Organizacja społeczna może wytaczać powództwo przedstawicielskie także w przypadku naruszenia wynikających z RODO obowiązków informacyjnych (TSUE)

Czy organizacja społeczna statutowo zajmująca się kwestiami RODO może wnieść powództwo przedstawicielskie, jeśli naruszenie praw osób polegało na nieprzedstawieniu przez administratora pełnej informacji o przetwarzaniu danych? Czy jednak brak wykonania obowiązku informacyjnego sam w sobie nie oznacza naruszenia ochrony danych osobowych?


jezioro Barwalder See
Bärwalder See — kolejne łużyckie jezioro utworzone poprzez zalanie nieczynnej kopalni węgla brunatnego; w tle Kraftwerk Boxberg, jeszcze pracuje (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Trybunału Sprawiedliwości UE z 11 lipca 2024 r. w/s Meta Platorms (C-757/22)
Przesłanka – zgodnie z którą podmiot uprawniony na podstawie [art. 80 ust. 2 RODO] do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, iż do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) RODO, polegającego na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.

Sprawa dotyczyła świadczonej przez Meta Platforms usługi, w ramach której użytkownikom serwisu Fejsbók są udostępniane — gratis, acz pod warunkiem udzielenia dość ogólnej zgody na gromadzenie i publikowanie określonych danych osobowych — gry (dostarczane przez osoby trzecie, a więc serwis w istocie występuje w roli platformy).
W ocenie jednej z niemieckich organizacji społecznych statutowo zajmujących się ochroną praw konsumentów taka praktyka była niedopuszczalna. Po pierwsze udostępnienie danych wymaga wyraźnej zgody użytkowników, którym nawet nie prezentowano prawidłowo informacji o przetwarzaniu danych osobowych; po drugie możliwość płacenia danymi za możliwość zagrania w darmową grę jest „nadmiernie niekorzystnym” warunkiem handlowym.

Do sądu trafił pozew o zakazanie nieuczciwych praktyk rynkowych — przy czym organizacja nie oparła swych żądań o naruszenie praw konkretnej osoby, ani nie przedstawiła jakiegokolwiek pełnomocnictwa.
Sąd prawomocnie uwzględnił powództwo, jednak sprawa trafiła, poprzez niemiecki federalny trybunał sprawiedliwości, do TSUE, który wyjaśnił, że nawet brak konkretnego naruszenia danych osobowych wskazanej co do tożsamości osoby nie wyklucza wytoczenia powództwa przedstawicielskiego przez odpowiednie organizacje społeczne (wyrok TSUE z 28 kwietnia 2022 r. w/s Meta Platforms Ireland, C-319/20).

art. 80 ust. 2 RODO
Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie [którego cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych] mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.

Przedstawiona przez TSUE wykładnia okazała się jednak dla Bundesgerichtshofu nazbyt wąska — w kolejnym pytaniu prejudycjalnym zadano zatem pytanie o to, czy organizacja społeczna może podejmować działania prawne w oparciu o swoje przekonaniu w przypadku naruszenia obowiązków informacyjnych.

W drugim podejściu Trybunał Sprawiedliwości UE podtrzymał i rozszerzył przedstawioną wcześniej wykładnię: w przypadku naruszenia przepisów RODO z żądaniem ochrony może wystąpić bezpośrednio zainteresowana osoba, legitymacja procesowa przysługuje także organizacji społecznej statutowo zajmującej się ochroną danych osobowych, nawet jeśli nie dysponuje ona upoważnieniem udzielonym przez jakąkolwiek osobę, której prawa zostały naruszone. Wniesienie powództwa przedstawicielskiego nie jest uzależnione od wykazania żadnego konkretnego naruszenia praw konkretnej osoby — wystarczy, że instytucja skutecznie wykaże, że może mieć ono negatywny wpływ na prawa osób, których dane są przetwarzane. Powództwo przedstawicielskie można wytoczyć także w przypadku nieudzielenia przez administratora prawidłowej informacji o przetwarzaniu danych — bo naruszenie RODO stanowi także brak przejrzystej komunikacji dotyczącej celów przetwarzania i odbiorców danych osobowych, już choćby przez to, że powinności te mieszczą się w zasadach dotyczących przetwarzania. Istotą obowiązku informacyjnego jest wszakże zapewnienie poszanowania zasad przejrzystości i rzetelności przetwarzania, zaś naruszenie obowiązków informacyjnych może wykluczać prawidłowe udzielenie świadomej zgody na przetwarzanie — zatem należy je oceniać jako naruszenie „w wyniku przetwarzania” danych osobowych.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

1 Komentarz
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
1
0
komentarze są tam :-)x