15 czerwca 2021 r. zapadł, kluczowy dla udzielenia odpowiedzi na postawione w tytule pytanie, wyrok Trybunału Sprawiedliwości[1] związany ze sporem, jaki powstał pomiędzy spółkami: Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA, a belgijskim organem ochrony danych. Organ wstąpił w prawa komisji do spraw ochrony prywatności (KOP), do wniesionego przez KOP powództwa o zaniechanie na terytorium Belgii przetwarzania danych internautów przez Facebook z wykorzystaniem technologii takich jak pliki cookie, wtyczki społecznościowe (social plug-ins) i piksele monitorujące. Wskazane technologie umożliwiają gromadzenie przez Facebooka informacji o zachowaniach w Internecie podmiotów niekorzystających z usług Facebooka. Informacje te umożliwiają Facebookowi uzyskanie określonych danych internauty przeglądającego zawierającą je stronę internetową, takich jak adres tej strony, adres IP osoby odwiedzającej tę stronę, a także datę i godzinę wejścia na tę stronę.
Spis treści
O co chodziło?
Trybunał Sprawiedliwości odniósł się do pytania prejudycjalnego złożonego przez sąd apelacyjny w Brukseli dotyczącego wykładni art. 55 ust. 1, art. 56–58 i art. 60–66 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2) (RODO) w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej.
Uprawnienia wiodącego organu nadzorczego w zakresie monitorowania i egzekwowania RODO
Trybunał w wyroku przypomniał, że zgodnie z art. 55 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego. Organ nadzorczy to niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO – w przypadku Polski jest to Prezes Urzędu Ochrony Danych Osobowych.
Do zadań powierzonych organowi należą w szczególności zadania przewidziane w art. 57 RODO, w tym:
- monitorowanie i egzekwowanie stosowania RODO;
- współpraca z innymi organami nadzorczymi, w tym dzielenie się informacjami oraz świadczenie wzajemnej pomocy, w celu zapewnienia spójnego stosowania i egzekwowania RODO.
Uprawnienia organu zostały określone w art. 58 RODO, do których należy prowadzenie postępowań, uprawnienia naprawcze, wydawanie zezwoleń i uprawnienia doradcze oraz określone w art. 58 ust. 5 RODO uprawnienie do wniesienia do organów wymiaru sprawiedliwości (sądów) sprawy dotyczącej naruszenia RODO oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów RODO. Wykonywanie tych zadań i uprawnień wymaga jednak, aby organowi nadzorczemu przysługiwały kompetencje w zakresie danego przetwarzania danych przyznane przez państwo członkowskie w przepisach krajowych.
Natomiast z art. 56 ust. 1 RODO wynika, że organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 RODO – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.
Definicja transgranicznego przetwarzania została uregulowana w art. 4 pkt 23 RODO, przez które należy rozumieć:
- przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo
- przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
Wynika z tego, że w odniesieniu do „przetwarzania transgranicznego”, z zastrzeżeniem art. 56 ust. 2 RODO, poszczególne krajowe organy nadzorcze, których sprawa dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych, prowadzonej we wszystkich jego jednostkach organizacyjnych na obszarze Unii.
Dodatkowo art. 61 ust. 1 RODO zobowiązuje organy nadzorcze do przekazywania sobie informacji i świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania RODO oraz wprowadzenia środków na rzecz skutecznej wzajemnej współpracy.
Legitymacja procesowa
Trybunał orzekł, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny. Ponadto podkreślił, że prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa członkowskiego od spełnienia warunku, aby powództwo wnoszone przez ten organ było skierowane przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 RODO lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. Niemniej organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5 RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania RODO.
Natomiast zgodnie z art. 3 ust. 1 RODO terytorialny zakres stosowania RODO jest determinowany – z zastrzeżeniem sytuacji określonych w art. 3 ust. 2 i 3 RODO – warunkiem, by administrator danych lub podmiot dokonujący ich transgranicznego przetwarzania posiadali jednostkę organizacyjną na terytorium Unii.
Wobec tego Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego, w rozumieniu tego przepisu, nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.
Pozwany – podmiot wyłącznie odpowiedzialny za przetwarzanie danych, czy także inna jednostka organizacyjna z grupy podmiotów
Trybunał ustalił, że pytanie zostało podniesione w ramach powstałego między stronami sporu dotyczącego kwestii tego, czy sąd odsyłający jest właściwy do rozpatrzenia powództwa o zaniechanie w zakresie, w jakim zostało wniesione przeciwko Facebook Belgium, z uwagi na fakt, że:
- unijna siedziba grupy Facebook znajduje się w Irlandii, a Facebook Ireland jest podmiotem ponoszącym wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii oraz
- zgodnie z podziałem zadań wewnątrz tej grupy, jednostka organizacyjna znajdująca się w Belgii została utworzona przede wszystkim po to, aby umożliwić tej grupie, tytułem działalności głównej, utrzymywanie stosunków z instytucjami Unii i, tytułem działalności pobocznej, prowadzenie działalności reklamowej i marketingowej tej grupy adresowanej do podmiotów mających miejsce zamieszkania lub siedzibę w Belgii.
Trybunał ustalił także, że art. 58 ust. 5 RODO nie ogranicza wykonywania uprawnienia do wszczęcia postępowania sądowego wyłącznie przeciwko „głównej jednostce organizacyjnej”. Przeciwnie, zgodnie z tym samym przepisem jeżeli organ nadzorczy państwa członkowskiego posiada, zgodnie z art. 55 i 56 RODO, niezbędne w tym celu kompetencje, może on wykonywać uprawnienia przyznane mu w tym rozporządzeniu na terytorium swojego państwa, niezależnie od tego, w jakim państwie członkowskim mają siedzibę administrator lub podmiot przetwarzający.
Dodatkowo Trybuła dokonał analizy działalności jednostki belgijskiej Facebooka i stwierdził, że:
- sieć społecznościowa Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie w tym państwie członkowskim, choćby miało to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych, z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka;
- prowadzona jako główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych osobowych przez Facebook Ireland.
Wobec takich okoliczności Trybunał uznał, że rodzaje działalności prowadzone przez jednostkę organizacyjną grupy Facebook znajdującą się w Belgii należy uznać za nierozerwalnie związane z rozpatrywanym w postępowaniu głównym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność w odniesieniu do terytorium Unii. W konsekwencji takie przetwarzanie należy traktować jako dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora” w rozumieniu art. 3 ust. 1 RODO.
Uwzględniając całokształt powyższych rozważań Trybunał stwierdził, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.
Postępowania wszczęte przed 25.05.2018 r.
W omawianym wyroku pojawił się również wątek dotyczący postępowań sądowych w zakresie transgranicznego przetwarzania danych osobowych wszczętych przed dniem wejścia w życie RODO, czyli przed 25.05.2018 r.
RODO nie przewiduje żadnego przepisu przejściowego ani jakiegokolwiek innego przepisu regulującego status postępowań sądowych wszczętych przed momentem, od którego ma ono zastosowanie i które pozostawały jeszcze w toku w dniu, 25.05.2018 r. W szczególności żaden przepis tego rozporządzenia nie przewiduje, że skutkuje ono zakończeniem wszystkich toczących się w dniu 25 maja 2018 r. postępowań sądowych dotyczących zarzucanych naruszeń przewidzianych w dyrektywie 95/46 przepisów regulujących przetwarzanie danych osobowych, nawet jeśli zachowania mające znamiona takich zarzucanych naruszeń są kontynuowane po tej dacie.
Należy dokonać rozróżnienia pomiędzy powództwami wytaczanymi przez organ nadzorczy danego państwa członkowskiego w związku z naruszeniami przepisów dotyczących ochrony danych osobowych popełnianymi przez administratorów lub podmioty przetwarzające:
- przed dniem 25.05.2018 r.
- po dniu 25.05.2018 r.
W pierwszym przypadku postępowanie sądowe może być prowadzone dalej na podstawie przepisów dyrektywy 95/46, która nadal znajduje zastosowanie w odniesieniu do naruszeń, których dopuszczono się do dnia jej uchylenia, czyli do dnia 25 maja 2018 r.
W drugim przypadku powództwo może zostać wniesione na podstawie art. 58 ust. 5 RODO wyłącznie pod warunkiem, że powództwo to dotyczy sytuacji, w której w rozporządzeniu tym przyznano tytułem wyjątku organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza przepisy tego rozporządzenia, jeśli chodzi o ochronę praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu procedur przewidzianych w tym rozporządzeniu.
Bezpośrednia skuteczność art. 58 ust. 5 RODO wobec braku jego transpozycji do prawa krajowego
Zgodnie z art. 58 ust. 5 RODO każde państwo członkowskie winno przewidzieć w swoich przepisach, że jego organ nadzorczy jest uprawniony do podniesienia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego lub do uczestniczenia w nim w inny sposób w celu wyegzekwowania stosowania przepisów tego rozporządzenia.
Trybunał zauważył, że zgodnie z art. 288 akapit drugi TFUE rozporządzenie (czyli np. RODO) wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, w związku z czym jego przepisy nie wymagają co do zasady przyjęcia przez państwa członkowskie jakiegokolwiek środka wykonawczego.
Z art. 58 ust. 5 RODO nie wynika, że państwa członkowskie powinny określić za pomocą wyraźnego przepisu okoliczności, w jakich krajowe organy nadzorcze mogą wszcząć postępowanie przed sądem w rozumieniu tego przepisu. Wystarczy, by organ nadzorczy miał, zgodnie z ustawodawstwem krajowym, możliwość podnoszenia przed organami wymiaru sprawiedliwości naruszeń przepisów tego rozporządzenia oraz, w stosownych przypadkach, pozwania przed sąd lub wszczęcia w inny sposób postępowania w celu wyegzekwowania stosowania przepisów tego rozporządzenia.
Oznacza to, że art. 58 ust. 5 RODO ma bezpośrednią skuteczność, efektem czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.
Podsumowując, próbując udzielić odpowiedzi na pytanie postawione w tytule niniejszego wpisu należ stwierdzić, że Prezes Urzędu Ochrony Danych Osobowych może domagać się ukarania Facebook Poland sp. z o.o. z siedzibą w Warszawie w zakresie naruszania przez Facebook przepisów RODO na terytorium Polski pod warunkiem, że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez Facebook Poland sp. z o.o. Dla bardziej dociekliwych 🙂 całość orzeczenia dostępna jest pod linkiem.
Jeżeli jesteś przedsiębiorcą i chcesz w bezpieczny sposób przetwarzać dane osobowe skorzystaj z przygotowanych przez nas rozwiązań w postaci:
- pakietu dokumentów RODO
- wzoru zgody na przetwarzanie danych osobowych
- wzoru umowy powierzenia przetwarzania danych osobowych
- wzoru polityki prywatności
Interesuje Cię problematyka danych osobowych? Przeczytaj więcej naszych wpisów dostępnych pod linkiem.