Stowarzyszenie konsumenckie może wnieść „ogólne i zbiorowe” powództwo o naruszenie RODO

Sagi z RODO w roli głównej ciąg dalszy: i oto dziś TSUE orzekł, że stowarzyszenie konsumenckie może wnieść pozew o naruszenie zasad przetwarzania danych osobowych — bez wykazywania konkretnego naruszenia i bez upoważnienia konkretnej osoby, której dane zostały naruszone. Wystarczające jest bowiem „uznanie”, iż naruszenie takie miało miejsce — zaś definicja danych osobowych pozwala odnieść ją do bliżej nieokreślonej zbiorowości. (Aczkolwiek pod warunkiem, że przepis prawa krajowego takie uprawnienie mu przydaje.)

wyrok Trybunału Sprawiedliwości UE z 28 kwietnia 2022 r. w/s Meta Platforms Ireland (C-319/20)
Artykuł 80 ust. 2 RODO nie sprzeciwia się uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa — w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą — przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.

Sprawa zaczęła się od wniesionego przez Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (federalny związek organizacji i stowarzyszeń konsumenckich) powództwa przeciwko Fejsbókowi, w którym zarzucono usługodawcy naruszenie przepisów o ochronie danych osobowych (a to w zakresie udostępniania danych użytkowników podmiotom trzecim), ochronie konsumentów oraz czyn nieuczciwej konkurencji.

Spór trafił do niemieckiego federalnego trybunału sprawiedliwości, który powziął wątpliwości czy aby organizacja społeczna taka jak stowarzyszenie konsumenckie ma prawo wnieść pozew o naruszenie przepisów RODO, niezależnie od naruszenia praw w zakresie ochrony danych osobowych konkretnych osób (upraszczając: czy jest dopuszczalne powództwo „ogólne i zbiorowe”)?

art. 80 ust. 2 rozporządzenia 679/2016 o ochronie danych osobowych
Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie [
które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych] mają — niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.

W wydanym dziś wyroku TSUE stwierdził, iż jednym z celów RODO jest zapewnienie spójnych i jednolitych zasad ochrony praw i wolności osób fizycznych w zakresie przetwarzania ich danych, w tym także zagwarantowanie określonych środków prawych. Stąd też w przypadku naruszenia przepisów o ochronie danych osobowych zainteresowana osoba może wnieść skargę do organu nadzorczego, a także skorzystać z uprawnienia do wytoczenia powództwa cywilnego, włącznie z możliwością domagania się stosownego odszkodowania. Może też upoważnić stosowny podmiot do wykonywania niektórych praw w jej imieniu (art. 80 ust. 1 RODO) — zaś państwa członkowskie mogą wprowadzić przepisy pozwalające organizacjom społecznym na podejmowanie działań samodzielnie (art. 80 ust. 2 RODO).
Nie ma przy tym wątpliwości, iż art. 80 ust. 2 RODO nie wymaga wskazania konkretnej osoby fizycznej, której dane są przetwarzane: definicja danych osobowych opiera się na pojęciu „osoby, której dane dotyczą”, której tożsamość jest „możliwa do zidentyfikowana” nawet pośrednio. W ocenie TSUE oznacza to, iż do wytoczenia powództwa wystarczające jest określenie kategorii lub grupy osób, które mogły być dotknięte działaniem pozwanego administratora. Podobnie warunkiem wytoczenia powództwa przedstawicielskiego nie jest istnienie konkretnego naruszenia — wystarczające będzie bowiem, jeśli organizacja „uznaje”, iż przetwarzanie doprowadziło do naruszenia praw osób.

Niezależnie od tego TSUE zauważył, iż przepis prawa niemieckiego jest starszy niż RODO, został też oparty na innej podstawie w prawie europejskim (tj. na dyrektywie 2009/22 w/s nakazów zaprzestania szkodliwych praktyk w celu ochrony interesów konsumentów) — zatem mogą zaistnieć wątpliwości na ile regulacja ta jest zgodna z art. 80 ust. 2 RODO. Ocena tej okoliczności leży jednak w gestii sądu krajowego.

Zamiast komentarza: z tego, że do wytoczenia powództwa wystarczające jest „uznanie” nie można wnioskować, iż sąd może orzekać wyłącznie na podstawie takiego przekonania, bez przedstawienia konkretnych dowodów. Natomiast co do braku konieczności przyprowadzenia konkretnego, żywego człowieka („tak, to mnie przetwarzali!”) na potrzeby „ogólnego zbiorowego” powództwa wytoczonego w interesie poniekąd publicznym — chyba pełna zgoda.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

1 Komentarz
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
1
0
komentarze są tam :-)x