OPINIA RZECZNIKA GENERALNEGO
MICHALA BOBEKA
przedstawiona w dniu 19 grudnia 2018 r.(1)
Sprawa C‑40/17
Fashion ID GmbH & Co. KG
przeciwko
Verbraucherzentrale NRW e.V.
przy udziale:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy)]
Odwołanie prejudycjalne – Dyrektywa 95/46 – Ochrona danych osobowych użytkowników strony internetowej – Legitymacja procesowa stowarzyszenia ochrony konsumentów – Odpowiedzialność operatora strony internetowej – Przekazanie danych osobowych osobie trzeciej – Umieszczona wtyczka – Facebookowy przycisk „Lubię to” – Uzasadnione interesy – Zgoda osoby, której dane dotyczą – Obowiązek przekazywania informacji
I. Wprowadzenie
1. Fashion ID GmbH & Co. KG jest internetowym sprzedawcą artykułów odzieżowych. Na swojej stronie internetowej sprzedawca ten umieścił wtyczkę: facebookowy przycisk „Lubię to”. W związku z tym gdy użytkownik trafia na stronę internetową Fashion ID, informacje o adresie IP i identyfikatorze przeglądarki użytkownika są przekazywane Facebookowi. Przekazanie to ma miejsce automatycznie po załadowaniu się strony internetowej Fashion ID i następuje niezależnie od tego, czy użytkownik kliknął przycisk „Lubię to” oraz czy jest posiadaczem konta na Facebooku.
2. Verbraucherzentrale NRW e.V., niemieckie stowarzyszenie mające na celu ochronę konsumentów, wytoczyło przeciwko Fashion ID powództwo o zaniechanie z tego powodu, że korzystanie z tej wtyczki prowadzi do naruszenia przepisów dotyczących ochrony danych.
3. Rozpoznający tę sprawę Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy) zwraca się o dokonanie wykładni kilku przepisów dyrektywy 95/46/WE (zwanej dalej „dyrektywą 95/46”)(2). Na samym początku sąd odsyłający zapytuje, czy zgodne z tą dyrektywą jest uregulowanie krajowe, na podstawie którego stowarzyszenie [ochrony] konsumentów może wytoczyć powództwo takie jak to w niniejszej sprawie. Co się z kolei tyczy istoty sprawy, zasadnicze znaczenie ma kwestia tego, czy Fashion ID należy uznać za „administratora danych” w odniesieniu do realizowanego przetwarzania danych, a jeśli tak, to w jaki konkretny sposób należy w takich okolicznościach zapewnić wykonanie poszczególnych obowiązków przewidzianych w dyrektywie 95/46. Czyje uzasadnione interesy należy przyjąć przy wyważaniu, którego należy dokonać zgodnie z art. 7 lit. f) dyrektywy 95/46? Czy Fashion ID ma obowiązek przekazywania osobom, których dane dotyczą, informacji o tym przetwarzaniu? Wreszcie, czy to również Fashion ID musi w tym zakresie uzyskać świadomą zgodę osób, których te dane dotyczą?
II. Ramy prawne
A. Prawo Unii
Dyrektywa 95/46
4. Cel dyrektywy 95/46 został wyrażony w jej pierwszym artykule. Pierwszy ustęp tego artykułu brzmi: „[z]godnie z przepisami niniejszej dyrektywy, państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych”. Ustęp 2 tego samego artykułu stanowi, że: „[p]aństwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.
5. W art. 2 zawarte zostały następujące definicje:
„a) »dane osobowe« oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
b) »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
[…]
d) »administrator danych« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;
[…]
h) »zgoda osoby, której dane dotyczą« oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”.
6. W art. 7 przedstawiono kryteria, które muszą być spełnione, aby przetwarzanie danych można było uznać za legalne: „[p]aństwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas gdy:
a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub
[…]
f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1”.
7. W art. 10 określono, jakie minimalne informacje należy przekazać osobie, której dane dotyczą:
„[p]aństwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
a) tożsamości administratora danych i ewentualnie jego przedstawiciela;
b) celów przetwarzania danych, do których dane są przeznaczone;
c) wszelkich dalszych informacji, jak np.:
– odbiorcy lub kategorie odbierających dane,
– tego, czy odpowiedzi na pytania są obowiązkowe czy dobrowolne oraz ewentualne konsekwencje nieudzielenia odpowiedzi,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w st[o]sunku do osoby, której dane dotyczą”.
8. Rozdział III dyrektywy 95/46 dotyczy środków sądowych, odpowiedzialności i sankcji. Wchodzące w jego skład art. 22–24 brzmią następująco:
„Artykuł 22
Środki sądowe
Bez uszczerbku dla wszystkich odwoławczych środków administracyjnych, które mogą być wprowadzone przez organ nadzorczy określony w art. 28, przed wszczęciem postępowania sądowego państwa członkowskie zapewnią każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych.
Artykuł 23
Odpowiedzialność
1. Państwa członkowskie zapewniają, że każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą, przysługuje od administratora danych odszkodowanie za poniesioną szkodę.
2. Administrator danych może zastać zwolniony od tej odpowiedzialności w całości lub w części, jeżeli udowodni, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę.
Artykuł 24
Sankcje
Państwa członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy oraz w szczególności określą sankcje, jakie należy nałożyć w przypadku naruszenia przepisów przyjętych zgodnie z niniejszą dyrektywą”.
B. Prawo niemieckie
Gesetz gegen den unlauteren Wettbewerb
9. Paragraf 3 ust. 1 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji, zwanej dalej „UWG”) stanowi, że nieuczciwe praktyki handlowe są niedozwolone.
10. W § 8 ust. 1 i § 8 ust. 3 pkt 3 UWG wskazano, że od osoby, która stosuje niedozwolone praktyki handlowe, można żądać usunięcia ich skutków lub ich zaniechania; do wystąpienia z takim żądaniem są uprawnione „upoważnione podmioty” wymienione w Unterlassungsklagengesetz (ustawie w sprawie powództw o zaniechanie) lub w wykazie Komisji Europejskiej, o którym mowa w art. 4 ust. 3 dyrektywy 2009/22/WE w sprawie nakazów zaprzestania szkodliwych praktyk w celu ochrony interesów konsumentów(3).
Unterlassungsklagengesetz
11. Paragraf 2 ust. 1 i § 2 ust. 2 pkt 11 Unterlassungsklagengesetz (ustawy w sprawie powództw o zaniechanie) stanowią, co następuje:
„1. Od tego, kto narusza przepisy mające na celu ochronę konsumentów (ustawy o ochronie konsumentów) w inny sposób niż przez stosowanie lub zalecanie stosowania ogólnych warunków umów, można żądać w interesie ochrony konsumentów zaniechania i usunięcia skutków.
2. W rozumieniu niniejszego przepisu »ustawy o ochronie konsumentów« oznaczają w szczególności:
[…]
11. przepisy, które regulują dopuszczalność
a) gromadzenia przez przedsiębiorcę danych osobowych użytkownika lub
b) przetwarzania lub wykorzystywania przez przedsiębiorcę danych osobowych zgromadzonych na temat użytkownika,
jeżeli dane są gromadzone, przetwarzane lub wykorzystywane do celów reklamy, badań rynkowych lub opinii, udzielenia informacji, sporządzania profili osobowych lub użytkownika, handlu adresami, innego handlu danymi lub do podobnych celów komercyjnych”.
Telemediengesetz
12. Paragraf 2 ust. 1 pkt 1 Telemediengesetz (ustawy o usługach medialnych, zwanej dalej „TMG”) stanowi, co następuje:
„Do celów niniejszej ustawy:
1) usługodawcą jest każda osoba fizyczna lub prawna, która udostępnia do korzystania własne lub obce usługi medialne lub pośredniczy w udostępnianiu do korzystania; […]”.
13. Paragraf 12 ust. 1 TMG brzmi następująco: „Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania usług medialnych, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do usług medialnych lub gdy użytkownik wyraził na to zgodę”.
14. Paragraf 13 ust. 1 TMG stanowi, co następuje:
„Usługodawca informuje użytkownika na początku sesji w ogólnie zrozumiały sposób o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych oraz o przetwarzaniu jego danych w państwach nieobjętych zakresem zastosowania [dyrektywy 95/46], o ile taka informacja nie została już przekazana. W przypadku zautomatyzowanej procedury, która umożliwia późniejszą identyfikację użytkownika i przygotowuje gromadzenie i wykorzystywanie danych osobowych, użytkownika powiadamia się na początku tej procedury. Treść informacji musi być zawsze dostępna dla użytkownika”.
15. Paragraf 15 ust. 1 TMG ma następujące brzmienie:
„Usługodawca może gromadzić i wykorzystywać dane osobowe użytkownika tylko wtedy, jeżeli jest to konieczne do umożliwienia korzystania z usług medialnych i zafakturowania kosztów takiego korzystania (dane o korzystaniu). Danymi o korzystaniu są w szczególności:
1) kryteria umożliwiające identyfikację użytkownika,
2) dane na temat rozpoczęcia i zakończenia oraz zakresu danego korzystania i
3) dane na temat usług medialnych, z których korzystał użytkownik”.
III. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne
16. Fashion ID (zwana dalej „pozwaną”) jest sprzedawcą internetowym. Zajmuje się ona sprzedażą artykułów odzieżowych przez swoją stronę internetową. Pozwana umieściła na swojej stronie internetowej wtyczkę udostępnianą przez Facebook Ireland Limited (zwaną dalej „Facebook Ireland”)(4). W wyniku tego działania na stronie internetowej pozwanej wyświetlany jest tak zwany facebookowy przycisk „Lubię to”.
17. W postanowieniu odsyłającym wyjaśniono następnie, w jaki sposób działa (niewidoczny) element wtyczki: gdy użytkownik trafia na stronę internetową pozwanej, na której umieszczony jest facebookowy przycisk „Lubię to”, jego przeglądarka automatycznie przesyła informacje dotyczące jego adresu IP i identyfikatora przeglądarki do Facebook Ireland. Informacje te są przekazywane bez konieczności kliknięcia facebookowego przycisku „Lubię to”. Ponadto z postanowienia odsyłającego zdaje się wynikać, że z chwilą wyświetlenia strony internetowej pozwanej Facebook Ireland zapisuje na urządzeniu użytkownika różnego rodzaju ciasteczka [pliki cookie] (ciasteczka „sesyjne”, ciasteczka datr i ciasteczka fr).
18. Stowarzyszenie Verbraucherzentrale NRW (zwane dalej „powodem”), które zajmuje się ochroną konsumentów, wytoczyło przeciwko pozwanej powództwo, które rozpoznawał Landgericht (sąd okręgowy, Niemcy). Powód domagał się zobowiązania pozwanej do zaniechania zamieszczania społecznościowej wtyczki „Lubię to” udostępnianej przez Facebooka z uwagi na fakt, że pozwana jakoby:
– nie informowała „użytkowników strony internetowej aż do momentu rozpoczęcia uzyskania przez dostawcę wtyczki dostępu do adresu IP i identyfikatora przeglądarki użytkownika wyraźnie i jednoznacznie o celu pobierania i wykorzystywania przekazanych w ten sposób danych”, oraz
– nie uzyskiwała „zgody użytkownika strony internetowej na uzyskanie przez dostawcę wtyczki dostępu do adresu IP i identyfikatora przeglądarki oraz przetwarzanie danych, w każdym przypadku zanim to uzyskanie dostępu nastąpi”, oraz
– nie informowała „użytkowników, którzy wyrazili swoją zgodę, o której mowa w drugim żądaniu pozwu, o możliwości jej odwołania w każdym czasie ze skutkiem na przyszłość”, oraz
– informowała, że „[j]eżeli są Państwo użytkownikami serwisu społecznościowego i nie chcieliby Państwo, aby ten serwis społecznościowy gromadził poprzez naszą stronę internetową dane na Państwa temat i dokonywał powiązania Państwa z Państwa danymi użytkownika przechowywanymi w serwisie społecznościowym, przed wejściem na naszą stronę, muszą się państwo wylogować z serwisu społecznościowego”.
19. Powód utrzymywał, że Facebook Inc. tudzież Facebook Ireland przechowują adres IP i identyfikator przeglądarki i zestawiają je z konkretnym użytkownikiem (niezależnie od tego, czy jest on posiadaczem konta na Facebooku). Pozwana odpiera, że nic jej o tym nie wiadomo. Facebook Ireland podnosi, że adres IP jest zamieniany w generyczny adres IP i zapisywany tylko jako taki, a ponadto, że nie ma miejsca przyporządkowywanie adresu IP i identyfikatora przeglądarki do kont użytkowników.
20. Landgericht (sąd okręgowy) wydał wyrok uwzględniający żądania pozwu wymienione w trzech pierwszych punktach. Pozwana wniosła od tego wyroku apelację. Powód wniósł apelację wzajemną w odniesieniu do czwartego żądania pozwu.
21. Właśnie w takim kontekście faktycznym i prawnym Oberlandesgericht Düsseldorf postanowił zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy uregulowanie zawarte w art. 22, 23 i 24 [dyrektywy 95/46] z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31, z dnia 23 listopada 1995 r. – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355) sprzeciwia się uregulowaniu krajowemu, które, oprócz kompetencji ingerencyjnych organów ochrony danych i możliwości wnoszenia środków prawnych przez osobę, której te dane dotyczą, przyznaje społecznym stowarzyszeniom mającym na celu ochronę interesów konsumentów legitymację do występowania, w razie naruszenia tych interesów, przeciwko podmiotowi dopuszczającemu się naruszenia?
W przypadku udzielenia odpowiedzi przeczącej na pytanie pierwsze:
2) W przypadku takim jak niniejszy, w którym ktoś umieszcza na swojej stronie internetowej kod programu, który inicjuje żądanie przez przeglądarkę użytkownika treści od osoby trzeciej i przekazywanie danych osobowych osobie trzeciej, czy ten podmiot umieszczający kod jest administratorem danych w rozumieniu art. 2 lit. d) [dyrektywy 95/46] […], jeżeli on sam nie może wywierać wpływu na to przetwarzanie danych?
3) W razie udzielenia odpowiedzi przeczącej na pytanie drugie: czy art. 2 lit. d) [dyrektywy 95/46] […] należy interpretować w ten sposób, że reguluje on w wyczerpujący sposób odpowiedzialność w tym sensie, że stoi na przeszkodzie pociąganiu do odpowiedzialności cywilnoprawnej osoby trzeciej, która wprawdzie nie jest »administratorem danych«, jednakże powoduje przetwarzanie danych, nie mając przy tym możliwości wywarcia na nie wpływu?
4) Czyje »uzasadnione interesy« należy przyjąć w sytuacji takiej jak niniejsza za punkt odniesienia przy wyważaniu, którego należy dokonać zgodnie z art. 7 lit. f) [dyrektywy 95/46]? Czy interes polegający na umieszczaniu treści osób trzecich czy też interes osoby trzeciej?
5) W przypadku takim jak niniejszy, wobec kogo musi zostać wyrażona zgoda, którą należy oświadczyć zgodnie z art. 7 lit. a) i art. 2 lit. h) [dyrektywy 95/46]?
6) W przypadku takim jak niniejszy, czy przewidziany w art. 10 [dyrektywy 95/46] obowiązek przekazywania informacji dotyczy również operatora strony internetowej, który zamieścił treść osoby trzeciej i w ten sposób powoduje przetwarzanie danych osobowych przez osobę trzecią?”.
22. Uwagi na piśmie zostały przedstawione przez powoda, pozwaną, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (krajowego komisarza do spraw ochrony danych i wolności informacji Nadrenii Północnej-Westfalii) (zwanego dalej „LDI NW”), Belgię, rządy: niemiecki, włoski, austriacki, polski, a także przez Komisję. Powód, pozwana, Facebook Ireland, LDI NW, Belgia, Niemcy, Austria i Komisja przedstawili swoje stanowiska podczas rozprawy w dniu 6 września 2018 r.
IV. Ocena
23. W niniejszej opinii prezentuję stanowisko, zgodnie z którym dyrektywa 95/46 nie sprzeciwia się uregulowaniu krajowemu przyznającemu stowarzyszeniu mającemu na celu ochronę konsumentów, takiemu jak powód, legitymację do wniesienia pozwu przeciwko podmiotowi, któremu zarzuca się naruszenie przepisów dotyczących ochrony danych (sekcja A). Uważam ponadto, że pozwana jest razem z Facebook Ireland współadministratorem danych, przy czym jej odpowiedzialność ogranicza się do konkretnego etapu przetwarzania danych (sekcja B). Po trzecie, uważam, że wyważanie, którego należy dokonać zgodnie z art. 7 lit. f) dyrektywy 95/46, wymaga uwzględnienia nie tylko uzasadnionych interesów pozwanej, lecz także Facebook Ireland (a także oczywiście praw osób, których dane dotyczą) (sekcja C). Po czwarte, odnosząca się do danego etapu przetwarzania danych świadoma zgoda osoby, której te dane dotyczą, musi być wyrażona wobec pozwanej. Na pozwanej spoczywa także obowiązek przekazywania informacji osobie, której dane dotyczą (sekcja D).
A. Uregulowanie krajowe przyznające legitymację procesową stowarzyszeniom mającym na celu ochronę interesów konsumentów
24. W pierwszym pytaniu sąd odsyłający zmierza w istocie do ustalenia, czy dyrektywa 95/46 sprzeciwia się uregulowaniu krajowemu zezwalającemu stowarzyszeniom mającym na celu ochronę interesów konsumentów na występowanie przeciwko podmiotowi, któremu zarzuca się naruszenie przepisów dotyczących ochrony danych. W tym względzie sąd odsyłający przywołuje art. 22–24 dyrektywy 95/46. Zauważa przy tym, że analizowane uregulowanie krajowe może stanowić „odpowiedni środek”, o którym mowa w art. 24. Ponadto podkreśla on, że rozporządzenie (UE) 2016/679 (zwane dalej „RODO”)(5), które zastąpiło dyrektywę 95/46, w art. 80 ust. 2 wyraźnie przyznaje stowarzyszeniom takie prawo(6).
25. Pozwana i Facebook Ireland twierdzą, że dyrektywa 95/46 nie przyznaje takim stowarzyszeniom legitymacji procesowej, ponieważ nie jest ona w sposób wyraźny przewidziana, jako że ich zdaniem dyrektywa 95/46 ma na celu osiągnięcie pełnej harmonizacji. Według pozwanej przyznanie w ten sposób legitymacji procesowej zagroziłoby niezależności organów nadzorczych ze względu na presję publiczną, której poddane byłyby te organy.
26. Powód, LDI NW oraz wszystkie rządy zajmujące stanowisko w niniejszej sprawie są zdania, że dyrektywa 95/46 nie sprzeciwia się takiemu uregulowaniu.
27. Zgadzam się z tym drugim poglądem(7).
28. Uważam, że na samym początku należy przypomnieć (domyślną) zasadę konstytucyjną zawartą w art. 288 ust. 3 TFUE, zgodnie z którą „[d]yrektywa wiąże każde państwo członkowskie, do którego jest kierowana, w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków” umożliwiającą zagwarantowanie w najlepszym stopniu osiągnięcia stawianych przez nie celów(8).
29. Wynika stąd, że aby wykonać zobowiązania wynikające z dyrektywy, państwa członkowskie mogą swobodnie przyjmować środki, jakie uznają za odpowiednie, o ile środki te nie są wyraźnie wykluczone w samej dyrektywie lub nie są sprzeczne z celami dyrektywy.
30. W tekście dyrektywy 95/46 nie wykluczono w sposób wyraźny możliwości przyznania w prawie krajowym legitymacji procesowej stowarzyszeniom mającym na celu ochronę interesów konsumentów.
31. Co się z kolei tyczy celów realizowanych przez dyrektywę 95/46, należy wskazać, że jednym z nich jest „[zapewnienie] ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych”(9). Ponadto w motywie 10 dyrektywy 95/46 wskazano, że „zbliżanie przepisów prawa [w tej dziedzinie] nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony we Wspólnocie”(10).
32. Z postanowienia odsyłającego wynika, że Niemcy przyznały stowarzyszeniom takim jak powód legitymację procesową do zaskarżania praktyk, które w ocenie tych stowarzyszeń stanowią niedozwolone praktyki handlowe lub praktyki naruszające prawo ochrony konsumentów, w tym przepisy dotyczące ochrony danych.
33. W tym kontekście nie widzę powodów, dla których przyznanie takiej legitymacji procesowej mogłoby być sprzeczne z celami dyrektywy 95/46 lub osłabiać wysiłki zmierzające do osiągnięcia tych celów. Przyznanie legitymacji tego rodzaju stowarzyszeniu wydaje się raczej sprzyjać osiągnięciu tych celów oraz wdrażaniu dyrektywy, ponieważ skutecznie przyczynia się do wzmocnienia praw osób, których dane dotyczą, z wykorzystaniem powództwa zbiorowego(11).
34. Z tego względu uważam, że państwa członkowskie mogą – jeśli wyrażają taką wolę – wprowadzić normę przyznającą legitymację procesową stowarzyszeniom, taką jak norma, na podstawie której powód może wytoczyć powództwo rozpatrywane w postępowaniu głównym.
35. W świetle tej odpowiedzi uważam wynikłą w toku niniejszego postępowania dyskusję, która dotyczy kwestii tego, czy rozpatrywane uregulowanie krajowe wchodzi w zakres art. 24 dyrektywy 95/46 i stanowi rodzaj „odpowiedniego środka”, czy też być może wchodzi w zakres art. 22, za mającą niejako charakter zastępczy. Jeśli państwa członkowskie mają wdrożyć dyrektywę za pomocą wszelkich środków, które uznają za odpowiednie, a zastosowaniu konkretnego sposobu wdrożenia nie sprzeciwiają się ani brzmienie, ani cele dyrektywy, to rozstrzyganie, pod jaki dokładnie artykuł dyrektywy podpada dany przepis krajowy, ma drugorzędne znaczenie(12). Niemniej jednak – o ile w ogóle jest to istotne – pojęcie „odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy”, o którym mowa w art. 24, z pewnością można rozumieć w taki sposób, że obejmuje ono przepisy krajowe takie jak te, które są przedmiotem analizy w niniejszej sprawie.
36. Uważam, że poniższe uwagi, które były przedmiotem rozważań w toku postępowania w niniejszej sprawie, w żaden sposób nie wpływają na zmianę tego ogólnego wniosku.
37. Po pierwsze, prawdą jest, że dyrektywa 95/46 nie została ujęta w wykazie stanowiącym załącznik I do dyrektywy 2009/22. Dyrektywa ta zawiera przepisy dotyczące powództw o zaprzestanie szkodliwych praktyk, które mogą być wnoszone przez tzw. „upoważnione podmioty” w celu wzmocnienia ochrony zbiorowych interesów konsumentów(13). Wśród dyrektyw wymienionych w załączniku I brak jest dyrektywy 95/46.
38. Należy jednak zauważyć, że, jak podnosi także rząd niemiecki, wykazu stanowiącego załącznik I do dyrektywy 2009/22 nie można uważać za wyczerpujący w tym sensie, iż miałby on sprzeciwiać się uregulowaniom krajowym przewidującym możliwość wytaczania powództw o zaprzestanie szkodliwych praktyk naruszających przepisy dyrektyw innych niż te wymienione w załączniku I do dyrektywy 2009/22. Tym bardziej zaskakujące byłoby, gdyby tego rodzaju przykładowy wykaz zawarty w akcie prawa wtórnego miał być nagle interpretowany jako pozbawiający państwa członkowskie traktatowej swobody wyboru sposobu wdrożenia dyrektywy.
39. Po drugie, odniosę się do argumentu podniesionego przez pozwaną i Facebook Ireland, według których dyrektywa 95/46 zmierza do osiągnięcia skutku w postaci pełnej harmonizacji, co – ich zdaniem – wyklucza możliwość podejmowania jakichkolwiek nieprzewidzianych [w niej] w sposób wyraźny czynności.
40. Trybunał konsekwentnie wskazywał wprawdzie, że dyrektywa 95/46 nie prowadzi do minimalnej harmonizacji, lecz do harmonizacji, która jest „co do zasady pełna”(14). Jednocześnie Trybunał przyznał także, że dyrektywa ta „pozostawia państwom członkowskim margines swobody w niektórych dziedzinach” pod warunkiem, że przestrzegane są przepisy dyrektywy 95/46(15).
41. Jak już zasugerowałem w innej opinii(16) kwestia tego, czy rzeczywiście mamy do czynienia z „pełną harmonizacją” na szczeblu prawa Unii (w sensie skutku pierwszeństwa, który pozbawiałby państwa członkowskie możliwości podjęcia jakichkolwiek działań ustawodawczych), nie może być rozpatrywana w sposób ogólny, w odniesieniu do całej dziedziny prawa lub przedmiotu dyrektywy. Oceny tej należy natomiast dokonywać w odniesieniu do każdego konkretnego przepisu (określonej normy lub konkretnego aspektu) danej dyrektywy.
42. Zawarte w dyrektywie 95/46 konkretne przepisy „proceduralne”, które są przedmiotem analizy w niniejszej sprawie, mianowicie art. 22–24, sformułowano w sposób nader ogólny(17). Z uwagi na poziom ogólności i abstrakcyjności tych przepisów dość zastanawiające byłoby przyjęcie wykładni, zgodnie z którą wywołują one skutek pierwszeństwa i wykluczają możliwość przyjęcia przez państwa członkowskie środków, które nie są w sposób wyraźny wymienione w tych artykułach(18).
43. Po trzecie, kolejny argument podniesiony przez pozwaną dotyczy zagrożenia dla niezależności organów nadzorczych(19). Pozwana wskazuje zasadniczo, że przyznanie legitymacji procesowej stowarzyszeniom [ochrony] konsumentów spowodowałoby, że stowarzyszenia te wytaczałyby powództwa równolegle z organem nadzorczym lub zamiast niego, co wywołałoby skutek w postaci publicznej presji i stronniczości organu nadzorczego, a w efekcie stanowiłoby naruszenie ustanowionego w art. 28 ust. 1 dyrektywy wymogu całkowitej niezależności organów nadzorczych.
44. Ten argument nie ma żadnego znaczenia. Zakładając, że taki organ nadzorczy w ogóle byłby rzeczywiście niezależny(20), nie jestem sobie w stanie wyobrazić – podobnie jak rząd niemiecki – w jaki sposób powództwo, takie jak to, którego dotyczy postępowanie główne, miałoby zagrozić jego niezależności. Stowarzyszenie nie może egzekwować prawa w takim sensie, że narzuca swój pogląd organom nadzorczym. Uprawnienie to zostało bowiem pozostawione wyłącznej właściwości sądów. Stowarzyszenie [ochrony] konsumentów może jedynie, tak jak każdy konsument indywidualny, wytoczyć powództwo. W związku z tym argument, że wszelkie powództwa (prywatne) wytaczane przez osobę fizyczną lub stowarzyszenie [ochrony] konsumentów skutkują wywarciem presji na organy mające na celu egzekwowanie prawa (na drodze publicznoprawnej), przez co nie mogą one współistnieć równolegle z systemem egzekwowania prawa przez organy publiczne, jest tak osobliwy, że nie ma zbyt wielkiej potrzeby ustosunkowania się do niego w sposób bardziej szczegółowy(21).
45. Wreszcie, po czwarte, ustosunkuję się do argumentu, zgodnie z którym art. 80 ust. 2 RODO należy rozumieć w taki sposób, że zmienia on (i odwraca) dotychczasową sytuację, ponieważ przewiduje coś (legitymację procesową stowarzyszeń), co wcześniej nie istniało.
46. Argument ten nie jest przekonujący.
47. Należy przypomnieć, że wraz z zastąpieniem dyrektywy 95/46 przez RODO zmienił się charakter aktu prawnego zawierającego odnośne normy – nie jest to już dyrektywa, lecz rozporządzenie. Zmiana ta oznacza ponadto, że – inaczej niż ma to miejsce w odniesieniu do dyrektyw, w przypadku których państwa członkowskie dysponują swobodą wyboru sposobu wdrożenia treści aktu prawnego – przepisy krajowe służące wdrożeniu rozporządzenia można co do zasady przyjmować wyłącznie wówczas, gdy jest to w sposób wyraźny dozwolone.
48. Z tej perspektywy argument, zgodnie z którym fakt umieszczenia w RODO wyraźnego przepisu dotyczącego legitymacji procesowej stowarzyszeń oznacza, że legitymacja ta nie była przewidziana w dyrektywie 95/46, należy uznać za wątpliwy. Jeżeli z takiego przeciwstawienia można by w ogóle wyprowadzić jakiś argument(22), to szedłby on raczej w przeciwnym kierunku: skoro dyrektywa nie wykluczała możliwości wprowadzania uregulowań przyznających taką legitymację (zgodnie z argumentami przedstawionymi powyżej), to zmiana formy prawnej z dyrektywy na rozporządzenie uzasadniałaby zawarcie takiego przepisu [w rozporządzeniu] w celu jasnego zasygnalizowania, że tego rodzaju możliwość rzeczywiście nadal istnieje.
49. W związku z tym w świetle powyższych rozważań mój pierwszy wniosek wstępny brzmi następująco: dyrektywa 95/46 nie sprzeciwia się uregulowaniu krajowemu, które przyznaje społecznym stowarzyszeniom legitymację procesową do wytaczania, w celu ochrony interesów konsumentów, powództw przeciwko podmiotowi, któremu zarzuca się naruszenie przepisów dotyczących ochrony danych.
B. Czy Fashion ID jest administratorem danych?
50. Poprzez pytanie drugie sąd odsyłający pragnie ustalić, czy pozwaną, z uwagi na fakt umieszczenia przez nią na swojej stronie internetowej wtyczki, która inicjuje żądanie przez przeglądarkę użytkownika treści od osoby trzeciej i przekazywanie danych osobowych osobie trzeciej, należy uznać za „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46, nawet jeżeli pozwana nie może wywierać wpływu na to przetwarzanie danych.
51. Przyjmuję, że wskazany przez sąd odsyłający w zadanym pytaniu brak możliwości wywierania wpływu na to przetwarzanie danych w kontekście niniejszej sprawy nie odnosi się do spowodowania procesu przekazywania danych (w ujęciu faktycznym pozwana ma oczywiście bowiem możliwość wywierania wpływu, ponieważ umieściła na swojej stronie wtyczkę). Brak ten ma raczej natomiast związek z ewentualnym dalszym przetwarzaniem danych przez Facebook Ireland.
52. Jak zauważa sąd odsyłający, konsekwencje udzielenia odpowiedzi na pytanie drugie znacznie wykraczają poza kontekst niniejszej sprawy i serwisu społecznościowego prowadzonego przez Facebook Ireland. Na wielu stronach internetowych umieszczone są różnego rodzaju treści osób trzecich. Jeśli podmiot taki jak pozwana zostałby uznany za „administratora danych” (współ)odpowiedzialnego za każdą (dalszą) operację przetwarzania realizowaną w odniesieniu do zgromadzonych danych z tej przyczyny, że [jako] operator strony internetowej umieścił on [na swojej stronie] treść osoby trzeciej umożliwiającą przekazywanie takich danych, to rzeczywiście miałoby to znacznie dalej idące implikacje dla sposobu traktowania treści osób trzecich.
53. W ramach niniejszej sprawy pytanie drugie stanowi także kluczową kwestię dotykającą samego sedna rozpatrywanego zagadnienia – kto jest dokładnie za co odpowiedzialny w przypadku umieszczenia na stronie internetowej treści osób trzecich? Stopień (nie)dokładności odpowiedzi udzielonej na to pytanie ma także wpływ na odpowiedzi na pytania dotyczące uzasadnionych interesów, zgody i obowiązku przekazywania informacji.
54. W niniejszej sekcji przedstawię kilka uwag wstępnych odnoszących się do pojęcia danych osobowych, które mają znaczenie dla rozpatrywanej sprawy (część 1). Następnie zaprezentuję najnowsze orzecznictwo Trybunału, w którym – w razie uznania jego dotychczasowych rozstrzygnięć bez zadawania żadnych dodatkowych pytań – można znaleźć sugestie dotyczące odpowiedzi na pytanie drugie (część 2). Później wyjaśnię, dlaczego być może warto byłoby jednak zadać więcej pytań i – mając na uwadze kontekst niniejszej sprawy – przeprowadzić bardziej szczegółową analizę (część 3). Rozważania w ramach tej sekcji zakończę, podkreślając – na potrzeby zdefiniowania pojęcia (wspólnego) administrowania danymi – znaczenie jednolitości „celów i sposobów”, która musi panować między (współ)administratorami danych w odniesieniu do danego etapu przetwarzania danych osobowych (część 4).
1. Dane osobowe w niniejszej sprawie
55. Należy przypomnieć, że pojęcie „danych osobowych” zostało zdefiniowane w art. 2 lit. a) dyrektywy 95/46 jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«)”. W motywie 26 tejże dyrektywy wyjaśniono w tym zakresie, że „w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby”.
56. Trybunał wyjaśnił już, że adres IP może, w pewnych okolicznościach, stanowić dane osobowe(23). Trybunał stwierdził również, że w takim przypadku, aby można było mówić o „możliwej do zidentyfikowania osobie” w rozumieniu art. 2 lit. a) dyrektywy 95/46, „nie jest konieczne, by informacja ta umożliwiała sama w sobie zidentyfikowanie osoby, której dane dotyczą”, oraz że w związku z tym konieczne może być posłużenie się dodatkowymi informacjami. Ponadto Trybunał wskazał, że „nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby”, o ile możliwość połączenia ze sobą odpowiednich danych „stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą”(24).
57. Sąd odsyłający nie rozważa kwestii, czy adres IP (czy to samodzielnie, czy też w połączeniu z identyfikatorem przeglądarki, który również jest przekazywany) stanowi – w świetle tych kryteriów – dane osobowe. Wydaje się, że Facebook Ireland kwestionuje tę kwalifikację(25).
58. Oczywiste jest, że dokonanie takiej oceny należy do sądu krajowego. Ogólnie rzecz biorąc, co się tyczy wszelkich przeznaczonych do umieszczania wtyczek, jak i innych treści osób trzecich, aby dane można było uznać za dane osobowe, konieczne jest, by umożliwiały one zidentyfikowanie (czy to bezpośrednio, czy też pośrednio) osoby, której dane dotyczą. Na potrzeby niniejszej sprawy przyjmuję jako oczywiste, że – co zdaje się wynikać z pytań zadanych przez sąd odsyłający – w świetle okoliczności postępowania głównego adres IP i identyfikator przeglądarki rzeczywiście stanowią dane osobowe i spełniają określone w art. 2 lit. a) dyrektywy 95/46 kryteria, które zostały doprecyzowane w orzecznictwie Trybunału.
2. Sprawa Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?
59. Jeśli chodzi o odpowiedź na pytanie drugie, pozwana i Facebook Ireland argumentują, że pozwanej nie można uznać za administratora danych, ponieważ nie ma ona wpływu na dane osobowe, które będą podlegały przetwarzaniu. W związku z tym za administratora danych można uznać jedynie Facebook Ireland. Tytułem uzupełniającym Facebook Ireland podnosi, że pozwana działa wspólnie z nią, jako współadministrator danych, przy czym odpowiedzialność osoby takiej jak pozwana jest ograniczona do zakresu, w jakim może ona rzeczywiście wywierać wpływ.
60. Powód, LDI NW, wszystkie rządy, które przystąpiły do niniejszej sprawy w charakterze interwenientów, jak również Komisja, co do zasady podzielają stanowisko, że pojęcie „administratora danych” jest szerokie i obejmuje pozwaną. W przedstawionych uwagach zaprezentowano jednak dość rozbieżne poglądy w przedmiocie dokładnego zakresu odpowiedzialności pozwanej. Różnice dotyczą następujących kwestii: czy pozwana ponosi odpowiedzialność wspólnie z Facebook Ireland, czy też nie; czy ich współodpowiedzialność należy ograniczyć do tego etapu przetwarzania danych osobowych, w którym faktycznie uczestniczy pozwana, czy też nie, oraz czy w tym kontekście należy wprowadzić rozróżnienie pomiędzy tymi osobami odwiedzającymi stronę internetową pozwanej, które są posiadaczami konta na Facebooku, a tymi osobami odwiedzającymi jej stronę internetową, które takimi posiadaczami nie są.
61. W pierwszej kolejności trzeba wskazać, że jasne jest, iż zgodnie z art. 2 lit. d) dyrektywy 95/46 pojęcie „administratora danych” obejmuje osobę, która „samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”(26). W związku z tym pojęcie administratora danych może odnosić się do kilku podmiotów uczestniczących w przetwarzaniu danych osobowych(27) i należy przyjąć jego szeroką interpretację(28).
62. Trybunał odniósł się niedawno do kwestii wspólnego administrowania danymi w wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein(29). W odniesieniu do roli administratora fanpage’a prowadzonego na Facebooku Trybunał uznał, że administrator ten działał jako administrator danych wspólnie z Facebook Ireland w rozumieniu art. 2 lit. d) dyrektywy 95/46. Trybunał doszedł do takiego wniosku, ponieważ administrator przyczynił się, wspólnie z Facebook Ireland, do określenia celów i sposobów przetwarzania danych osobowych osób odwiedzających ów fanpage(30).
63. W szczególności Trybunał zauważył, że poprzez utworzenie takiego fanpage’a administrator dał Facebook Ireland „możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a”, a skutkiem tego umożliwił jej przetwarzanie danych osobowych(31). Trybunał stwierdził, że „utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a”(32). Takie przetwarzanie danych osobowych pozwoliło Facebook Ireland „na poprawę [jej] systemu reklam”, zaś administratorowi [fanpage’a] umożliwiło lepsze zarządzanie promocją swojej działalności z wykorzystaniem zanonimizowanych statystyk(33).
64. Trybunał doszedł do wniosku, że „podejmując działania polegające na ustaleniu parametrów”, administrator ten uczestniczył w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a. W związku z tym należy uznać, że jest on administratorem danych ponoszącym wspólnie z Facebook Ireland odpowiedzialność za to przetwarzanie danych (przy czym jego odpowiedzialność w odniesieniu do danych osobowych osób, które nie posiadają konta w serwisie prowadzonym przez Facebook Ireland, jest „jeszcze bardziej istotna”)(34).
65. W wyroku w sprawie Jehovan todistajat Trybunał przedstawił inne ważne wyjaśnienie dotyczące pojęcia współadministratora: aby można było mówić o wspólnym administrowaniu danymi i współodpowiedzialności, wcale nie jest konieczne, aby każdy z administratorów danych miał dostęp do (wszystkich) odnośnych danych osobowych. W związku z tym wspólnota religijna może być współadministratorem również wówczas, gdy sama najwyraźniej nie ma dostępu do zgromadzonych danych. W tym konkretnym przypadku dane osobowe znajdowały się w posiadaniu poszczególnych członków wspólnoty świadków Jehowy. Wystarczające było jednak, że działalność kaznodziejska, w toku której najwyraźniej gromadzono te dane osobowe, była organizowana, koordynowana i wspierana przez tę wspólnotę(35).
66. Jeśli kwestia ta miałaby być analizowana na wyższym poziomie abstrakcji i przy skupieniu uwagi wyłącznie na zagadnieniu wspólnego administrowania danymi, jestem skłonny przyznać, że w świetle tych ostatnich wyroków należy stwierdzić, iż pozwana działa jako administrator danych i ponosi wspólnie z Facebook Ireland odpowiedzialność za przetwarzanie danych(36).
67. Po pierwsze, wydaje się, że pozwana umożliwiła Facebook Ireland, poprzez zastosowanie przedmiotowej wtyczki, uzyskanie danych osobowych użytkowników swojej strony internetowej.
68. Po drugie, prawdą jest, że – w odróżnieniu od administratora, o którym mowa w wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein – pozwana najwyraźniej nie ustala parametrów odnoszących się do jakichkolwiek informacji na temat użytkowników swojej strony internetowej, które następnie byłyby jej z powrotem przekazywane w postaci zanonimizowanej lub w innej formie. Pożądana „korzyść” zdaje się polegać na bezpłatnym reklamowaniu jej produktów, co ma jakoby następować wówczas, gdy użytkownik jej strony internetowej postanawia kliknąć facebookowy przycisk „Lubię to”, aby podzielić się swoimi przemyśleniami, na przykład na temat czarnej sukienki koktajlowej. Zatem, z zastrzeżeniem dokonania przez sąd odsyłający weryfikacji okoliczności faktycznych, używanie tej wtyczki daje pozwanej możliwość optymalizacji reklam swoich produktów, ponieważ pozwala zapewnić, że są one widoczne na Facebooku.
69. Alternatywnie, z innego punktu widzenia można twierdzić, że pozwana (współ)ustala parametry odnoszące się do gromadzonych danych po prostu z tej przyczyny, że umieszcza na swojej stronie internetowej przedmiotową wtyczkę. To sama wtyczka dostarcza parametrów odnoszących się do danych osobowych, które podlegają gromadzeniu. W związku z tym poprzez dobrowolne umieszczenie tego narzędzia na swojej stronie internetowej pozwana ustaliła te parametry w odniesieniu do wszystkich osób odwiedzających jej stronę.
70. Po trzecie, należy w każdym razie zauważyć, że w świetle ww. wyroku w sprawie Jehovan todistajat współadministrator może zostać uznany za taką osobę nawet wówczas, gdy nie ma dostępu do „owoców wspólnej pracy”. Dlatego też fakt, że pozwana nie ma dostępu do danych przekazanych Facebookowi czy też najwidoczniej nie otrzymuje w zamian żadnych zindywidualizowanych ani zagregowanych statystyk, nie wydaje się rozstrzygający.
3. Problemy: kto nie jest więc współadministratorem?
71. Czy poziom skutecznej ochrony zostanie podniesiony w sytuacji, w której wszyscy będą odpowiedzialni za jej zapewnienie?
72. Tak można zwięźle przedstawić powstający w związku z tą sprawą zasadniczy dylemat natury moralnej i praktycznej, który w kategoriach prawnych odnosi się do zakresu definicji (współ)administratora. Z uwagi na zrozumiałą chęć zapewnienia skutecznej ochrony danych osobowych Trybunał, do którego zwracano się o dokonanie – w ten czy inny sposób – wykładni pojęcia (współ)administratora, definiował je w swoim ostatnim orzecznictwie w sposób bardzo pojemny. Jak dotąd Trybunał nie musiał jednak borykać się z praktycznymi implikacjami przyjęcia tak szerokiego podejścia definicyjnego w odniesieniu do kolejnych etapów związanych z określaniem konkretnych obowiązków i dokładnego zakresu odpowiedzialności podmiotów uznanych za współadministratorów. Z uwagi na fakt, że niniejsza sprawa stanowi ku temu sposobność, proponuję, aby skorzystać z okazji i zwiększyć precyzję definicji, które należy przyjąć odnośnie do pojęcia (współ)administratora.
a) W przedmiocie obowiązku i odpowiedzialności
73. Próba wskazania krytycznym okiem stosownego kryterium pozwalającego określić, kto jest „współadministratorem”, prowadzi do wniosku, że kluczowe kryterium, jakie należy przyjmować w świetle ww. wyroków w sprawach Wirtschaftsakademie Schleswig-Holstein i Jehovan todistajat, jest następujące: dana osoba ma „umożliwiać” gromadzenie i przekazywanie danych osobowych, przy czym może to być powiązane z pewnym wkładem, jaki współadministrator ten wnosi w odniesieniu do ustalania parametrów (lub przynajmniej z sytuacją, w której parametry te są milcząco zatwierdzane)(37). Jeżeli rzeczywiście tak jest, to trudno wychwycić, w jaki sposób można by zapewnić, żeby pod definicję współadministratora – mimo wyraźnego stwierdzenia w wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein(38), że użytkownicy nie są współodpowiedzialni za przetwarzanie danych osobowych – nie podpadali także zwykli użytkownicy nie tylko aplikacji internetowej, czy to stanowiącej serwis społecznościowy, czy też jakąkolwiek inną platformę współpracy, ale również i innych programów(39). Przy zakładaniu konta użytkownik zwykle przekazuje administratorowi parametry dotyczące konfiguracji konta, a także wskazuje, jakie informacje oraz od kogo chce otrzymywać. Oprócz tego zaprasza swoich przyjaciół, znajomych i inne osoby do dzielenia się przy użyciu aplikacji informacjami stanowiącymi (często dość wrażliwe) dane osobowe, w związku z czym nie tylko przekazuje dane dotyczące tych osób, ale także zachęca je same do podejmowania aktywności, przez co w sposób oczywisty przyczynia się do otrzymywania i przetwarzania ich danych osobowych.
74. Ponadto, co począć z innymi podmiotami w „łańcuchu danych osobowych”? Przyjmując skrajne stanowisko, jeżeli jedynym istotnym kryterium pozwalającym ustalić, czy dany podmiot współadministruje danymi, jest fakt umożliwienia przez niego przetwarzania danych, co w rzeczywistości oznacza przyczynienie się do tego przetwarzania na dowolnym etapie, to czy za współadministratora, na którym potencjalnie spoczywa współodpowiedzialność za przetwarzanie danych osobowych, nie powinien zostać uznany dostawca usług internetowych, który umożliwia przetwarzanie danych, ponieważ zapewnia dostęp do internetu, a nawet dostawca energii elektrycznej?
75. Intuicyjna odpowiedź na to pytanie brzmi oczywiście: „Nie”. Problem polega na tym, że na podstawie przyjmowanej do tej pory szerokiej definicji administratora danych nie można rozróżnić zakresu odpowiedzialności ponoszonej przez poszczególne podmioty. Niebezpieczeństwo związane z przyjęciem nazbyt szerokiej definicji tego pojęcia polega na tym, że prowadzi ono do sytuacji, w której za przetwarzanie danych osobowych współodpowiedzialnych jest wiele osób.
76. W odróżnieniu jednak od spraw omówionych powyżej pytania zadane przez sąd odsyłający w niniejszej sprawie nie odnoszą się wyłącznie do definicji „administratora danych”. Wymagają one podjęcia i zgłębienia kwestii dotyczących podziału rzeczywistych obowiązków nakładanych przez dyrektywę 95/46. Samo już istnienie tych kwestii świadczy o problemach związanych z przyjęciem nadmiernie pojemnej definicji administratora danych, zwłaszcza w obliczu braku precyzyjnej normy określającej dokładny zakres szczególnych obowiązków i odpowiedzialności administratorów danych na mocy dyrektywy 95/46. Dobrze unaoczniają to uwagi przedstawione przez zainteresowane strony w przedmiocie pytania piątego i szóstego, które odnoszą się do szczegółowego podziału odpowiedzialności wynikających z dyrektywy.
77. Pytanie piąte zasadniczo dotyczy tego, kto powinien uzyskać zgodę osoby, której dane dotyczą, a także w jakim celu ta zgoda ma być wyrażona. Proponowane odpowiedzi na to pytanie są bardzo różnorodne.
78. Powód i LDI NW są zdania, że obowiązek uzyskania świadomej zgody osoby, której dane dotyczą, spoczywa na pozwanej, która zdecydowała się umieścić [na swojej stronie internetowej] przedmiotową wtyczkę. Powód uważa, że jest to szczególnie istotne w przypadku osób, które nie posiadają konta na Facebooku i które nie wyraziły zgody na związanie się ogólnymi warunkami Facebooka. Pozwana stoi na stanowisku, że zgoda musi być wyrażona wobec osoby trzeciej dostarczającej umieszczaną treść, czyli wobec Facebook Ireland. Według Facebook Ireland zgoda nie musi być wyrażana wobec konkretnego adresata, ponieważ dyrektywa 95/46 wymaga jedynie, aby była ona dobrowolna, konkretna i świadoma.
79. Austria, Niemcy i Polska podnoszą, że zgoda musi być wyrażona przed rozpoczęciem przetwarzania danych; według Austrii zaś musi ona odnosić się zarówno w odniesieniu do gromadzenia, jak i ewentualnego przekazywania danych. Polska podkreśla, że zgoda musi być wyrażona wobec pozwanej. Niemcy są zdania, że zgoda musi być wyrażona wobec pozwanej lub osoby trzeciej dostarczającej umieszczaną treść (Facebook Ireland), ponieważ to pozwana i osoba trzecia są współodpowiedzialne za przetwarzanie. Pozwana musi uzyskać zgodę jedynie na przekazanie danych osobie trzeciej, ponieważ nie działa jako administrator danych na żadnym późniejszym etapie przetwarzania i wykorzystywania zgromadzonych danych. Nie wyklucza to jednak możliwości uzyskania przez operatora strony internetowej zgody na przetwarzanie przez osobę trzecią, które może podlegać postanowieniom zawartej między nimi umowy. Włochy wskazują, że zgoda musi być wyrażona wobec wszystkich podmiotów uczestniczących w przetwarzaniu danych osobowych, mianowicie wobec pozwanej i Facebook Ireland. Belgia i Komisja podkreślają, że dyrektywa 95/46 nie wskazuje, wobec kogo należy wyrazić zgodę.
80. Podobna różnorodność poglądów istnieje w odniesieniu do kwestii tego, na kim spoczywa obowiązek przekazywania informacji przewidziany w art. 10 dyrektywy 95/46 i czego dokładnie on dotyczy; na te wątpliwości sąd odsyłający zwrócił uwagę w swoim szóstym pytaniu.
81. Według powoda to na operatorze strony internetowej spoczywa obowiązek przekazania osobie, której dane dotyczą, niezbędnych informacji. Pozwana broni tezy przeciwnej i podkreśla, że to Facebook Ireland ma przekazać informacje, ponieważ pozwana nie dysponuje dokładną wiedzą w tym przedmiocie. Podobnie Facebook Ireland podkreśla, że spoczywa na niej obowiązek przekazywania informacji, ponieważ jest on nałożony wyłącznie na administratora danych (lub jego przedstawiciela). Zauważa ona, że odpowiedź na pytanie szóste pozostaje ściśle związana z kwestią tego, czy operator strony internetowej może zostać uznany za administratora danych. Z art. 10 wynika, że operatora strony internetowej nie należy uważać za administratora danych, ponieważ nie jest on w stanie udzielić takich informacji. LDI NW twierdzi, że informacje muszą być przekazane przez operatora strony internetowej, jednak zauważa, iż określenie, jakie informacje należy przekazać, nastręcza trudności, ponieważ pozwana nie ma wpływu na przetwarzanie danych przez Facebook Ireland. Z tego przeplatania się ze sobą celów przetwarzania danych osobowych zdaje się wynikać, że operator strony internetowej powinien być współodpowiedzialny za przetwarzanie, które umożliwił.
82. Belgia, Włochy i Polska twierdzą, że obowiązek przekazywania informacji spoczywa także na operatorze strony internetowej takim jak ten, którego dotyczy niniejsze postępowanie, w zakresie, w jakim należy go uznać za administratora danych. Belgia dodaje, że na operatorze strony internetowej może również spoczywać obowiązek ustalenia celu późniejszego przetwarzania danych i podjęcia odpowiednich środków w celu zagwarantowania ochrony osób fizycznych. Rząd niemiecki podnosi, że obowiązek przekazywania informacji dotyczy operatora strony internetowej w zakresie, w jakim jest on odpowiedzialny za przetwarzanie, mianowicie w odniesieniu do przekazania danych zewnętrznemu dostawcy umieszczanej treści, natomiast obowiązek ten nie dotyczy go w odniesieniu do żadnych późniejszych etapów przetwarzania danych, za które odpowiedzialny jest ten zewnętrzny dostawca. Zdaniem Austrii i Komisji zarówno operator strony internetowej, jak i zewnętrzny dostawca podlegają obowiązkowi przekazywania informacji przewidzianemu w art. 10 dyrektywy 95/46.
83. Niezależnie od kwestii powstających na gruncie pytania piątego i szóstego można by dodać, że podobne wątpliwości pojęciowe pojawią się najpewniej również przy analizowaniu innych obowiązków przewidzianych w dyrektywie 95/46, takich jak prawo dostępu zapewnione w jej art. 12. Prawdą jest, że w ww. wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein Trybunał stwierdził, iż „[d]yrektywa 95/46 nie wymaga […], by w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego samego przetwarzania każdy miał dostęp do odnośnych danych osobowych”(40). Jednak jeśli administrator danych jest pozbawiony dostępu do danych, w odniesieniu do których jest mimo to traktowany jako (współ)administrator danych, to nie może on przecież – co jest zresztą raczej logiczne – zapewnić takiego dostępu żadnej osobie, której dane dotyczą (nie wspominając już tutaj o możliwości dokonywania jakichkolwiek dalszych czynności w rodzaju sprostowania czy też usunięcia danych).
84. Dlatego też na tym etapie uprzedni brak jasności pojęciowej (co do tego, kto jest administratorem danych i w odniesieniu do jakich danych pełni tę funkcję), który w pewnych przypadkach może prowadzić do następczego braku jasności pojęciowej (na kim spoczywają konkretne obowiązki), faktycznie uniemożliwia potencjalnemu współadministratorowi przestrzeganie obowiązujących przepisów.
85. Z pewnością można by zaproponować, żeby zakres odpowiedzialności (potencjalnie dość licznych współ)administratorów, był dokładnie określany w zawieranych pomiędzy poszczególnymi podmiotami umowach. Umożliwiłyby one nie tylko określenie zakresu ponoszonej odpowiedzialności, ale także pozwoliłyby zidentyfikować podmiot mający wykonywać poszczególne obowiązki przewidziane w dyrektywie, w tym także te, które fizycznie może wykonać tylko jeden podmiot.
86. Moim zdaniem taka propozycja nastręcza wiele trudności. Po pierwsze, jest ona całkowicie nierealistyczna ze względu na gęstą sieć formalnych i znormalizowanych umów, które musiałyby być podpisywane przez wszelkiego rodzaju podmioty, w tym najpewniej przez wielu zwykłych użytkowników(41). Po drugie, stosowanie obowiązujących przepisów i określanie zakresu przewidzianej w nich odpowiedzialności byłoby wówczas uzależnione od umów prawa prywatnego, do których osoby trzecie zamierzające dochodzić swoich praw mogłyby nie mieć dostępu.
87. Po trzecie – co być może częściowo przesądza o niektórych spośród tych kwestii – wydaje się, że RODO wprowadza w art. 26 nowy system ponoszonej wspólnie odpowiedzialności. RODO z pewnością nie ma zastosowania ratione temporis ani do spraw omawianych w tej sekcji, ani do sprawy będącej przedmiotem postępowania głównego. Niemniej jednak, o ile w nowym akcie prawnym nie przewidziano szczególnego ani systemowego odstępstwa od stosownych definicji co najwyraźniej nie ma miejsca w tym przypadku, ponieważ w art. 4 RODO w dużym stopniu pozostawiono te same kluczowe pojęcia, co w art. 2 dyrektywy 95/46 (i dodano przy tym szereg nowych), byłoby dość zaskakujące, gdyby wykładnia takich kluczowych pojęć, w tym pojęcia administratora danych, przetwarzania lub danych osobowych, była (w razie braku przemawiających za tym wyraźnych powodów) znacząco odmienna od tej przyjętej w dotychczasowym orzecznictwie.
88. W takim przypadku stosowanie systemu, który wydaje się przewidywać wspólną odpowiedzialność współadministratorów, a który jest wprowadzony w art. 26 ust. 3 RODO, mogłoby się przerodzić w dość spore wyzwanie. Z jednej strony, zgodnie z art. 26 ust. 1 RODO współadministratorzy „określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków”. Z drugiej natomiast strony, art. 26 ust. 3 RODO jasno stanowi, że „osoba, której dane dotyczą, może wykonywać przysługujące jej prawa” „wobec każdego z administratorów” niezależnie od jakichkolwiek takich uzgodnień. Każdego ze współadministratorów można zatem uznać za odpowiedzialnego za przetwarzanie danych.
b) Szerszy kontekst
89. Dawno temu (a fani pewnej serii filmów science fiction mogliby pewnie jeszcze dodać: „w odległej galaktyce”) modnie było posiadać konto w serwisie społecznościowym. Następnie stopniowo okazywało się, że modne jest nieposiadanie takiego konta. Obecnie wydaje się z kolei, że posiadanie konta w takim serwisie stało się grzechem (i trzeba określić nowe formy ponoszenia odpowiedzialności za nie).
90. Nie można zaprzeczyć, że sądy wydają orzeczenia w zmieniającym się kontekście społecznym. Orzecznictwo powinno z pewnością reagować na taki kontekst, natomiast nie może być przezeń ograniczane. Serwis społecznościowy, tak jak każda inna aplikacja czy też program, stanowi narzędzie. Podobnie jak nóż lub samochód można je wykorzystywać na różne sposoby. Nie ulega również wątpliwości, że jeśli narzędzia te zostaną użyte do niewłaściwych celów, to takie użycie musi być ścigane. Być może nie najlepszym pomysłem jest jednak karanie każdego, kto kiedykolwiek używał noża. Zwykle ściganiu podlegają osoby, które posługiwały się nożem w chwili, w której jego użycie doprowadziło do powstania szkody.
91. W związku z tym powinna istnieć, być może nie stuprocentowa, ale przynajmniej rozsądna korelacja między możnością, wpływem a odpowiedzialnością. Oczywiście we współczesnym prawie znajdujemy różnego rodzaju przykłady odpowiedzialności obiektywnej, do której zaistnienia wystarcza wystąpienie określonego rezultatu. Wydają się one jednak stanowić uzasadnione wyjątki. Jeżeli odpowiedzialność przypisuje się bez udzielania dodatkowych wyjaśnień komuś, kto nie miał wpływu na osiągnięcie danego rezultatu, określenie w ten sposób jej zakresu zwykło się uważać za nieuzasadnione lub niesprawiedliwe(42).
92. Co więcej, co się tyczy pytania zadanego na początku niniejszej części opinii (pkt 71), sceptyczna osoba pochodząca ze wschodniej części Unii Europejskiej, mogłaby być może zasugerować – w świetle własnych doświadczeń historycznych – że poziom skutecznej ochrony dramatycznie spada w sytuacji, gdy każdy jest odpowiedzialny za jej zapewnienie. Uczynienie każdego odpowiedzialnym oznacza, że w rzeczywistości nikt nie będzie ponosić odpowiedzialności. Może się też zdarzyć, że podmiot, który powinien ponosić odpowiedzialność za konkretne działanie, a mianowicie ten, który w sposób rzeczywisty sprawuje kontrolę, ukryje się za wszystkimi innymi nominalnie „współodpowiedzialnymi” podmiotami, co spowoduje istotne rozwodnienie skutecznej ochrony.
93. Wreszcie żadne dobre prawo nie powinno prowadzić do sytuacji, w której określonych przez nie obowiązków nie mogą wykonać osoby, na które się je nakłada; to samo tyczy się zresztą każdej dobrej wykładni prawa. W związku z tym, o ile jednoznaczna definicja (wspólnego) administrowania danymi nie ma się zmienić w skierowane do wszystkich podmiotów sądowe polecenie wylogowania się i powstrzymania od używania jakichkolwiek serwisów społecznościowych, wtyczek oraz ewentualnie innych treści osób trzecich, to przy określaniu obowiązków i odpowiedzialności należy zwrócić uwagę na realia, uwzględniając kwestie wiedzy i rzeczywistej siły przetargowej oraz możliwości wywierania wpływu na wszelkie przypisywane działania(43).
4. Powrót do korzeni (legislacyjnych): jednolitość celów i sposobów w odniesieniu do konkretnej operacji przetwarzania
94. W ww. wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein Trybunał przyjął wprawdzie dość stanowcze podejście w odniesieniu do definicji wspólnego administrowania danymi, jednak wskazał także na konieczność ograniczenia odpowiedzialności (współ)administratora danych. Dokładniej rzecz ujmując, Trybunał stwierdził, że „istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. […] [P]odmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy”(44).
95. O ile w ww. wyroku w sprawie Wirtschaftsakademie Schleswig-Holstein nie było potrzeby zajęcia się tą konkretną kwestią, to w ramach niniejszego postępowania sąd odsyłający wprost zwraca się do Trybunału o ustalenie, jakie obowiązki mogą ewentualnie spoczywać na pozwanej w związku z przyjęciem, że jest ona administratorem danych.
96. W świetle nowo wprowadzonego w art. 26 RODO systemu ponoszonej wspólnie odpowiedzialności może być trudno ustalić, w jaki sposób współodpowiedzialność mogłaby oznaczać – w odniesieniu do tego samego rezultatu w postaci potencjalnie (nie)zgodnego z prawem przetwarzania danych osobowych – niejednakową odpowiedzialność. Ma to szczególne znaczenie w kontekście art. 26 ust. 3 RODO, który wydaje się grawitować w stronę współodpowiedzialności (o charakterze solidarnym)(45).
97. Moim zdaniem jednak kluczowe znaczenie ma druga część stwierdzenia Trybunału, który wskazał, że „podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu”. Tego rodzaju stwierdzenie znajduje oparcie w definicjach zawartych w dyrektywie 95/46, zwłaszcza zaś w definicji (i) pojęcia przetwarzania zawartej w art. 2 lit. b) oraz (ii) pojęcia administratora danych zawartej w art. 2 lit. d).
98. Po pierwsze, pojęcie przetwarzania danych osobowych obejmuje „każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie”.
99. Pojęcie przetwarzania jest – podobnie jak pojęcie administratora danych – dość szerokie(46), jednak wyraźnie zwraca się w nim uwagę na etap przetwarzania: dotyczy ono bowiem operacji lub zestawu operacji, a ponadto obejmuje niewyczerpujący wykaz przykładów takich poszczególnych operacji. Niemniej jednak, logicznie rzecz biorąc, kwestię administrowania danymi należy oceniać w odniesieniu do indywidualnej operacji, a nie w odniesieniu do nieokreślonego zbioru wszystkich czynności określanych mianem przetwarzania(47).
100. Po drugie, pojęcie wspólnego administrowania danymi nie zostało w dyrektywie 95/46 wyraźnie zdefiniowane. Logika nakazuje jednak przyjąć, że pojęcie to jest oparte na pojęciu administratora danych, którego definicja znajduje się w art. 2 lit. d): wspólne administrowanie danymi ma miejsce wówczas, gdy co najmniej dwie osoby określają razem cele i sposoby przetwarzania danych osobowych(48). Innymi słowy, aby dwie osoby (lub większa ich liczba) mogły zostać uznane za współadministratorów, cele i sposoby przetwarzania przez nie danych muszą być identyczne.
101. Moim zdaniem to właśnie na podstawie tych dwóch połączonych ze sobą definicji należy określać obowiązki i potencjalną odpowiedzialność współadministratorów. (Współ)administrator jest odpowiedzialny za tę operację lub za ten zestaw operacji, w odniesieniu do których uznaje lub współokreśla cele i sposoby dotyczące danej operacji przetwarzania. Odpowiedzialności w odniesieniu do poprzedzających lub późniejszych etapów łańcucha przetwarzania danych nie można natomiast przypisywać osobie, która nie była w stanie określić na tym etapie przetwarzania jego celów bądź sposobów.
102. W niniejszej sprawie odnośny etap przetwarzania (operacje przetwarzania) stanowi gromadzenie i przekazywanie danych osobowych z wykorzystaniem facebookowego przycisku „Lubię to”.
103. Po pierwsze, co się tyczy sposobów realizacji tych operacji przetwarzania danych, nie ulega wątpliwości – jak wskazuje powód, LDI NW i rząd niemiecki – że to pozwana podejmuje decyzję o użyciu przedmiotowej wtyczki, która stanowi instrument umożliwiający gromadzenie i przetwarzanie danych osobowych. To gromadzenie i przekazywanie następuje w wyniku odwiedzenia strony internetowej pozwanej. Rzeczona wtyczka została udostępniona pozwanej przez Facebook Ireland. W związku z tym wydaje się, że to Facebook Ireland i pozwana dobrowolnie zainicjowały etap przetwarzania danych polegający na ich gromadzeniu i przekazywaniu. Zweryfikowanie tego założenia na poziomie okoliczności faktycznych należy oczywiście do sądu krajowego.
104. Po drugie, co się tyczy celów przetwarzania danych, w postanowieniu odsyłającym nie wskazano powodów, dla których pozwana postanowiła umieścić na swojej stronie internetowej facebookowy przycisk „Lubię to”. Jednak, z zastrzeżeniem sprawdzenia tego przez sąd odsyłający, decyzja ta zdaje się być inspirowana chęcią poprawy widoczności jej produktów pozwanej za pośrednictwem serwisu społecznościowego. Jednocześnie wygląda też na to, że dane przekazywane Facebook Ireland są wykorzystywane do własnych celów handlowych Facebook Ireland.
105. Pomimo tego, że konkretne sposoby handlowego użycia danych mogą wprawdzie nie być takie same, jednak w ujęciu całościowym zarówno pozwana, jak i Facebook Ireland wydają się dążyć do realizacji celów handlowych w sposób, który sprawia wrażenie komplementarnego. Tak urzeczywistnia się, aczkolwiek nie w sposób identyczny, jednolitość celów – istnieje bowiem cel handlowy i reklamowy.
106. Z okoliczności faktycznych niniejszej sprawy wynika więc, że pozwana i Facebook Ireland wspólnie określają sposoby i cele przetwarzania danych na etapie ich gromadzenia i przekazywania. W tym zakresie pozwana działa jako administrator danych i ponosi – również w tym właśnie zakresie – odpowiedzialność wspólnie z Facebook Ireland.
107. Jednocześnie uważam, że odpowiedzialność pozwanej musi zostać ograniczona do tego etapu przetwarzania danych, w którym ona uczestniczy, i nie może się rozciągać na żadne ewentualne późniejsze etapy przetwarzania danych, skoro takie przetwarzanie pozostaje poza kontrolą pozwanej i, jak się zdaje, nie ma ona o nim wiedzy.
108. W świetle powyższych rozważań mój drugi wniosek wstępny brzmi więc następująco: osobę taką jak pozwana, która umieszcza na swojej stronie internetowej wtyczkę osoby trzeciej (która to osoba trzecia udostępniła ową wtyczkę), co skutkuje gromadzeniem i przekazywaniem danych osobowych użytkownika, należy uważać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. (Współ)odpowiedzialność tego administratora danych jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych osobowych.
109. Należy dodać, że wniosek ten stanowi również odpowiedź na pytanie trzecie. Poprzez to pytanie sąd odsyłający zmierza zasadniczo do ustalenia, czy dyrektywa 95/46 stoi na przeszkodzie uznaniu, że pozwana jest „sprowadzającym niebezpieczeństwo” (Störer), która to koncepcja funkcjonuje na gruncie prawa krajowego, jeśli zostałoby stwierdzone, że pozwana nie może być uważana za administratora danych. Jak wskazano w postanowieniu odsyłającym, przyjęcie odpowiedzialności „sprowadzającego niebezpieczeństwo” jest możliwe wówczas, gdy podmiot, który sam nie naruszył prawa, jednakże stworzył lub zwiększył prawdopodobieństwo naruszenia prawa przez osoby trzecie, może być zobowiązany do podjęcia wszystkich racjonalnie możliwych dla niego środków, aby zapobiec naruszeniu prawa. Jeśli pozwanej nie można uznać za administratora danych, sąd odsyłający wskazuje, że przesłanki uznania jej za „sprowadzającego niebezpieczeństwo” byłyby spełnione, ponieważ poprzez umieszczenie wtyczki (facebookowego przycisku „Lubię to”) pozwana co najmniej stworzyła prawdopodobieństwo naruszenia prawa przez Facebooka.
110. Z uwagi na odpowiedź udzieloną na drugie z zadanych przez sąd odsyłający pytań nie ma potrzeby udzielania odpowiedzi na pytanie trzecie. Po ustaleniu, że daną osobę należy uznać za administratora danych w rozumieniu dyrektywy 95/46, jej obowiązki jako administratora danych należy oceniać w świetle obowiązków określonych w tej dyrektywie. W przeciwnym razie doprowadziłoby to do zróżnicowania, w zależności od państwa członkowskiego, ponoszonej przez administratorów danych odpowiedzialności za konkretne naruszenia prawa. W tym sensie oraz gdy chodzi o definicję administratora danych, dyrektywa 95/46 rzeczywiście wywołuje skutek w postaci pełnej harmonizacji w odniesieniu do osób, na które nakłada określone obowiązki(49).
C. Uzasadnione interesy, które należy uwzględnić zgodnie z art. 7 lit. f) dyrektywy 95/46
111. Czwarte z zadanych w niniejszej sprawie pytań dotyczy legalności przetwarzania danych osobowych w razie braku zgody osoby, której dane dotyczą, w rozumieniu art. 7 lit. a) dyrektywy 95/46.
112. W tym względzie sąd odsyłający wskazuje na art. 7 lit. f) dyrektywy 95/46, zgodnie z którym dane osobowe mogą być przetwarzane, jeżeli jest to „konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą […]”. Sąd odsyłający pragnie konkretnie ustalić, czyje uzasadnione interesy należy przyjąć w kontekście niniejszej sprawy: interesy pozwanej, która umieściła treści osoby trzeciej, czy interesy tejże osoby trzeciej (mianowicie Facebook Ireland)(50).
113. Na wstępie należy zauważyć, że według Komisji pytanie czwarte nie ma znaczenia dla sprawy, ponieważ w tym przypadku wyrażenie zgody przez użytkownika i tak jest wymagane na podstawie przepisów transponujących dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (zwanej dalej „dyrektywą o prywatności i łączności elektronicznej”)(51).
114. Zgadzam się z Komisją, że dyrektywa o prywatności i łączności elektronicznej (której przepisy – zgodnie z jej art. 1 ust. 2 – dookreślają i uzupełniają dyrektywę 95/46 w sektorze łączności elektronicznej)(52) wydaje się mieć zastosowanie do analizowanej sytuacji w zakresie, w jakim na urządzeniach użytkowników zapisywane są pliki cookie(53). Ponadto w art. 2 lit. f) i motywie 17 dyrektywy o prywatności i łączności elektronicznej zdefiniowano zgodę poprzez odwołanie się do pojęcia zgody zawartego w dyrektywie 95/46.
115. Podczas rozprawy wywiązała się ożywiona dyskusja na temat tego, czy w sprawie w postępowaniu głównym dochodziło do zapisywania plików cookie. Wyjaśnienie okoliczności faktycznych w tym zakresie należy do sądu krajowego. Mimo to jednak – co wynika z treści postanowienia odsyłającego – sąd odsyłający jest zdania, że przekazywane dane stanowią dane osobowe(54). W związku z tym nie wydaje się, aby w oparciu o rozważania dotyczące plików cookie można było się ustosunkować do wszystkich kwestii pojawiających się w niniejszej sprawie w odniesieniu do przetwarzania danych(55).
116. Jestem więc zdania, że pytanie czwarte wymaga przeprowadzenia bardziej pogłębionej analizy.
117. Powód podnosi, że uzasadniony interes, który należy uwzględnić, to uzasadniony interes pozwanej. Dodaje on ponadto, że ani pozwana, ani Facebook Ireland nie mogą skutecznie powoływać się w niniejszej sprawie na uzasadnione interesy.
118. Pozwana i Facebook Ireland podnoszą zasadniczo, że uzasadnione interesy, które należy uwzględnić, to interesy osoby umieszczającej treści osoby trzeciej oraz owej osoby trzeciej, przy czym należy też uwzględnić interesy osób odwiedzających stronę internetową, których prawa podstawowe mogą zostać naruszone.
119. LDI NW, Polska, Niemcy i Włochy uważają, że należy uwzględnić uzasadnione interesy zarówno pozwanej, jak i Facebook Ireland, ponieważ oba te podmioty umożliwiły przedmiotowe przetwarzanie. Zbliżone stanowisko przyjmuje Austria. W podobny sposób rozkłada akcenty Belgia, która powołuje się na wydany przez Trybunał wyrok w sprawie Google Spain; według niej należy uwzględnić zarówno uzasadnione interesy administratora danych, jak i osób trzecich, którym dane są przekazywane.
120. Na wstępie należy przypomnieć, że każda operacja przetwarzania danych osobowych musi co do zasady być zgodna między innymi z jednym z kryteriów legalności przetwarzania danych wymienionych w art. 7 dyrektywy 95/46(56).
121. Właśnie w związku z art. 7 lit. f) Trybunał przypomniał, że przepis ten „[określa] trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią, lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów oraz, po trzecie, przesłankę, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych”(57).
122. W dyrektywie 95/46 nie zdefiniowano ani nie wymieniono „uzasadnionych interesów”. Pojęcie to zdaje się dość pojemne i elastyczne(58). Nie istnieją interesy, które byłyby wykluczone z jego zakresu same z siebie, o ile oczywiście są one zgodne z prawem. Jak zasadniczo zostało to omówione na rozprawie oraz jak wynika z powyższych rozważań(59), w niniejszej sprawie chodzi o gromadzenie i przekazywanie danych osobowych w celu optymalizacji reklam, choć ostateczne realizowane przez pozwaną i Facebook Ireland cele nie muszą być dokładnie takie same.
123. Mając na uwadze te rozważania, przyjmuję, że marketing czy reklama mogą jako takie stanowić takie uzasadnione interesy(60). W kontekście niniejszej sprawy dość trudno jest powiedzieć coś więcej, ponieważ na poziomie okoliczności faktycznych oprócz tych ogólnych stwierdzeń brakuje konkretnych informacji na temat dokładnego sposobu wykorzystywania przekazanych i uzyskanych danych.
124. To powiedziawszy, należy zauważyć, że sąd odsyłający nie zastanawia się nad oceną uzasadnionych interesów przedstawionych w postępowaniu głównym ani nie zwraca się w tym przedmiocie o żadne wskazówki. Poprzez pytanie czwarte sąd odsyłający dąży jedynie do ustalenia, czyje uzasadnione interesy należy przyjąć, aby dokonać wyważania zgodnie z art. 7 lit. f) dyrektywy 95/46.
125. W świetle zaproponowanej przeze mnie powyżej odpowiedzi na pytanie drugie uważam, że należy przyjąć uzasadnione interesy zarówno pozwanej, jak i Facebook Ireland, ponieważ oba te podmioty działają jako współadministratorzy w odniesieniu do odnośnej operacji przetwarzania danych.
126. Z uwagi na fakt, że z ich statusu współadministratorów wynika także wspólnota celów przetwarzania danych osobowych, istnienie uzasadnionego interesu należy ustalić w odniesieniu do obu tych podmiotów, przynajmniej na przedstawionym powyżej poziomie ogólnym. Interes ten należy następnie wyważyć względem praw osób, których dane dotyczą, zgodnie z art. 7 lit. f) in fine dyrektywy 95/46(61), przy czym wyważanie to dotyczy „co do zasady szczególnych okoliczności danej sprawy”(62). Przypominam, że w takich okolicznościach przetwarzanie danych zależy również od spełnienia przesłanki konieczności(63).
127. W świetle powyższych rozważań mój trzeci wniosek wstępny brzmi następująco: na potrzeby oceny możliwości przetwarzania danych osobowych zgodnie z warunkami określonymi w art. 7 lit. f) dyrektywy 95/46 należy uwzględnić uzasadnione interesy obu współadministratorów i wyważyć je względem praw przysługujących osobom, których dane dotyczą.
D. Obowiązki pozwanej w zakresie zgody uzyskiwanej od osoby, której dane dotyczą, i przekazywanych tej osobie informacji
128. Poprzez pytanie piąte sąd odsyłający zmierza do ustalenia, wobec kogo w świetle okoliczności niniejszej sprawy musi zostać wyrażona zgoda, o której mowa w art. 7 lit. a) i art. 2 lit. h) dyrektywy 95/46.
129. Poprzez pytanie szóste sąd odsyłający zmierza do ustalenia, czy obowiązek przekazywania informacji przewidziany w art. 10 dyrektywy 95/46 dotyczy – w rozpatrywanej sytuacji – operatora strony internetowej (takiego jak pozwana), który zamieszcza treść osoby trzeciej i w ten sposób powoduje przetwarzanie danych osobowych przez tę osobę trzecią.
130. Jak wskazano powyżej(64), na te pytania można udzielić bardzo zróżnicowanych odpowiedzi. Jednak po określeniu dokładnego charakteru obowiązku, którego dotyczy pytanie drugie, zarówno w odniesieniu do zobowiązanego podmiotu (kto), jak i treści obowiązku (za co), oraz wyjaśnieniu tej kwestii, jeśli chodzi o wcześniejsze etapy, odpowiedzi na pytania piąte i szóste, których przedmiotem są pewne obowiązki na kolejnych etapach, jawią się jako bardziej jednoznaczne.
131. Po pierwsze, uważam, że zarówno zgoda, jak i przekazywane informacje muszą obejmować wszystkie aspekty związane z operacją (operacjami) przetwarzania danych, za którą (lub za które) współadministratorzy ponoszą współodpowiedzialność; tymi operacjami są tutaj gromadzenie i przekazywanie. Te obowiązki w zakresie uzyskania zgody i przekazywania informacji nie istnieją natomiast na kolejnych etapach przetwarzania danych, w których pozwana nie uczestniczy i – jak wynika z zasad logiki – w odniesieniu do których nie określa ona ani sposobów, ani celów.
132. Po drugie, w takich okolicznościach można by argumentować, że zgodę można wyrazić wobec jednego ze współadministratorów. Ze względu jednak na szczególną sytuację, która występuje w niniejszej sprawie, zgodę tę należy wyrazić wobec pozwanej, ponieważ to z chwilą odwiedzenia jej strony internetowej inicjowana jest operacja przetwarzania. Z pewnością nie dałoby się zapewnić skutecznej i terminowej ochrony praw osób, których dane dotyczą, jeśli zgoda miałaby być wyrażana wyłącznie wobec współadministratora biorącego udział [w przetwarzaniu] na późniejszym etapie (o ile w ogóle brałby on taki udział), po zgromadzeniu i przekazaniu danych.
133. Podobnej odpowiedzi należy udzielić w odniesieniu do obowiązku przekazywania informacji, który spoczywa na pozwanej na mocy art. 10 dyrektywy 95/46. W przepisie tym wskazano, jakie jest minimum wymaganych informacji, które administrator danych (lub jego przedstawiciel) musi przekazać osobie, której dane dotyczą. Wymieniono w nim następujące elementy: tożsamość administratora danych (lub jego przedstawiciela), cele przetwarzania danych, do których dane są przeznaczone, oraz wszelkie dalsze informacje, o ile są one „potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w st[o]sunku do osoby, której dane dotyczą”. W art. 10 podano przykłady takich dalszych informacji, które obejmują m.in. informacje na temat odbiorcy danych lub istnienia prawa wglądu do danych dotyczących osoby, której dane dotyczą, i ich sprostowania, co może mieć znaczenie w niniejszej sprawie,
134. Biorąc pod uwagę zawarty w tym artykule wykaz, pozwana z pewnością jest w stanie przekazać informacje na temat tożsamości współadministratorów i celów, do których urzeczywistnienia dąży się na danym etapie przetwarzania (co oznacza operację lub operacje, którymi współadministruje), a także informację na temat tego, że dane te zostaną przekazane [dalej].
135. Jeśli natomiast chodzi o prawo wglądu do danych i ich sprostowania, rozumiem, że pozwana sama nie ma dostępu do danych przekazanych Facebook Ireland, ponieważ w żaden sposób nie uczestniczy w przechowywaniu danych. W związku z tym można na przykład wskazać, że kwestia ta powinna być przedmiotem zawartej z Facebook Ireland umowy.
136. Tego rodzaju propozycje, pomijając już argumenty wyłożone powyżej(65), ponownie zmierzają jednak do rozciągnięcia zakresu obowiązków i odpowiedzialności (współ)administratora lub współadministratorów na operacje, za które takie osoby nie ponoszą odpowiedzialności. Jeśli współadministrowanie danymi oznacza odpowiedzialność za operację (operacje), w odniesieniu do której między administratorami danych istnieje jednolitość celów i sposobów, to, logicznie rzecz biorąc, wynikające z dyrektywy dalsze obowiązki dotyczące np. zgody, przekazywania informacji, wglądu lub sprostowania powinny odpowiadać zakresowi pierwotnego obowiązku(66).
137. Na rozprawie Komisja zauważyła również, że te z odwiedzających [stronę internetową] osób, które są posiadaczami konta na Facebooku, mogły już wcześniej wyrazić zgodę na takie przekazywanie danych. Mogłoby to doprowadzić do zróżnicowania odpowiedzialności pozwanej, gdyż Komisja zdaje się sugerować, że spoczywający na pozwanej obowiązek przekazywania informacji i uzyskania zgody dotyczyłby wyłącznie tych z odwiedzających stronę internetową pozwanej osób, które nie są użytkownikami Facebooka.
138. Nie podzielam tego stanowiska. Trudno zaakceptować mi pogląd zakładający odmienne (przewidujące niższy stopień ochrony) traktowanie w świetle okoliczności niniejszej sprawy „użytkowników Facebooka” z tego względu, że zaakceptowali już oni możliwość (każdego rodzaju) przetwarzania ich danych osobowych przez Facebooka. W istocie taki argument oznacza, że założenie konta na Facebooku jest równoznaczne z zaakceptowaniem z góry przez takich „użytkowników Facebooka” każdego przetwarzania danych w odniesieniu do ich aktywności w internecie przez każdą osobę trzecią mającą jakikolwiek związek z Facebookiem. Działoby się tak nawet w sytuacji, w której brak byłoby jakichkolwiek widocznych oznak świadczących o tym, że takie przetwarzanie danych ma miejsce (jak wydaje się to być w przypadku, w którym ktoś po prostu wchodzi na stronę internetową pozwanej). Innymi słowy, przyjęcie propozycji Komisji oznaczałoby de facto, że założenie konta na Facebooku byłoby równoznaczne z wyrażoną rzeczywiście wobec Facebooka decyzją o rezygnacji przez użytkownika z ochrony danych osobowych w internecie.
139. W związku z tym uważam, że odpowiedzialność pozwanej oraz wynikające z niej obowiązki dotyczące uzyskania zgody i przekazywania informacji są takie same względem [wszystkich] osób, których dane dotyczą, niezależnie od tego, czy są one, czy też nie, posiadaczami konta na Facebooku.
140. Ponadto ponownie należy stwierdzić, że zgoda musi być wyrażona, a informacje muszą być przekazane przed rozpoczęciem gromadzenia i przekazywania danych(67).
141. W związku z tym w świetle powyższych rozważań mój ostatni wniosek wstępny odnoszący się do odpowiedzi na pytanie piąte i szóste brzmi następująco: w przypadku takim jak niniejszy zgoda osoby, której dane dotyczą, otrzymana na podstawie art. 7 lit. a) dyrektywy 95/46 musi zostać wyrażona wobec operatora strony internetowej, takiego jak pozwana, który umieścił treść osoby trzeciej. Artykuł 10 dyrektywy 95/46 należy interpretować w ten sposób, że przewidziany w nim obowiązek przekazywania informacji dotyczy również tego operatora strony internetowej. Do wyrażenia wskazanej w art. 7 lit. a) dyrektywy 95/46 zgody osoby, której dane dotyczą, oraz przekazania informacji, o których mowa w art. 10 tejże dyrektywy, musi dojść przed rozpoczęciem gromadzenia i przekazywania tych danych. Zakres tych obowiązków powinien jednak odpowiadać [zakresowi] współodpowiedzialności tego operatora w odniesieniu do gromadzenia i przekazywania danych osobowych.
V. Wnioski
142. W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy, Niemcy) Trybunał odpowiedział w następujący sposób:
– Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nie sprzeciwia się uregulowaniu krajowemu, które przyznaje społecznym stowarzyszeniom legitymację procesową do wytaczania, w celu ochrony interesów konsumentów, powództw przeciwko podmiotowi, któremu zarzuca się naruszenie przepisów dotyczących ochrony danych.
– Osobę, która umieszcza na swojej stronie internetowej wtyczkę osoby trzeciej (która to osoba trzecia udostępniła ową wtyczkę), co skutkuje gromadzeniem i przekazywaniem danych osobowych użytkownika, należy uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. (Współ)odpowiedzialność tego administratora danych jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych osobowych.
– Na potrzeby oceny możliwości przetwarzania danych osobowych zgodnie z warunkami określonymi w art. 7 lit. f) dyrektywy 95/46 należy uwzględnić uzasadnione interesy obu współadministratorów i wyważyć je względem praw przysługujących osobom, których te dane dotyczą.
– Otrzymana na podstawie art. 7 lit. a) dyrektywy 95/46 zgoda osoby, której dane dotyczą, musi zostać wyrażona wobec operatora strony internetowej, który umieścił treść osoby trzeciej. Artykuł 10 dyrektywy 95/46 należy interpretować w ten sposób, że przewidziany w nim obowiązek przekazywania informacji dotyczy również tego operatora strony internetowej. Do wyrażenia wskazanej w art. 7 lit. a) dyrektywy 95/46 zgody osoby, której dane dotyczą, oraz przekazania informacji, o których mowa w art. 10 tejże dyrektywy, musi dojść przed rozpoczęciem gromadzenia i przekazywania tych danych. Zakres tych obowiązków powinien jednak odpowiadać [zakresowi] współodpowiedzialności tego operatora w odniesieniu do gromadzenia i przekazywania danych osobowych.