenie polski, ma tutaj oddział służący pomocy telefonicznej, w związku z tym moim zdaniem nie "przekazuje" tylko i wyłącznie danych przez teren RP i podlega pod ustawę o ochronie danych osobowych - ale nie da się znaleźć takiej informacji na ich stronie.

Czy ktoś się interesował PP trochę bliżej? Pytam bo mi ostatnio podpadli, tuż po dodaniu karty kredytowej do konta (i nie wykonaniu ŻADNYCH płatności) stwierdzili, że używałem karty w sposób nieautoryzowany, zablokowali mi konto i co mnie boli najbardziej - uniemożliwili jego usunięcie, każąc dosłać WIĘCEJ danych osobowych:

- Rachunek za usługi komunalne lub ubezpieczenie (A wcześniej nie pisali, że żeby się zarejestrować muszę płacić za wywóz śmieci. Praktycznie warunek jest dla mnie nie do spełnienia). Chodzi niby o potwierdzenie adresu.

- Dowód osobisty. No tak.

- Wyciąg z karty - Haha, mam wirtualną przedpłaconą kartę. Nie mam wyciągu. Nie będę miał wyciągu. I najbliższy dopiero za miesiąc. A ja chcę to konto usunąć _JUŻ_.

Europejski oddział PP ma chyba postawiony w Luxemburgu, ale mogę źle pamiętać. Jakie prawo ich dotyczy?

moje doświadczenie

Podzielę się moimi doświadczeniem z Facebookiem.
Nigdy nie zakładałem tam konta- zero zainteresowania, ani jakiejkolwiek interakcji.
Kolega wysłał mi zaproszenie, abym dołączył do jego przyjaciół. Podał moje imię, nazwisko i adres mailowy. Już to mnie zirytowało, no ale cóż... Przeprowadziłem rozmowę wychowawczą...
Co mnie zaniepokoiło było u dołu emalia od Facebooka. Było tam napisane coś w ten deseń: osoby, z którymi chciał byś mieć kontakt na Facebooku... i tu pojawiły się imiona i nazwiska osób mi znanych, z różnych kręgów społecznych, nie mających nic wspólnego ze sobą. Ja byłem jedynym wspólnym mianownikiem. Znajdowały się tam również nazwiska, które nic mi nie mówiły.
Tym sposobem Facebook ma mój adres mailowy z przypisanym do niego moim imieniem i nazwiskiem+ sieć osób ze mną powiązanych. W jaki sposób mnie z nimi połączył łatwo zgadnąć- gdzieś w profilach wspomnianych osób, kiedyś pewnie padło moje imię i nazwisko, może adres mailowy.
Ilość ludzi, którzy korzystają z Facebook jest ogromna. Baza danych jaką posiadają o użytkownikach jest gigantyczna+ jak się okazuje, nie trzeba być użytkownikiem tego serwisu, żeby się w niej znaleźć.
Pozdrawiam

W moim przypadku systemy

W moim przypadku systemy Facebooka same założyły konto i nawet dodały mi 2 znajomych (jacyś nastolatkowie z Afryki Południowej). Imieniem w moim profilu był fragment adresu mailowego, nazwiskiem drugi fragment (gdybym miał adres jkowalski@example.com, to na imię miałem Jkow zaś na nazwisko Alski). Pojawiła się też fikcyjna data urodzenia. Konto zostało założone bez "niepokojenia" mnie e-mailami.

Dostęp do konta uzyskałem po skorzystaniu z opcji "Zapomniałem hasła", tylko po to, by zrezygnować z "przyjaciół", skasować wszystkie informacje z profilu, lecz pozostawić go, by sytuacja nie powtórzyła się w przyszłości.

Błędny link

Link pod tekstem "Stryjek z Naszej-klasy przeniósł się na Facebooka" prowadzi do Twojego Piotrze artykułu - proponuję poprawić ;)

Dziękuję, Poprawiłem

VaGla's picture

Dziękuję, Poprawiłem.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Facebook a nk

Różnica między zapisami na Facebooku a nk jest ogromna.
Otóż udzielenie nieodpłatnej licencji na "IP content" zależ od nas, gdyż jest obwarowane stwierdzeniem "you specifically give us the following permission, subject to your privacy and application settings: ".
Należy dodać, że nk wymaga wydania 4 różnych zgód na przetwarzanie danych osobowych czego nie ma na facebooku. Zatem stwierdzenia, że zamienił stryjek siekierkę na kijek są raczej nie na miejscu. Regulamin fb jest bardziej pro-użytkownikowy, a nie pro-portalowy jak regulamin nk.

Czyli o ile poprawnie interpretuję powyższy fragment zapisu regulaminu, to tylko wtedy gdy udostępnimy ogólnie wszystkim użytkownikom portalu dajemy ograniczoną licencję.
Dalszy zapis mówi o tym, że licencja wygasa gdy usuwamy konto lub sami usuwamy wspomnianą zawartość. Z wyjątkiem sytuacji, gdy udostępniliśmy komuś tę zawartość (zapewne chodzi tutaj o tzw. publikowanie na tablicy znajomych), wtedy licencja wygaśnie gdy te osoby to usuną.

Zapis regulaminu nk mówi o tym, że licencja nie wygasa. Czyli dajmy na to przykład, ktoś wrzuci zdjęcie przedstawiające osoby trzecie (za ich zgoda - nk dodała zapis o tym, że trzeba mieć w takich przypadkach zgodę).
Po miesiącu stwierdzamy, że w sumie to dowcipne zdjęcie może nas skompromitować w oczach nowego pracodawcy. Znajomy usuwa zdjęcie na naszą prośbę... a nk nadal posiada do niego swoją licencję i usunięcie zdjęcia może tylko polegać na zaprzestaniu prezentowania go innym użytkownikom portalu.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>