W tym odcinku podcastu poruszę zagadnienie będące trochę na uboczu ochrony danych osobowych – choć jak się okaże dalej – nie tak dalekim uboczu.
Zagadnieniem tym będą reguły odnoszące się do powództwa przedstawicielskiego, czyli takiego, w którym jakiś organ np. stowarzyszenie konsumencie pozywa administratora danych, w imieniu osób, których dane dotyczą, w związku z przyjęciem przez taki podmiot, że doszło do naruszenia RODO.
Asumptem do tego tematu jest z jednej strony orzeczenie TSUE z lipca br. w sprawie Meta przeciwko federalnemu związkowi stowarzyszeń konsumenckich z Niemic – oczywiście jego oryginalnej nazwy nawet nie spróbuję przeczytać.
Z drugiej strony aktualnie toczą się pracę nad nowelizacją ustawy o dochodzeniu roszczeń w postępowaniu grupowym, która – moim zdaniem – otwiera nowe zagrożenia dla administratorów danych polegające na możliwości bycia stroną pozwaną, w aspekcie naruszeń prawa dotyczących RODO.
Zagadnienie powództw przedstawicielskich, o którym chciałem dziś opowiedzieć, jest dla mnie specyficzne więc wymaga dłuższego niż zawsze wprowadzenia oraz zaznaczenia, że jeśli gdzieś popełniłem błędne założenie czy błędnie odczytałem przepis prawa to serdecznie zapraszam do komentowania i wskazywania takich miejsc – komentowanie podcastu jest możliwe zarówno w spotiffa jak i w apple podcast. Nie zapomnijmy też o YouTube – tam najszybciej uda się zasubskrybować kanał Judykatura.pl.
Przede wszystkim będę się dziś odnosił do regulacji przewidzianych w art. 80 RODO. Przepis ten wprowadził dwie regulacje odnoszące się do możliwości reprezentowania osób, których dane dotyczą – będę dalej używał określenia podmiotów danych, choć wiem, że może się to źle kojarzyć, gdyż nie ładnie zrównywać osoby żyjące do podmiotów, ale tak jest szybciej i czasami przejrzyściej.
Czyli w pierwszym ustępie art. 80 czytamy, że podmiot danych ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jego imieniu skargi oraz wykonywania w jego imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jego imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.
W drugim ustępie czytamy, że Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.
W pierwszym przypadku podmiot danych ma pełną świadomość swojego reprezentanta, a po rodowskiemu – przedstawiciela. Wie kim jest ta organizacja i kto będzie jego przedstawicielem.
Gdy podmiot danych uzna, że doszło do naruszenia jego prawa wynikającego z RODO może – zgodnie ze wskazanym art. 80 ust. 1 RODO i motywem 142 – zlecić podmiotowi, organowi lub zrzeszeniu:
a. wniesienie skargi w swoim imieniu do organu nadzorczego (czyli wykonania art. 77 RODO);
b. wniesienie skargi do sądu przeciwko prawnie wiążącej decyzji organu nadzorczego (art. 78 ust. 1 RODO) oraz wtedy, gdy organ taki nie rozpatrzył skargi lub nie poinformował podmiotu danych w terminie 3 miesięcy o postępach lub efektach rozpatrywanej skargi (czyli art. 78 ust. 2 RODO);
c. wniesienie do sądu skutecznego środka ochrony przed sądem, jeżeli podmiot danych uzna, że zostały naruszone jego prawa w wyniku przetwarzania jego danych osobowych z naruszeniem RODO (art. 79 ust. 1 RODO);
d. żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.
W drugim przypadku podmiot danych nie tyle nie wie jaki podmiot zamierza wykonać powyższe uprawnienia podmiotu danych, a czasami nie ma nawet świadomości, że przetwarzanie jego danych osobowych naruszyło RODO bądź jego prawa wynikające z RODO.
Wtedy taki podmiot/organizacja lub zrzeszenie – bez uzyskanego upoważnienia od podmiotu danych – ma prawo wniesienia (w konkretnym kraju) skargi do organu nadzorczego (art. 77) oraz ma prawo wykonać wskazane już prawa z art. 78 i art. 79. Takie akcje podmiotu przedstawicielskiego mogą mieć miejsce tylko wtedy, gdy podmiot taki „uzna, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.”
Takie działanie podmiotu reprezentującego kogoś może mieć miejsce, gdy „taką możliwość powództwa przedstawicielskiego musi przewidywać prawo krajowe”.
Zanim jednak przejdę do zagadnienia, czy w naszym krajowym porządku prawnym możliwe jest takie powództwo – to skupie się na tym jak TSUE intepretuje pojęcie przetwarzania danych wskutek, którego naruszone zostały prawa podmiotu danych wynikające z RODO, gdyż – jak już wskazałem – jest to konieczny warunek do tego rodzaju powództwa przedstawicielskiego.
TSUE zajął się tym zagadnieniem w dwóch sprawach – obydwie dotyczyły właściciela Facebooka i Instagrama, czyli Meta oraz tego samego niemieckiego stowarzyszenia ochrony interesów konsumentów.
Obydwie sprawy miały bardzo podobny stan faktyczny – Meta publikowała w Centrum Aplikacji bezpłatne gry różnych dostawców, którzy byli podmiotami trzecimi – niektóre z takich gier wymagały tego, aby ich użytkownik upoważnił takie podmioty trzecie do publikowania informacji na ścianie Facebooka np. o wyniku jaki uzyskał ten użytkownik czy też do wykorzystania zdjęcia i innych danych osobowych takiego użytkownika.
Niemiecki związek organizacji konsumenckich uważał, że podawane informacje w Centrum Aplikacji Facebooka są nieuczciwe dlatego, że nie spełniają wymogów prawnych dotyczących m.in. uzyskania zgody użytkownika spełniającej wymagania przewidziane w RODO.
W pierwszej z dwóch spraw TSUE wydał wyrok 28.04.2022 r. (C-319/20), który był odpowiedzią na pytanie prejudycjalne niemieckiego federalnego trybunału sprawiedliwości.
Sąd odsyłający chciał wiedzieć czy poruszane przepisy RODO tj. art. 80 ust. 1 i 2 pozwalają na takie ukształtowanie prawa krajowego, które przyznaje prawo do występowania w drodze powództwa do sądu cywilnego z powodu naruszenia rozporządzenia 2016/679 niezależnie od naruszenia konkretnych praw poszczególnych osób, których dane dotyczą, i bez upoważnienia otrzymanego od osoby, której dane dotyczą, przeciwko sprawcy, z punktu widzenia zakazu stosowania nieuczciwych praktyk handlowych lub naruszenia przepisów o ochronie konsumentów, lub zakazu stosowania bezskutecznych ogólnych warunków handlowych?
TSUE odpowiedział, że prawidłowa interpretacja art. 80 ust. 2 RODO doprowadza do odpowiedzi, że tak – krajowe prawo może przewidzieć uprawnienie stowarzyszenia ochrony interesów konsumenckich na wniesienie do sądu powództwa – co ważne w braku udzielonego mu w tym celu upoważnienia – przeciwko domniemanemu sprawcy naruszenia RODO, o ile przetwarzanie danych osobowych może mieć wpływ na prawa podmiotów danych, które są zidentyfikowane bądź są możliwe do identyfikacji.
Drugie orzeczenie TSUE zapadło niedawno, bo 11 lipca 2024 r., w sprawie C-757/22 i dotyczyło – niejasnego – zdaniem stowarzyszenia ochrony konsumentów – przedstawienia warunków przetwarzania danych osobowych za pomocą gier możliwych do pobrania z centrum aplikacji Facebooka.
Tutaj Sąd odsyłający chciał uzyskać odpowiedź na pytanie czy mamy do czynienia z dochodzeniem praw naruszonych „w wyniku przetwarzania” w rozumieniu art. 80 ust. 2 RODO, jeżeli stowarzyszenie ochrony interesów konsumentów opiera swoje powództwo na tym, że prawa osoby, której dane dotyczą, zostały naruszone, ponieważ nie zostały spełnione obowiązki informacyjne. Chodziło tutaj o obowiązek z art. 13 oraz o to, że pewne jego elementy nie spełniały wymagać jasności, przejrzystości wynikających z art. 12 RODO.
