Sprawa C-645/19
Facebook Ireland Limited,
Facebook Inc.
i
Facebook Belgium BVBA
przeciwko
Gegevensbeschermingsautoriteit,
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez hof van beroep te Brussel)
WYROK TRYBUNAŁU (wielka izba) z dnia 15 czerwca 2021 r.
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Rozporządzenie (UE) 2016/679 – Transgraniczne przetwarzanie danych osobowych – Mechanizm kompleksowej współpracy – Lojalna i skuteczna współpraca między organami nadzorczymi – Właściwość i uprawnienia – Uprawnienie do wszczęcia postępowania sądowego
1. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 2016/679 – Mechanizm kompleksowej współpracy – Krajowe organy kontroli – Uprawnienia – Uprawnienie do wszczęcia postępowania sądowego przysługujące organowi nadzorczemu danego państwa członkowskiego niebędącemu wiodącym organem nadzorczym – Transgraniczne przetwarzanie danych – Warunki wykonania – Właściwość krajowego organu nadzorczego w zakresie tego przetwarzania – Lojalna i skuteczna współpraca między organami nadzorczymi
(Karta praw podstawowych Unii Europejskiej, art. 7, 8 i 47; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 55 ust. 1, art. 56–58 i 60–66)
(zob. pkt 50–53, 56–59, 63–69, 75; pkt 1 sentencji)
2. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 2016/679 – Mechanizm kompleksowej współpracy – Krajowe organy kontroli – Uprawnienia – Uprawnienie do wszczęcia postępowania sądowego przysługujące organowi nadzorczemu danego państwa członkowskiego niebędącemu wiodącym organem nadzorczym – Transgraniczne przetwarzanie danych – Warunki wykonania – Konieczność posiadania przez administratora danych lub podmiot je przetwarzający głównej lub innej jednostki organizacyjnej na terytorium tego państwa członkowskiego – Brak
(rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 3 ust. 1, art. 56 ust. 1, art. 58 ust. 5)
(zob. pkt 79 – 84; pkt 2 sentencji)
3. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 2016/679 – Mechanizm kompleksowej współpracy – Krajowe organy kontroli – Uprawnienia – Uprawnienie do wszczęcia postępowania sądowego przysługujące organowi nadzorczemu danego państwa członkowskiego niebędącemu wiodącym organem nadzorczym – Transgraniczne przetwarzanie danych – Uprawnienie wykonywane zarówno wobec głównej jednostki organizacyjnej administratora danych znajdującego się w państwie członkowskim, do którego ów przynależy, jak i wobec innej jednostki organizacyjnej tego administratora – Warunki wykonania
(rozporządzenie Parlamentu Europejskiego i Rady 2016/679 art. 56 ust. 1 i art. 58 ust. 5)
(zob. pkt 88–91, 88–94; pkt 3 sentencji)
4. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 2016/679 – Mechanizm kompleksowej współpracy – Krajowe organy kontroli – Uprawnienia – Organ nadzorczy państwa członkowskiego niebędący wiodącym organem nadzorczym – Transgraniczne przetwarzanie danych – Dotyczące tego przetwarzania powództwo wniesione przez ten organ nadzorczy przed dniem wejścia w życie rozporządzenia – Wpływ na warunki wykonywania uprawnienia do wszczęcia postępowania sądowego – Podtrzymanie tego powództwa – Warunki
(Rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679, art. 56 ust. 1, art. 58 ust. 5; dyrektywa 95/46 Parlamentu Europejskiego i Rady)
(zob. pkt 99–105; pkt 4 sentencji)
5. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 2016/679 – Krajowe organy kontroli – Uprawnienia – Przepis przyznający organowi nadzorczemu państwa członkowskiego uprawnienie do wszczęcia postępowania sądowego – Bezpośrednia skuteczność
(art. 288 akapit drugi TFUE; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 58 ust. 5)
(zob. pkt 109–113; pkt 5 sentencji)
Streszczenie
Ogólne rozporządzenie o ochronie danych (RODO): Trybunał określił warunki wykonywania uprawnień przysługujących krajowym organom nadzorczym w zakresie transgranicznego przetwarzania danych
Pod pewnymi warunkami krajowy organ nadzorczy może wykonywać swoje uprawnienie do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego, nawet jeśli nie jest on w odniesieniu do tego przetwarzania wiodącym organem nadzorczym
W dniu 11 września 2015 r. przewodniczący Commission belge de la protection de la privé (belgijskiej komisji do spraw ochrony prywatności, zwanej dalej „KOPem”) wystąpił do Nederlandstalige rechtbank van eerste aanleg Brussel (niderlandzkojęzycznego sądu pierwszej instancji w Brukseli, Belgia) przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium z powództwem o zaniechanie mającym na celu położenie kresu naruszeniom przepisów dotyczących ochrony danych, których miał dopuszczać się Facebook. Naruszenia te polegały w szczególności na gromadzeniu i wykorzystywaniu informacji o zachowaniach w internecie internautów belgijskich, niezależnie od tego, czy posiadają oni konto na Facebooku, przy użyciu różnego rodzaju technologii, takich jak pliki cookie, wtyczki społecznościowe(1) czy też piksele monitorujące.
