TSUE uznał, że przekazanie numeru IP niezgodnie z prawem może stanowić krzywdę

Warto przedstawić nie tylko stan faktyczny, ale także argumenty, którymi posłużył się TSUE wydając szeroko komentowany wyrok w sprawie przyznania zadośćuczynienia.

Sprawa dotyczy bliźniaczego do RODO Rozporządzenia 2018/1725, które reguluje przetwarzanie danych osobowych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii.

Rozporządzenia 2018/1725 miało tutaj zastosowanie, gdyż administratorem danych osobowych była Komisji Europejska, która zbierała zapisy na organizowaną przez siebie wydarzenie. Rejestracja na to wydarzenie była możliwa za pomocą przycisku Facebook.

Skarżący twierdzi, że w dniu 30 marca 2022 r., w chwili rejestracji do wzięcia udziału w wydarzeniu „GoGreen”, o którym informację zamieszczono na stronie internetowej KoPE, jego adres IP oraz informacje o przeglądarce i terminalu zostały przekazane spółce Meta Platforms z siedzibą w Stanach Zjednoczonych, która jest właścicielem serwisu społecznościowego Facebook.

Trzeba zaznaczyć, że w tamtym okresie nie obowiązywała żadna decyzja Komisji w zakresie stwierdzającym odpowiedni stopień ochrony danych osobowych przekazywanych do USA.

Przy dokonywaniu tego wpisu skarżący został bowiem przekierowany do unijnej usługi uwierzytelniania EU Login, która proponuje między innymi połączenie za pośrednictwem kilku serwisów społecznościowych. Skarżący zdecydował się na połączenie za pośrednictwem swojego konta na Facebooku, a gdy kliknął na hiperłącze przekierowujące go do Facebooka, link ten doprowadził do przekazania jego adresu IP Facebookowi. Skarżący zaakceptował jedynie „podstawowe cookies” Facebooka.

Inne dane osobowe skarżącego, a mianowicie jego adres e‑mail, imię i nazwisko oraz zdjęcie profilowe, zostały zebrane przez Facebook za pomocą plików cookie, w szczególności pliku cookie zwanego „sb”, i przekazane na serwery Meta Platforms. Zdaniem skarżącego z orzecznictwa wynika, że podmioty zarządzające stronami internetowymi, które korzystają z Facebooka na swoich stronach internetowych, jak Komisja, ponoszą wspólnie z Facebookiem odpowiedzialność za przestrzeganie prawa Unii dotyczącego ochrony danych.

Według TSUE:

Komisja jest zatem współodpowiedzialna za umieszczanie plików cookie przechowywanych przez Facebook. Skarżący twierdzi, że utracił kontrolę nad swoimi danymi osobowymi przekazanymi Facebookowi i został pozbawiony swoich praw i wolności, co stanowi krzywdę w rozumieniu motywu 46 rozporządzenia 2018/1725.

Możliwość połączenia się z EU Login za pośrednictwem konta na Facebooku wynika z faktu, że Komisja uznała, iż użytkownikom należy pozostawić decyzję o połączeniu się z EU Login za pośrednictwem wcześniej istniejących kont na platformach, aby zapewnić im łatwiejszy i szybki dostęp, a także możliwość uwierzytelnienia bez potrzeby tworzenia kont EU Login, a tym samym uniknięcia mnożenia liczby kont i podmiotów, którym użytkownicy muszą udostępniać swoje dane osobowe. Ponadto Komisja uznała, że Facebook był wiarygodny do celów weryfikacji adresów e-mail użytkowników, biorąc pod uwagę wprowadzone przez niego środki. Niemniej jednak hiperłącze pozwalające na połączenie się za pomocą istniejącego wcześniej konta na Facebooku jest dostępne na EU Login wyłącznie dla stron internetowych lub aplikacji wymagających jedynie podstawowego poziomu bezpieczeństwa.

Skarżący wybrał opcję połączenia się z EU Login za pośrednictwem swojego konta na Facebooku, korzystając z hiperłącza „Sign in with Facebook”, które wyświetla się na stronie internetowej EU Login (zwanego dalej „hiperłączem »zaloguj się przez Facebooka«”).

W konsekwencji Komisja stworzyła warunki, w jakich doszło do przekazania danych osobowych skarżącego do państwa trzeciego, nie przestrzegając przy tym warunków określonych w art. 46 rozporządzenia 2018/1725.

Według TSUE:

Należy zatem stwierdzić, bez konieczności badania pozostałych argumentów skarżącego, że Komisja dopuściła się wystarczająco istotnego naruszenia – w rozumieniu orzecznictwa przypomnianego w pkt 50 powyżej – art. 46 rozporządzenia 2018/1725 w odniesieniu do spornego przekazania danych podczas połączenia z EU Login w dniu 30 marca 2022 r.

Należy zatem zbadać, czy w niniejszej sprawie zostały spełnione pozostałe przesłanki powstania odpowiedzialności pozaumownej Komisji, dotyczące szkody i związku przyczynowego.

Skarżący twierdzi, że niezgodne z prawem przekazanie jego adresu IP przedsiębiorstwu z siedzibą w Stanach Zjednoczonych wyrządziło mu krzywdę polegającą na utracie kontroli nad jego danymi oraz pozbawieniu go praw i wolności.

W tym względzie należy stwierdzić, że art. 65 rozporządzenia 2018/1725 przyznaje prawo do naprawienia nie tylko szkody majątkowej, ale również niemajątkowej doznanej w wyniku naruszenia tego rozporządzenia, bez konieczności wykazywania jakiegokolwiek progu wagi szkody [zob. podobnie i analogicznie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 45, 51].

W niniejszej sprawie krzywdę, której naprawienia dochodzi skarżący, należy uznać za rzeczywistą i pewną w rozumieniu orzecznictwa przypomnianego w pkt 54 powyżej, ponieważ przekazanie, o którym mowa w pkt 188 powyżej, dokonane z naruszeniem art. 46 rozporządzenia 2018/1725, postawiło skarżącego w sytuacji niepewności co do przetwarzania jego danych osobowych, w szczególności adresu IP.

TSUE orzekł, że:

1) Skarga zostaje odrzucona jako niedopuszczalna w zakresie dotyczącym żądań stwierdzenia nieważności.

2) Umarza się postępowanie w przedmiocie żądań mających na celu uzyskanie stwierdzenia, że Komisja Europejska niezgodnie z prawem powstrzymała się od zajęcia stanowiska w kwestii złożonego przez Thomasa Bindla w dniu 1 kwietnia 2022 r. wniosku o udzielenie informacji.

3) Komisja zostaje zobowiązana do zapłaty kwoty 400 EUR na rzecz T. Bindla tytułem zadośćuczynienia za doznaną krzywdę.

4) W pozostałym zakresie żądania odszkodowawcze zostają oddalone.

5) Komisja zostaje obciążona własnymi kosztami, a także połową kosztów poniesionych przez T. Bindla.

6) Thomas Bindl pokrywa połowę własnych kosztów postępowania.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności