NSA: publikowanie na Facebook może podlegać pod RODO
NSA wskazał, że nie będziemy mieli do czynienia z wyjątkiem osobistym:
“jeśli osoba fizyczna publikująca dane osobowe nie jest administratorem danej społeczności, nie dobiera sobie osobiści jej uczestników, a tylko do niej przystępuje, a pozostali członkowie grupy nie dysponują uprawnieniem do złożenia wiążącego sprzeciwu w stosunku do jej wniosku o przystąpienie do danej wspólnoty”.
Przedmiotowa sprawa rozpoczęła się jeszcze w czasach covidowych i dotyczyła publikacji qr codu jednego z członków dość licznej grupy facbookowej.
Osoba, która złożyła skargę do organu nadzorczego wskazywała, że:
pewna osoba poprzez swój profil prowadzony w serwisie społecznościowym […] pn. “W. W. Priv”, pod adresem: […], publikuje od 18/19 października 2021 r. post na liczącej ponad 6,1 tys. członków grupie “[…]”, w którym bezprawnie ujawnia jej imię i nazwisko w powiązaniu z danymi medycznymi (wykorzystując w sposób nieuprawniony kod QR certyfikatu szczepienia przeciwko COVID-19).
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
W odpowiedzi W. W. wniósł o wydanie decyzji o umorzeniu postępowania ewentualnie o wydanie decyzji o odmowie wszczęcia postępowania. Jego zdaniem nie doszło do przetwarzania danych osobowych K. T., w tym do przetwarzania jej danych medycznych przez niego w sposób uzasadniający wszczęcie postępowania. Podniósł, że kod QR pozyskał ze strony internetowej jej męża – A. T.. Zaznaczył, że kod QR był tam dostępny w oryginalnej formie i w sposób umożliwiający każdemu jego odczytanie. Podał, że dane odczytał przy pomocy skanera w celu prywatnym.
W grudniu 2022 r. Prezes UODO udzielił W. W. upomnienia za przetwarzanie danych osobowych K. T., w zakresie imienia i nazwiska udostępnionych we wpisie na grupie “[…]” pod adresem: […] bez podstawy prawnej.
Prezes UODO wskazał, że co prawda kod QR K. T. został zamieszczony w formie niemożliwej do odczytania poprzez przekreślenie ok. 25% jego powierzchni, to jednak samo jego zdjęcie w powiązaniu z pozostałymi danymi udostępnionymi na portalu społecznościowym […] niesie informację o tym, że była ona zaszczepiona, co stanowi informację o charakterze danych osobowych wskazaną w art. 9 ust. 1 RODO.
W ocenie Prezesa UODO bez znaczenia dla niniejszego rozstrzygnięcia jest fakt, że zdjęcie certyfikatu K. T. zostało uprzednio opublikowane na stronie internetowej jej męża. Organ wskazał, że przedmiotem niniejszego postępowania jest jedynie udostępnienie danych osobowych K. T. przez W. W. we wpisie na grupie portalu […]. Niezależnie od tego, czy pierwotne opublikowanie zdjęcia certyfikatu było bezprawne, to jest to zdarzenie niezależne od rozpatrywanego w niniejszym postępowaniu.
Wyrokiem z 13 listopada 2023 r., II SA/Wa 370/23, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę W. W.
Skoro K. T. nie prezentowała kodu QR skarżącemu w celu weryfikacji jej szczepienia, to nie może być mowy o zgodzie udzielonej przez nią skarżącemu na przetwarzanie jej danych osobowych dotyczących tej kwestii i to w sposób wskazany w decyzji (art. 9 ust. 2 lit. a RODO w zw. z art. 6 ust. 1 lit. a RODO). Kwestia samego opublikowania kodu QR na stronie internetowej męża uczestniczki nie stanowi zgody udzielonej W. W. na ujawnienie, rozpowszechnianie informacji o stanie zdrowia wymienionej.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
NSA oddalając skargę kasacyjną Obywatela podniósł, że:
W praktyce ocena, czy w danym przypadku przetwarzanie danych osobowych ma miejsce w ramach czynności o czysto osobistym lub domowym charakterze, może budzić wątpliwości. W tym kontekście można wspomnieć o wyroku TSUE z 11.12.2014 r., C-212/13, František Ryneš v. Úřad pro ochranu osobních údajů (LEX nr 1551850), wydanym jeszcze na gruncie dyrektywy 95/46/WE, w którym Trybunał uznał, że wykorzystywanie systemu kamer zainstalowanego przez osobę fizyczną na jej domu rodzinnym, monitorującego również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze. Orzeczenie to spotkało się z krytyką w piśmiennictwie przedmiotu (por. krytyczną glosę M. Czerniawskiego do wyroku TSUE z 11.12.2014 r., C-212/13, LEX 2015).
Inna sytuacja faktyczna, która budzi wątpliwości, gdy chodzi o możliwość uznania za działania w ramach czynności o czysto osobistym lub domowym charakterze, dotyczy publikowania danych na stronach internetowych (w tym w serwisach społecznościowych). W opinii przyjętej jeszcze na gruncie dyrektywy 95/46/WE Grupa Robocza Art. 29 uznała, że przetwarzanie danych przez użytkowników w portalach społecznościowych mieści się – co do zasady – w zakresie czynności osobistych lub domowych, chyba że dostęp do tych danych mają inne osoby niż te, które zostały wybrane samodzielnie przez użytkownika, np. poprzez dodanie do kontaktów (por. Opinia 5/2009 Grupy Roboczej Art. 29 w sprawie portali społecznościowych, przyjęta 12.06.2009 r., WP 163).
Czynności o “czysto osobistym lub domowym charakterze” są przeciwieństwem czynności o charakterze zawodowym lub aktywności gospodarczej (działalność profesjonalna). Jednak osobistego lub domowego charakteru nie wykazują również formy aktywności, które nie mają wymiaru zawodowego, a przybierają wymiar społeczny; nie mają charakteru działalności gospodarczej, a działalności non profit; podobnie mogą one nie mieć charakteru profesjonalnego, a amatorski (np. aktywność osoby fizycznej w stowarzyszeniu, fundacji itp.). W tym zakresie powoływanie się na omawiane wyłączenie nie jest zasadne.
Istotną kwestią w kontekście omawianego wyłączenia jest także problem osiągania dochodów (zarobkowego charakteru) działalności. Za prawidłowe należy uznać stanowisko, zgodnie z którym osiąganie dochodów z działalności nie stoi w sprzeczności z czysto osobistym lub domowym charakterem wykonywanych czynności, o ile czynności te nie są wykonywane zawodowo lub w ramach działalności gospodarczej albo innego rodzaju zorganizowanej działalności (np. społecznej). Przykładem tego rodzaju działań może być sprzedaż przedmiotów z kolekcji, którą osoba fizyczna zgromadziła w ramach pasji kolekcjonerskiej. Podobne stanowisko w tej kwestii prezentują P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony…, red. P. Litwiński, s. 150, którzy jako przykład tego rodzaju sytuacji wskazują incydentalną sprzedaż własnego samochodu za pośrednictwem dedykowanych serwisów internetowych. Odmienne stanowisko w tej kwestii prezentuje D. Lubasz, którego zdaniem wskazanie na osobisty lub domowy charakter przetwarzania co do zasady wyklucza możliwość objęcia omawianym wyłączeniem takiego przetwarzania, które choćby pośrednio przynosi korzyści majątkowe (por. D. Lubasz [w:] RODO. Ogólne rozporządzenie…, red. E. Bielak-Jomaa, D. Lubasz, s. 138).
Ze względu na dość znaczną liczbę uczestników grupy, na to że skarżący nie był administratorem tej grupy i nie dobierał sobie osobiście jej uczestników, a jedynie do niej przystąpił, a zatem nie pozostawał w żadnych innych relacjach z tymi osobami poza przynależnością do grupy na […] nie sposób uznać, aby miało miejsce przetwarzanie danych o charakterze osobistym lub domowym, o którym mowa w art. 2 ust. 2.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Zgoda, o której mowa w art. 9 ust. 2 a RODO musi być zatem udzielona osobie, która przetwarza jej dane osobowe. Z opublikowania danych osobowych przez osobę, która taką zgodę uzyskała i łatwego dostępu do nich, nie można wywodzić dalszej, domniemanej zgody do kolejnych procesów przetwarzania danych osobowych przez inne osoby, który zgody nie uzyskały. Taka wykładania jest nieuprawniona i pozostaje w oczywistej sprzeczności z treścią przepisów art. 4 pkt 11 i art. 7 ust. 1-4 RODO określających warunki, poprawność i treść zgody. W zarzucie 4. skarżący kasacyjnie posługuje się natomiast pojęciem upublicznienia danych osobowych. Jest to pojęcie pozaprawne, nieposiadające na gruncie RODO znaczenia prawnego. Zgodnie z art. 6 ust. 1 RODO sytuacja “upublicznienia” nie jest także przesłanką legalizacji przetwarzania danych osobowych. Oznacza to, że proces przetwarzania danych osobowych K. T. przez skarżącego był nielegalny, bowiem nie został spełniony warunek przetwarzania wskazany w art. 6 ust. 1 RODO w stosunku do zwykłych danych osobowych, ani warunek określony w art. 9 ust. 2 RODO względem szczególnych danych osobowych (tzw. wrażliwych danych osobowych).