Rada skupiająca organy ochrony danych ze wszystkich państw UE ma prawo nakazywać organom krajowym, by te rozszerzyły prowadzone przez siebie dochodzenia. Tak uznał Sąd Unii Europejskiej. Eksperci twierdzą, że to dobry wyrok

Sąd Unii Europejskiej oddalił trzy skargi irlandzkiego organu ochrony danych osobowych(Data Protection Commission – DPC) na decyzje Europejskiej Rady Ochrony Danych (EROD). W każdej z trzech spraw chodziło o platformę internetową należącą do Mety. DPC przez kilka lat rozpatrywał skargi na serwisy społecznościowe Facebook i Instagram oraz na komunikator WhatsApp, złożone już pierwszego dnia obowiązywania RODO, czyli 25 maja 2018 r.

Sprawa trafiła do EROD

Sprawy miały charakter transgraniczny. W takiej sytuacji tzw. organ wiodący (DPC) przedstawia organom krajowym, do których wpłynęły skargi na to samo, projekt swojej decyzji. Ponieważ nie osiągnięto porozumienia, sprawą zajęła się EROD (patrz: ramka) i 5 grudnia 2022 r. przyjęła wiążące decyzje. Zgodnie z nimi, za przetwarzanie danych bez odpowiedniej podstawy prawnej, Facebook dostał od DPC 210 mln euro kary, Instagram 180 mln euro, a WhatsApp 5,5 mln euro.

Jednak oprócz tego EROD nakazała irlandzkiemu organowi przeprowadzenie dodatkowych dochodzeń wobec tych platform i wydanie na tej podstawie projektów decyzji. DPC domagał się, aby Sąd UE unieważnił decyzje EROD w tej części. Jak argumentował irlandzki organ, przepisy RODO ograniczają zakres wiążącej decyzji EROD do zakresu analiz objętych projektem decyzji wiodącego organu – a więc rada nie może żądać rozszerzenia dochodzenia.

Sąd uznał jednak, że rada była uprawniona do przyjęcia takiej decyzji. Po pierwsze, stwierdził, że sprzeciw wobec projektu decyzji może dotyczyć nie tylko tego, co w nim jest, ale i tego, czego w projekcie brakuje. „Jeśli okaże się, że akta sprawy są niewystarczające do przeprowadzenia wymaganej analizy w całości, EROD musi mieć możliwość zażądania od wiodącego organu nadzorczego przeprowadzenia dalszego dochodzenia” – czytamy w uzasadnieniu wyroku.

– Po drugie, sąd stwierdził, że to uprawnienie EROD wynika ze zbiorczej oceny organów nadzorczych – wskazuje dr Mirosław Gumularz, radca prawny z kancelarii NTL i przewodniczący Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych.

Mechanizm spójności

Doktor Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński i członek Społecznego Zespołu Ekspertów przy PUODO, zgadza się z wyrokiem Sądu UE. – Działania EROD nie podważały suwerenności organu irlandzkiego i nie stanowiły żadnego zagrożenia dla jego niezależności. Wszystko odbywało się tu zgodnie z procedurą przewidzianą w RODO – mówi. – W perspektywie mechanizmu spójności nie może być tak, że większość organów krajowych ma inne zdanie, a organ irlandzki ignoruje ich uwagi – podkreśla Paweł Litwiński.

Ten organ przez lata był krytykowany za to, że patrzy na big techy przez palce. – Moim zdaniem, niezależnie od argumentacji prawnej, inne podejście sądu promowałoby organy nadzorcze krajów, które starają się stworzyć „bezpieczną przestrzeń” dla big techów – stwierdza dr Gumularz. – Było ewidentne, że organ irlandzki ma bardzo preferencyjne podejście – dodaje.

Dlatego organy z innych krajów zgłosiły sprzeciwy do projektu decyzji DPC.

– Rada musiała zareagować wobec wyraźnej niechęci DPC do badania niepokojących praktyk i wyciągania konsekwencji za naruszenia RODO. I w tym celu skorzystała z przewidzianych w RODO środków. Pamiętajmy też, że EROD nie jest ciałem obcym – argumentuje Paweł Litwiński.

Radę tworzą przedstawiciele organów z 27 państw członkowskich UE, a także Islandii, Liechtensteinu i Norwegii, oraz Europejski Inspektor Ochrony Danych.

– Byłoby kuriozalne, gdyby prawie wszystkie inne organy nie mogły wymóc na DPC podjęcia działań w celu egzekwowania RODO – komentuje dr Litwiński.

W decyzjach będących przedmiotem sporu EROD nakazał irlandzkiemu organowi zbadanie, czy Facebook, Instagram i WhatsApp wykorzystują na potrzeby reklamy behawioralnej dane użytkowników dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych oraz przekonań religijnych, a także czy dzielą się nimi z innymi podmiotami.

Badania wciąż nie przeprowadzono

– Ten wyrok – jeśli zostanie podtrzymany w wyższej instancji albo jeśli nie będzie apelacji – wzmocni pozycję rady – uważa Paweł Litwiński. – I to mnie cieszy, bo bez przeniesienia pewnych kompetencji wyżej, ponad pojedyncze kraje członkowskie, nie ma szans na efektywne egzekwowanie RODO. Nie da się też bez tego zapewnić, aby przepisy rozporządzenia we wszystkich krajach były tak samo stosowane – dodaje.

Poprosiliśmy o komentarz DPC, gdzie od czasu złożenia skarg na decyzje EROD zmieniło się kierownictwo. Spytaliśmy też, czy organ irlandzki zamierza się odwoływać.

„Odnotowaliśmy wyrok Sądu UE i obecnie go analizujemy” – odpowiedziało biuro prasowe DPC.

Mirosław Gumularz podkreśla, że gdyby wczoraj zapadł wyrok na korzyść DPC, to niedługo podobne sytuacje mogłyby się powtórzyć w odniesieniu do prowadzonych przez irlandzki organ spraw dotyczących sztucznej inteligencji.

Smutne w tej sprawie jest natomiast to, że ciągnie się ona od 2018 r. – podsumowuje mecenas Litwiński. – Mamy już rok 2025 i wciąż zajmujemy się zakresem postępowania dowodowego, jakie DPC miałby przeprowadzić. W razie apelacji miną kolejne lata, zanim organ rozpocznie jakiekolwiek badanie. To nie jest efektywny sposób egzekwowania prawa – ocenia. ©℗

ikona lupy />
Co mówią przepisy / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Podstawa prawna

Wyrok Sądu Unii Europejskiej z 29 stycznia 2025 r. w połączonych sprawach T-70/23, T-111/23, T-84/23 www.serwisy.gazetaprawna.pl/orzeczenia