Wyrok TSUE z 11 lipca 2024 r. (C-757/22, Meta Platforms Ireland) (ochrona danych osobowych, powództwo przedstawicielskie)
opublikowano: 2024-10-03 przez: Więckowska Milena
Tomasz Jaroszyński
1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)[1] (dalej: „RODO”).
1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)[1] (dalej: „RODO”).
Wniosek złożono w ramach sporu pomiędzy Meta Platforms Ireland Ltd (dawniej Facebook Ireland Ltd) a niemieckim federalnym związkiem stowarzyszeń konsumenckich (dalej: „związek konsumentów”) dotyczącego w przedmiocie naruszenia przez Meta Platforms Ireland niemieckich przepisów o ochronie danych osobowych, stanowiącego jednocześnie nieuczciwą praktykę handlową, naruszenie przepisów ustawy o ochronie konsumentów oraz naruszenie zakazu stosowania nieważnych ogólnych warunków handlowych.
2. Zgodnie z art. 4 RODO:
„1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; […]
9) »odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. […]
11) »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Art. 5 RODO stanowi:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […]
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
Art. 6 ust. 1 lit. a RODO stanowi:
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Art. 12 ust. 1 RODO stanowi:
„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”.
Art. 13 RODO stanowi:
„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:
[…]
c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania; […]
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”.
Art. 77 ust. 1 RODO stanowi:
„Bez uszczerbku dla innych administracyjnych [środków ochrony prawnej] lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.
Art. 78 ust. 1 RODO stanowi:
„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.
Art. 79 ust. 1 RODO stanowi:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.
Art. 80 RODO stanowi:
„1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.
2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.
3. Meta Platforms Ireland, która zarządza ofertą usług serwisu społecznościowego Facebook w Unii Europejskiej (UE), jest administratorem danych osobowych użytkowników tego serwisu społecznościowego w UE. Spółka Facebook Germany GmbH, mająca siedzibę w Niemczech, promuje pod adresem www.facebook.de sprzedaż przestrzeni reklamowych. Platforma internetowa Facebook obejmuje, m.in. pod adresem internetowym www.facebook.de, przestrzeń zwaną „App-Zentrum” (centrum aplikacji), na której spółka Meta Platforms Ireland udostępnia użytkownikom bezpłatne gry dostarczane przez osoby trzecie. Podczas korzystania z tej przestrzeni użytkownik był informowany, że, użytkując niektóre z tych aplikacji, zgadza się na gromadzenie przez nie różnych danych osobowych i że zezwala im na opublikowanie niektórych z tych danych w jego imieniu, takich jak uzyskany wynik oraz, w przypadku jednej z omawianych gier, jego statusu i wizerunku. Był on jednocześnie informowany, że, użytkując te aplikacje, akceptuje ogólne warunki tych aplikacji i ich politykę w dziedzinie ochrony danych. Związek konsumentów ocenił, że informacje dostarczane przez aplikacje do gry, dostępne w centrum aplikacji, były nieuczciwe w szczególności dlatego, że nie spełniały wymogów prawnych dotyczących uzyskania ważnej zgody użytkownika zgodnie z przepisami o ochronie danych osobowych. W tym kontekście związek konsumentów wniósł przeciwko Meta Platforms Ireland do sądu krajowego w Berlinie powództwo o zaniechanie, w szczególności w celu zakazania jej prezentowania w centrum aplikacji określonych gier. Sąd ten uwzględnił żądania powództwa związku konsumentów. Meta Platforms Ireland wniosła od tego wyroku apelację do wyższego sądu krajowego w Berlinie, którą sąd ten oddalił. W związku z tym Meta Platforms Ireland wniosła do federalnego trybunału sprawiedliwości skargę rewizyjną od orzeczenia oddalającego apelację. Federalny trybunał sprawiedliwości postanowił zawiesić postępowanie i zwrócić się do TSUE z pytaniem prejudycjalnym dotyczącym wykładni art. 80 ust. 1 i 2 oraz art. 84 ust. 1 RODO.
4. Na wstępie TSUE przypomniał, że RODO reguluje m.in. środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe miały zostać przetworzone w sposób sprzeczny z przepisami RODO. Ochrony tych praw może dochodzić bezpośrednio osoba, której dane dotyczą, która ma prawo wnieść skargę do organu nadzorczego państwa członkowskiego, zgodnie z art. 77 RODO lub skorzystać z prawa do skutecznego środka ochrony prawnej przed sądem krajowym, zgodnie z art. 78 i 79 RODO, lub podmiot uprawniony, posiadający lub nieposiadający umocowania w tym zakresie, zgodnie z art. 80 RODO. W szczególności art. 80 ust. 2 RODO zapewnia państwom członkowskim możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, określając jednocześnie szereg wymogów w kwestii podmiotowego i przedmiotowego zakresu stosowania[2], których należy w tym celu przestrzegać[3].
Co się tyczy podmiotowego zakresu stosowania takiego mechanizmu, legitymacja procesowa przysługuje podmiotowi, organizacji lub zrzeszeniu spełniającym kryteria wymienione w art. 80 ust. 1 RODO. W szczególności, stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, może wchodzić w zakres tego pojęcia, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw i wolności osób, których dane dotyczą, a które występują w charakterze konsumentów, jeżeli realizacja takiego celu może być związana z ochroną danych osobowych tych osób[4].
Co się tyczy przedmiotowego zakresu stosowania wspomnianego mechanizmu, wniesienie przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego przez podmiot spełniający przesłanki wymienione w art. 80 ust. 1 RODO zakłada, że ów podmiot niezależnie od jakiegokolwiek udzielonego mu pełnomocnictwa uznaje, że w wyniku przetwarzania danych osobowych naruszone zostały prawa osoby, której dane dotyczą, wynikające z RODO[5].
TSUE wyjaśnił, że wniesienie powództwa przedstawicielskiego nie jest w szczególności uzależnione od istnienia „konkretnego naruszenia” praw przysługujących danej osobie na podstawie przepisów o ochronie danych osobowych, z takim skutkiem, że w celu uznania służącej takiemu podmiotowi legitymacji procesowej, wystarczy podnieść, że rozpatrywane przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z RODO, bez konieczności udowadniania rzeczywistej szkody poniesionej w określonej sytuacji wskutek naruszenia jej praw przez konkretną osobę, której dane dotyczą[6]. Jednak wniesienie powództwa przedstawicielskiego zakłada jedynie, że podmiot, o którym mowa w tym przepisie, „uznaje”, że przewidziane RODO prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami RODO, ponieważ takie przetwarzanie nie może mieć charakteru czysto hipotetycznego[7].
5. TSUE przypomniał, że cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywu 1, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych[8]. W tym kontekście rozdziały II i III RODO określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności, z zastrzeżeniem odstępstw przewidzianych w art. 23 RODO, wszelkie przetwarzanie danych osobowych musi być zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 RODO i spełniać warunki zgodności przetwarzania z prawem, wymienione w jego art. 6, a także szanować prawa osoby, której dane dotyczą, określone w art. 12-22 RODO[9]. TSUE podkreślił, że zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Ponadto, zgodnie z art. 5 ust. 1 lit. b RODO, dane te muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Co się tyczy wykładni tego przepisu TSUE orzekł, że wymaga on w szczególności, aby cele przetwarzania zostały jasno określone w treści żądania, najpóźniej w momencie zgromadzenia danych osobowych[10].
Jak wskazał TSUE, zgodnie z art. 5 ust. 2 RODO na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Z art. 5 RODO wynika zatem, że przetwarzanie danych osobowych musi w szczególności spełniać konkretne wymogi w zakresie przejrzystości względem osoby, której przetwarzanie dotyczy. W tym celu w rozdziale III RODO przewiduje konkretne obowiązki administratora danych, a także przyznaje szereg praw osobie, której przetwarzane dane osobowe dotyczą, wśród których znajduje się w szczególności prawo do uzyskania od administratora informacji o celach tego przetwarzania i o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe[11].
6. TSUE przypomniał, że w szczególności art. 13 ust. 1 lit. c i e RODO nakłada na administratora, w przypadku gromadzenia danych osobowych od osoby, której dane dotyczą, obowiązek poinformowania jej, odpowiednio, o celach przetwarzania, do których dane te są przeznaczone, oraz o podstawie prawnej tego przetwarzania, a także o odbiorcach lub kategoriach odbiorców tych danych. Ponadto art. 12 ust. 1 RODO wymaga, aby administrator podjął odpowiednie środki, aby w szczególności te informacje, które są przekazywane osobie, której dane dotyczą, były zwięzłe, przejrzyste, zrozumiałe, łatwo dostępne i sformułowane jasnym i prostym językiem. Jak orzekł TSUE, celem art. 12 ust. 1 RODO, który jest wyrazem zasady przejrzystości, jest zapewnienie, by osoba, której dane dotyczą, była w stanie zrozumieć w pełni przekazywane jej informacje[12]. Znaczenie przestrzegania tego rodzaju obowiązku informacyjnego potwierdza również motyw 60 RODO, który przewiduje, że zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Co istotne, administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.
Według TSUE z powyższego wynika, że obowiązek informacyjny ciążący na administratorze danych w odniesieniu do osób, których dotyczy przetwarzanie danych osobowych, jest ściśle związany z prawem do informacji, które zostało przyznane tym osobom przez art. 12 i 13 RODO i wchodzi zatem w skład zbioru praw, który ma chronić przewidziane w art. 80 ust. 2 RODO powództwo przedstawicielskie. Ponadto przestrzeganie tego obowiązku gwarantuje w sposób bardziej ogólny poszanowanie zasad przejrzystości i rzetelności przetwarzania przewidzianych w art. 5 ust. 1 RODO. Co więcej, domniemane naruszenie prawa osób, których dane dotyczą, do bycia wystarczająco poinformowanym o wszystkich okolicznościach związanych z przetwarzaniem danych osobowych, w szczególności co do celu przetwarzania oraz odbiorcy tych danych, może uniemożliwić wyrażenie „świadomej” zgody w rozumieniu art. 4 pkt 11 RODO, co może sprawić, że owo przetwarzanie danych będzie niezgodne z prawem w rozumieniu art. 5 ust. 1 RODO. Ważność zgody udzielonej przez osobę, której dane dotyczą, zależy bowiem m.in. od tego, czy osoba ta wcześniej uzyskała informacje w świetle wszystkich okoliczności związanych z przetwarzaniem danych, do których miała prawo na podstawie art. 12 i 13 RODO i które umożliwiają jej wyrażenie zgody z pełną znajomością rzeczy. Ponieważ przetwarzanie danych osobowych dokonane z naruszeniem prawa do informacji, które osoba, której dane dotyczą, wywodzi z art. 12 i 13 RODO, narusza wymogi określone w art. 5 RODO, naruszenie tego prawa do informacji należy uznać za naruszenie praw osoby, której dane dotyczą, „w wyniku przetwarzania” w rozumieniu art. 80 ust. 2 RODO.
W związku z powyższym wynikające z art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c i e RODO prawo osoby, której dane dotyczą, do uzyskania od administratora danych, w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem, informacji o celu takiego przetwarzania oraz o odbiorcach takich danych, stanowi prawo, którego naruszenie pozwala na skorzystanie z mechanizmu powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 RODO. Wykładnię tę potwierdza cel RODO polegający na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a w szczególności wysoki poziom ochrony prawa każdej osoby do prywatności w odniesieniu do przetwarzania dotyczących jej danych osobowych. Taka wykładnia jest również zgodna z funkcją prewencyjną powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 RODO, wykonywanego przez stowarzyszenie ochrony interesów konsumentów, takie jak w związek konsumentów[13].
7. W świetle powyższych rozważań TSUE odpowiedział na pytanie prejudycjalne, że art. 80 ust. 2 RODO należy interpretować w ten sposób, że przesłanka – zgodnie z którą podmiot uprawniony na podstawie tego przepisu do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w RODO prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, że do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c i e RODO, polegającemu na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.
Wybór i opracowanie:
dr Tomasz Jaroszyński
adiunkt na Wydziale Administracji
i Nauk Społecznych
Politechniki Warszawskiej
2. Zgodnie z art. 4 RODO:
„1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; […]
9) »odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. […]
11) »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Art. 5 RODO stanowi:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […]
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
Art. 6 ust. 1 lit. a RODO stanowi:
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Art. 12 ust. 1 RODO stanowi:
„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”.
Art. 13 RODO stanowi:
„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:
[…]
c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania; […]
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”.
Art. 77 ust. 1 RODO stanowi:
„Bez uszczerbku dla innych administracyjnych [środków ochrony prawnej] lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.
Art. 78 ust. 1 RODO stanowi:
„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.
Art. 79 ust. 1 RODO stanowi:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.
Art. 80 RODO stanowi:
„1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.
2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.
3. Meta Platforms Ireland, która zarządza ofertą usług serwisu społecznościowego Facebook w Unii Europejskiej (UE), jest administratorem danych osobowych użytkowników tego serwisu społecznościowego w UE. Spółka Facebook Germany GmbH, mająca siedzibę w Niemczech, promuje pod adresem www.facebook.de sprzedaż przestrzeni reklamowych. Platforma internetowa Facebook obejmuje, m.in. pod adresem internetowym www.facebook.de, przestrzeń zwaną „App-Zentrum” (centrum aplikacji), na której spółka Meta Platforms Ireland udostępnia użytkownikom bezpłatne gry dostarczane przez osoby trzecie. Podczas korzystania z tej przestrzeni użytkownik był informowany, że, użytkując niektóre z tych aplikacji, zgadza się na gromadzenie przez nie różnych danych osobowych i że zezwala im na opublikowanie niektórych z tych danych w jego imieniu, takich jak uzyskany wynik oraz, w przypadku jednej z omawianych gier, jego statusu i wizerunku. Był on jednocześnie informowany, że, użytkując te aplikacje, akceptuje ogólne warunki tych aplikacji i ich politykę w dziedzinie ochrony danych. Związek konsumentów ocenił, że informacje dostarczane przez aplikacje do gry, dostępne w centrum aplikacji, były nieuczciwe w szczególności dlatego, że nie spełniały wymogów prawnych dotyczących uzyskania ważnej zgody użytkownika zgodnie z przepisami o ochronie danych osobowych. W tym kontekście związek konsumentów wniósł przeciwko Meta Platforms Ireland do sądu krajowego w Berlinie powództwo o zaniechanie, w szczególności w celu zakazania jej prezentowania w centrum aplikacji określonych gier. Sąd ten uwzględnił żądania powództwa związku konsumentów. Meta Platforms Ireland wniosła od tego wyroku apelację do wyższego sądu krajowego w Berlinie, którą sąd ten oddalił. W związku z tym Meta Platforms Ireland wniosła do federalnego trybunału sprawiedliwości skargę rewizyjną od orzeczenia oddalającego apelację. Federalny trybunał sprawiedliwości postanowił zawiesić postępowanie i zwrócić się do TSUE z pytaniem prejudycjalnym dotyczącym wykładni art. 80 ust. 1 i 2 oraz art. 84 ust. 1 RODO.
4. Na wstępie TSUE przypomniał, że RODO reguluje m.in. środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe miały zostać przetworzone w sposób sprzeczny z przepisami RODO. Ochrony tych praw może dochodzić bezpośrednio osoba, której dane dotyczą, która ma prawo wnieść skargę do organu nadzorczego państwa członkowskiego, zgodnie z art. 77 RODO lub skorzystać z prawa do skutecznego środka ochrony prawnej przed sądem krajowym, zgodnie z art. 78 i 79 RODO, lub podmiot uprawniony, posiadający lub nieposiadający umocowania w tym zakresie, zgodnie z art. 80 RODO. W szczególności art. 80 ust. 2 RODO zapewnia państwom członkowskim możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, określając jednocześnie szereg wymogów w kwestii podmiotowego i przedmiotowego zakresu stosowania[2], których należy w tym celu przestrzegać[3].
Co się tyczy podmiotowego zakresu stosowania takiego mechanizmu, legitymacja procesowa przysługuje podmiotowi, organizacji lub zrzeszeniu spełniającym kryteria wymienione w art. 80 ust. 1 RODO. W szczególności, stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, może wchodzić w zakres tego pojęcia, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw i wolności osób, których dane dotyczą, a które występują w charakterze konsumentów, jeżeli realizacja takiego celu może być związana z ochroną danych osobowych tych osób[4].
Co się tyczy przedmiotowego zakresu stosowania wspomnianego mechanizmu, wniesienie przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego przez podmiot spełniający przesłanki wymienione w art. 80 ust. 1 RODO zakłada, że ów podmiot niezależnie od jakiegokolwiek udzielonego mu pełnomocnictwa uznaje, że w wyniku przetwarzania danych osobowych naruszone zostały prawa osoby, której dane dotyczą, wynikające z RODO[5].
TSUE wyjaśnił, że wniesienie powództwa przedstawicielskiego nie jest w szczególności uzależnione od istnienia „konkretnego naruszenia” praw przysługujących danej osobie na podstawie przepisów o ochronie danych osobowych, z takim skutkiem, że w celu uznania służącej takiemu podmiotowi legitymacji procesowej, wystarczy podnieść, że rozpatrywane przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z RODO, bez konieczności udowadniania rzeczywistej szkody poniesionej w określonej sytuacji wskutek naruszenia jej praw przez konkretną osobę, której dane dotyczą[6]. Jednak wniesienie powództwa przedstawicielskiego zakłada jedynie, że podmiot, o którym mowa w tym przepisie, „uznaje”, że przewidziane RODO prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami RODO, ponieważ takie przetwarzanie nie może mieć charakteru czysto hipotetycznego[7].
5. TSUE przypomniał, że cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywu 1, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych[8]. W tym kontekście rozdziały II i III RODO określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności, z zastrzeżeniem odstępstw przewidzianych w art. 23 RODO, wszelkie przetwarzanie danych osobowych musi być zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 RODO i spełniać warunki zgodności przetwarzania z prawem, wymienione w jego art. 6, a także szanować prawa osoby, której dane dotyczą, określone w art. 12-22 RODO[9]. TSUE podkreślił, że zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Ponadto, zgodnie z art. 5 ust. 1 lit. b RODO, dane te muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Co się tyczy wykładni tego przepisu TSUE orzekł, że wymaga on w szczególności, aby cele przetwarzania zostały jasno określone w treści żądania, najpóźniej w momencie zgromadzenia danych osobowych[10].
Jak wskazał TSUE, zgodnie z art. 5 ust. 2 RODO na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Z art. 5 RODO wynika zatem, że przetwarzanie danych osobowych musi w szczególności spełniać konkretne wymogi w zakresie przejrzystości względem osoby, której przetwarzanie dotyczy. W tym celu w rozdziale III RODO przewiduje konkretne obowiązki administratora danych, a także przyznaje szereg praw osobie, której przetwarzane dane osobowe dotyczą, wśród których znajduje się w szczególności prawo do uzyskania od administratora informacji o celach tego przetwarzania i o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe[11].
6. TSUE przypomniał, że w szczególności art. 13 ust. 1 lit. c i e RODO nakłada na administratora, w przypadku gromadzenia danych osobowych od osoby, której dane dotyczą, obowiązek poinformowania jej, odpowiednio, o celach przetwarzania, do których dane te są przeznaczone, oraz o podstawie prawnej tego przetwarzania, a także o odbiorcach lub kategoriach odbiorców tych danych. Ponadto art. 12 ust. 1 RODO wymaga, aby administrator podjął odpowiednie środki, aby w szczególności te informacje, które są przekazywane osobie, której dane dotyczą, były zwięzłe, przejrzyste, zrozumiałe, łatwo dostępne i sformułowane jasnym i prostym językiem. Jak orzekł TSUE, celem art. 12 ust. 1 RODO, który jest wyrazem zasady przejrzystości, jest zapewnienie, by osoba, której dane dotyczą, była w stanie zrozumieć w pełni przekazywane jej informacje[12]. Znaczenie przestrzegania tego rodzaju obowiązku informacyjnego potwierdza również motyw 60 RODO, który przewiduje, że zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Co istotne, administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.
Według TSUE z powyższego wynika, że obowiązek informacyjny ciążący na administratorze danych w odniesieniu do osób, których dotyczy przetwarzanie danych osobowych, jest ściśle związany z prawem do informacji, które zostało przyznane tym osobom przez art. 12 i 13 RODO i wchodzi zatem w skład zbioru praw, który ma chronić przewidziane w art. 80 ust. 2 RODO powództwo przedstawicielskie. Ponadto przestrzeganie tego obowiązku gwarantuje w sposób bardziej ogólny poszanowanie zasad przejrzystości i rzetelności przetwarzania przewidzianych w art. 5 ust. 1 RODO. Co więcej, domniemane naruszenie prawa osób, których dane dotyczą, do bycia wystarczająco poinformowanym o wszystkich okolicznościach związanych z przetwarzaniem danych osobowych, w szczególności co do celu przetwarzania oraz odbiorcy tych danych, może uniemożliwić wyrażenie „świadomej” zgody w rozumieniu art. 4 pkt 11 RODO, co może sprawić, że owo przetwarzanie danych będzie niezgodne z prawem w rozumieniu art. 5 ust. 1 RODO. Ważność zgody udzielonej przez osobę, której dane dotyczą, zależy bowiem m.in. od tego, czy osoba ta wcześniej uzyskała informacje w świetle wszystkich okoliczności związanych z przetwarzaniem danych, do których miała prawo na podstawie art. 12 i 13 RODO i które umożliwiają jej wyrażenie zgody z pełną znajomością rzeczy. Ponieważ przetwarzanie danych osobowych dokonane z naruszeniem prawa do informacji, które osoba, której dane dotyczą, wywodzi z art. 12 i 13 RODO, narusza wymogi określone w art. 5 RODO, naruszenie tego prawa do informacji należy uznać za naruszenie praw osoby, której dane dotyczą, „w wyniku przetwarzania” w rozumieniu art. 80 ust. 2 RODO.
W związku z powyższym wynikające z art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c i e RODO prawo osoby, której dane dotyczą, do uzyskania od administratora danych, w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem, informacji o celu takiego przetwarzania oraz o odbiorcach takich danych, stanowi prawo, którego naruszenie pozwala na skorzystanie z mechanizmu powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 RODO. Wykładnię tę potwierdza cel RODO polegający na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a w szczególności wysoki poziom ochrony prawa każdej osoby do prywatności w odniesieniu do przetwarzania dotyczących jej danych osobowych. Taka wykładnia jest również zgodna z funkcją prewencyjną powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 RODO, wykonywanego przez stowarzyszenie ochrony interesów konsumentów, takie jak w związek konsumentów[13].
7. W świetle powyższych rozważań TSUE odpowiedział na pytanie prejudycjalne, że art. 80 ust. 2 RODO należy interpretować w ten sposób, że przesłanka – zgodnie z którą podmiot uprawniony na podstawie tego przepisu do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w RODO prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, że do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c i e RODO, polegającemu na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.
Wybór i opracowanie:
dr Tomasz Jaroszyński
adiunkt na Wydziale Administracji
i Nauk Społecznych
Politechniki Warszawskiej
[2] Podkreślenia w tym miejscu i poniżej – T.J.
[3] Wyrok TSUE z 28 kwietnia 2022 r. w sprawie C-319/20, Meta Platforms Ireland, pkt 63.
[4] Ibidem, pkt 64 i 65.
[5] Ibidem, pkt 67.
[6] Ibidem, pkt 70 i 72.
[7] Ibidem, pkt 71.
[8] Por. wyrok TSUE z 7 marca 2024 r. w sprawie C-604/22, IAB Europe, pkt 53.
[9] Por. wyroki TSUE: z 6 października 2020 r. w sprawach połączonych C-511/18, C-512/18 i C-520/18, La Quadrature du Net i in., pkt 208 i z 24 lutego 2022 r. w sprawie C-175/20, Valsts ie??mumu dienests, pkt 50 i 61.
[10] Zob. wyrok TSUE z 24 lutego 2022 r. w sprawie C-175/20, Valsts ie??mumu dienests, pkt 64 i 65.
[11] Zob. wyrok z 22 czerwca 2023 r. w sprawie C-579/21, Pankki S, pkt 48.
[12] Por. wyrok TSUE z 4 maja 2023 r. w sprawie C-487/21, Österreichische Datenschutzbehörde i CRIF, pkt 38.
[13] Zob. wyrok TSUE z 28 kwietnia 2022 r., Meta Platforms Ireland, C-319/20, pkt 76.