Przetwarzanie danych internautów przez Facebooka

A A A

Stan faktyczny

W 2015 r. prezes belgijskiej komisji do spraw ochrony prywatności (dalej jako: KOP) wniósł do sądu w Brukseli powództwo o zaniechanie przeciwko Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA. Ponieważ KOP jako taki nie posiadał osobowości prawnej, wniesienie tego powództwa należało do jego prezesa. Niemniej sam KOP też złożył wniosek o dopuszczenie go na zasadzie dobrowolności do udziału w tym postępowaniu. KOP podniósł w szczególności jako „poważne i na dużą skalę naruszanie przez Facebooka przepisów w dziedzinie ochrony życia prywatnego”, polegające na gromadzeniu przez tę internetową sieć społecznościową informacji o zachowaniach w Internecie zarówno posiadaczy kont na Facebooku, jak i podmiotów niekorzystających z usług Facebooka, za pomocą różnych technologii, takich jak pliki cookie, wtyczki społecznościowe (np. przyciski „Lubię to” lub „Udostępnij”) oraz pikseli monitorujących. Informacje te umożliwiają Facebookowi uzyskanie określonych danych internauty przeglądającego zawierającą je stronę internetową, takich jak adres tej strony, adres IP osoby odwiedzającej tę stronę, a także datę i godzinę wejścia na tę stronę.

Stanowisko TS

1. Uprawnienie wiodącego organu nadzorczego

Z art. 1 ust. 2 w zw. z motywami 10, 11 i 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (dalej jako: RODO) wynika, że to rozrządzenie nakłada na instytucje, organy i jednostki organizacyjne UE oraz na właściwe organy państw członkowskich obowiązek zapewnienia wysokiego poziomu ochrony praw zagwarantowanych w art. 16 TFUE i w art. 8 KPP.

Trybunał przypomniał, że art. 55 ust. 1 RODO stanowi, że każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego (wyrok TS z 16.7.2020 r., Facebook Ireland i Schrems, C-311/18, pkt 147). Do zadań powierzonych tym organom należą w szczególności przewidziane w art. 57 ust. 1 lit. a) RODO zadanie polegające na monitorowaniu i egzekwowaniu stosowania RODO, a także przewidziana w art. 57 ust. 1 lit. g) RODO współpraca z innymi organami nadzorczymi, m.in. w postaci wymiany informacji oraz świadczenia w tych ramach wzajemnej pomocy w celu zapewnienia spójnego stosowania RODO i środków podjętych w celu zapewnienia jego przestrzegania. Wśród uprawnień przyznanych tym organom w celu wykonywania owych zadań są przewidziane w art. 58 ust. 1 RODO różnego rodzaju uprawnienia dochodzeniowe, jak również uprawnienie do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania przepisów RODO (art. 58 ust. 5 RODO). Wykonywanie tych zadań i uprawnień wymaga jednak, aby organowi nadzorczemu przysługiwały kompetencje w zakresie danego przetwarzania danych.

W art. 56 ust. 1 RODO ustanowiony został w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4 pkt 23 RODO, mechanizm „kompleksowej współpracy”, oparty na podziale kompetencji między „wiodącym organem nadzorczym” i pozostałymi organami nadzorczymi, których dana sprawa dotyczy. W ramach tego mechanizmu to organ nadzorczy głównej lub jedynej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 RODO – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający. Wiodący organ nadzorczy jest w szczególności zobowiązany do dążenia do osiągnięcia porozumienia. W tym celu, zgodnie z art. 60 ust. 3 RODO, przedkłada on niezwłocznie innym organom nadzorczym, których sprawa dotyczy, projekt decyzji w celu uzyskania ich opinii i uwzględnia należycie ich uwagi. W szczególności z art. 56 i 60 RODO wynika, że w odniesieniu do „przetwarzania transgranicznego”, z zastrzeżeniem jego art. 56 ust. 2, poszczególne krajowe organy nadzorcze, których sprawa dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych, prowadzonej we wszystkich jego jednostkach organizacyjnych na obszarze Unii. Ponadto, art. 61 ust. 1 RODO zobowiązuje organy nadzorcze w szczególności do przekazywania istotnych informacji oraz do świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania tego rozporządzenia w całej UE. W art. 63 RODO wyjaśniono, że to w tym właśnie celu w art. 64 i 65 ustanowiony zostaje mechanizm kontroli spójności [wyrok TS z 24.9.2019 r., Google (Zakres terytorialny prawa do usunięcia linków), C-507/17, pkt 68].

Trybunał podkreślił, że w ramach stosowania tego mechanizmu, istnieje wymóg lojalnej i skutecznej współpracy pomiędzy wiodącym organem nadzorczym i innymi organami nadzorczymi, których sprawa dotyczy. Z tego względu, jak zauważył rzecznik generalny w pkt 111 opinii, wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy. Ponadto, wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów powodują zablokowanie, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy.

Trybunał uznał, że w obszarze transgranicznego przetwarzania danych osobowych przysługujące wiodącemu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż takie przetwarzanie narusza ustanowione w RODO przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, stanowi zasadę. Natomiast przysługująca innym organom nadzorczym, których sprawa dotyczy, kompetencja do wydania takiej decyzji, choćby tylko czasowej, jest wyjątkiem. Przy czym TS podkreślił, że z wiodącym organem nadzorczym, to organ ten powinien wykonywać takie uprawnienie w ramach ścisłej współpracy z innymi organami nadzorczymi, których sprawa dotyczy. W szczególności ten wiodący organ nadzorczy nie może zrezygnować, w ramach wykonywania swoich kompetencji z prowadzenia niezbędnego dialogu oraz lojalnej i skutecznej współpracy z innymi organami nadzorczymi, których sprawa dotyczy.

Z motywu 10 RODO wynika, że jego celem jest m.in. zapewnienie spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w całej Unii oraz usuwanie przeszkód w przepływie danych osobowych w jej ramach. Zdaniem TS, realizacja takiego celu, podobnie jak skuteczność (effet utile) mechanizmu kompleksowej współpracy, mogłaby zostać zagrożona, gdyby organ nadzorczy, który w odniesieniu do przetwarzania danych transgranicznych nie jest organem wiodącym, mógł wykonywać uprawnienie przewidziane w art. 58 ust. 5 RODO również w przypadkach innych niż te, w których jest on właściwy do wydania decyzji stwierdzającej, iż przetwarzanie narusza ustanowione w RODO przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych. Wykonywanie takiego uprawnienia ma bowiem na celu uzyskanie wiążącego orzeczenia sądowego, które może mieć negatywny wpływ zarówno na realizację przywołanego celu i ten mechanizm, jak i na decyzję wydaną przez organ nadzorczy, który nie jest organem wiodącym.

Trybunał podkreślił, że nie można wykluczyć, iż organ nadzorczy danego państwa członkowskiego skorzysta z uprawnienia do zwrócenia się do sądów tego państwa, jeżeli zwróci się on o wzajemną pomoc do wiodącego organu nadzorczego na podstawie art. 61 RODO, a organ ten nie dostarczy mu żądanych informacji.

Trybunał orzekł, że art. 55 ust. 1, art. 56–58 oraz 60–66 RODO w zw. z art. 7, 8 i 47 KPP należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego – który na podstawie ustawodawstwa krajowego wydanego w wykonaniu art. 58 ust. 5 RODO jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa i, w stosownych przypadkach, do wszczęcia postępowania sądowego – może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 RODO. Jednak pod warunkiem, że jest to jeden z przypadków, w których RODO przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem ustanowionych w RODO procedur współpracy i kontroli spójności.

2. Legitymacja procesowa

W art. 58 ust. 5 RODO przyznano każdemu organowi nadzorczemu uprawnienie do wnoszenia do organów sądowniczych jego państwa członkowskiego spraw dotyczących wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania jego przepisów.

Trybunał stwierdził, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny. Ponadto podkreślił, że prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa członkowskiego od spełnienia warunku, aby powództwo wnoszone przez ten organ było skierowane przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 tego rozporządzenia lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. Niemniej organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5 RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania RODO.

W art. 3 ust. 1 RODO określono, że to rozporządzeniema zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego na terytorium Unii, niezależnie od tego, czy przetwarzanie odbywa się w UE. W motywie 22 RODO wyjaśniono, iż taka jednostka organizacyjna zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury, zaś forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział, czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.

Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego w rozumieniu tego przepisu nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.

3. Adresat powództwa

W niniejszej sprawie przetwarzanie danych osobowych, którego na terytorium Unii dokonuje wyłącznie Facebook Ireland i które polega na gromadzeniu informacji o zachowaniach w Internecie zarówno posiadaczy konta na Facebooku, jak i niekorzystających z jego usług przy użyciu różnego rodzaju technologii, ma na celu umożliwienie Facebookowi poprawę efektywności jej systemu reklamowego poprzez lepsze ukierunkowanie emitowanych reklam.

Trybunał wskazał, że po pierwsze, sieć społecznościowa taka jak Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie w tym państwie, chociaż miałoby to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych, z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka. Po drugie, prowadzona jako główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych osobowych przez Facebook Ireland. W tych okolicznościach rodzaje działalności prowadzone przez jednostkę organizacyjną grupy Facebook znajdującą się w Belgii, zdaniem TS, należy uznać za nierozerwalnie związane z rozpatrywanym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność w odniesieniu do terytorium Unii. W konsekwencji TS uznał, że takie przetwarzanie należy traktować jako dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora” w rozumieniu art. 3 ust. 1 RODO.

Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.

4. Postępowania sądowe wszczęte przed 25.5.2018 r.

RODO nie przewiduje żadnego przepisu przejściowego ani jakiegokolwiek innego przepisu regulującego status postępowań sądowych wszczętych przed momentem, od którego ma ono zastosowanie i które pozostawały jeszcze w toku w dniu, począwszy od którego rozporządzenie to ma zastosowanie.

Wobec treści art. 58 ust. 5 RODO Trybunał uznał, że należy dokonać rozróżnienia pomiędzy powództwami wytaczanymi przez organ nadzorczy danego państwa członkowskiego w związku z naruszeniami przepisów dotyczących ochrony danych osobowych popełnianymi przez administratorów lub podmioty przetwarzające przed dniem, począwszy od którego RODO zaczęło mieć zastosowanie, a tymi, które zostały wniesione w związku z naruszeniami popełnionymi po tej dacie. W pierwszym przypadku, z punktu widzenia prawa UE, postępowanie sądowe, takie jak rozpatrywane w postępowaniu głównym, może być prowadzone dalej na podstawie przepisów dyrektywy 95/46, która nadal znajduje zastosowanie w odniesieniu do naruszeń, których dopuszczono się do dnia jej uchylenia, czyli do 25.5.2018 r. W drugim przypadku powództwo może zostać wniesione na podstawie art. 58 ust. 5 RODO wyłącznie pod warunkiem, że powództwo to dotyczy sytuacji, w której w rozporządzeniu tym przyznano tytułem wyjątku organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza przepisy tego rozporządzenia, jeśli chodzi o ochronę praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu procedur przewidzianych w tym rozporządzeniu.

Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, wniósł do sądu powództwo dotyczące transgranicznego przetwarzania danych osobowych przed 25.5.2018 r., czyli przed dniem od którego rozporządzenie to ma zastosowanie, powództwo to może, z punktu widzenia prawa Unii, zostać podtrzymane na podstawie przepisów dyrektywy 95/46 mającej nadal zastosowanie w zakresie dotyczącym naruszeń przewidzianych w niej norm, których dopuszczono się aż do dnia, w którym dyrektywa ta została uchylona. Takie powództwo może także zostać wniesione przez ten organ w związku z naruszeniami popełnionymi po tej dacie na podstawie art. 58 ust. 5 RODO, pod warunkiem że ma to miejsce w jednej z sytuacji, w których w drodze wyjątku rozporządzenie to przyznaje organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza zawarte w tym rozporządzeniu przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu przewidzianych w tym samym rozporządzeniu procedur współpracy i kontroli spójności. Trybunał podkreślił, że sprawdzenie powyższego należy do sądu odsyłającego.

5. Bezpośrednia skuteczność art. 58 ust. 5 RODO

Rzecznik generalny wskazał w pkt 167 opinii, że w art. 58 ust. 5 RODO przewidziana została szczególna i mająca bezpośrednie zastosowanie norma, zgodnie z którą organom nadzorczym musi przysługiwać legitymacja procesowa do występowania przed sądami krajowymi, zaś na gruncie prawa krajowego należy im przyznać uprawnienie do wszczynania postępowań sądowych. Z tego przepisu nie wynika, że państwa członkowskie powinny określić za pomocą wyraźnego przepisu okoliczności, w jakich krajowe organy nadzorcze mogą wszcząć postępowanie przed sądem w rozumieniu tego przepisu. Zdaniem TS wystarczy, aby organ nadzorczy miał, zgodnie z ustawodawstwem krajowym, możliwość podnoszenia przed organami wymiaru sprawiedliwości naruszeń przepisów RODO oraz, w stosownych przypadkach, pozwania przed sąd lub wszczęcia w inny sposób postępowania w celu wyegzekwowania stosowania przepisów RODO.


Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż ten przepis ma bezpośrednią skuteczność, efektem czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.

Wyrok TS z 15.6.2021 r., Facebook Ireland i in., C-645/19




Źródło: www.curia.eu

Opracowała: dr Ewa Skibińska - WPiA UKSW w Warszawie, ORCID: 0000-0003-4607-1448


Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Przetwarzanie danych internautów przez <em>Facebooka</em>
Ewa Skibińska (oprac.)
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny