To irlandzki organ ochrony danych powinien prowadzić sprawy przeciwko światowym gigantom internetowym – uznał rzecznik generalny TSUE.

Choć sprawa dotyczy Facebooka, to rozstrzygnięcie Trybunału Sprawiedliwości Unii Europejskiej będzie miało fundamentalne znaczenie dla praw użytkowników takich światowych gigantów jak Google, Microsoft czy Apple. Mają oni bowiem swoje główne siedziby w Irlandii, co oznacza, że wiodącym organem ochrony danych jest dla nich właśnie tamtejszy organ. Facebook twierdzi, że jedynie ten ostatni ma prawo prowadzić sprawy związane z transgranicznym przetwarzaniem danych. Przyjęcie takiej wykładni oznaczałoby w praktyce, że krajowe instytucje, w tym polski Urząd Ochrony Danych Osobowych, pełnią, co do zasady, funkcję pomocniczą. Wyrok będzie tym ważniejszy, że irlandzki organ od lat jest znany z wyjątkowo łagodnego podejścia wobec światowych gigantów.
Chodzi o postępowanie prowadzone przez belgijski organ ochrony danych osobowych przeciwko Facebookowi. Portal ten śledzi ruch nie tylko zarejestrowanych użytkowników, ale też innych internautów, którzy wchodzą na niego np. poprzez linki. O ile ci pierwsi akceptują regulamin i godzą się np. na zapisywanie plików cookies na swoich komputerach, o tyle drudzy już nie. To, zdaniem belgijskiego organu, narusza przepisy o ochronie danych osobowych. Dlatego wniósł on do sądu o zakazanie Facebookowi umieszczenia cookies na komputerach użytkowników, którzy nie wyrazili na to zgody. Co więcej domaga się również, by portal społecznościowy wykasował wszystkie dane Belgów, które zostały pozyskane bez ich zgody.
Postępowanie jest prowadzone od 2015 r. W 2016 r. belgijski sąd uznał, że może ono być prowadzone wyłącznie wobec belgijskiego oddziału Facebooka, wobec irlandzkiego już nie. W 2018 r. zaczęto stosować RODO, a w nim pojawiły się przepisy dotyczące wspomnianego już organu wiodącego. To na ich podstawie portal społecznościowy zaczął argumentować, że sąd belgijski, tak samo jak i organ tego kraju, nie jest właściwy do prowadzenia spraw związanych z transgranicznym przetwarzaniem danych. Sąd postanowił poprosić TSUE o rozstrzygnięcie tej kwestii.

Organ właściwy

Przedstawiciele Facebooka przekonywali na rozprawie, że sprawami związanymi z transgranicznym przetwarzaniem danych powinien zajmować się wyłącznie organ wiodący (czyli w tej sprawie irlandzki). Ich zdaniem zapobiegłoby niejednolitemu orzecznictwu sądowemu i konieczności bronienia się przed tymi samymi zarzutami podnoszonymi jednocześnie w wielu krajach. Komisja Europejska, która poparła argumenty portalu społecznościowego, zwróciła z kolei uwagę, że oddanie tych spraw w ręce organu wiodącego zapewniłoby spójność w stosowaniu przepisów RODO. Podobnego zdania były rządy czeski i fiński.
Belgijski organ, poparty przez swój oraz polski, włoski i portugalski rząd, argumentował z kolei, że RODO nie wyłącza kompetencji innych organów niż wiodący. Zwracali uwagę, że zgodnie z jego art. 56 ust. 1 uprawnienia dla organu wiodącego nie mogą naruszać uprawnień organów innych państw (patrz infografika).
Rzecznik generalny TSUE Michal Bobek, w przedstawionej w środę opinii, nie podzielił tego ostatniego stanowiska. Jego zdaniem wykładnie językowa, systemowa, celowościowa i historyczna przepisów RODO prowadzą do wniosku, że to organowi wiodącemu przysługuje ogólna właściwość w odniesieniu do transgranicznego przetwarzania danych. Innymi słowy, w przypadku Facebooka (jak i innych wspomnianych korporacji) to irlandzki organ jest właściwy do rozpoznawania spraw.
Nie oznacza to jednak, że może to robić z pominięciem stanowisk organów pozostałych państw członkowskich. Zgodnie z RODO jest bowiem zobowiązany do współpracy z nimi. Jeśli więc Polak złoży skargę związaną z transgranicznym przetwarzaniem danych do UODO, ale wiodącym w tej sprawie okaże się organ irlandzki, to powinien on w swym rozstrzygnięciu uwzględnić stanowisko UODO.

Nieliczne wyjątki

Rzecznik zastrzegł jednak, że są sytuacje, w których także pozostałe organy mogą zająć się sprawami dotyczącymi transgranicznego przetwarzania danych. W szczególności wtedy, gdy:
■ podejmują działania niemieszczące się w zakresie przedmiotowego stosowania RODO,
■ badają te same lub podobne czynności transgranicznego przetwarzania danych przez administratorów spoza Unii,
■ podejmują działania w trybie pilnym,
■ wkraczają do sprawy w efekcie podjęcia przez organ wiodący decyzji, że nie będzie się on zajmować danym przypadkiem.
W praktyce sytuacje, w których organy inne niż wiodący będą mogły wydawać własne decyzje w sprawach transgranicznych, będą należeć do rzadkości.
– Jeśli pogląd rzecznika generalnego zostanie zaaprobowany przez TSUE, to polski organ krajowy będzie mógł przeprowadzać postępowania związane z ochroną danych osobowych wobec podmiotów niemających siedziby w Polsce, ale tylko w przypadku gdy te same lub podobne czynności transgranicznego przetwarzania danych wykonują administratorzy spoza Unii. W mojej opinii pozostałe trzy sytuacje są na tyle szeroko wskazane, że dopiero praktyka orzecznicza sądów krajowych będzie mogła wskazać, czy znajdą one zastosowanie – komentuje Piotr Liwszic, autor bloga JawnePrzezPoufne.pl.
Co mówi RODO

orzecznictwo

Opinia rzecznika generalnego TSUE z 13 stycznia 2021 r. w sprawie C 645/19. www.serwisy.gazetaprawna.pl/orzeczenia