W czwartek, 28 kwietnia 2022 r., Trybunał Sprawiedliwości wydał wyrok w sprawie C-319/20 Meta Platforms Ireland. Spółka Meta Platforms Ireland, dawniej Facebook Ireland, jest administratorem danych osobowych użytkowników serwisu społecznościowego Facebook w Unii.

Czytaj również: TSUE odpowie, czy firma może wchodzić w prywatną przestrzeń konsumenta>>

Bezpłatne gry a ochrona danych osobowych

Federalny związek organizacji i stowarzyszeń konsumenckich (Niemcy) wniósł przeciwko Meta Platforms Ireland powództwo o zaniechanie, zarzucając tej spółce naruszenie, przy udostępnianiu użytkownikom bezpłatnych gier dostawców będących osobami trzecimi, przepisów dotyczących ochrony danych osobowych, zwalczania nieuczciwej konkurencji i ochrony konsumentów. Przeglądając niektóre z tych gier dostępnych w centrum aplikacji, użytkownik widzi wyświetlającą się informację, że poprzez korzystanie z danej aplikacji zezwala spółce dostarczającej gry na uzyskanie pewnych danych osobowych i upoważnia ją do publikacji w jego imieniu pewnych informacji. Owo korzystanie z aplikacji wiąże się z zaakceptowaniem przez użytkownika jej ogólnych warunków oraz związanej z nią polityki w dziedzinie ochrony danych.

Federalny trybunał sprawiedliwości (Niemcy) zauważa, że powództwo związku organizacji konsumenckich jest zasadne, aczkolwiek żywi on wątpliwości co do dopuszczalności tego powództwa.

Ów sąd zastanawia się bowiem, czy stowarzyszeniu ochrony interesów konsumentów, takiemu jak związek organizacji konsumenckich, przysługuje jeszcze, po wejściu w życie ogólnego rozporządzenia o ochronie danych (tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.U. 2016, L 119, s. 1, dalej: RODO), uprawnienie do występowania przed sądami cywilnymi z powództwem dotyczącym naruszenia tego rozporządzenia niezależnie od konkretnych naruszeń praw poszczególnych osób, których dane dotyczą, i bez otrzymanego od nich upoważnienia. Ponadto zauważa on, że na podstawie RODO można wywieść wniosek, iż zweryfikowanie stosowania przepisów tego rozporządzenia należy głównie do organów nadzorczych.

RODO a mechanizm powództwa przedstawicielskiego

W wydanym właśnie wyroku Trybunał stwierdził, że RODO nie sprzeciwia się uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.

Na wstępie Trybunał zauważył, że RODO zapewnia pełną co do zasady harmonizację ustawodawstw krajowych w zakresie ochrony danych osobowych. Jednakże niektóre przepisy RODO dają państwom członkowskim możliwość ustanowienia dodatkowych uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie, pod warunkiem że przyjęte uregulowania krajowe nie naruszają treści ani celów rzeczonego rozporządzenia. W tym względzie państwa członkowskie mają między innymi możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, określając jednocześnie szereg wymogów, których należy przestrzegać.

Trybunał podkreślił przede wszystkim, że stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, jest objęte zakresem pojęcia podmiotu posiadającego legitymację procesową czynną w rozumieniu RODO, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw konsumentów. Naruszenie przepisów dotyczących ochrony konsumentów lub zwalczania nieuczciwych praktyk handlowych może być bowiem powiązane z naruszeniem przepisu w dziedzinie ochrony danych osobowych.

Trybunał wskazał następnie, że wniesienie powództwa przedstawicielskiego zakłada, iż takie stowarzyszenie – niezależnie od jakiegokolwiek udzielonego mu upoważnienia – „uznaje”, że przewidziane w RODO prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, przy czym nie jest konieczne uprzednie zidentyfikowanie w sposób indywidualny osoby, której konkretnie dotyczy rzeczone przetwarzanie danych, ani wskazanie na istnienie konkretnego naruszenia praw wywodzonych z przepisów o ochronie danych.

Taka wykładnia jest zgodna z realizowanym przez RODO celem polegającym między innymi na zapewnieniu wysokiego poziomu ochrony danych osobowych.

Wreszcie zdaniem Trybunału RODO nie sprzeciwia się uregulowaniom krajowym, które przewidują możliwość wnoszenia powództw przedstawicielskich w razie naruszeń przyznanych przez to rozporządzenie praw na podstawie, stosownie do okoliczności, przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych.