Judykatura.pl

TSUE: EROD ma uprawnienia do nakazania organowi nadzorczemu przeprowadzenia nowego dochodzenia

TSUE oddalił trzy skargi Irlandzkiego organu nadzorczego dotyczące wydanych przez Europejską Radę Ochrony Danych decyzji wiążących dotyczących przetwarzania danych przez Metę (Instagram. Facebook, WhtasApp).

Data Protection Commission, będąca irlandzkim organem nadzorczym w dziedzinie ochrony danych osobowych, domaga się stwierdzenia nieważności w części decyzji wiążących 3/2022, 4/2022 i 5/2022 z dnia 5 grudnia 2022 r. Europejskiej Rady Ochrony Danych (zwanej dalej “EROD”) w sprawie sporów między zainteresowanymi organami nadzorczymi wynikających z projektów decyzji Komisji Ochrony Danych dotyczących, odpowiednio, portalu społecznościowego Facebook, portalu społecznościowego Instagram i portalu społecznościowego Instagram, sieci społecznościowej Facebook, sieci społecznościowej Instagram i usługi przesyłania wiadomości WhatsApp, w zakresie, w jakim te wiążące decyzje wymagają od niej przeprowadzenia nowych dochodzeń w sprawie przetwarzania danych prowadzonego w związku z korzystaniem z tych aplikacji oraz wydania nowych projektów decyzji na podstawie ich wyników.

W skargach, które doprowadziły do wszczęcia tych trzech postępowań, zarzucono możliwe naruszenia szeregu przepisów rozporządzenia 2016/679, w szczególności art. 6 i 9. W art. 6 ust. 1 wymieniono alternatywne warunki ogólne regulujące zgodność z prawem przetwarzania danych osobowych, natomiast art. 9 dotyczy w szczególności alternatywnych warunków przetwarzania szczególnych kategorii danych osobowych uznawanych za szczególnie chronione, takich jak dane ujawniające opinie lub przekonania, pochodzenie rasowe lub etniczne, stan zdrowia lub orientację seksualną. W swoich trzech projektach decyzji skarżąca uznała między innymi, że skarżący nie wykazali, iż Meta i WhatsApp nie mogą powoływać się na jedną z przesłanek określonych w art. 6 ust. 1 rozporządzenia 2016/679, a mianowicie przesłankę, o której mowa w art. 6 ust. 1 lit. b), niewymagającą zgody osób, których dane dotyczą, na przetwarzanie ich danych osobowych, w celu uzasadnienia zgodności z prawem przetwarzania danych prowadzonego w związku z korzystaniem z portali społecznościowych Facebook i Instagram oraz komunikatora WhatsApp.

W swoich decyzjach EROD nakzał:

[wnioskodawca] przeprowadzi nowe dochodzenie w sprawie operacji przetwarzania danych [prowadzonych przez Meta] [w odniesieniu do jej aplikacji Facebook i Instagram] w celu ustalenia, czy przetwarza ona szczególne kategorie danych osobowych (art. 9 [rozporządzenia 2016/679]) i spełnia odpowiednie obowiązki wynikające z [rozporządzenia 2016/679], w zakresie, w jakim to nowe dochodzenie uzupełnia ustalenia poczynione w [jego ostatecznych decyzjach] przyjętych na podstawie [tych wiążących decyzji], oraz w oparciu o wyniki tego dochodzenia, wydać nowy projekt decyzji zgodnie z art. 60 ust. 3 [rozporządzenia 2016/679]”.

po pierwsze, przeprowadzenie nowego postępowania wyjaśniającego w celu ustalenia (i) czy operacje przetwarzania prowadzone przez WhatsApp w kontekście jej usługi przesyłania wiadomości WhatsApp odnoszą się do szczególnych kategorii danych osobowych w rozumieniu art. 9 rozporządzenia 2016/679, i czy są one wykorzystywane do celów reklamy ukierunkowanej opartej na zachowaniu użytkownika, marketingu lub dostarczania danych osobom trzecim oraz wymiany danych z przedsiębiorstwami powiązanymi w celu ulepszenia usługi, a także (ii) czy WhatsApp spełnia w tym względzie obowiązki określone w rozporządzeniu 2016/679, oraz, po drugie, do wydania nowego projektu decyzji na podstawie art. 60 ust. 3 tego rozporządzenia.

W niniejszych skargach, wniesionych w dniach 14, 17 i 24 lutego 2023 r., skarżąca kwestionuje uprawnienie EROD do nałożenia na nią, w ramach wiążących decyzji przyjętych na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679, środków, o których mowa w pkt 9 i 11 powyżej.

TSUE oddalając skarg Irlandzkiego organu nadzorczego wskazał, że:

Niemniej jednak należy przypomnieć, że zgodnie z utrwalonym orzecznictwem w celu dokonania wykładni przepisu prawa Unii należy co do zasady wziąć pod uwagę nie tylko jego brzmienie, lecz także kontekst, w jakim on występuje, oraz cele zamierzone przez przepisy, których jest on częścią (zob. podobnie wyrok z dnia 29 listopada 2018 r., Mensing, C-264/17, EU:C:2018:968, pkt 24 i przytoczone tam orzecznictwo). W niniejszej sprawie niektóre argumenty skarżącej opierają się również na rozważaniach lub zasadach zaczerpniętych spoza samego rozporządzenia 2016/679. Trybunał orzeknie zatem w przedmiocie zakresu kompetencji EROD na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679, badając, w razie potrzeby, najpierw argumenty skarżącej przedstawione w kontekście literalnej, kontekstowej, celowościowej i historycznej analizy tego rozporządzenia, a następnie argumenty dotyczące warunków przyznania kompetencji organowi UE, cech kontroli sądowej przeprowadzanej na szczeblu krajowym oraz niezależności organów nadzorczych odpowiedzialnych za ochronę danych osobowych;

sformułowanie “sprzeciw wobec projektu decyzji” nie ogranicza się, wbrew temu, co twierdzi skarżąca, do sprzeciwu wobec rozważań zawartych w projekcie decyzji. W związku z tym, ponieważ wiążąca decyzja EROD musi dotyczyć wszystkich kwestii będących przedmiotem istotnych i uzasadnionych zastrzeżeń, nic nie stoi na przeszkodzie, aby w przypadku gdy EROD zatwierdzi istotny i uzasadniony sprzeciw odnoszący się do braku lub nieadekwatności tego rodzaju, decyzja ta zawierała polecenie dla wiodącego organu nadzorczego, aby usunął ten brak analizy oraz, jeżeli okaże się to konieczne w świetle akt sprawy przed EROD, pogłębił lub rozszerzył w tym celu dochodzenie przeprowadzone do tego momentu. Jeżeli okaże się, że akta sprawy są niewystarczające do przeprowadzenia pełnej wymaganej analizy, EROD musi mieć możliwość zażądania od wiodącego organu nadzorczego przeprowadzenia dalszego dochodzenia.

Nadto TSUE podniósł, że:

EROD jest właściwa do przyjęcia zaskarżonych przepisów, nie jest konieczne uwzględnianie genezy tego rozporządzenia poprzez jego travaux préparatoires, jak twierdzi skarżąca, ani orzekanie w przedmiocie argumentów przedstawionych przez skarżącą i EROD, które są sprzeczne w tym względzie (zob. podobnie wyrok z dnia 9 marca 2010 r., Komisja/Niemcy, C-518/07, EU:C:2010:125, pkt 29). Ponadto argumenty te są poparte bardzo niewielką ilością dowodów, w szczególności w świetle przepisów art. 72 § 3 regulaminu postępowania, który stanowi, że “do każdego pisma procesowego załącza się materiał powołany na jego poparcie”.

wiążąca decyzja EROD, wydana na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679, zobowiązująca skarżącą do poszerzenia zakresu jej analizy i dochodzenia, nie podważa jej zdolności do ustalania priorytetów w wykonywaniu jej różnych zadań jako niezależnego organu, co podlega kontroli wyłącznie sądu krajowego. Nie podważa również, bardziej ogólnie, jego niezależności zapisanej w art. 39 TUE, art. 16 ust. 2 TFUE i art. 8 ust. 3 karty praw podstawowych.

I końcowo TSUE wskazuje, że:

Ponadto przepisy prawa pierwotnego, na które powołuje się skarżąca, nie oznaczają, że organy państw członkowskich, na których spoczywa główna odpowiedzialność za zapewnienie stosowania przepisów dotyczących ochrony danych osobowych, są całkowicie niezależne w rozumieniu braku jakiejkolwiek kontroli. Przepisy te stanowią jedynie, że monitorowanie przestrzegania tych przepisów powierza się niezależnym organom, co w żaden sposób nie wyklucza systemu wzajemnej kontroli między niezależnymi organami, takiego jak mechanizmy współpracy i spójności przewidziane w rozporządzeniu 2016/679, lub oczywiście kontroli sądowej decyzji przyjętych przez różne zaangażowane organy. Ważne jest, aby organy kontrolujące organy nadzorcze były niezależne. Tak jest w przypadku EROD, ponieważ składa się ona z organów nadzorczych państw członkowskich i Europejskiego Inspektora Ochrony Danych, który sam jest niezależnym organem w stosunku do instytucji UE i innych podmiotów podlegających jego nadzorowi.