Odpowiedzialność za posługiwanie się wtyczką społecznościowego serwisu

A A A

Stan faktyczny

Fashion ID GmbH & Co. KG, spółka zajmująca się sprzedażą odzieży online, umieściła w swojej witrynie internetowej wtyczkę społecznościową „Lubię to” serwisu społecznościowego Facebook (dalej jako: przycisk „Lubię to”). Z akt sprawy wynika, że gdy osoba odwiedzająca przegląda witrynę internetową Fashion ID to jej dane osobowe są przekazywane Facebook Ireland. Przekazywanie to następuje bez wiedzy osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to”.

Verbraucherzentrale NRW (stowarzyszenie użyteczności publicznej ochrony interesów konsumentów), zarzuciło Fashion ID przekazywanie Facebook Ireland danych osobowych należących do osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody, a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych. Verbraucherzentrale NRW wniosło powództwo o zaniechanie przeciwko Fashion ID.

Pytania prejudycjalne

– Czy art. 22–24 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. L Nr 281 z 1995 r., s. 31) należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych?

– Czy operatora witryny internetowej, takiego jak Fashion ID, który umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy owej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, chociaż ten operator nie ma żadnego wpływu na przetwarzanie danych przekazanych w ten sposób wspomnianemu dostawcy?

– Czy w sytuacji, w której operator witryny internetowej umieszcza w ww. witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, należy do celów stosowania art. 7 lit. f) dyrektywy 95/46 wziąć pod uwagę uzasadnione interesy tego operatora, czy też uzasadnione interesy tego dostawcy?

– Czy art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji, w której operator witryny internetowej umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy owej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez tego operatora lub przez tego dostawcę oraz czy art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży na tym operatorze?

Stanowisko TS

1. Legitymacja procesowa stowarzyszenia ochrony interesów konsumentów

W art. 28 ust. 4 dyrektywy 95/46 przewidziano, że organ nadzorczy rozpatruje skargi zgłaszane przez stowarzyszenie reprezentujące osobę, której dane dotyczą, w rozumieniu art. 2 lit. a) dyrektywy odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Przy czym żaden przepis dyrektywy 95/46 nie nakłada na państwa członkowskie obowiązku ustanowienia możliwości reprezentowania przez stowarzyszenie przed sądem takiej osoby lub wytoczenia z własnej inicjatywy powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych. Jednak TS stwierdził, że nie wynika z tego, iż dyrektywa 95/46 stoi na przeszkodzie uregulowaniu krajowemu umożliwiającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy takiego naruszenia. Trybunał podkreślił, że jednym z celów przyświecających dyrektywie 95/46 jest zapewnienie skutecznej i pełnej ochrony praw podstawowych i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych (wyrok Google Spain i Google, C-131/12, pkt 53). Zdaniem TS okoliczność, że państwo członkowskie ustanawia w ustawodawstwie możliwość wniesienia przez stowarzyszenie ochrony interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, w żaden sposób nie może zaszkodzić jej celom, lecz – przeciwnie – przyczynia się do ich realizacji.

Trybunał przyznał, że dyrektywa 95/46 prowadzi, co do zasady, do pełnej harmonizacji ustawodawstw krajowych odnoszących się do ochrony danych osobowych (wyrok Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 i C-469/10, pkt 29). Zatem art. 7 tej dyrektywy przewiduje zamknięty i wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za legalne, a państwa członkowskie nie mogą dodawać nowych kryteriów legalności przetwarzania danych osobowych względem kryteriów ustanowionych w tym artykule ani też ustanawiać dodatkowych wymogów, które doprowadziłyby do modyfikacji zakresu jednego z sześciu kryteriów przewidzianych w tym przepisie (wyrok Breyer, C-582/14, pkt 57).

Trybunał wskazał, że dyrektywa 95/46 zawiera przepisy, które są stosunkowo ogólne, ponieważ powinna ona mieć zastosowanie do dużej liczby różnych sytuacji. Przepisy te cechują się pewną elastycznością i w szeregu przypadków pozostawiają państwom członkowskim zadanie ustalenia szczegółów lub dokonania wyboru między istniejącymi opcjami, tak że państwa członkowskie dysponują w ramach transpozycji tej dyrektywy w wielu kwestiach pewnym marginesem działania (wyrok Lindqvist, C-101/01, pkt 83, 84, 97). Trybunał stwierdził, że powyższe uwagi odnoszą się również do art. 22–24 dyrektywy 95/46. W szczególności, art. 24 dyrektywy 95/46 stanowi, że państwa członkowskie przyjmują „odpowiednie środki” w celu zapewnienia pełnej realizacji przepisów tej dyrektywy, nie określając takich środków. W ocenie TS ustanowienie możliwości wytoczenia przez stowarzyszenie ochrony interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych może stanowić odpowiedni środek w rozumieniu tego przepisu przyczynia się do realizacji celów dyrektywy 95/46 zgodnie (wyrok Lindqvist, C-101/01, pkt 97).

