Czy UOKiK może się zajmować naruszeniem RODO? (wyrok TSUE C-252/21)

Czy przeglądanie, lajkowanie i udostępnionych stron internetowych może być interpretowane jako zgoda na przetwarzanie danych osobowych — ujawnianie zainteresowań internauty? Czy przetwarzanie danych zagregowanych z różnego rodzaju usług i serwisów, w celu lepszego dopasowania reklam, można oprzeć na uzasadnionym interesie administratora? Czy organ ochrony konkurencji może oceniać naruszenie RODO?


Kamienna Brama
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Trybunału Sprawiedliwości UE z 4 lipca 2023 r. w/s Meta Platforms vs. Bundeskartellamt (C-252/21)
1) Artykuł 51 i następne rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz art. 4 ust. 3 TUE
należy interpretować w ten sposób, że:
organ ochrony konkurencji państwa członkowskiego, z zastrzeżeniem poszanowania obowiązku lojalnej współpracy z organami nadzorczymi, może w ramach badania nadużycia pozycji dominującej przez przedsiębiorstwo w rozumieniu art. 102 TFUE stwierdzić, iż ogólne warunki korzystania z usług tego przedsiębiorstwa dotyczące przetwarzania danych osobowych i ich wdrażanie nie są zgodne z tym rozporządzeniem, jeżeli stwierdzenie to jest konieczne do wykazania istnienia takiego nadużycia.
Ze względu na ten obowiązek lojalnej współpracy krajowy organ ochrony konkurencji nie może odstąpić od wydanej przez właściwy krajowy organ nadzorczy lub właściwy wiodący organ nadzorczy decyzji dotyczącej tych ogólnych warunków lub warunków do nich podobnych. Jeżeli organ ochrony konkurencji ma wątpliwości co do zakresu takiej decyzji, w sytuacji gdy wspomniane lub podobne warunki są jednocześnie przedmiotem badania prowadzonego przez te organy, lub jeżeli w braku prowadzenia dochodzenia lub wydania decyzji przez te organy nadzorcze organ ochrony konkurencji uważa, że rozpatrywane przezeń warunki nie są zgodne z rozporządzeniem 2016/679, powinien skonsultować się z tymi właśnie organami nadzorczymi i zwrócić się do nich o współpracę w celu rozwiania wątpliwości lub ustalenia, czy przed przeprowadzeniem swojej własnej oceny winien on poczekać na wydanie przez nie decyzji. W braku zgłoszenia przez te organy zastrzeżeń lub też w braku ustosunkowania się do takiego wniosku w rozsądnym terminie, krajowy organ ochrony konkurencji może kontynuować prowadzone dochodzenie.

2) Artykuł 9 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w tym przepisie, i, w stosownym przypadku, zamieszcza w nich dane, rejestrując się na tych stronach lub tych aplikacjach lub też składając zamówienia online, dokonywane przez operatora tej internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu, za pomocą zintegrowanych interfejsów, plików cookie lub podobnych technologii rejestracji danych pochodzących z przeglądania tych stron i tych aplikacji oraz danych zamieszczonych przez użytkownika, łączeniu wszystkich tych danych z kontem sieci społecznościowej tego użytkownika i wykorzystywaniu wspomnianych danych przez tego operatora należy uznać za „przetwarzanie szczególnych kategorii danych osobowych” w rozumieniu tego przepisu, które jest co do zasady zakazane, z zastrzeżeniem wyjątków przewidzianych w art. 9 ust. 2 tego rozporządzenia, jeżeli owo przetwarzanie danych może ujawniać informacje należące do jednej z tych kategorii, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej.

3) Artykuł 9 ust. 2 lit. e) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w art. 9 ust. 1 tego rozporządzenia, nie upublicznia on w sposób oczywisty, w rozumieniu pierwszego z tych przepisów, dotyczących tego przeglądania danych zbieranych przez operatora tej internetowej sieci społecznościowej za pomocą plików cookie lub podobnych technologii rejestracji.
Gdy taki użytkownik zamieszcza dane na takich stronach internetowych lub w takich aplikacjach lub też gdy aktywuje zintegrowane z tymi stronami i aplikacjami przyciski wyboru, takie jak przyciski „Lubię to” lub „Udostępnij”, lub przyciski umożliwiające użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika w internetowej sieci społecznościowej, z jego numerem telefonu lub jego adresem elektronicznym, upublicznia on w oczywisty sposób, w rozumieniu tego art. 9 ust. 2 lit. e), dane zamieszczone w ten sposób lub wynikające z aktywowania tych przycisków jedynie w przypadku, gdy uprzednio wyraźnie wyraził swój wybór – w stosownym przypadku dokonany poprzez indywidualnie zdefiniowanie z pełną znajomością rzeczy parametrów – o publicznym udostępnieniu dotyczących go danych nieograniczonej liczbie osób.

4) Artykuł 6 ust. 1 akapit pierwszy lit. b) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do wykonania umowy, której stroną są osoby, których dane dotyczą, w rozumieniu tego przepisu, tylko wtedy, gdy przetwarzanie to jest obiektywnie niezbędne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz tych samych użytkowników, skutkiem czego główny cel umowy nie mógłby zostać osiągnięty bez tego przetwarzania.

5) Artykuł 6 ust. 1 akapit pierwszy lit. f) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.

6) Artykuł 6 ust. 1 akapit pierwszy lit. c) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych jest uzasadnione, w rozumieniu tego przepisu, jeżeli to przetwarzanie jest rzeczywiście niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych na podstawie przepisu prawa Unii lub prawa danego państwa członkowskiego, owa podstawa prawna służy realizacji celu leżącego w interesie publicznym i jest proporcjonalna do prawnie uzasadnionego celu, a przetwarzanie to jest dokonywane w granicach tego, co jest absolutnie niezbędne.

7) Artykuł 6 ust. 1 akapit pierwszy lit. d) i e) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych nie może – co do zasady i z zastrzeżeniem weryfikacji, którą powinien przeprowadzić sąd odsyłający – zostać uznane za niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej w rozumieniu lit. d) lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi w rozumieniu lit. e) tego przepisu.

8) Artykuł 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
okoliczność polegająca na tym, iż operator internetowej sieci społecznościowej zajmuje pozycję dominującą na rynku internetowych sieci społecznościowych, nie stoi sama w sobie na przeszkodzie temu, by użytkownicy takiej sieci mogli skutecznie wyrazić zgodę, w rozumieniu art. 4 pkt 11 tego rozporządzenia, na przetwarzanie ich danych osobowych przez tego operatora. Niemniej jednak okoliczność ta stanowi element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie, czego udowodnienie należy do tego operatora.

Sprawa dotyczyła, a jakże Fejsbóka i Łocapa, a zaczęła się od rejestracji w tych usługach, przy której to czynności usługodawca wymuszał zgodę na krzyżowe przesyłanie zintegrowanych danych, m.in. w celu personalizacji wyświetlanych reklam, marketingu bezpośredniego, bezpieczeństwa sieci, ulepszania produktów, etc. Praktykę tę zakwestionował — jako naruszenie zasad konkurencji wynikające z nadużycia pozycji dominującej na rynku — Bundeskartellamt (niemiecki federalny urząd ochrony konkurencji, tj. odpowiednik polskiego UOKiK).

W odwołaniu od tej decyzji Meta Platforms zwrócił uwagę, że skoro spór dotyczył przetwarzania danych osobowych użytkowników serwisów internetowych, kompetentny do jego oceny jest wyłącznie organ nadzorczy, a nie organ ochrony konkurencji i konsumentów — a sprawa trafiła do TSUE (por. „Czy Fejsbók może przetwarzać dane użytkowników zagregowane z innych serwisów należących do Meta?”).

art. 51 ust. 1 RODO
Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej „organem nadzorczym”).

W wydanym wyroku Trybunał Sprawiedliwości orzekł, iż:

  • badanie pozycji dominującej przedsiębiorcy może opierać się nie tylko na przepisach o prawie konkurencji, ale także na innych regulacjach, w tym RODO — acz tylko w takim zakresie, w jakim jest to konieczne do stwierdzenia nadużycia pozycji dominującej;
  • aczkolwiek organ ochrony konkurencji nie może oceniać naruszenia RODO, ponieważ w tym zakresie kompetentny jest tylko organ ochrony danych (w uproszczeniu: UOKiK nie może wyręczać PUODO); stąd też urząd d/s konkurencji powinien sprawdzić, czy podobne działanie było oceniane przez organ nadzorczy lub TSUE — i nie może pominąć ewentualnego rozstrzygnięcia;
  • ponadto TSUE stwierdził, iż chociaż przeglądanie stron internetowych, ich lajkowanie lub pisanie komentarzy może prowadzić do ujawnienia danych wrażliwych, nie może być interpretowane jako ich upublicznienie w sposób oczywisty (art. 9 ust. 2 lit. e) RODO) — chyba że wcześniej wyraźnie zgodził się na publiczne udostępnianie swych danych nieograniczonej liczbie osób;
  • w wyroku pojawia się pewna bardzo ciekawa myśl: że wykonanie umowy jest podstawą przetwarzania danych osobowych — jednak tylko wówczas, jeśli jest rzeczywiście niezbędne, a cel umowy nie byłby osiągnięty bez owego przetwarzania;
  • trudno zatem powiedzieć, by dopasowanie reklam miało taki związek z wykonaniem umowy (wszakże celem umowy zawieranej przez użytkownika z Fejsbókiem nie jest otrzymywanie reklam), zarazem personalizacja treści reklam nie usprawiedliwia przetwarzania danych osobowych opartego na uzasadnionym interesie administratora, a wymagana jest zgoda użytkownika;
  • natomiast fakt, iż Meta Platforms posiada dominującą pozycję na rynku serwisów społecznościowych nie wyklucza swobody wyrażania przez użytkowników zgody na przetwarzanie danych osobowych — aczkolwiek brak równowagi między użytkownikiem i usługodawcą oznacza, że możliwe jest badanie dobrowolności wyrażenia zgody.

(Sentencja wyroku strasznie długa (celowo tym razem jej nie upraszczałem), uzasadnienie też niekrótkie — zatem moja omówka, dla kontrastu, dość lakoniczna.)

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

10 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
10
0
komentarze są tam :-)x