Administratorom danych grozi fala skarg

Kilka dni temu Trybunał Sprawiedliwości Unii Europejskiej dokonał wykładni przepisu RODO dotyczącego nadania, pewnych uprawnień, organizacjom, które uznają, że administrator naruszył prawa osób, których dane dotyczą.

Z punktu widzenia administratorów danych najważniejszą są dwa następujące stwierdzenia:

  1. do celów wniesienia powództwa przedstawicielskiego (pewnego rodzaju skarga, o czym będzie dalej – P.L.) w rozumieniu art. 80 ust. 2 RODO nie można wymagać od takiego podmiotu, aby uprzednio zidentyfikował indywidualnie osobę, której konkretnie dotyczy przetwarzanie danych, które ma być sprzeczne z przepisami RODO;
  2. wniesienie powództwa przedstawicielskiego zakłada jedynie, że dany podmiot „uznaje”, iż przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami owego rozporządzenia;

Wynika z powyższego, że “podmioty, organizacje lub zrzeszenia”, które nie mają charakteru zarobkowego (choć to nie znaczy, że nie mogą prowadzić działalności generujące dochód, który w całości byłby przeznaczony na realizację celów statutowych) i nie posiadają “upoważnienia od osoby, której dane dotyczą” (a nawet nie znają jej tożsamości) mogą wnieść skargę do organu właściwego (art. 77 RODO) w sprawach ochrony danych osobowych np. Prezesa UODO, czy do KRSu, Prezesa Sądu Apelacyjnego/Okręgowego (organy nadzorcze w sądownictwie) oraz złożyć skargę do WSA w odniesieniu do wydanej na kanwie skarg decyzji (art. 78 RODO) oraz mają prawo do “skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu” (art. 79 RODO), ale bez możliwości dochodzenia, w imieniu takich osób, prawa do odszkodowania (art 82 RODO).

Jak Trybunał doszedł to takiej wykładni? 

Federalny trybunał sprawiedliwości Niemiec (Bundesgerichtshof) skierował swój wniosek do TSUE rozpoznając sprawę, w której:

Związek organizacji konsumenckich, podmiot mający legitymację procesową czynną na podstawie § 4 ustawy o powództwach o zaniechanie, uważa, że podawane w przypadku odnośnych gier dostępnych w centrum aplikacji informacje są nieuczciwe w szczególności dlatego, że nie spełniają one wymogów prawnych dotyczących uzyskania ważnej zgody użytkownika zgodnie z przepisami o ochronie danych. Ponadto zdaniem tego związku informacja, że użytkownik zezwala na publikowanie przez aplikację w jego imieniu pewnych dotyczących go informacji prywatnych, stanowi nadmiernie niekorzystny dla użytkownika ogólny warunek handlowy.

W tym kontekście związek organizacji konsumenckich wniósł przeciwko Meta Platforms Ireland do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy) powództwo o zaniechanie na podstawie § 3a ustawy o zwalczaniu nieuczciwej konkurencji, § 2 ust. 2 zdanie pierwsze pkt 11 ustawy o powództwach o zaniechanie oraz na podstawie kodeksu cywilnego. Powództwo to wniesiono niezależnie od konkretnego naruszenia prawa do ochrony danych osoby, której dane dotyczą, i bez upoważnienia od takiej osoby.

Trybunał ten miał wątpliwość co do

(…) dopuszczalności powództwa związku organizacji konsumenckich. Uważa on bowiem, że nie jest wykluczone, iż związek organizacji konsumenckich, który w chwili wniesienia powództwa miał legitymację procesową czynną na podstawie § 8 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji i § 3 ust. 1 zdanie pierwsze pkt 1 ustawy o powództwach o zaniechanie, utracił tę legitymację w toku postępowania w związku z wejściem w życie RODO, a w szczególności art. 80 ust. 1 i 2 oraz art. 84 ust. 1 tego rozporządzenia. Gdyby tak było, sąd odsyłający powinien uwzględnić wniesioną przez Meta Platforms Ireland skargę rewizyjną i oddalić powództwo związku organizacji konsumenckich, ponieważ zgodnie z właściwymi przepisami proceduralnymi prawa niemieckiego legitymacja procesowa powinna przysługiwać aż do zakończenia postępowania w ostatniej instancji.

Trybunał Sprawiedliwości UE tak odczytał skierowane do niego pytanie:

(…) zadane przez sąd odsyłający pytanie należy rozumieć jako zmierzające w istocie do ustalenia, czy art. 80 ust. 2 RODO należy interpretować w ten sposób, iż sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osoby, której dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych.

w odniesieniu do pierwszej tezy wskazanej we wstępie, a odnoszącego się do braku konieczności identyfikowania osoby, w której imieniu stowarzyszenie podejmie swoje działania:

Wystarczy bowiem zauważyć, że pojęcie „osoby, której dane dotyczą”, w rozumieniu art. 4 pkt 1 tego rozporządzenia obejmuje nie tylko „zidentyfikowaną osobę fizyczną”, lecz również „możliwą do zidentyfikowania osobę fizyczną”, czyli osobę fizyczną, „którą można bezpośrednio lub pośrednio zidentyfikować” na podstawie identyfikatora takiego jak w szczególności nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy. W tych okolicznościach wskazanie kategorii lub grupy osób, których dotyczy takie przetwarzanie, może być również wystarczające dla celów wniesienia takiego powództwa przedstawicielskiego.

a w odniesieniu do drugiej tak się wypowiedział:

Po drugie, zgodnie z art. 80 ust. 2 RODO wniesienie powództwa przedstawicielskiego nie jest też uzależnione od istnienia konkretnego naruszenia praw przysługujących danej osobie na podstawie przepisów o ochronie danych.

71 Jak wynika bowiem z samego brzmienia tego przepisu, przypomnianego w pkt 67 niniejszego wyroku, wniesienie powództwa przedstawicielskiego zakłada jedynie, że dany podmiot „uznaje”, iż przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami owego rozporządzenia.

w samym wyroku Trybunał stwierdził, że:

artykuł 80 ust. 2 (RODO) należy interpretować w ten sposób, że nie sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych (…) jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.

Trybunał widzi plusy takiej wykładni art. 80 ust. 2 RODO:

Ponadto należy zauważyć, że wniesienie takiego powództwa przedstawicielskiego – w zakresie, w jakim pozwala ono zapobiec licznym naruszeniom praw osób, których dotyczy przetwarzanie ich danych osobowych – mogłoby okazać się bardziej skuteczne niż skarga, jaką pojedyncza osoba, której dotyczy indywidualnie i konkretnie naruszenie jej prawa do ochrony jej danych osobowych, może wnieść przeciwko sprawcy tego naruszenia.

Jak zauważył bowiem rzecznik generalny w pkt 76 opinii, nie można by zapewnić funkcji prewencyjnej powództw wytaczanych przez stowarzyszenia ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, gdyby w ramach przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego można było powołać się jedynie na naruszenie praw osoby indywidualnie i konkretnie dotkniętej tym naruszeniem.

Zdaniem TSUE taka wykładnia art. 80 ust. 2 RODO:

znajduje zresztą potwierdzenie w dyrektywie 2020/1828, która uchyla i zastępuje od dnia 25 czerwca 2023 r. dyrektywę 2009/22. W tym kontekście należy zauważyć, że zgodnie ze swym art. 2 ust. 1 dyrektywa 2020/1828 ma zastosowanie do powództw przedstawicielskich wytaczanych przeciwko przedsiębiorcom za naruszenia przepisów prawa Unii, o których mowa w załączniku I do rzeczonej dyrektywy, w którego pkt 56 wymienia się RODO. Prawdą jest, że dyrektywa 2020/1828 nie ma zastosowania w ramach sporu w postępowaniu głównym, a termin jej transpozycji jeszcze nie upłynął. Jednakże zawiera ona szereg elementów, które potwierdzają, że art. 80 RODO nie sprzeciwia się wnoszeniu uzupełniających powództw przedstawicielskich w dziedzinie ochrony konsumentów.

W naszych krajowych regulacjach temat reprezentowania osób, których dane dotyczą, nie jest jednoznaczny.

Z jednej strony krajowy ustawodawca podjął próbę (zdaniem niektórych przedstawicieli doktryny nieudaną – porównaj stanowisko I. Boguckiej w Komentarzu do ustawy o ochronie danych osobowych, Warszawa 2019 r.) uregulowania przedmiotowego tematu w art. 61 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, choć wprowadził tam nieznaną w art. 80 ust. 2 RODO zgodę osoby, której dane dotyczą:

art. 61. Organizacja społeczna, o której mowa w art. 31 § 1 ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, może również występować w postępowaniu za zgodą osoby, której dane dotyczą, w jej imieniu i na jej rzecz.

Z drugiej strony regulacje postępowania administracyjnego także zawierają normę odnoszącą się do uprawnień organizacji społecznej – art. 31:

art. 31 § 1. Organizacja społeczna może w sprawie dotyczącej innej osoby występować z żądaniem: 1) wszczęcia postępowania, 2) dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes społeczny.