Stan faktyczny
Spór pomiędzy Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA a belgijskim organem ochrony danych dotyczył wniesionego przez ten organ powództwa o zaniechanie na terytorium Belgii przetwarzania danych internautów przez sieć społecznościową Facebook z wykorzystaniem technologii takich jak pliki cookie, wtyczki społecznościowe (social plug‑ins) i piksele monitorujące.
Stanowisko TSUE
Mechanizm kompleksowej współpracy
W art. 56 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1 ze zm.; dalej: RODO) ustanowiony został w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4 pkt 23 RODO, mechanizm kompleksowej współpracy, oparty na podziale kompetencji między „wiodącym organem nadzorczym” i pozostałymi organami nadzorczymi, których dana sprawa dotyczy. W ramach tego mechanizmu to organ nadzorczy głównej lub jedynej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 RODO – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający. W szczególności z art. 56 i 60 RODO wynika, że w odniesieniu do „przetwarzania transgranicznego”, z zastrzeżeniem art. 56 ust. 2 RODO, poszczególne krajowe organy nadzorcze, których sprawa dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych, prowadzonej we wszystkich jego jednostkach organizacyjnych na obszarze Unii. Ponadto, art. 61 ust. 1 RODO zobowiązuje organy nadzorcze w szczególności do przekazywania istotnych informacji oraz do świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania tego rozporządzenia w całej UE. W art. 63 RODO wyjaśniono, że to w tym właśnie celu w art. 64 i 65 ustanowiony zostaje mechanizm kontroli spójności (wyrok TSUE z 24.9.2019 r., C‑507/17, Legalis Google (Zakres terytorialny prawa do usunięcia linków).
Trybunał orzekł, że art. 55 ust. 1, art. 56–58 oraz art. 60–66 RODO w zw. z art. 7, 8 i 47 KPP należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego – który na podstawie ustawodawstwa krajowego wydanego w wykonaniu art. 58 ust. 5 RODO jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa i, w stosownych przypadkach, do wszczęcia postępowania sądowego – może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 RODO. Jednakże pod warunkiem, że jest to jeden z przypadków, w których RODO przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem ustanowionych w RODO procedur współpracy i kontroli spójności.
Legitymacja procesowa
W art. 58 ust. 5 RODO przyznano każdemu organowi nadzorczemu uprawnienie do wnoszenia do organów sądowych jego państwa członkowskiego spraw dotyczących wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania jego przepisów.
Trybunał stwierdził, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny. Ponadto, podkreślił, że prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa członkowskiego od spełnienia warunku, aby powództwo wnoszone przez ten organ było skierowane przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 tego rozporządzenia lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. Niemniej jednak organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5 RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania RODO.
Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego, w rozumieniu tego przepisu, nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.
Adresat powództwa
W niniejszej sprawie przetwarzanie danych osobowych, którego w UE dokonuje wyłącznie Facebook Ireland i które polega na gromadzeniu informacji o zachowaniach w Internecie m.in. posiadaczy konta na Facebooku, ma na celu umożliwienie Facebookowi poprawę efektywności jej systemu reklamowego. Trybunał wskazał, że po pierwsze, sieć społecznościowa taka jak Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie w tym państwie, chociaż miałoby to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych, z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka. Po drugie, prowadzona jako główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych osobowych przez Facebook Ireland. W tych okolicznościach rodzaje działalności prowadzone przez jednostkę organizacyjną grupy Facebook znajdującą się w Belgii, zdaniem TSUE, należy uznać za nierozerwalnie związane z rozpatrywanym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność w odniesieniu do terytorium Unii. W konsekwencji TSUE uznał, że takie przetwarzanie należy traktować jako dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora” w rozumieniu art. 3 ust. 1 RODO.
Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.
Bezpośrednia skuteczność
Trybunał podkreślił, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż ten przepis ma bezpośrednią skuteczność. W konsekwencji krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.
Wydaje się, że w pewnym zakresie niniejszy wyrok można odczytywać jako zakwestionowanie szerokiej interpretacji mechanizmu kompleksowej współpracy uregulowanego w RODO. Trybunał rozstrzygał, czy administrator, w rozpatrywanej sprawie Facebook Ireland Ltd, może zostać pozwany, co do transgranicznego przetwarzania danych, przez organ nadzorczy państwa innego niż państwo, w którym ten administrator ma swoją główną jednostkę organizacyjną. Jeszcze przed wydaniem tego wyroku w doktrynie podnoszono, że przyznanie takiej legitymacji procesowej może powodować, że nadzór będzie sprawowany przez „o jeden organ za dużo”.
Niewątpliwe najistotniejszy wniosek jaki wynika z obszernego uzasadnienia niniejszego wyroku, to uprawnienie na podstawie RODO dla organu nadzorczego państwa członkowskiego na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia tego rozporządzenia, w związku z transgranicznym przetwarzaniem danych w sytuacji, w której ów organ nie jest wiodącym organem nadzorczym, w rozumieniu art. 56 ust. 1 RODO. Przy czym TSUE zaznaczył, że to uprawnienie może wykonywać pod warunkiem, że po pierwsze, jest to jeden z przypadków, w których RODO przyznaje temu organowi uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza RODO, oraz pod drugie, jest ono wykonywane zgodnie z uregulowanymi w RODO procedurami współpracy i kontroli spójności. Tym samym ta kompetencja będzie przysługiwała również polskiemu Prezesowi Urzędu Ochrony Danych Osobowych (zob. art. 34 ust. 2 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781).
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