TSUE wskazał, że przesłanka „w wyniku przetwarzania” jest spełniona, jeżeli podmiot przedstawicielski podnosi, iż do naruszenia RODO doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi administratora wynikającym z art. 12 ust. 1 RODO oraz art. 13 RODO.
Z tych orzeczeń wyłania się niezbyt ciekawa przyszłość dla administratorów, którzy działają na niemieckim rynku, gdyż mogą stać się stroną powództw przedstawicielskich, a dużo lepsza dla podmiotów danych, gdyż zyskają kolejną – alternatywną do skargi do organu nadzorczego i powództwa cywilnego – drogę ochrony swoich praw oraz – a trzeba jeszcze pamiętać o tym, że jest to też ścieżka umożlwiająca uzyskanie zadośćuczynienia.
To teraz zadajmy sobie pytanie – czy nasze krajowe przepisy pozwalają na takie powództwo przedstawicielskie, o którym jest mowa w art. 80 ust. 2 RODO, a więc bez upoważnienia otrzymanego od osoby, której dane dotyczą.
Odpowiedź na to pytanie przybliży lektura motywu 34 Dyrektywy Parlamentu Europejskiego i Rady UE 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE, w którym wskazuje się, że:
„Wytaczając powództwo przedstawicielskie, upoważniony podmiot powinien przekazać sądowi lub organowi administracyjnemu wystarczające informacje na temat konsumentów, których dotyczy dane powództwo przedstawicielskie. Informacje te powinny umożliwić sądowi lub organowi administracyjnemu ustalenie swojej właściwości i prawa właściwego. W sprawie dotyczącej czynu niedozwolonego należy poinformować sąd lub organ administracyjny o miejscu, w którym nastąpiło lub może nastąpić zdarzenie wywołujące szkodę dotyczące konsumentów. Szczegółowość wymaganych informacji może być różna, zależnie od tego, o zastosowanie jakiego środka wnosi upoważniony podmiot i czy ma zastosowanie mechanizm „opt-in” czy „opt-out”.
oraz art. 7 ust. 2 tej dyrektywy:
Wytaczając powództwo przedstawicielskie, upoważniony podmiot przedstawia sądowi lub organowi administracyjnemu wystarczające informacje na temat konsumentów, których dotyczy dane powództwo przedstawicielskie.
I takie ukształtowanie przepisu dyrektywy nie zamyka jeszcze drogi do powództwa przedstawicielskiego, które odpowiadałoby wykładni zaprezentowanej przez TSUE, co do wskazania kręgu konsumentów, jako „osoby możliwe do zidentyfikowania” – określenie to znajduje się przecież w definicji danych osobowych.
Jednak – i tak już tutaj pada odpowiedź na drugie pytanie zadane na początku odcinka – nie widzę osobiście szans na skuteczne złożenie takiego powództwa przedstawicielskiego ze względu na treść przepisów krajowych „wdrażających” wskazaną dyrektywę 2020/1828.
Nie sądzę, aby treść ustawy, o której zaraz powiem kilka słów więcej, wynikała z pośpiechu ustawodawcy krajowego, bo raczej takiego nie było, gdyż miała ona zostać uchwalona do 25 grudnia 2022 r., a przepisy ustawy powinny już obowiązywać od prawie roku tj. od 25 czerwca 2023 r.
Będą jednak obowiązywać rok później – ustawa z dnia 24 lipca 2024 r. o zmianie ustawy o dochodzeniu roszczeń w postępowaniu grupowym oraz niektórych innych ustaw została podpisana przez Prezydent RP 14.08.2024 r., zacznie obowiązywać od 29.08.2024 r. Ustawa została opublikowana w Dzienniku Urzędowym pod poz. 1237.
Tak jak dyrektywa tak ustawa wskazuje, że ma zastosowanie do powództwa przedstawicielskiego wytaczanego przeciwko przedsiębiorcom za naruszenia prawa Unii – tutaj załącznik nr I wskazuje 66 takich aktów, a pkt 56 odsyła do RODO.
Co ważne ustawodawca – słusznie, bo wynika to z art. 2 ust. 1 dyrektywy 2020/1828 – wskazuje, w nowym ust. 2e art. 1 ustawy o dochodzeniu roszczeń w postępowaniu grupowym, że przez praktyki naruszające ogólne interesy konsumentów rozumie się działanie lub zaniechanie przedsiębiorcy niezgodne z przepisami prawa Unii Europejskiej oraz przepisami je wdrażającymi lub służącymi ich stosowaniu, które to działanie lub zaniechanie narusza lub może naruszać ogólne interesy konsumentów.
Nie wiem jak Państwo, ale ja przy pierwszej lekturze tych przepisów miałem przed oczami ulubiony art. 11 obecnej ustawy o ochronie danych osobowych – przepis ten dotyczy – raczej martwego – obowiązku administratora wskazania na stronie internetowej imienia i nazwiska IOD’a.
Przestrzeni na poszukiwanie takich praktyk naruszających ogólne interesy konsumentów będzie na pewno wiele. Szczególnie, że w przypadku wytoczenia powództwa w postępowaniu grupowym w sprawach o stwierdzenie stosowania praktyk naruszających ogólne interesy konsumentów podmiot upoważniony nie jest obowiązany do udowodnienia szkody poniesionej przez konsumentów ani winy pozwanego, co wskazuje dodany do treści ustawy art. 4b.
Wracając do wymogu wskazane w dyrektywie 2020/1828 odnoszącego się do przekazania organowi/sądowi wystarczających informacji na temat konsumenta, którego dane osobowe zostały naruszone trzeba przywołać nowy ust. 4 art. 6 ustawy o dochodzeniu roszczeń w postępowaniu grupowym, który przewiduje, że „w sprawach o roszczenia związane ze stosowaniem praktyk naruszających ogólne interesy konsumentów do pozwu należy dołączyć oświadczenia członków grupy o przystąpieniu do grupy”.
Jeśli uda się zebrać grupę 10 zidentyfikowanych konsumentów to zgodnie z przyszłym brzmieniem ust. 1 art. 4 omawianej ustawy powództwo w sprawach o stwierdzenie stosowania praktyk naruszających ogólne interesy konsumentów lub w sprawach o roszczenia związane z ich stosowaniem wytacza powództwo wyłącznie podmiot upoważniony.
Reasumując – temat jest bardzo interesujący z obydwu perspektyw – zarówno administratora danych jak i podmiotu danych.
Ten pierwszy podmiot nie musi się obawiać wylewu wezwań do „dobrowolnego”, choć odpłatnego zrezygnowania z powództwa, gdyż ustawodawca wprowadził jeden z wentylów bezpieczeństwa, wskazując w art. 4a, że podmiot upoważniony przed wytoczeniem powództwa w postępowaniu grupowym w sprawach o stwierdzenie stosowania praktyk naruszających ogólne interesy konsumentów wzywa przedsiębiorcę do zaniechania stosowania tych praktyk, a wezwanie ani inne pismo podmiotu upoważnionego kierowane do przedsiębiorcy przed wytoczeniem powództwa nie może obejmować innych żądań lub roszczeń, w tym w szczególności przekazania środków finansowych na jego rzecz lub na rzecz innego podmiotu.
Za to podmioty danych uzyskają możliwość tworzenia grup, które za pomocą upoważnionego podmiotu, będą posiadały kolejną możliwość dochodzenia swoich roszczeń.
Jak w praktyce zadziałają te przepisy to czas pokaże.
Na koniec tego długiego odcinka zaproszę Was do zapisu na newsletter Judyaktura.pl – co piątek otrzymacie podsumowanie najważniejszych i najciekawszych aktualności orzeczniczych RODO.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
