Wyrok TSUE i możliwe reperkusje dla dużych firm technologicznych

Europejski wymiar sprawiedliwości uznaje istnienie wyjątków od mechanizmu kompleksowej współpracy, gwarantującego prawo do ochrony danych i dostęp do skutecznego środka odwoławczego dla wszystkich zainteresowanych stron. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 15 czerwca 2021 r. w sprawie C-645/19 (Facebook przeciwko belgijskiemu organowi ochrony danych) potwierdza uprawnienia krajowych organów ochrony danych wobec Facebooka i ustanawia warunki, aby krajowe organy ochrony danych organy kontroli danych państwa członkowskiego mogą wszcząć działania prawne w celu transgranicznego przetwarzania danych osobowych.

Serwis społecznościowy Facebook został ukarany przed sądem w Belgii za zbieranie i przetwarzanie danych internautów z Belgii, nawet jeżeli nie mieli oni konta na portalu. Facebook postanowił odwołać się do TSUE i wyrokiem z 15/06/2021 ponownie przegrał. Belgijska spółka zależna sieci społecznościowej stwierdziła w swoim odwołaniu, że zgodnie z przepisami europejskimi jedynym organem ochrony danych uprawnionym do wszczęcia postępowania w sprawie w odniesieniu do transgranicznego przetwarzania danych miała miejsce Irlandzka Komisja Ochrony Danych (DPC), ponieważ europejska siedziba firmy znajduje się w Dublinie. TSUE przyznaje jednak, że w tych sprawach właściwy jest organ belgijski.

Chociaż prawdą jest, że generalnie kompetencję do wnoszenia powództw posiada organ ochrony danych państwa członkowskiego, w którym administrator ma swoją główną siedzibę, w swoim orzeczeniu TSUE uważa, że ​​jeżeli ustawodawstwo krajowe państwa członkowskiego upoważnia do organ kontroli danych w celu inicjowania lub podejmowania działań prawnych w przypadku domniemanego naruszenia Europejskiego Rozporządzenia o Ochronie Danych, może również wykonywać to uprawnienie w odniesieniu do transgranicznego przetwarzania danych, nawet jeśli nie jest „głównym organem kontroli”, w rozumieniu art. 56 ust. 1 tego samego rozporządzenia. W ten sposób najwyższy sąd europejski odpowiada na pytanie postawione przez Sąd Apelacyjny w Brukseli, czy RODO faktycznie uniemożliwia belgijskiemu krajowemu organowi ochrony danych wszczęcie postępowania sądowego w jego państwie członkowskim w sprawie transgranicznego przetwarzania danych przez Facebooka, którego europejska siedziba znajduje się w Irlandii.

Początki konfliktu

We wrześniu 2015 r. belgijski organ ochrony danych wszczął postępowanie przeciwko kilku spółkom z grupy Facebook: Facebook INC, Facebook Ireland Ltd – która jest siedzibą grupy w UE – oraz Facebook Belgium BVBA.

W swoim wniosku organ ochrony danych zażądał od Facebooka zaprzestania umieszczania, bez zgody użytkowników Internetu z siedzibą w Belgii, określonych plików cookie na urządzeniach używanych przez nich podczas przeglądania strony internetowej w domenie Facebook.com lub podczas trafić na stronę internetową osoby trzeciej. Poprosił również, aby technologia przestała nadmiernie gromadzić dane za pomocą wtyczek społecznościowych (na przykład przycisków „Lubię to” lub „Udostępnij”) i pikseli na stronach internetowych osób trzecich. Elementy te umożliwiły sieci społecznościowej uzyskanie pewnych danych, takich jak adres tej strony, „adres IP” osoby odwiedzającej tę stronę oraz data i godzina zapytania.

Holenderskojęzyczny Sąd Pierwszej Instancji w Brukseli stwierdził, że omawiany serwis społecznościowy nie poinformował w wystarczającym stopniu belgijskich użytkowników Internetu o wykorzystywaniu informacji, w związku z czym zażądał od Facebooka zaprzestania takiego postępowania i zniszczenia wszystkich danych osobowych uzyskanych za pomocą plików cookie i wtyczki -w danych społecznościowych dotyczących każdego użytkownika Internetu mającego siedzibę na terytorium Belgii.

W związku z tym Sąd Apelacyjny w Brukseli skierował pytanie prejudycjalne w celu ustalenia, czy RODO, po wdrożeniu zasady kompleksowej obsługi, faktycznie uniemożliwia belgijskiemu krajowemu organowi ochrony danych wszczęcie postępowania sądowego w jego państwie członkowskim o przetwarzanie transgranicznego przetwarzania danych prowadzonego przez Facebook, z przedstawicielstwem w Belgii, ale którego dany administrator danych znajduje się w Irlandii.

Mechanizm „kompleksowej współpracy”

Orzeczenie przypomina, że ​​RODO przewiduje mechanizm „kompleksowej współpracy”, którego celem jest „zagwarantowanie spójnej i jednolitej ochrony przepisów o ochronie danych osobowych, a tym samym zachowanie ich skuteczności”. Procedura ta oznacza, że ​​administratorzy lub podmioty przetwarzające mające siedzibę w kilku państwach członkowskich lub, którzy, będąc w jednym państwie członkowskim, przeprowadzają zabiegi, które mogą mieć istotny wpływ na obywateli w kilku państwach UE, mogą mieć jeden organ ds. ochrony danych jako interlokutor. „Ten organ pośredniczący będzie działał jako główny organ kontrolny i będzie generalnie organem głównej siedziby administratora danych lub osoby odpowiedzialnej za leczenie” – mówi Tamara Vizcaíno, prawnik ekspert ds. ochrony danych w Grupo Adaptalia.

W przypadku wskazanego orzeczenia Facebook zarzucił powszechność tego systemu, aby Irlandzki Urząd Kontroli mógł zostać uznany za Główny Organ. TSUE stwierdził jednak, że pod pewnymi warunkami przepisy „uprawniają organ nadzorczy państwa członkowskiego do wykonywania przysługującego mu uprawnienia do informowania sądów państwa członkowskiego o każdym domniemanym naruszeniu RODO oraz do wszczynania lub podejmowania działań prawnych z w odniesieniu do transgranicznego przetwarzania danych, nawet jeśli nie jest głównym organem nadzorczym w związku z takim przetwarzaniem. 

Trybunał Sprawiedliwości przypomina, że ​​wykonywanie czynności prawnej przez organ nadzorczy państwa członkowskiego musi mieścić się w zakresie terytorialnym RODO i uznaje bezpośredni skutek przepisu RODO, zgodnie z którym każde państwo może ustanowić ustawą, że jego organ nadzorczy jest uprawniony do informowania organów sądowych o naruszeniach wspomnianego rozporządzenia oraz w stosownych przypadkach, do wszczęcia lub innego uczestniczenia w postępowaniu sądowym.

Reperkusje dla dużych firm technologicznych

Takie oświadczenie na niekorzyść Facebooka może poważnie zaszkodzić dużym firmom technologicznym (takim jak Amazon czy Google). Według eksperta ds. ochrony danych, Tamary Vizcaíno, „może to oznaczać znaczny wzrost liczby organów nadzorczych uprawnionych do inicjowania działań kontrolnych i nakładających sankcje, zwłaszcza jeśli weźmiemy pod uwagę, że wszystkie one przetwarzają dane na dużą skalę w większości Kraje Unii Europejskiej”.

Ponadto wyrok zwiększy skuteczną ochronę sądową wszystkich zainteresowanych stron. Zapewni większą gwarancję dla wszystkich użytkowników i większą łatwość, jeśli chodzi o zgłaszanie działań, które mogą naruszać zarówno RODO, jak i przepisy krajowe każdego państwa członkowskiego. Jest to dodatkowy krok w osiąganiu Unii bez granic legislacyjnych. oraz wyeliminowanie wszelkich barier, które mogłyby uniemożliwić lokalizację określonej organizacji, zmniejszając prawo do ochrony danych każdego obywatela.

Autorka: Wiktoria Sadowski

Źródła:

  • Wyrok TSUE 15 czerwca 2021 r. w sprawie o sygn. C-645/19 
  • https://curia.europa.eu/juris/document/document.jsf?text=&docid=242821&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=6068359 
  • https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=LEGISSUM:310401_2 
  • https://www.euractiv.pl/section/gospodarka/news/facebook-przegral-przed-tsue-spor-o-dane-osobowe-uzytkownikow-w-belgii/
- Advertisement -

Więcej artykułów

Zostaw odpowiedź

Please enter your comment!
Please enter your name here