28 kwietnia Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym stwierdził, że „Stowarzyszenia ochrony konsumentów mogą wnosić powództwa przedstawicielskie w razie naruszenia przepisów o ochronie danych osobowych. Takie powództwo można wnieść niezależnie od konkretnego naruszenia prawa do ochrony danych osoby, której dane dotyczą osób, i w braku udzielonego w tym celu upoważnienia”.
cp220068plStreszczenie wyroku
Sprawa C‑319/20
Meta Platforms Ireland Limited, dawniej Facebook Ireland Limited
przeciwko
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesgerichtshof)
Wyrok Trybunału (trzecia izba) z dnia 28 kwietnia 2022 r.
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 80 – Reprezentowanie osób, których dane dotyczą, przez stowarzyszenie o celach niezarobkowych – Powództwo przedstawicielskie wytoczone przez stowarzyszenie ochrony interesów konsumentów w braku upoważnienia i niezależnie od naruszenia konkretnych praw osoby, której dane dotyczą – Powództwo oparte na zakazie stosowania nieuczciwych praktyk handlowych, naruszeniu przepisów o ochronie konsumentów lub zakazie stosowania nieważnych ogólnych warunków handlowych
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Reprezentowanie osób, których dane dotyczą – Legitymacja procesowa czynna – Stowarzyszenie ochrony interesów konsumentów – Powództwo przedstawicielskie wytoczone przez to stowarzyszenie w braku upoważnienia i niezależnie od naruszenia konkretnych praw osoby, której dane dotyczą – Powództwo oparte na naruszeniu przepisów dotyczących ochrony konsumentów lub zwalczania nieuczciwych praktyk handlowych – Dopuszczalność – Przesłanka
(rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 80 ust. 2)
(zob. pkt 57–60, 63–79, 83 i sent.)
Streszczenie
Spółka Meta Platforms Ireland zarządza ofertą usług serwisu społecznościowego Facebook i jest administratorem danych osobowych użytkowników tego serwisu w Unii. Platforma internetowa Facebook obejmuje, pod adresem internetowym www.facebook.de, przestrzeń zwaną „App-Zentrum” (centrum aplikacji), na której Meta Platforms Ireland udostępnia użytkownikom bezpłatne gry dostawców będących osobami trzecimi. Przeglądając niektóre z tych gier, użytkownik widzi informację, że poprzez korzystanie z danej aplikacji zezwala spółce dostarczającej gry na uzyskanie pewnych danych osobowych i upoważnia ją do publikacji w jego imieniu pewnych informacji. Korzystając z tej aplikacji, akceptuje jej ogólne warunki oraz politykę w dziedzinie ochrony danych. Ponadto w przypadku jednej z gier użytkownik zostaje poinformowany, że zezwala na publikowanie przez aplikację w jego imieniu zdjęć i innych informacji.
Niemiecki federalny związek organizacji i stowarzyszeń konsumenckich(1) uznał, że podawane w przypadku odnośnych gier dostępnych w centrum aplikacji informacje są nieuczciwe. Wobec tego związek organizacji konsumenckich, jako podmiot mający legitymację procesową do żądania zaniechania naruszeń przepisów w dziedzinie ochrony konsumentów(2), wniósł przeciwko Meta Platforms Ireland powództwo o zaniechanie. Powództwo to wytoczono w braku konkretnego naruszenia prawa do ochrony danych osoby, której dane dotyczą, i bez upoważnienia od takiej osoby. Od orzeczenia uwzględniającego to powództwo Meta Platforms Ireland wniosła apelację, która została oddalona, a następnie złożyła skargę rewizyjną do Bundesgerichtshof (federalnego trybunału sprawiedliwości, Niemcy). Powziąwszy wątpliwości co do dopuszczalności powództwa związku organizacji konsumenckich, a w szczególności co do legitymacji procesowej tego związku do wniesienia powództwa przeciwko Meta Platforms Ireland, ów sąd zwrócił się do Trybunału z pytaniem prejudycjalnym.
W wydanym wyroku Trybunał orzekł, że art. 80 ust. 2 ogólnego rozporządzenia o ochronie danych(3) nie sprzeciwia się temu, by stowarzyszenie ochrony interesów konsumentów mogło wnieść do sądu powództwo – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych. Takie powództwo jest możliwe, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z RODO.
Ocena Trybunału
Przede wszystkim Trybunał przypomniał, że o ile RODO(4) ma na celu zapewnienie pełnej co do zasady harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, o tyle art. 80 ust. 2 owego rozporządzenia jest jednym z przepisów, które pozostawiają państwom członkowskim zakres uznania w odniesieniu do ich wprowadzenia w życie(5). W konsekwencji, aby można było wnieść bez upoważnienia przewidziane w tym przepisie powództwo przedstawicielskie w dziedzinie ochrony danych osobowych, państwa członkowskie powinny skorzystać z przyznanego im przez ten przepis uprawnienia do ustanowienia w ich prawie krajowym takiego sposobu reprezentowania osób, których dane dotyczą. Jednakże korzystając z tego uprawnienia, państwa członkowskie powinny korzystać z przysługującego im zakresu uznania na warunkach i w granicach przewidzianych w przepisach RODO i stanowić prawo w taki sposób, aby nie naruszać treści ani celów owego rozporządzenia.
Następnie Trybunał podkreślił, że zapewniając państwom członkowskim możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, art. 80 ust. 2 RODO przewiduje szereg wymogów, których należy przestrzegać. Otóż, po pierwsze, legitymacja procesowa czynna przysługuje podmiotowi, organizacji lub zrzeszeniu spełniającym kryteria wymienione w RODO(6). Może wchodzić w zakres tego pojęcia stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, które realizuje leżący w interesie publicznym cel polegający na zapewnieniu praw i wolności osób, których dane dotyczą, a które występują w charakterze konsumentów, jeżeli realizacja takiego celu może być związana z ochroną danych osobowych tych osób. Po drugie, wniesienie rzeczonego powództwa przedstawicielskiego zakłada, że dany podmiot, niezależnie od jakiegokolwiek udzielonego mu upoważnienia, uznaje, iż prawa, jakie osoba, której dane dotyczą, wywodzi z RODO, zostały naruszone wskutek przetwarzania jej danych osobowych.
Tak więc z jednej strony wniesienie powództwa przedstawicielskiego(7) nie wymaga od danego podmiotu, aby uprzednio zidentyfikował indywidualnie osobę, której konkretnie dotyczy przetwarzanie danych, które ma być sprzeczne z przepisami RODO. W tym celu wskazanie kategorii lub grupy osób, których dotyczy takie przetwarzanie, może być również wystarczające(8).
Z drugiej strony wytoczenie takiego powództwa nie wymaga zaistnienia konkretnego naruszenia praw, jakie dana osoba wywodzi z RODO. Aby bowiem uznać, że danemu podmiotowi przysługuje legitymacja procesowa czynna, wystarczy podnieść, iż odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z rzeczonego rozporządzenia, bez konieczności udowadniania rzeczywistej szkody poniesionej w określonej sytuacji przez osobę, której dane dotyczą, wskutek naruszenia jej praw. Tak więc w świetle realizowanego przez RODO celu upoważnienie stowarzyszeń ochrony interesów konsumentów, takich jak związek organizacji konsumenckich, do wnoszenia – w ramach mechanizmu powództwa przedstawicielskiego – powództw o zaniechanie przetwarzania danych sprzecznego z przepisami RODO, niezależnie od naruszenia praw osoby, której owo naruszenie dotyczy indywidualnie i konkretnie, przyczynia się niewątpliwie do wzmocnienia praw osób, których dane dotyczą, i do zapewnienia im wysokiego poziomu ochrony.
Wreszcie Trybunał wyjaśnił, że naruszenie przepisu dotyczącego ochrony danych osobowych może jednocześnie prowadzić do naruszenia przepisów odnoszących się do ochrony konsumentów lub do nieuczciwych praktyk handlowych. RODO(9) pozwala bowiem państwom członkowskim na skorzystanie z przysługującego im uprawnienia do wprowadzenia uregulowania, zgodnie z którym stowarzyszenia ochrony interesów konsumentów są uprawnione do wnoszenia powództw w razie naruszeń przewidzianych w RODO praw na podstawie przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych.
1 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (zwany dalej „związkiem organizacji konsumenckich”).
2 Na gruncie prawa niemieckiego ustawy o ochronie konsumentów zawierają również przepisy określające dopuszczalność gromadzenia, przetwarzania lub wykorzystywania danych osobowych konsumenta przez przedsiębiorstwo lub przedsiębiorcę.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwane dalej „RODO”). Zgodnie z jego art. 80 ust. 2 „[p]aństwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 [tego] artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania [danych osobowych] naruszone zostały prawa osoby, której dane dotyczą, wynikające z [tego] rozporządzenia”.
4 Jak wynika to z art. 1 ust. 1 w związku z motywami 9, 10 i 13 tego rozporządzenia.
5 Na podstawie „klauzul upoważniających”.
6 W szczególności w art. 80 ust. 1 RODO. Ów przepis wspomina „podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych”.
7 Na podstawie art. 80 ust. 2 RODO.
8 W szczególności ze względu na zakres przewidzianego w art. 4 pkt 1 RODO pojęcia „osoby, której dane dotyczą”, które obejmuje zarówno „zidentyfikowaną osobę fizyczną”, jak i „możliwą do zidentyfikowania osobę fizyczną”.
9 W szczególności art. 80 ust. 2 RODO.