Problematyczna wtyczka? Pytanie prejudycjalne dotyczące „Lubię to”

autor: Konrad Makar

21.12.2018

Problematyczna wtyczka? Pytanie prejudycjalne dotyczące „Lubię to”

W dzisiejszym blogu nie będzie zbyt wiele o prawie w świecie sportu. Pochylę się natomiast nad zagadnieniem, które na owy świat może mieć w niedalekiej przyszłości niemały wpływ. 10 kwietnia 2017 r. pod sygnaturą C – 40/17, przed Trybunałem Sprawiedliwości Unii Europejskiej (dalej: TSUE) rozpoczęło się postępowanie ws pytania prejudycjalnego złożonego przez wyższy sąd krajowy w Düsseldorfie[1]. Wątpliwości pojawiły się w związku z relacją pomiędzy umieszczeniem na stronie internetowej popularnej, facebook’owej wtyczki „Lubię to”, a ochroną danych osobowych. Mając na uwadze, iż obecnie większość związków, klubów, stowarzyszeń sportowych posiada swoje witryny internetowe oraz prowadzi konta na wspomnianym portalu społecznościowym, orzeczenie TSUE odnosić się będzie również do nich.

Na początku koniecznym jest przybliżenie okoliczności całej sprawy. Niemiecka spółka zajmująca się sprzedażą odzieży przez internet zamieściła na swojej stronie wtyczkę „Lubię to”. Po wejściu na stronę internetową spółki, informacje o adresie IP i identyfikatorze przeglądarki użytkownika były przekazywane facebook’owi. Przekazanie następowało automatycznie po załadowaniu się strony internetowej spółki i odbywało się niezależnie od tego, czy przycisk „Lubię to” został kliknięty oraz czy użytkownik był posiadaczem konta na facebook’u. W obliczu tego, niemieckie stowarzyszenie mające na celu ochronę konsumentów, złożyło pozew przeciwko spółce, w którym wnosiło o zaniechanie, z uwagi na to, że wg niego korzystanie z tej wtyczki prowadzi do naruszenia przepisów dotyczących ochrony danych. Objawiało się ono poprzez brak wyraźnej i jednoznacznej informacji o celu pobierania i wykorzystywania danych. Użytkownicy strony dowiadywali się o tym dopiero po przekazaniu facebook’owi ich danych. Ponadto spółka nie odbierała od internautów zgody na przekazywanie ich danych do facebook. A jeżeli już taka zgoda się pojawiła, brak było informacji ze strony spółki o możliwości jej cofnięcia w każdym czasie[2].

Niemiecki sąd zwrócił się do TSUE m.in. z następującymi pytaniami[3]:

  • Czy na podstawie dyrektywy 95/46/WE[4] (dalej: dyrektywa), stowarzyszenie może wystosować powództwo zamiast osoby fizycznej, której prawa są naruszane?
  • Czy spółkę należy uznać za administratora danych w odniesieniu do przetwarzania IP i identyfikatora przeglądarki użytkownika strony?
  • Wobec kogo powinna zostać wyrażona zgoda na przetwarzanie? Kto powinien zrealizować obowiązek informacyjny?

Ze względu na wszczęcie postępowania w pierwszej połowie 2017 roku, sprawa rozpatrywana jest na gruncie dyrektywy, która została uchylona 25 maja 2018 roku przez RODO[5]. Jednakże zakres przepisów dyrektywy, w oparciu o który TSUE będzie rozpatrywać zagadnienie, nie różni się znacząco od postanowień RODO, dlatego też orzeczenie, jakiekolwiek by było, powinno znaleźć zastosowanie w obecnym porządku prawnym.

W pierwszej kolejności należy wyraźnie stwierdzić, opierając się na przepisach dyrektywy oraz prawie niemieckim, że pozew mógł zostać wystosowany przez stowarzyszenie działające na rzecz konsumentów. Zgodnie z art. 288 ust. 3 Traktatu o Funkcjonowaniu Unii Europejskiej „dyrektywa wiąże każde państwo członkowskie, do którego jest kierowana, w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków”[6]. Tym samym, jeżeli dyrektywa ustala pewne minimalne wymogi, które muszą być spełnione, aby można było uznać, że doszło do realizacji jej celów, nic nie stoi na przeszkodzie, aby państwa członkowskie ustaliły wyższe standardy (w tym wypadku ochrony danych). Oprócz osoby fizycznej bezpośrednio dotkniętej naruszeniem, niemiecki ustawodawca w przepisach wewnętrznych przewiduje również możliwość skierowania pozwu przez podmiot zbiorowy przeciwko przedsiębiorcy, który stosuje w jego odczuciu niedozwolone praktyki handlowe. Dlatego też TSUE powinien przyjąć, że stowarzyszenie posiada legitymacje procesową w niniejszej sprawie. Co więcej obecnie obowiązujący art. 80 ust. 2 RODO wyraźnie przyznaje stowarzyszeniom takie prawa. Trudno jest sobie przy tym wyobrazić, ażeby TSUE pokusił się o tak daleko idącą niespójność pomiędzy dyrektywą, a zastępującym ją rozporządzeniem.

Państwa członkowskie zaproszone do składania swoich uwag były zgodne, co do pozostawania przez spółkę administratorem danych. Jednogłośnie odwoływały się do definicji z art. 2 lit. d dyrektywy, która za administratora uznaje „osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”. Z kolei za przetwarzanie dyrektywa uznaje „każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych” (art. 2 lit. b). Działanie pozwanej spółki polegało na umieszczeniu na swojej stronie internetowej wtyczki dostarczonej przez facebook, która była narzędziem gromadzącym i przetwarzającym dane osobowe. Ponadto skorzystanie z wtyczki przez spółkę było dobrowolne i świadome, dokonane w celu promocji swoich usług. Jako, że spółka nie miała już najmniejszego wpływu na to, jak uzyskane dane wykorzystuje facebook, oba podmioty powinny zostać uznane za współadministratorów danych.

Obowiązki administratora zarówno w dyrektywie, jak i RODO są dość klarownie określone. Zgoda osoby fizycznej na przetwarzanie jej danych osobowych musi być wyrażona przed rozpoczęciem przetwarzania, aby było ono w pełni legalne. Podobnie z jest z obowiązkiem informacyjnym uregulowanym w art. 10 dyrektywy. Istotnym jest, że nawet jeżeli spółka nie ma wpływu na działania podejmowane przez facebook na uzyskanych danych, posiada ona wszelkie, niezbędne informacje, które powinny być przekazane użytkownikom. Natomiast, ponieważ to spółka jest pierwszym podmiotem, który dane osobowe pozyskuje dla swoich celów związanych z prowadzoną działalnością, to ona w tym wypadku powinna odebrać rzeczoną zgodę i udzielić stosownych informacji.

Postępowanie trwa. Przedstawione powyżej rozważania oparte są na przepisach prawa unijnego, a także poglądach przedstawicieli doktryny. Ostateczny głos w tej sprawie będzie należeć do TSUE. Bez względu na kształt i treść orzeczenia, z pewnością warto się nim zainteresować, bowiem może mieć ono wpływ na zakres obowiązków związanych z przetwarzaniem danych osobowych przez wszelkie podmioty (w tym związane ze sportem), które korzystają na swoich stronach internetowych z wtyczek portali społecznościowych.

 

[1]Oficjalna strona internetowa sprawy prowadzonej przed TSUE http://curia.europa.eu/juris/liste.jsf?oqp=&for=&mat=or&lgrec=en&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-40%252F17&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=en&avg=&cid=3264646, dostęp 21.12.2018 r.

[2] Opinia Rzecznika Generalnego Michala Bobeka przedstawiona w dniu 19 grudnia 2018 r., Sprawa C‑40/17

http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=2918620, dostęp 21.12.2018 r.

[3] Podane zostały jedynie niektóre pytania istotne z punktu widzenia niniejszego wpisu.

[4] Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[6] Dziennik Urzędowy C 326 , 26/10/2012 P. 0001 - 0390

Kontakt z nami