Przewodniczący belgijskiej komisji do spraw ochrony prywatności, „KOP”) 11 września 2015 r.  wystąpił do niderlandzkojęzycznego sądu pierwszej instancji w Brukseli) przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium z powództwem o zaniechanie mającym na celu położenie kresu naruszeniom przepisów dotyczących ochrony danych, których miał dopuszczać się Facebook.

Facebook wykorzystywał informacje i zachowaniach internatów

Naruszenia te polegały m.in. na gromadzeniu i wykorzystywaniu informacji o zachowaniach w internecie internautów belgijskich, niezależnie od tego, czy posiadają oni konto na Facebooku, przy użyciu różnego rodzaju technologii, takich jak pliki cookie, wtyczki społecznościowe1 czy też piksele monitorujące. Sąd ten 16 lutego 2018 r. uznał się za właściwy do orzekania w przedmiocie tego powództwa i orzekł co do istoty, że sieć społecznościowa Facebook nie informowała dostatecznie belgijskich internautów o gromadzeniu i wykorzystaniu dotyczących ich informacji. Uznał też za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie tych informacji.

 

Facebook 2 marca 2018 r. zaskarżył to rozstrzygnięcie przed sądem apelacyjnym w Brukseli, czyli sądem, który skierował pytania prejudycjalne w omawianej sprawie do TSUE. W postępowaniu przed tym sądem belgijski organ ochrony danych („ODO”) występował jako następca prawny przewodniczącego KOP. Sąd krajowy stwierdził swoją właściwość do rozpoznania odwołania wniesionego przez Facebook Belgium, ale powziął wątpliwości odnośnie do wpływu, jaki ma stosowanie przewidzianego w rozporządzeniu w sprawie ochrony danych mechanizmu kompleksowej współpracy na kompetencje ODO i, w szczególności, zadał sobie pytanie, czy, w odniesieniu do okoliczności, które zaszły po wejściu w życie RODO, czyli po dniu 25 maja 2018 r., ODO może wystąpić z powództwem przeciwko Facebook Belgium, skoro to Facebook Ireland został uznany za administratora rozpatrywanych danych. Począwszy bowiem od tej daty, a w szczególności w zastosowaniu ustanowionej w RODO zasady kompleksowej współpracy, jedynie irlandzki komisarz ds. ochrony danych jest właściwy do wytoczenia powództwa o zaniechanie, nad czym kontrolę sprawują sądy irlandzkie.

Czytaj także: Wyciekły dane z Facebooka - mogą być wykorzystane przez oszustów>>
 

Organ krajowy może badać naruszenia

W odpowiedzi na pytania belgijskiego sądu w ogłoszonym 15 czerwca br. wyroku Trybunał dokonał uszczegółowienia warunków, w jakich krajowy organ nadzorczy, który nie jest wiodącym organem w zakresie przetwarzania transgranicznego. TSUE stwierdził, że powinien wykonywać przysługujące mu uprawnienia do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami danego państwa członkowskiego i, w odpowiednim przypadku, do wszczynania postępowania sądowego w celu zapewnienia stosowania tego rozporządzenia.
Według TSUE, RODO powinno przyznawać temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, że to przetwarzanie narusza zasady ustanowione tym rozporządzeniem, i, po drugie, uprawnienie to powinno być wykonywane przy poszanowaniu ustanowionych tym rozporządzeniem procedur współpracy i kontroli spójności. 

W odniesieniu do operacji przetwarzania transgranicznego RODO ustanawia bowiem mechanizm kompleksowej współpracy5 , który opiera się na podziale kompetencji między „wiodącym organem nadzorczym” a innymi krajowymi organami nadzorczymi, których to przetwarzanie dotyczy. Mechanizm ten wymaga ścisłej, lojalnej i skutecznej współpracy między tymi organami, a to w celu zapewnienia spójnej i jednolitej ochrony zasad dotyczących ochrony danych osobowych i zachowania w ten sposób skuteczności (effet utile) tego rozporządzenia. W RODO została w tym względzie ustanowiona przysługująca co do zasady wiodącemu organowi nadzorczemu właściwość do wydania decyzji stwierdzającej, że dana operacja przetwarzania transgranicznego narusza zasady zawarte w tym rozporządzeniu6 , podczas gdy przysługująca innym organom nadzorczym, których sprawa dotyczy, kompetencja do wydania takiej decyzji, choćby tylko czasowej, stanowi wyjątek od tej zasady. 

 


Może kierować sprawy do sądów w ramach podziału kompetencji

Trybunał uściślił też, że okoliczność polegająca na tym, iż organ nadzorczy państwa członkowskiego, który nie jest wiodącym organem nadzorczym w odniesieniu do danej operacji transgranicznego przetwarzania danych, może wykonywać uprawnienie do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczynania postępowania sądowego jedynie z poszanowaniem zasad podziału kompetencji decyzyjnych pomiędzy wiodącym organem nadzorczym a innymi organami nadzorczymi , jest zgodna z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej, gwarantującej danej osobie, odpowiednio, prawo do ochrony danych osobowych i prawo do skutecznego środka prawnego.

Siedziba firmy nie musi być w tym kraju

Trybunał orzekł, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługujących organowi nadzorczemu państwa członkowskiego innemu niż organ wiodący uprawnień do wszczęcia postępowania przed sądem nie ma wymogu, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, którego dotyczy to powództwo, posiadał główną czy też inną jednostkę organizacyjną na terenie tego państwa członkowskiego. Niemniej jednak, wykonywanie tego uprawnienia powinno być objęte terytorialnym zakresem stosowania RODO, co wiąże się z przyjęciem założenia, że administrator danych lub podmiot dokonujący ich transgranicznego przetwarzania muszą posiadać jednostkę organizacyjną na terytorium Unii.

Czytaj także: TSUE: Nie można przekazywać danych osobowych do USA, bo nie są dobrze chronione>>
 

Zarzuty wobec oddziału i centrali

Trybunał orzekł, że w przypadku transgranicznego przetwarzania danych przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący uprawnienia do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego oraz, w odpowiednim przypadku, do wszczynania postępowania sądowego, mogą być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych, która znajduje się w państwie członkowskim, do którego przynależy ten organ, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem, że to powództwo dotyczy przetwarzania danych dokonywanego w ramach działalności tej jednostki organizacyjnej, a organ ten jest właściwy do wykonywania tego uprawnienia.

Stare przepisy też mogą mieć zastosowanie

Trybunał orzekł również, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, skierował przed dniem wejścia w życie RODO powództwo dotyczące transgranicznego przetwarzania danych osobowych, powództwo to może na mocy prawa Unii zostać podtrzymane na podstawie przepisów dyrektywy w sprawie ochrony danych, która nadal ma zastosowanie w odniesieniu do naruszeń ustanowionych w niej zasad popełnionych do dnia, w którym została ona uchylona. Ponadto powództwo to może zostać wniesione przez ten organ w związku z naruszeniami popełnionymi po wejściu w życie RODO pod warunkiem, że jest to jeden z przypadków, w którym rozporządzenie to przyznaje temu organowi uprawnienie do przyjęcia decyzji stwierdzającej, że dana operacja przetwarzania danych narusza reguły ustanowione w tym rozporządzeniu, i dzieje się to przy poszanowaniu ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności.

Organ nadzorczy państwa może badać naruszenia

Trybunał potwierdził bezpośrednią skuteczność przepisu RODO, zgodnie z którym każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia i, w odpowiednim przypadku, do wszczynania postępowania sądowego. Organ taki może więc powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został transponowany do ustawodawstwa danego państwa członkowskiego.

Wyrok Trybunału w sprawie C-645/19