Wbrew temu, co twierdzi Fashion ID, TS uznał, że nie wydaje się, aby ustanowienie przez państwo członkowskie powyższej możliwości w ustawodawstwie krajowym mogło naruszać niezależność postępowania organów nadzorczych przy wykonywaniu powierzonych im funkcji zgodnie z wymogami art. 28 dyrektywy 95/46, ponieważ ta możliwość nie może mieć wpływu ani na swobodę podejmowania decyzji przez te organy nadzorcze, ani na ich swobodę działania. Trybunał podniósł również, że okoliczność, iż rozporządzenie 2016/679, które uchyliło i zastąpiło dyrektywę 95/46 i które stosuje się od 25.5.2018 r., upoważnia wprost w art. 80 ust. 2 państwa członkowskie do umożliwienia stowarzyszeniom ochrony interesów konsumentów występowania przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, w żaden sposób nie oznacza, iż państwa członkowskie nie mogły przyznać im tego prawa pod rządami dyrektywy 95/46, lecz – przeciwnie – potwierdza, że przyjęta w niniejszym wyroku wykładnia tej dyrektywy odzwierciedla wolę unijnego prawodawcy.


Trybunał orzekł, że art. 22–24 dyrektywy 95/46 należy interpretować w ten sposób, iż nie stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych.

2. Administrator danych w rozumieniu art. 2 lit. d) dyrektywy 95/46

Trybunał wskazał, że zgodnie z celem realizowanym przez dyrektywę 95/46 jakim jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, w art. 2 lit. d) tej dyrektywy zdefiniowano w sposób szeroki pojęcie „administrator danych”. Jest to osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ, które samodzielnie lub wspólnie z innymi podmiotami określają cele i sposoby przetwarzania danych osobowych (wyrok Wirtschaftsakademie Schleswig-Holstein, C-210/16, pkt 26, 27). Z orzecznictwa TS wynika, że celem tego przepisu jest zapewnienie, poprzez przyjęcie tej szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (wyrok Google Spain i Google, C-131/12, pkt 34). Ponadto, zważywszy, że pojęcie „administrator danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych osobowych, TS stwierdził, iż to pojęcie nie odsyła wyłącznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych (wyrok Jehovan todistajat, C-25/17, pkt 65). Trybunał uznał również, że osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46 (wyrok Jehovan todistajat, pkt 68). Poza tym wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego przepisu nie oznacza, że każdy z nich ma dostęp do odnośnych danych osobowych (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 38). Ponadto, zdaniem TS, istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (wyrok Jehovan todistajat, pkt 66).

Trybunał wskazał, że w niniejszej sprawie, z zastrzeżeniem ustaleń, których przeprowadzenie należy do sądu odsyłającego, poprzez umieszczenie w swojej witrynie internetowej przycisku „Lubię to” Fashion ID umożliwiła Facebook Ireland uzyskiwanie danych osobowych osób odwiedzających jej witrynę internetową. Operacjami przetwarzania danych osobowych, których cele i sposoby Fashion ID może określać wspólnie z Facebook Ireland, są – zgodnie z definicją pojęcia „przetwarzanie danych osobowych” zawartej w art. 2 lit. b) dyrektywy 95/46 – gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję. Trybunał wskazał, że prima facie jest wykluczone, aby Fashion ID określała cele i sposoby późniejszych operacji przetwarzania danych osobowych, dokonywanych przez Facebook Ireland po przekazaniu tych danych tej ostatniej spółce, wobec czego Fashion ID nie można uznać za administratora w odniesieniu do tych operacji w rozumieniu tego art. 2 lit. d). Natomiast jeśli chodzi o środki wykorzystywane do gromadzenia niektórych danych osobowych osób odwiedzających jej witrynę internetową i ich ujawniania poprzez transmisję Fashion ID umieściła w swojej witrynie internetowej przycisk „Lubię to”, udostępniony operatorom witryn internetowych przez Facebook Ireland, prawdopodobnie mając świadomość, że służy on do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami serwisu społecznościowego Facebook, czy nie. Umieszczając taką wtyczkę społecznościową w swojej witrynie internetowej, Fashion ID wpływa w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających tę witrynę na rzecz Facebook Ireland. W tych okolicznościach i z zastrzeżeniem ustaleń, których przeprowadzenie w tym względzie należy do sądu odsyłającego, TS uznał, że Facebook Ireland i Fashion ID wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniania poprzez transmisję.