W dniu 16 lutego 2018 r. sąd ten uznał się za właściwy do orzekania w przedmiocie tego powództwa i orzekł co do istoty, że sieć społecznościowa Facebook nie informowała dostatecznie belgijskich internautów o gromadzeniu i wykorzystywaniu dotyczących ich informacji. Ponadto uznał on za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie tych informacji.
W dniu 2 marca 2018 r. Facebook Ireland, Facebook Inc. i Facebook Belgium zaskarżyły to rozstrzygnięcie przed Hof van beroep te Brussel (sądem apelacyjnym w Brukseli, Belgia), czyli sądem odsyłającym w niniejszej sprawie. W postępowaniu przed tym sądem belgijski organ ochrony danych (zwany dalej „ODO”) występował jako następca prawny przewodniczącego KOP. Sąd odsyłający stwierdził swoją właściwość do rozpoznania odwołania wniesionego przez Facebook Belgium.
Sąd odsyłający powziął wątpliwości co do wpływu, jaki ma stosowanie przewidzianego w rozporządzeniu w sprawie ochrony danych(2) mechanizmu kompleksowej współpracy na kompetencje ODO i, w szczególności, zadał sobie pytanie, czy, w odniesieniu do okoliczności, które zaszły po wejściu w życie RODO, czyli po dniu 25 maja 2018 r., ODO może wystąpić z powództwem przeciwko Facebook Belgium, skoro to Facebook Ireland został uznany za administratora rozpatrywanych danych. Począwszy bowiem od tej daty, a w szczególności w zastosowaniu przewidzianej w RODO zasady kompleksowej współpracy, jedynie irlandzki komisarz ds. ochrony danych jest właściwy do wytoczenia powództwa o zaniechanie, nad czym kontrolę sprawują sądy irlandzkie.
W wydanym w składzie wielkiej izby wyroku Trybunał doprecyzowuje uprawnienia przysługujące krajowym organom nadzorczym w ramach RODO. Podkreślił on w szczególności, że rozporządzenie to pod pewnymi warunkami zezwala na wykonywanie przez krajowy organ nadzorczy danego państwa członkowskiego przysługujących mu uprawnień do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczęcia postępowania sądowego w przedmiocie transgranicznego przetwarzania danych(3), nawet jeśli nie jest on w odniesieniu do tego przetwarzania wiodącym organem nadzorczym.
Ocena Trybunału
W pierwszej kolejności Trybunał dokonał uszczegółowienia warunków, w jakich krajowy organ nadzorczy, który nie jest wiodącym organem w zakresie przetwarzania transgranicznego, powinien wykonywać przysługujące mu uprawnienia do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami danego państwa członkowskiego i, w odpowiednim przypadku, do wszczynania postępowania sądowego w celu zapewnienia stosowania tego rozporządzenia. Tak więc, po pierwsze, RODO winno przyznawać temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, że to przetwarzanie narusza zasady przewidziane w tym rozporządzeniu, i, po drugie, uprawnienie to powinno być wykonywane przy poszanowaniu ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności.(4)
W odniesieniu do operacji przetwarzania transgranicznego RODO przewiduje bowiem mechanizm kompleksowej współpracy(5), który opiera się na podziale kompetencji między „wiodącym organem nadzorczym” a innymi krajowymi organami nadzorczymi, których to przetwarzanie dotyczy. Mechanizm ten wymaga ścisłej, lojalnej i skutecznej współpracy między tymi organami, a to w celu zapewnienia spójnej i jednolitej ochrony zasad dotyczących ochrony danych osobowych i zachowania w ten sposób skuteczności (effet utile) tego rozporządzenia. W RODO zostało w tym względzie ustanowiona przysługująca co do zasady wiodącemu organowi nadzorczemu właściwość do wydania decyzji stwierdzającej, że dana operacja przetwarzania transgranicznego narusza zasady zawarte w tym rozporządzeniu(6), podczas gdy przysługująca innym organom nadzorczym, których sprawa dotyczy, kompetencja do wydania takiej decyzji, choćby tylko czasowej, stanowi wyjątek od tej zasady(7). Niemniej jednak wiodący organ nadzorczy nie może w ramach wykonywania swoich kompetencji zrezygnować z prowadzenia niezbędnego dialogu oraz lojalnej i skutecznej współpracy z innymi organami nadzorczymi, których sprawa dotyczy. Z tego względu wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy, zaś wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów skutkują zablokowaniem, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy.
Trybunał uściślił ponadto, że okoliczność polegająca na tym, iż organ nadzorczy państwa członkowskiego, który nie jest wiodącym organem nadzorczym w odniesieniu do danej operacji transgranicznego przetwarzania danych, może wykonywać uprawnienia do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczynania postępowania sądowego jedynie z poszanowaniem zasad podziału kompetencji decyzyjnych pomiędzy wiodącym organem nadzorczym a innymi organami nadzorczymi(8), jest zgodna z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej, gwarantującej danej osobie, odpowiednio, prawo do ochrony danych osobowych i prawo do skutecznego środka prawnego.
W drugiej kolejności Trybunał orzekł, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługujących organowi nadzorczemu państwa członkowskiego innemu niż organ wiodący uprawnień do wszczęcia postępowania przed sądem(9) nie ma wymogu, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, którego dotyczy to powództwo, posiadał główną czy też inną jednostkę organizacyjną na terenie tego państwa członkowskiego. Niemniej jednak wykonywanie tego uprawnienia powinno być objęte terytorialnym zakresem stosowania RODO(10), co wiąże się z przyjęciem założenia, że administrator danych lub podmiot dokonujący ich transgranicznego przetwarzania muszą posiadać jednostkę organizacyjną na terytorium Unii.
W trzeciej kolejności Trybunał orzekł, że w przypadku transgranicznego przetwarzania danych przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący uprawnienia do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego oraz, w odpowiednim przypadku, do wszczynania postępowania sądowego, mogą być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych, która znajduje się w państwie członkowskim, do którego przynależy ten organ, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem, że to powództwo dotyczy przetwarzania danych dokonywanego w ramach działalności tej jednostki organizacyjnej, a organ ten jest właściwy do wykonywania tego uprawnienia.
Trybunał potwierdził jednak, że wykonywanie tego uprawnienia wiąże się z przyjęciem założenia, że RODO ma zastosowanie. W niniejszym przypadku, ze względu na to, że działalność jednostki organizacyjnej grupy Facebook znajdującej się w Belgii jest nierozerwalnie związana z rozpatrywanym w postępowaniu głównym przetwarzaniem danych osobowych, za które, w odniesieniu do terytorium Unii, odpowiedzialna jest Facebook Ireland, przetwarzanie to jest dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora”, a zatem wchodzi w zakres zastosowania RODO.
W czwartej kolejności Trybunał orzekł, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, skierował przed dniem wejścia w życie RODO powództwo dotyczące transgranicznego przetwarzania danych osobowych, powództwo to może na mocy prawa Unii zostać podtrzymane na podstawie przepisów dyrektywy w sprawie ochrony danych(11), która nadal ma zastosowanie w odniesieniu do naruszeń przewidzianych w niej zasad popełnionych do dnia, w którym została ona uchylona. Ponadto powództwo to może zostać wniesione przez ten organ w związku z naruszeniami popełnionymi po wejściu w życie RODO pod warunkiem, że jest to jeden z przypadków, w którym rozporządzenie to przyznaje temu organowi uprawnienie do przyjęcia decyzji stwierdzającej, że dana operacja przetwarzania danych narusza reguły ustanowione w tym rozporządzeniu, i dzieje się to przy poszanowaniu ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności.
W piątej i ostatniej kolejności, Trybunał potwierdził bezpośrednią skuteczność przepisu RODO, zgodnie z którym każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia i, w odpowiednim przypadku, do wszczynania postępowania sądowego. Organ taki może więc powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został transponowany do ustawodawstwa danego państwa członkowskiego.