TRYBUNAŁ SPRAWIEDLIWOŚCI UNII EUROPEJSKIEJ

Fashion ID
C-40/17

WYROK TSUE
z dnia 29-07-2019 r.
EU:C:2019:629
przedmiot:

Wniosek o wydanie orzeczenia w trybie prejudycjalnym (art. 267 TFUE) dotyczący możliwości uznania za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: „dyrektywa 95/46”) spółki, która umieszcza na swojej witrynie wtyczkę „Lubię to” portalu społecznościowego Facebook, umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, złożony przez Oberlandesgericht Düsseldorf (Wyższy Sąd Krajowy w Düsseldorfie, Niemcy)

rostrzygnięcie:

Czy art. 22–24 dyrektywy 95/46 należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych?

Artykuły 22–24 dyrektywy 95/46 należy interpretować w ten sposób, że nie stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych.

Czy operatora witryny internetowej, takiego jak Fashion ID, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, choć operator ten nie ma żadnego wpływu na przetwarzanie danych przekazanych w ten sposób wspomnianemu dostawcy?

Operatora witryny internetowej, takiego jak Fashion ID GmbH & Co. KG, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy tej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję.

Czy w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, należy do celów stosowania art. 7 lit. f) dyrektywy 95/46 wziąć pod uwagę uzasadnione interesy tego operatora, czy też uzasadnione interesy wspomnianego dostawcy?

W sytuacji, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.

Czy art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych wspomnianej osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez wspomnianego operatora lub przez tego dostawcę, a po drugie, czy art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży na tym operatorze?

Artykuł 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa. Ponadto art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży również na wspomnianym operatorze, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.

stan faktyczny:

Fashion ID, niemiecka spółka zajmująca się sprzedażą odzieży online, umieściła na swojej stronie internetowej wtyczkę społecznościową – „Lubię to” portalu Facebook. Wydaje się, że  w sytuacji, gdy osoba odwiedzająca przegląda witrynę Fashion ID, jej dane osobowe są przekazywane spółce Facebook Ireland. Ponadto, wydaje się, że cały proces odbywa się bez świadomości ze strony osoby przeglądającej portal oraz niezależnie od tego, czy dana osoba jest użytkownikiem serwisu Facebook lub czy kliknęła przycisk „Lubię to”.

Stowarzyszenie użyteczności publicznej zajmujące się ochroną interesów konsumentów – Verbraucherzentrale NRW – zarzucił Fashion ID przekazywanie Facebook Ireland danych osobowych osób odwiedzających jej witrynę internetową, bez zgody odwiedzających oraz z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych. Wskutek powyższych działań, Verbraucherzentrale NRW wniosło przeciwko Fashion ID powództwo o zaniechanie opisanej powyżej praktyki do Landgericht Düsseldorf (Sądu Krajowego w Düsseldorfie).

Oberlandesgericht Düsseldorf badający powyższą sprawę, postanowił zawiesić postępowanie i zwrócić się do Trybunału Sprawiedliwości o wykładnię kilku przepisów nieobowiązującej już dyrektywy 95/46, która została zastąpiona przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Z uwagi na datę wystąpienia okoliczności faktycznych sporu w postępowaniu głównym dyrektywa ta ma zastosowanie w tej sprawie.

główne tezy:
  • Państwo członkowskie przewidujące w swoim ustawodawstwie krajowym możliwość wytoczenia powództwa przez stowarzyszenie ochrony interesów konsumentów przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych przyczynia się do realizacji celów dyrektywy 95/46.
  • Do artykułu 7 dyrektywy 95/46 (zawierającego zamknięty i wyczerpujący katalog przypadków, w których przetwarzanie danych osobowych uznaje się za legalne) państwa członkowskie nie mogą dodawać nowych kryteriów legalności przetwarzania danych osobowych względem kryteriów ustanowionych w tym artykule, ani też ustanawiać dodatkowych wymogów, które mogłyby prowadzić do modyfikacji zakresu katalogu.
  • Państwom członkowskim pozostawia się zadanie ustalenia szczegółów lub dokonania wyboru między istniejącymi opcjami wynikających z dyrektywy 95/46, ponieważ przepisy tejże dyrektywy cechują się elastycznością i dzięki temu państwa członkowskie dysponują pewnym marginesem działania w ramach transpozycji.
  • Osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46.
  • Istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy.
  • Osoba fizyczna lub prawna może jedynie być administratorem w rozumieniu art. 2 lit. d) dyrektywy 95/46 wspólnie z innymi podmiotami w odniesieniu do operacji przetwarzania danych osobowych, których cele i sposoby określa wspólnie. Natomiast, bez uszczerbku dla ewentualnej odpowiedzialności cywilnej przewidzianej w tym względzie przez prawo krajowe, osoby fizycznej lub prawnej nie można uznać za administratora w rozumieniu tego przepisu w odniesieniu do wcześniejszych lub późniejszych operacji łańcucha przetwarzania, których celów ani środków ona nie określa.
  • Okoliczność, że operator witryny internetowej sam nie ma dostępu do danych osobowych gromadzonych i przekazanych dostawcy wtyczki społecznościowej, z którym określa wspólnie sposoby i cele przetwarzania danych osobowych, nie stoi na przeszkodzie temu, aby był administratorem danych w rozumieniu art. 2 lit. d) dyrektywy 95/46.
  • Zgoda na gromadzenie danych osobowych musi zostać wyrażona przed procesem gromadzenia danych osoby, której dane dotyczą, i ich ujawnieniem poprzez transmisję. Obowiązek uzyskania tej zgody spoczywa na operatorze witryny internetowej, a nie na dostawcy wtyczki społecznościowej, jako że proces przetwarzania danych osobowych zostaje uruchomiony wejściem osoby odwiedzającej na tę witrynę.
opinia rzecznika generalnego:
powiązane sprawy:

  • Wyroki z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 i C-469/10, EU:C:2011:777
  • Wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17, EU:C:2018:551
  • Wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388

akty prawne:

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych – akt stracił moc obowiązującą dnia 24 maja 2018 r. (Dz.U. 1995, L 281, s. 31)

(https://eur-lex.europa.eu/dyrektywa95/46…)

Art. 1

Art. 2 lit. a), b), d), f), g) i h)

Art. 7

Art. 10

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2)

(https://eur-lex.europa.eu/RODO…)

słowa kluczowe:

administrator danych; dane osobowe; gromadzenie danych osobowych; wtyczka społecznościowa; Facebook; zgoda na przetwarzanie danych osobowych

autor omówienia:

Natalia Czyżyk