Umieszczenie przez Fashion ID przycisku „Lubię to” w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na ten przycisk. Aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID. W tych okolicznościach TS uznał – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – że Fashion ID i Facebook Ireland określają wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym i ich ujawniania poprzez transmisję.

Natomiast okoliczność, że operator witryny internetowej, taki jak Fashion ID, sam nie ma dostępu do danych osobowych gromadzonych i przekazanych dostawcy wtyczki społecznościowej, z którym określa wspólnie sposoby i cele przetwarzania danych osobowych, nie stoi na przeszkodzie temu, aby przysługiwał mu przymiot administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46.

Trybunał podkreślił, że witrynę internetową, taką jak witryna Fashion ID, odwiedzają zarówno osoby, które są członkami serwisu społecznościowego Facebook i które dysponują zatem kontem w tym serwisie społecznościowym, jak i osoby, które nie dysponują takim kontem. W tym ostatnim przypadku odpowiedzialność operatora witryny internetowej, takiego jak Fashion ID, w odniesieniu do przetwarzania danych osobowych tych osób wydaje się jeszcze istotniejsza, ponieważ samo wejście na tę witrynę, zawierającą przycisk „Lubię to”, powoduje przetwarzanie ich danych osobowych przez Facebook Ireland (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 41).


Trybunał orzekł, że operatora witryny internetowej, takiego jak Fashion ID, który umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy danej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, a mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję.

3. Uwzględnienie uzasadnionego interesu administratora danych

Na mocy art. 7 lit. f) dyrektywy 95/46 przetwarzanie danych osobowych jest zgodne z prawem, gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony zgodnie z art. 1 ust. 1 dyrektywy 95/46. Trybunał wskazał, że w tym przepisie określono trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów, oraz po trzecie, przesłankę, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych (wyrok Rigas satiksme, C-13/16, pkt 28).


Trybunał orzekł, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, aby w ramach tych operacji przetwarzania zarówno ten operator, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.

4. Obowiązek informacyjny

Jak już stwierdził TS operatora witryny internetowej, który umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy owej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. W niniejszym przypadku operatora witryny internetowej, który umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy ww. wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, zdaniem TS, można uznać za administratora wspólnie z tym dostawcą w odniesieniu do operacji gromadzenia danych osobowych tej osoby odwiedzającej i ich ujawniania poprzez transmisję. Jednak jego obowiązek uzyskania określonej w art. 2 lit. h) i w art. 7 lit. a) dyrektywy 95/46 zgody od osoby, której dane dotyczą, a także obowiązek informacyjny przewidziany w art. 10 tej dyrektywy dotyczy jedynie tych operacji. Natomiast obowiązki te nie rozciągają się na operacje przetwarzania danych osobowych odnoszące się do pozostałych etapów, wcześniejszych lub późniejszych od ww. operacji, które ewentualnie są objęte rozpatrywanym przetwarzaniem danych osobowych.

Trybunał podkreślił, że zgoda określona w art. 2 lit. h) i w art. 7 lit. a) dyrektywy 95/46 musi zostać wyrażona przed gromadzeniem danych osoby, której dane dotyczą, i ich ujawnieniem poprzez transmisję. W tych okolicznościach obowiązek uzyskania tej zgody spoczywa, zdaniem TS, na operatorze witryny internetowej, a nie na dostawcy wtyczki społecznościowej, jako że proces przetwarzania danych osobowych zostaje uruchomiony wejściem osoby odwiedzającej na tę witrynę.

Trybunał wskazał, że zgoda, która musi zostać udzielona operatorowi, dotyczy jednak wyłącznie operacji lub zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby ten operator rzeczywiście określa. To samo odnosi się do obowiązku informacyjnego przewidzianego w art. 10 dyrektywy 95/46. Z treści tego przepisu wynika, że administrator danych lub jego przedstawiciel ma obowiązek przedstawienia osobie, od której gromadzone są dane, co najmniej informacji wskazanych w tym przepisie. Zdaniem TS ta informacja powinna zostać udzielona przez administratora danych niezwłocznie, czyli w momencie gromadzenia danych (wyroki: Rijkeboer, C-553/07, pkt 68; IPI, C-473/12, pkt 23). Wobec powyższego TS uznał, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym obowiązek informacyjny przewidziany w art. 10 dyrektywy 95/46 ciąży również na operatorze witryny internetowej, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby ten operator rzeczywiście określa.


Trybunał orzekł, iż art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy ww. wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa. Ponadto art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży również na tym operatorze, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.

Wyrok TS z 29.7.2019 r., Fashion ID, C-40/17




Źródło: www.curia.eu

 

opracowała: dr Ewa Skibińska  - WPiA UKSW w Warszawie


Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Odpowiedzialność za posługiwanie się wtyczką społecznościowego serwisu
Ewa Skibińska (oprac.)
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny