WYROK TRYBUNAŁU (wielka izba)
z dnia 4 lipca 2023 r.(*)
Spis treści
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Internetowe sieci społecznościowe – Nadużycie pozycji dominującej przez operatora takiej sieci – Nadużycie polegające na przewidzianym w ogólnych warunkach korzystania z tej sieci przetwarzaniu danych osobowych jej użytkowników – Przysługujące organowi ochrony konkurencji państwa członkowskiego kompetencje do stwierdzenia niezgodności tego przetwarzania z tym rozporządzeniem – Powiązanie z kompetencjami organów krajowych odpowiedzialnych za kontrolowanie tego, czy dane osobowe są chronione – Artykuł 4 ust. 3 TUE – Zasada lojalnej współpracy – Artykuł 6 ust. 1 akapit pierwszy lit. a)–f) rozporządzenia 2016/679 – Zgodność przetwarzania z prawem – Artykuł 9 ust. 1 i 2 – Przetwarzanie szczególnych kategorii danych osobowych – Artykuł 4 pkt 11 – Pojęcie „zgody”
W sprawie C‑252/21
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy) postanowieniem z dnia 24 marca 2021 r., które wpłynęło do Trybunału w dniu 22 kwietnia 2021 r., w postępowaniu:
Meta Platforms Inc., dawniej Facebook Inc.,
Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd.,
Facebook Deutschland GmbH
przeciwko
Bundeskartellamt,
przy udziale:
Verbraucherzentrale Bundesverband eV,
TRYBUNAŁ (wielka izba),
w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L.S. Rossi (sprawozdawczyni), D. Gratsias i M.L. Arastey Sahún, prezesi izb, J.‑C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi i O. Spineanu‑Matei, sędziowie,
rzecznik generalny: A. Rantos,
sekretarz: D. Dittert, kierownik wydziału,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 10 maja 2022 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Meta Platforms Inc., dawniej Facebook Inc., Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd, oraz Facebook Deutschland GmbH – M. Braun, M. Esser, L. Hesse, J. Höft oraz H.‑G. Kamann, Rechtsanwälte,
– w imieniu Bundeskartellamt – K. Ost, J. Nothdurft, I. Sewczyk oraz J. Topel, w charakterze pełnomocników,
– w imieniu Verbraucherzentrale Bundesverband eV – S. Louven, Rechtsanwalt,
– w imieniu rządu niemieckiego – J. Möller oraz P.-L. Krüger, w charakterze pełnomocników,
– w imieniu rządu czeskiego – M. Smolek oraz J. Vláčil, w charakterze pełnomocników,
– w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierali E. De Bonis oraz P. Gentili, avvocati dello Stato,
– w imieniu rządu austriackiego – A. Posch, J. Schmoll oraz G. Kunnert, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – F. Erlbacher, H. Kranenborg oraz G. Meessen, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 20 września 2022 r.,
wydaje następujący
Wyrok
1 Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 ust. 3 TUE oraz art. 6 ust. 1, art. 9 ust. 1 i 2, art. 51 ust. 1 i art. 56 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2021, L 74, s. 35–37; zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu, jaki zaistniał pomiędzy spółkami Meta Platforms Inc., dawniej Facebook Inc., Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd, i Facebook Deutschland GmbH a Bundeskartellamt (federalnym urzędem ds. ochrony konkurencji, Niemcy) w przedmiocie wydanej przez ten urząd decyzji zakazującej tym spółkom przewidzianego w ogólnych warunkach korzystania z sieci społecznościowej Facebook (zwanych dalej „ogólnymi warunkami”) przetwarzania pewnych danych osobowych.
Ramy prawne
Prawo Unii
Rozporządzenie (WE) nr 1/2003
3 Artykuł 5 rozporządzenia Rady (WE) nr 1/2003 z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji ustanowionych w art. [101 i 102 TFUE] (Dz.U. 2003, L 1, s. 1), zatytułowany „Uprawnienia organów ochrony konkurencji państw członkowskich”, przewiduje:
„Organy ochrony konkurencji państw członkowskich mają prawo stosowania art. [101 i 102 TFUE] w indywidualnych sprawach. W tym celu, działając z urzędu lub na wniosek, mogą wydać następujące decyzje:
– domagające się zaprzestania naruszenia,
– zarządzające środki tymczasowe,
– akceptujące zobowiązania,
– nakładające grzywny lub okresowe kary pieniężne, lub inne kary przewidziane w krajowych przepisach prawa.
Jeżeli na podstawie informacji, które posiadają organy ochrony konkurencji państw członkowskich, warunki ustanowienia zakazu nie zostały spełnione, mogą [one] również zdecydować, że nie ma podstaw do działania z ich strony”.
RODO
4 Motywy 1, 4, 38, 42, 43, 46, 47, 49 i 51 RODO mają następujące brzmienie:
„(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »kartą praw podstawowych«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
[…]
(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w karcie praw podstawowych – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.
[…]
(38) Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.
[…]
(42) Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania […]. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
(43) Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
[…]
(46) Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
(47) Prawnie uzasadnione interesy administratora, w tym administratora, któremu można ujawnić dane osobowe, lub osoby trzeciej mogą stanowić podstawę prawną przetwarzania, chyba że nadrzędne są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, z uwzględnieniem uzasadnionych oczekiwań podmiotów danych opartych na ich stosunkach z administratorem […]. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania […]. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
[…]
(49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy […] jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy.
[…]
(51) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu »pochodzenie rasowe« nie oznacza, że Unia [Europejska] akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją »danych biometrycznych« tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności”.
5 Artykuł 4 tego rozporządzenia stanowi:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«) […];
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
[…]
11) »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
[…]
23) »transgraniczne przetwarzanie« oznacza:
a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
[…]”.
6 Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, w ust. 1 i 2 stanowi:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami […];
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
[…]
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
7 Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, ma następujące brzmienie:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
[…]
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
[…]
[…] Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu”.
8 Artykuł 7 RODO, zatytułowany „Warunki wyrażenia zgody”, przewiduje:
„1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
[…]
4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.
9 Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi:
„1. Zabrania się przetwarzania danych osobowych ujawniając[ego] pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
[…]
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
[…]”.
10 Artykuł 13 tego rozporządzenia, dotyczący „[i]nformacj[i] podawan[ych] w przypadku zbierania danych od osoby, której dane dotyczą”, stanowi w ust. 1, co następuje:
„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:
[…]
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
[…]”.
11 Rozdział VI RODO, zatytułowany „Niezależne organy nadzorcze”, obejmuje art. 51–59 tego rozporządzenia.
12 Artykuł 51 wspomnianego rozporządzenia, zatytułowany „Organ nadzorczy”, przewiduje w ust. 1 i 2:
„1. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […].
2. Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją [Europejską] zgodnie z rozdziałem VII”.
13 Zgodnie z art. 55 tego samego rozporządzenia, zatytułowanym „Właściwość”:
„1. Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.
2. Jeżeli przetwarzania dokonują organy publiczne lub podmioty prywatne działające na podstawie art. 6 ust. 1 lit. c) lub e), organem właściwym jest organ nadzorczy danego państwa członkowskiego. W takich przypadkach art. 56 nie ma zastosowania”.
14 Artykuł 56 wspomnianego rozporządzenia, zatytułowany „Właściwość wiodącego organu nadzorczego”, stanowi w ust. 1:
„Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej [jedynej] jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.
15 Artykuł 57 tego rozporządzenia, zatytułowany „Zadania”, stanowi w ust. 1:
„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:
a) monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;
[…]
g) współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania niniejszego rozporządzenia;
[…]”.
16 W art. 58 ust. 1 RODO zawarty został wykaz przysługujących każdemu organowi nadzorczemu uprawnień dochodzeniowych, zaś w ust. 5 tego artykułu wyjaśniono, że „[k]ażde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia”.
17 Zatytułowana „Współpraca” sekcja 1 rozdziału VII RODO, o tytule „Współpraca i spójność”, obejmuje art. 60–62 tego rozporządzenia. Artykuł 60, zatytułowany „Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”, stanowi w ust. 1:
„Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami”.
18 Artykuł 61 wspomnianego rozporządzenia, zatytułowany „Wzajemna pomoc”, stanowi w ust. 1:
„Organy nadzorcze przekazują sobie stosowne informacje i świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszego rozporządzenia oraz wprowadzają środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających”.
19 Artykuł 62 tego rozporządzenia, zatytułowany „Wspólne operacje organów nadzorczych”, stanowi w ust. 1 i 2:
„1. Organy nadzorcze prowadzą w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich.
2. Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach […]”.
20 Sekcja 2 rozdziału VII RODO, zatytułowana „Spójność”, obejmuje art. 63–67 tego rozporządzenia. Artykuł 63, zatytułowany „Mechanizm [kontroli] spójności”, ma następujące brzmienie:
„Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm [kontroli] spójności określony w niniejszej sekcji”.
21 Zgodnie z brzmieniem art. 64 ust. 2 tego rozporządzenia:
„Każdy organ nadzorczy, przewodniczący Europejskiej Rady Ochrony Danych lub Komisja mogą wystąpić o przeanalizowanie przez Europejską Radę Ochrony Danych w celu wydania opinii sprawy mającej charakter ogólny lub wywołującej skutki w więcej niż jednym państwie członkowskim, w szczególności jeżeli właściwy organ nadzorczy nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 61 lub wspólnych operacji zgodnie z art. 62”.
22 Artykuł 65 tego rozporządzenia, zatytułowany „Rozstrzyganie sporów przez Europejską Radę Ochrony Danych”, stanowi w ust. 1:
„Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje:
a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, [a] w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia;
b) jeżeli panują sprzeczne opinie co do tego, który z organów nadzorczych, których sprawa dotyczy, jest właściwy względem głównej jednostki organizacyjnej;
[…]”.
Prawo niemieckie
23 Paragraf 19 ust. 1 Gesetz gegen Wettbewerbsbeschränkungen (ustawy o zwalczaniu ograniczeń konkurencji), w wersji opublikowanej w dniu 26 czerwca 2013 r. (BGBl. 2013 I, s. 1750, 3245), ostatnio zmienionej § 2 ustawy z dnia 16 lipca 2021 r. (BGBl. 2021 I, s. 2959) (zwanej dalej „GWB”), stanowi:
„Zakazane jest nadużywanie przez jedno lub kilka przedsiębiorstw pozycji dominującej na rynku”.
24 Zgodnie z § 32 ust. 1 GWB:
„Organ antykartelowy może zobowiązać przedsiębiorstwa lub związki przedsiębiorstw do zaprzestania naruszania przepisów niniejszej części lub art. 101 lub 102 Traktatu o funkcjonowaniu Unii Europejskiej”.
25 Paragraf 50f GWB przewiduje w ust. 1:
„Organy ochrony konkurencji, organy regulacyjne, federalny inspektor ds. ochrony danych i wolności informacji, regionalni inspektorzy ds. ochrony danych, a także właściwe organy w rozumieniu art. 2 EU‑Verbraucherschutzdurchführungsgesetz [(ustawy o wdrażaniu prawa konsumentów Unii Europejskiej)] mogą niezależnie od wybranego postępowania wymieniać między sobą informacje, w tym dane osobowe oraz tajemnice handlowe i biznesowe, w zakresie, w jakim jest to niezbędne do realizacji zadań każdego z nich, a także wykorzystywać te informacje w ramach wybranych postępowań […]”.
Postępowanie główne i pytania prejudycjalne
26 Meta Platforms Ireland zarządza usługami oferowanymi w internetowej sieci społecznościowej Facebook w Unii i promuje, w szczególności pod adresem www.facebook.com, bezpłatne usługi dla użytkowników prywatnych. Inne przedsiębiorstwa należące do grupy Meta oferują w Unii inne usługi internetowe, do których należą Instagram, WhatsApp, Oculus oraz – do dnia 13 marca 2020 r. – należała Masquerade.
27 Model biznesowy internetowej sieci społecznościowej Facebook jest oparty na finansowaniu pochodzącym z reklam internetowych, które są dostosowane do indywidualnych użytkowników sieci społecznościowej, w szczególności w zależności od ich zachowań konsumenckich, zainteresowań, siły nabywczej i sytuacji życiowej. Pod względem technicznym tego typu reklama jest możliwa dzięki zautomatyzowanemu tworzeniu bardzo szczegółowych profili użytkowników tej sieci i usług internetowych oferowanych na poziomie grupy Meta. W tym celu, poza danymi dostarczanymi bezpośrednio przez użytkowników przy rejestracji w odpowiednich serwisach internetowych, zbierane są inne dane o użytkownikach i urządzeniach w ramach sieci społecznościowej i serwisów internetowych grupy Meta oraz poza nimi i łączone z poszczególnymi kontami tych użytkowników. Dokonanie całościowego przeglądu tych danych pozwala na wyciągnięcie szczegółowych wniosków na temat preferencji i zainteresowań tych użytkowników.
28 Dane te są przetwarzane przez Meta Platforms Ireland w oparciu o umowę w przedmiocie korzystania z tej sieci, do której użytkownicy sieci społecznościowej Facebook przystępują poprzez kliknięcia przycisku „rejestracja” i zaakceptowanie w ten sposób ustanowionych przez tę spółkę ogólnych warunków umownych. Akceptacja tych warunków jest konieczna do tego, aby móc korzystać z sieci społecznościowej Facebook. W zakresie dotyczącym przetwarzania danych osobowych te ogólne warunki odsyłają do zasad korzystania z tych danych oraz „cookies” udostępnionych przez tę spółkę. Zgodnie z tymi zasadami Meta Platforms Ireland zbiera dane o użytkownikach i urządzeniach dotyczące działań tych użytkowników w ramach sieci społecznościowej i poza nią i łączy je z kontami Facebook tych użytkowników. W przypadku tych ostatnich danych, dotyczących działalności prowadzonej poza siecią społecznościową (zwanych dalej również „danymi off‑Facebook”), chodzi, po pierwsze, o dane dotyczące przeglądanych stron internetowych i aplikacji osób trzecich, które są połączone z Facebookiem za pomocą interfejsów programowania – „Facebook Business Tools”, i po drugie, o dane dotyczące korzystania z innych należących do grupy Meta usług internetowych, takich jak Instagram, WhatsApp, Oculus oraz – do dnia 13 marca 2020 r. – Masquerade.
29 Federalny urząd ds. ochrony konkurencji wszczął przeciwko Meta Platforms, Meta Platforms Ireland i Facebook Deutschland postępowanie, po przeprowadzeniu którego wydaną w dniu 6 lutego 2019 r. na podstawie § 19 ust. 1 i § 32 GWB decyzją zakazał im w istocie uzależniania w ogólnych warunkach umownych korzystania z sieci społecznościowej Facebook przez zamieszkałych w Niemczech użytkowników prywatnych od przetwarzania ich danych off‑Facebook i dokonywania tego przetwarzania tych danych bez ich zgody na podstawie obowiązujących wówczas ogólnych warunków umownych. Ponadto urząd ten nakazał im dostosowanie tych ogólnych warunków umownych w taki sposób, aby jasno z nich wynikało, że dane te nie będą zbierane, łączone z kontami użytkowników Facebook.com ani wykorzystywane bez zgody danego użytkownika, i doprecyzował, że taka zgoda jest nieważna, jeżeli stanowi ona warunek korzystania z sieci społecznościowej.
30 Federalny urząd ds. ochrony konkurencji uzasadnił swoją decyzję faktem, że przetwarzanie danych dotyczących użytkowników, takie to jak przewidziane w ogólnych warunkach umownych i wdrażane przez Meta Platforms Ireland, stanowi nadużycie pozycji dominującej zajmowanej przez tę spółkę na rynku internetowych sieci społecznościowych dla użytkowników prywatnych w Niemczech w rozumieniu § 19 ust. 1 GWB. W szczególności zdaniem federalnego urzędu ds. ochrony konkurencji te ogólne warunki umowne, będące niejako emanacją tej pozycji dominującej, mają znamiona nadużycia, ponieważ przewidziane w nich przetwarzanie danych off‑Facebook nie jest zgodne z wartościami leżącymi u podstaw RODO, i, w szczególności, nie może być uzasadnione na gruncie art. 6 ust. 1 i art. 9 ust. 2 tego rozporządzenia.
31 W dniu 11 lutego 2019 r. Meta Platforms, Meta Platforms Ireland i Facebook Deutschland zaskarżyły tę decyzję federalnego urzędu ds. ochrony konkurencji przed Oberlandesgericht Düsseldorf (wyższym sądem krajowym w Düsseldorfie, Niemcy).
32 W dniu 31 lipca 2019 r. Meta Platforms Ireland wprowadziła nowe ogólne warunki umowne, w których wyraźnie wskazane zostało, że użytkownik, zamiast płacić za korzystanie z produktów Facebook, wyraża zgodę na wyświetlanie mu reklam.
33 Ponadto, począwszy od dnia 28 stycznia 2020 r., Meta Platforms oferuje na całym świecie tak zwaną „Off‑Facebook‑Activity”, która pozwala użytkownikom sieci społecznościowej Facebook na przeglądanie podsumowania informacji otrzymywanych przez spółki należące do grupy Meta na temat ich działań na innych stronach internetowych i w aplikacjach, a także, jeśli sobie tego życzą, na oddzielenie tych danych w przeszłości i na przyszłość od ich konta na Facebook.com.
34 Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie) ma wątpliwości dotyczące: po pierwsze, możliwości kontrolowania przez krajowe organy ochrony konkurencji, w ramach wykonywania ich uprawnień, zgodności przetwarzania danych osobowych z wymogami określonymi w RODO; po drugie, możliwości przetwarzania przez operatora internetowej sieci społecznościowej wrażliwych danych osobowych osoby, której dane dotyczą, w rozumieniu art. 9 ust. 1 i 2 tego rozporządzenia; po trzecie, zgodności z prawem przetwarzania danych osobowych danego użytkownika przez takiego operatora, zgodnie z art. 6 ust. 1 wspomnianego rozporządzenia, i po czwarte, ważności, w świetle art. 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) tego rozporządzenia, zgody udzielonej do celów takiego przetwarzania przedsiębiorstwu zajmującemu pozycję dominującą na krajowym rynku internetowych sieci społecznościowych.
35 W tych okolicznościach, uznając, że rozstrzygnięcie sporu w postępowaniu głównym zależy od odpowiedzi, jakiej należy udzielić na te pytania, Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1 a) Czy zgodna z art. 51 i nast. RODO jest sytuacja, w której krajowy organ ochrony konkurencji państwa członkowskiego, taki jak federalny urząd ds. ochrony konkurencji, który nie jest organem nadzorczym w rozumieniu art. 51 i nast. RODO i w którego państwie członkowskim przedsiębiorstwo z siedzibą poza Unią Europejską utrzymuje jednostkę organizacyjną, wspierającą główną jednostkę organizacyjną tego przedsiębiorstwa, która znajduje się w innym państwie członkowskim i ponosi wyłączną odpowiedzialność za przetwarzanie danych osobowych na całym terytorium Unii Europejskiej w dziedzinie reklamy, komunikacji i public relations, stwierdza w ramach kontroli nadużywania prawa antymonopolowego naruszenie RODO w odniesieniu do warunków umownych głównej jednostki organizacyjnej, dotyczących przetwarzania danych i stosowania tych warunków, oraz wydaje decyzję nakazującą zaniechania tego naruszenia?
b) W przypadku udzielenia odpowiedzi twierdzącej: Czy zgodna z art. 4 ust. 3 TUE jest sytuacja, w której jednocześnie wiodący organ nadzorczy w państwie członkowskim głównej jednostki organizacyjnej w rozumieniu art. 56 ust. 1 RODO poddaje jej warunki umowne dotyczące przetwarzania danych postępowaniu wyjaśniającemu?
W przypadku udzielenia odpowiedzi twierdzącej na pytanie 1:
2. a) Czy w sytuacji gdy internauta korzysta ze stron internetowych lub aplikacji, które wiążą się z kryteriami z art. 9 ust. 1 RODO, takich jak aplikacje do flirtowania, portale randkowe dla osób homoseksualnych, strony internetowe partii politycznych, strony internetowe związane ze zdrowiem, w ten sposób, że albo tylko je wywołuje, albo również dokonuje tam wpisów, na przykład podczas rejestracji lub składania zamówienia, a […] przedsiębiorstwo, takie jak [Meta Platforms Ireland], za pośrednictwem interfejsów zintegrowanych ze stronami internetowymi i aplikacjami, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookie lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty gromadzi dane o wywołaniach stron internetowych i aplikacji przez użytkownika oraz o wpisach dokonanych tam przez użytkownika, łączy je z danymi konta Facebook.com użytkownika i wykorzystuje, to owo gromadzenie lub łączenie, lub wykorzystywanie stanowi przetwarzaniem danych wrażliwych w rozumieniu tego przepisu?
b) W przypadku udzielenia odpowiedzi twierdzącej: czy wywoływanie tych stron internetowych i aplikacji lub dokonywanie wpisów, lub obsługa przycisków (»wtyczek społecznościowych«, takich jak »Lubię to«, »Udostępnij«, »Facebook Login« lub »Account Kit«) zintegrowanych na tych stronach internetowych lub aplikacjach przez dostawcę takiego jak [Meta Platforms Ireland] stanowi upublicznienie w sposób oczywisty danych dotyczących wywołania jako takiego lub wpisów dokonanych przez użytkownika w rozumieniu art. 9 ust. 2 lit. e) RODO?
3. Czy przedsiębiorstwo takie jak [Meta Platforms Ireland], które prowadzi finansowany z reklam cyfrowy portal społecznościowy i oferuje w warunkach korzystania z niego personalizację treści i reklam, bezpieczeństwo sieci, ulepszanie produktów oraz ciągłe i niezakłócone korzystanie ze wszystkich produktów własnych grupy, może powołać się na uzasadnienie w postaci konieczności wykonania umowy zgodnie z art. 6 ust. 1 lit. b) RODO lub realizacji prawnie uzasadnionych interesów zgodnie z art. 6 ust. 1 lit. f) RODO, jeżeli w tym celu gromadzi dane z innych serwisów grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, łączy je z kontem użytkownika w serwisie Facebook i wykorzystuje?
4. Czy w takim przypadku również
– niepełnoletniość użytkowników w celu personalizacji treści i reklam, ulepszania produktów, bezpieczeństwa sieci i komunikacji o charakterze niehandlowym z użytkownikiem,
– świadczenie usług pomiarowych, analitycznych i innych usług biznesowych reklamodawcom, deweloperom i innym partnerom, aby umożliwić im ocenę i poprawę swoich usług,
– przekazywanie komunikacji marketingowej z użytkownikiem, aby przedsiębiorstwo mogło ulepszać swoje produkty i prowadzić marketing bezpośredni,
– badania i innowacje na rzecz celów społecznych, aby wspierać rozwój stanu wiedzy lub zrozumienia naukowego w odniesieniu do ważnych kwestii społecznych oraz wywierać pozytywny wpływ na społeczeństwo i świat,
– informowanie organów ścigania i organów wykonawczych oraz reagowanie na wnioski prawne w celu zapobiegania, wykrywania i ścigania przestępstw, niedozwolonego użytkowania, naruszeń warunków użytkowania i zasad oraz innych szkodliwych zachowań,
mogą stanowić prawnie uzasadnione interesy w rozumieniu art. 6 ust. 1 lit. f) RODO, jeżeli przedsiębiorstwo w tym celu gromadzi dane z innych serwisów należących do grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, łączy je z kontem użytkownika w serwisie Facebook i wykorzystuje?
5. Czy w takim przypadku gromadzenie danych z innych serwisów należących do grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, połączenie z kontem użytkownika Facebook.com i wykorzystanie lub wykorzystanie już w inny sposób legalnie zgromadzonych i powiązanych danych w poszczególnych przypadkach może być również uzasadnione na podstawie art. 6 ust. 1 lit. c), d) i e) RODO, na przykład w celu ustosunkowania się do zgodnego z prawem wniosku o dostarczenie określonych danych [lit. c)], w celu zwalczania szkodliwych zachowań i wspierania bezpieczeństwa [lit. d)], w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa [lit. e)]?
6. Czy można wyrazić wobec przedsiębiorstwa zajmującego pozycję dominującą na rynku, jakim jest [Meta Platforms Ireland], skuteczną, w szczególności zgodnie z art. 4 pkt 11 RODO, dobrowolną zgodę w rozumieniu art. 6 ust. 1 lit. a) oraz art. 9 ust. 2 lit. a) RODO?
Jeżeli na pytanie 1 należy udzielić odpowiedzi przeczącej:
7. a) Czy krajowy organ ochrony konkurencji państwa członkowskiego, taki jak federalny urząd ds. ochrony konkurencji, który nie jest organem nadzoru w rozumieniu art. 51 i nast. RODO i który bada naruszenie zakazu nadużywania pozycji dominującej w prawie antymonopolowym przez przedsiębiorstwo dominujące, które nie polega na naruszeniu RODO przez warunki przetwarzania danych i ich stosowanie, może dokonać ustaleń, na przykład w ramach wyważenia interesów, czy ustanowione przez to przedsiębiorstwo warunki przetwarzania danych i ich stosowanie są zgodne z RODO?
b) W przypadku udzielenia odpowiedzi twierdzącej: Czy w odniesieniu do art. 4 ust. 3 TUE ma to zastosowanie również wtedy, gdy jednocześnie właściwy wiodący organ nadzorczy na podstawie art. 56 ust. 1 RODO poddaje warunki przetwarzania danych tego przedsiębiorstwa postępowaniu wyjaśniającemu?
Jeżeli na pytanie 7 należy udzielić odpowiedzi twierdzącej, konieczne jest udzielenie odpowiedzi na pytania 3–5 w odniesieniu do danych dotyczących korzystania z należącego do grupy [Meta] serwisu Instagram”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytań pierwszego i siódmego
36 Zadając pytania pierwsze i siódme, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 51 i następne RODO należy interpretować w ten sposób, że organ ochrony konkurencji państwa członkowskiego może stwierdzić, w ramach badania nadużycia przez przedsiębiorstwo pozycji dominującej w rozumieniu art. 102 TFUE, że ogólne warunki korzystania z usług tego przedsiębiorstwa dotyczące przetwarzania danych osobowych i ich wdrażanie nie są zgodne z RODO, oraz, w przypadku uzyskania odpowiedzi twierdzącej, czy art. 4 ust. 3 TUE należy interpretować w ten sposób, że poczynienie przez organ ochrony konkurencji takiego mającego incydentalny charakter stwierdzenia jest możliwe również wtedy, gdy warunki te są jednocześnie poddane badaniu w ramach postępowania wyjaśniającego prowadzonego przez właściwy wiodący organ nadzorczy na podstawie art. 56 ust. 1 RODO.
37 W celu udzielenia odpowiedzi na to pytanie należy na wstępie przypomnieć, że w art. 55 ust. 1 RODO ustanowiona została przysługująca każdemu organowi nadzorczemu kompetencja do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium jego państwa członkowskiego (wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 47 i przytoczone tam orzecznictwo.
38 Wśród zadań powierzonych tym organom nadzorczym znajduje się przewidziane w art. 51 ust. 1 i w art. 57 ust. 1 lit. a) RODO zadanie polegające na monitorowaniu i egzekwowaniu stosowania przepisów tego rozporządzenia w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz ułatwienia swobodnego przepływu takich danych w Unii. Ponadto zgodnie z art. 51 ust. 2 i art. 57 ust. 1 lit. g) tego rozporządzenia wspomniane organy nadzorcze współpracują ze sobą, w tym dzieląc się informacjami oraz świadcząc sobie wzajemną pomoc w celu zapewnienia spójnego stosowania i egzekwowania niniejszego rozporządzenia.
39 W celu wykonania tych zadań owym organom nadzorczym przyznane zostały w art. 58 RODO uprawnienia dochodzeniowe (ust. 1), w uprawnienie do przyjmowania środków naprawczych (ust. 2) oraz uprawnienie do wnoszenia do organów wymiaru sprawiedliwości spraw dotyczących naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania przepisów tego rozporządzenia (ust. 5).
40 Bez uszczerbku dla zawartej w art. 55 ust. 1 RODO normy kompetencyjnej w art. 56 ust. 1 tego rozporządzenia ustanowiony został w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4 pkt 23 tego rozporządzenia mechanizm „kompleksowej współpracy”, oparty na podziale kompetencji między „wiodącym organem nadzorczym” i pozostałymi organami nadzorczymi, których dana sprawa dotyczy, a także na współpracy między wszystkimi tymi organami, zgodnie z przewidzianą w art. 60 tego rozporządzenia procedurą.
41 Ponadto w art. 61 ust. 1 RODO organy nadzorcze zostały w szczególności zobowiązane do przekazywania sobie istotnych informacji oraz do świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania tego rozporządzenia w całej Unii. W art. 63 RODO wyjaśniono, że to w tym właśnie celu ustanowiony został przewidziany w jego art. 64 i 65 mechanizm kontroli spójności (wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 52 i przywołane tam orzecznictwo).
42 Należy jednak zauważyć, że przewidziane w RODO zasady współpracy nie są adresowane do krajowych organów ochrony konkurencji, lecz regulują one współpracę między krajowymi organami nadzorczymi, których dana sprawa dotyczy, a wiodącym organem nadzorczym, a także, w stosownych przypadkach, współpracę tych organów z Europejską Radą Ochrony Danych i Komisją.
43 Ani bowiem w RODO, ani w żadnym innym instrumencie prawa Unii nie przewidziano przepisów szczególnych, które regulowałyby współpracę między krajowym organem ochrony konkurencji a krajowymi organami nadzorczymi, których dana sprawa dotyczy, czy też wiodącym organem nadzorczym. Ponadto w rozporządzeniu tym nie przewidziano żadnego przepisu, który zakazywałby krajowym organom ochrony konkurencji stwierdzenia, w ramach wykonywania ich funkcji, że przetwarzanie danych dokonywane przez przedsiębiorstwo zajmujące pozycję dominującą nie jest zgodne z tym rozporządzeniem i może stanowić nadużycie tej pozycji.
44 W tym względzie należy wyjaśnić w pierwszej kolejności, że organy nadzorcze z jednej strony i krajowe organy ochrony konkurencji z drugiej strony pełnią odmienne funkcje oraz realizują własne cele i zadania.
45 Z jednej strony bowiem, jak wskazano w pkt 38 niniejszego wyroku, zgodnie z art. 51 ust. 1 i 2 oraz art. 57 ust. 1 lit. a) i g) RODO głównym zadaniem organu nadzorczego jest monitorowanie i egzekwowanie stosowania tego rozporządzenia przy jednoczesnym przyczynianiu się do jego spójnego stosowania w Unii, a to w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz ułatwiania swobodnego przepływu takich danych w Unii. W tym celu, jak przypomniano w pkt 39 niniejszego wyroku, organ nadzorczy dysponuje różnego rodzaju uprawnieniami, które zostały mu przyznane na mocy art. 58 RODO.
46 Z drugiej strony zgodnie z art. 5 rozporządzenia nr 1/2003 krajowe organy ochrony konkurencji są uprawnione w szczególności do wydawania decyzji stwierdzających nadużycie przez przedsiębiorstwo pozycji dominującej w rozumieniu art. 102 TFUE, których celem jest ustanowienie systemu gwarantującego niezakłóconą konkurencję na rynku wewnętrznym, również z uwagi na konsekwencje takiego nadużycia dla konsumentów na tym rynku.
47 Jak wskazał w istocie rzecznik generalny w pkt 23 opinii, wydając taką decyzję, organ ochrony konkurencji powinien na podstawie wszystkich szczególnych okoliczności sprawy ocenić, czy zachowanie przedsiębiorstwa zajmującego pozycję dominującą skutkuje uniemożliwieniem, poprzez wykorzystanie środków odmiennych od tych, które stosuje się w warunkach normalnej konkurencji między towarami lub usługami, utrzymania istniejącego na rynku poziomu konkurencji lub rozwoju tej konkurencji (zob. podobnie wyrok z dnia 25 marca 2021 r., Deutsche Telekom/Komisja, C‑152/19 P, EU:C:2021:238, pkt 41, 42). W tym względzie zgodność lub niezgodność takiego zachowania z przepisami RODO może w odpowiednim przypadku stanowić, wśród istotnych okoliczności danej sprawy, przesłankę mającą znaczenie dla ustalenia tego, czy zachowanie to stanowi wykorzystanie środków stosowanych w warunkach normalnej konkurencji, a także dla oceny skutków, jakie ma dana praktyka na rynku lub dla konsumentów.
48 Wynika z tego, że w ramach badania nadużycia przez przedsiębiorstwo pozycji dominującej na określonym rynku konieczne może okazać się zbadanie przez organ ochrony konkurencji danego państwa członkowskiego również zgodności zachowania tego przedsiębiorstwa z normami innymi niż przepisy prawa konkurencji, takimi jak ustanowione w RODO przepisy dotyczące ochrony danych osobowych.
49 Biorąc pod uwagę różnego rodzaju cele realizowane z jednej strony za pomocą przepisów ustanowionych w dziedzinie konkurencji, a w szczególności przez art. 102 TFUE, i z drugiej strony za pomocą przepisów regulujących dziedzinę ochrony danych osobowych w oparciu o RODO należy stwierdzić, że w sytuacji gdy krajowy organ ochrony konkurencji stwierdza incydentalnie, w ramach stwierdzenia nadużycia pozycji dominującej, że doszło do naruszenia przepisów tego rozporządzenia, nie wchodzi on w rolę organów nadzorczych. W szczególności taki krajowy organ ochrony konkurencji nie monitoruje i nie egzekwuje stosowania przepisów RODO w celu, o którym mowa w art. 51 ust. 1 tego rozporządzenia, a mianowicie w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwienia swobodnego przepływu danych osobowych w Unii. Ponadto, w sytuacji gdy powołuje się on na niezgodność danego przetwarzania danych z przepisami RODO wyłącznie po to, aby stwierdzić nadużycie pozycji dominującej i nałożyć środki mające na celu doprowadzenie do zaprzestania tego nadużycia w oparciu o podstawę prawną wynikającą z prawa konkurencji, taki organ nie wykonuje żadnego z zadań, które zostały określone w art. 57 RODO, ani też nie korzysta z uprawnień zastrzeżonych dla organu nadzorczego na podstawie art. 58 RODO.
50 Ponadto należy stwierdzić, że dostęp do danych osobowych oraz ich wykorzystywanie odgrywają w ramach gospodarki cyfrowej rolę, której nie sposób przecenić. O znaczeniu dostępu do tych danych i ich wykorzystywania świadczy, w kontekście sporu zawisłego w postępowaniu głównym, stanowiący podstawę sieci społecznościowej Facebook model biznesowy przewidujący, jak przypomniano w pkt 27 niniejszego wyroku, finansowanie ze środków uzyskanych ze sprzedaży komunikatów reklamowych, które są personalizowane dla danego profilu użytkownika tworzonego na podstawie zbieranych przez Meta Platforms Ireland danych osobowych.
51 Jak podkreśliła w szczególności Komisja, dostęp do danych osobowych i możliwość ich przetwarzania stały się istotnym parametrem gry rynkowej, jaka się toczy pomiędzy przedsiębiorstwami konkurującymi ze sobą w ramach gospodarki cyfrowej. W związku z tym wyłączenie przepisów z dziedziny ochrony danych osobowych z ram prawnych, jakie organy ochrony konkurencji powinny wziąć pod uwagę przy badaniu nadużycia pozycji dominującej, sprowadzałoby się do zignorowania tej zachodzącej rewolucji gospodarczej i mogłoby zagrażać skuteczności prawa konkurencji w Unii.
52 Należy niemniej jednak zauważyć w drugiej kolejności, że w przypadku gdy krajowy organ ochrony konkurencji uzna za konieczne zajęcie, w ramach decyzji dotyczącej nadużycia pozycji dominującej, stanowiska w przedmiocie tego, czy przetwarzanie danych osobowych przez przedsiębiorstwo, którego ta decyzja dotyczy, jest zgodne z RODO, ten organ ochrony konkurencji i organ nadzorczy, którego sprawa dotyczy, lub, w stosownych przypadkach, właściwy wiodący organ nadzorczy w rozumieniu tego rozporządzenia powinny ze sobą współpracować w celu zapewnienia spójnego stosowania tego rozporządzenia.
53 Choć bowiem, jak wskazano w pkt 42 i 43 niniejszego wyroku, ani w RODO, ani w żadnym innym instrumencie prawa Unii nie przewidziano w tym względzie przepisów szczególnych, niemniej jednak, jak zauważył w istocie rzecznik generalny w pkt 28 opinii, przy stosowaniu RODO wszystkie uczestniczące w danym postępowaniu organy krajowe są związane ustanowioną w art. 4 ust. 3 TUE zasadą lojalnej współpracy. W myśl tej zasady, zgodnie z utrwalonym orzecznictwem, w dziedzinach podległych prawu Unii państwa członkowskie, w tym ich organy administracyjne, są zobowiązane do wzajemnego szanowania się i udzielania sobie wzajemnego wsparcia w wykonywaniu zadań wynikających z traktatów, podejmowania wszelkich środków właściwych do zapewnienia wykonania zobowiązań wynikających między innymi z aktów instytucji Unii oraz powstrzymywania się od podejmowania wszelkich środków, które mogłyby zagrażać urzeczywistnieniu celów Unii (zob. podobnie wyroki: z dnia 7 listopada 2013 r., UPC Nederland, C‑518/11, EU:C:2013:709, pkt 59; a także z dnia 1 sierpnia 2022 r., Sea Watch, C‑14/21 i C‑15/21, EU:C:2022:604, pkt 156).
54 Tak więc, z uwagi na tę zasadę, w sytuacji gdy krajowe organy ochrony konkurencji w wykonaniu swoich uprawnień badają zgodność danego zachowania przedsiębiorstwa z przepisami RODO, powinny one konsultować się i lojalnie współpracować z krajowymi organami nadzorczymi, których sprawa dotyczy, lub z wiodącym organem nadzorczym, przy czym wszystkie te organy są wówczas zobowiązane w tym kontekście do przestrzegania ich odpowiednich uprawnień i kompetencji, tak aby uczynić zadość obowiązkom wynikającym z RODO, a także realizować cele tego rozporządzenia, przy jednoczesnym zachowaniu jego skuteczności (effet utile).
55 Badanie przez organ ochrony konkurencji zachowania przedsiębiorstwa w świetle norm określonych w RODO może bowiem wiązać się z ryzykiem zaistnienia między tym organem a organami nadzorczymi rozbieżności w zakresie wykładni tego rozporządzenia.
56 Wynika z tego, że w przypadku gdy w ramach badania mającego na celu stwierdzenie nadużycia przez przedsiębiorstwo pozycji dominującej w rozumieniu art. 102 TFUE krajowy organ ochrony konkurencji uzna, że konieczne jest zbadanie zgodności zachowania tego przedsiębiorstwa z przepisami RODO, organ ten powinien sprawdzić, czy to zachowanie lub zachowanie do niego podobne było już przedmiotem rozstrzygnięcia wydanego przez właściwy krajowy organ nadzorczy lub przez wiodący organ nadzorczy bądź też przez Trybunał. W takim przypadku krajowy organ ochrony konkurencji nie może odejść od tej zasady, zachowując jednak swobodę w wyciąganiu z tej sytuacji swoich własnych wniosków z perspektywy zastosowania prawa konkurencji.
57 Gdy ten krajowy organ ochrony konkurencji ma wątpliwości co do zakresu oceny dokonanej przez właściwy krajowy organ nadzorczy lub wiodący organ nadzorczy, w sytuacji gdy dane zachowanie lub zachowanie do niego podobne jest jednocześnie przedmiotem badania ze strony tych organów lub gdy, w braku przeprowadzenia przez te organy dochodzenia, uznaje on, że zachowanie przedsiębiorstwa nie jest zgodne z przepisami RODO, organ ten powinien skonsultować się z tymi organami i zwrócić się do nich o współpracę mającą na celu rozwianie wątpliwości lub ustalenie, czy przed dokonaniem swej własnej oceny winien on zaczekać na wydanie decyzji przez organ nadzorczy, którego sprawa dotyczy.
58 Z kolei w sytuacji, gdy krajowy organ ochrony konkurencji zwraca się do organu nadzorczego o udzielenie informacji lub współpracę, ów organ nadzorczy powinien odpowiedzieć na to żądanie udzielenia informacji lub współpracy w rozsądnym terminie, przekazując będące w jego dyspozycji informacje mogące rozwiać istniejące po stronie tego organu konkurencji wątpliwości co do zakresu oceny przeprowadzonej przez ten organ nadzorczy lub, w stosownym przypadku, informując krajowy organ ochrony konkurencji, czy zamierza wszcząć procedurę współpracy z innymi organami nadzorczymi, których sprawa dotyczy, lub z wiodącym organem nadzorczym, zgodnie z art. 60 i nast. RODO, w celu wydania decyzji stwierdzającej, czy dane zachowanie jest zgodne z tym rozporządzeniem.
59 W braku ustosunkowania się w rozsądnym terminie przez organ nadzorczy, do którego zwrócono się z takim żądaniem, krajowy organ ochrony konkurencji może kontynuować prowadzone dochodzenie. To samo dotyczy sytuacji, w której właściwy krajowy organ nadzorczy i wiodący organ nadzorczy nie wyrażą sprzeciwu wobec dalszego prowadzenia takiego dochodzenia bez czekania na wydanie przez nie decyzji.
60 W niniejszej sprawie z akt sprawy, którymi dysponuje Trybunał, wynika, że w październiku i listopadzie 2018 r., czyli przed wydaniem decyzji z dnia 6 lutego 2019 r., federalny urząd ds. ochrony konkurencji skontaktował się z Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (federalnym komisarzem ds. ochrony danych i wolności informacji, Niemcy), Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (hamburskim komisarzem ds. ochrony danych i wolności informacji, Niemcy), będącym organem właściwym w przypadku Facebook Deutschland, oraz Data Protection Commission (DPC) (organem ochrony danych, Irlandia) w celu poinformowania tych organów o swoich działaniach. Ponadto należy uznać, że federalny urząd ds. ochrony konkurencji uzyskał potwierdzenie, iż organy te nie prowadziły wówczas żadnego dochodzenia dotyczącego okoliczności faktycznych podobnych do tych rozpatrywanych w postępowaniu głównym, a organy te nie zgłosiły żadnych zastrzeżeń co do jego działań. Wreszcie, w pkt 555 i 556 swojej decyzji z dnia 6 lutego 2019 r., federalny urząd ds. ochrony konkurencji wyraźnie powołał się na tę współpracę.
61 W tych okolicznościach, z zastrzeżeniem weryfikacji, której przeprowadzenie należy do sądu odsyłającego, należy uznać, że federalny urząd ds. ochrony konkurencji uczynił zadość swoim obowiązkom związanym z lojalną współpracą z krajowymi organami nadzorczymi, których sprawa dotyczy, oraz z wiodącym organem nadzorczym.
62 W świetle powyższych rozważań na pytania pierwsze i siódme należy odpowiedzieć, że art. 51 i nast. RODO oraz art. 4 ust. 3 TUE należy interpretować w ten sposób, że organ ochrony konkurencji państwa członkowskiego, z zastrzeżeniem poszanowania obowiązku lojalnej współpracy z organami nadzorczymi, może w ramach badania nadużycia pozycji dominującej przez przedsiębiorstwo w rozumieniu art. 102 TFUE stwierdzić, iż ogólne warunki korzystania z usług tego przedsiębiorstwa dotyczące przetwarzania danych osobowych i ich wdrażanie nie są zgodne z tym rozporządzeniem, jeżeli stwierdzenie to jest konieczne do wykazania istnienia takiego nadużycia.
63 Ze względu na ten obowiązek lojalnej współpracy krajowy organ ochrony konkurencji nie może odstąpić od wydanej przez właściwy krajowy organ nadzorczy lub właściwy wiodący organ nadzorczy decyzji dotyczącej tych ogólnych warunków lub warunków do nich podobnych. Jeżeli organ ochrony konkurencji ma wątpliwości co do zakresu takiej decyzji, w sytuacji gdy wspomniane lub podobne warunki są jednocześnie przedmiotem badania prowadzonego przez te organy, lub jeżeli w braku prowadzenia dochodzenia lub wydania decyzji przez te organy nadzorcze organ ochrony konkurencji uważa, że rozpatrywane przezeń warunki nie są zgodne z RODO, powinien on skonsultować się z tymi właśnie organami nadzorczymi i zwrócić się do nich o współpracę w celu rozwiania wątpliwości lub ustalenia, czy przed przeprowadzeniem swojej własnej oceny winien on poczekać na wydanie przez nie decyzji. W braku zgłoszenia przez te organy zastrzeżeń lub też w braku ustosunkowania się do takiego wniosku w rozsądnym terminie, krajowy organ ochrony konkurencji może kontynuować prowadzone dochodzenie.
W przedmiocie pytania drugiego
64 Poprzez pytanie drugie lit. a) sąd odsyłający dąży w istocie do ustalenia, czy art. 9 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z kategorią czy też kategoriami określonymi w tym przepisie i, w stosownym przypadku, zamieszcza tam dane, rejestrując się na tych stronach czy też w tych aplikacjach lub składając zamówienia online, przetwarzanie przez operatora tej internetowej sieci społecznościowej danych osobowych polegające na zbieraniu, za pomocą zintegrowanych interfejsów, plików cookie lub podobnych technologii rejestracyjnych, danych będących efektem przeglądania tych stron i tych aplikacji oraz danych zamieszczonych przez użytkownika, łączeniu wszystkich tych danych z kontem sieci społecznościowej tego użytkownika oraz wykorzystywaniu tych danych przez tego operatora należy uznać za „przetwarzanie szczególnych kategorii danych osobowych” w rozumieniu wspomnianego przepisu, które jest co do zasady zakazane, z zastrzeżeniem przewidzianych w tym art. 9 ust. 2 wyjątków.
65 W przypadku udzielenia na to pytanie odpowiedzi twierdzącej sąd odsyłający, zadając pytanie drugie lit. b), dąży w istocie do ustalenia, czy art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, że w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z kategoriami określonymi w art. 9 ust. 1 RODO, zamieszcza dane na tych stronach lub w tych aplikacjach lub aktywuje zintegrowane z nimi przyciski wyboru, takie jak przyciski „Lubię to” lub „Udostępnij”, lub też przyciski umożliwiające użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika w internetowej sieci społecznościowej, z jego numerem telefonu lub jego adresem elektronicznym, dane zebrane przy tej okazji przez operatora internetowej sieci społecznościowej za pomocą plików cookie lub podobnych technologii rejestracji uznać należy za w sposób oczywisty upublicznione w rozumieniu pierwszego z tych przepisów.
W przedmiocie pytania drugiego lit. a)
66 Zgodnie z motywem 51 RODO dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. W motywie tym wyjaśniono, że takich danych osobowych nie należy przetwarzać, chyba że RODO dopuszcza to w szczególnych przypadkach.
67 W tym kontekście w art. 9 ust. 1 RODO ustanowiona została zasada zakazu przetwarzania wymienionych w nim szczególnych kategorii danych osobowych. Chodzi tu w szczególności o dane, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne oraz dane dotyczące zdrowia, seksualności lub orientacji danej osoby fizycznej.
68 Do celów stosowania art. 9 ust. 1 RODO w przypadku przetwarzania danych osobowych przez operatora internetowej sieci społecznościowej należy sprawdzić, czy takie dane umożliwiają ujawnienie informacji należących do jednej z kategorii określonych w tym przepisie, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej. W przypadku udzielenia odpowiedzi twierdzącej takie przetwarzanie danych osobowych będzie w konsekwencji zakazane, z zastrzeżeniem odstępstw przewidzianych w art. 9 ust. 2 RODO.
69 Jak zauważył w istocie rzecznik generalny w pkt 40 i 41 swej opinii, ten mający co do zasady zastosowanie zakaz przewidziany w art. 9 ust. 1 RODO obowiązuje niezależnie od tego, czy informacja ujawniona w wyniku danego przetwarzania jest prawdziwa i czy administrator danych działa w celu uzyskania informacji należących do jednej ze szczególnych kategorii, o których mowa w tym przepisie.
70 Biorąc bowiem pod uwagę poważne zagrożenia dla podstawowych wolności i praw podstawowych osób, których dane dotyczą, a które to zagrożenia wynikają z przetwarzania danych osobowych należących do kategorii, o których mowa w art. 9 ust. 1 RODO, ustanawiając tę regulację, prawodawca zmierzał do zakazania tego rodzaju przetwarzania, niezależnie od jego zadeklarowanego celu.
71 W niniejszej sprawie rozpatrywane w postępowaniu głównym przetwarzanie przez Meta Platforms Ireland polega przede wszystkim na zbieraniu danych osobowych użytkowników sieci społecznościowej Facebook pozyskiwanych wówczas, gdy przeglądają oni strony internetowe lub aplikacje – w tym tych danych, które mogą ujawniać informacje należące do jednej lub kilku kategorii, o których mowa w art. 9 ust. 1 RODO – i, w stosownym przypadku, zamieszczają w nich informacje, rejestrując się na tych stronach czy też w tych aplikacjach lub składając zamówienia online, następnie na łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wreszcie na wykorzystywaniu tych danych.
72 W tym względzie do sądu odsyłającego będzie należało ustalenie, czy zebrane w ten sposób dane, same w sobie lub poprzez łączenie ich z kontami na Facebooku danych użytkowników, rzeczywiście pozwalają na ujawnienie takich informacji, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej. Jednakże, biorąc pod uwagę pytania zadane przez sąd odsyłający, trzeba wyjaśnić, że należy uznać, z zastrzeżeniem dokonania przez ten sąd odpowiednich weryfikacji, iż przetwarzanie danych dotyczących przeglądania stron internetowych lub aplikacji może w pewnych przypadkach ujawniać takie informacje bez konieczności zamieszczenia w nich informacji poprzez rejestrację lub złożenie zamówienia online przez tych użytkowników.
73 W świetle powyższych rozważań na pytanie drugie lit. a) należy odpowiedzieć, iż art. 9 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w tym przepisie, i, w stosownym przypadku, zamieszcza w nich dane, rejestrując się na tych stronach lub tych aplikacjach czy też składając zamówienia online, dokonywane przez operatora tej internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu, za pomocą zintegrowanych interfejsów, plików cookie lub podobnych technologii rejestracji, danych pochodzących z przeglądania tych stron i tych aplikacji oraz danych zamieszczonych przez użytkownika, łączeniu wszystkich tych danych z kontem sieci społecznościowej tego użytkownika i wykorzystywaniu tych danych przez tego operatora należy uznać za „przetwarzanie szczególnych kategorii danych osobowych” w rozumieniu tego przepisu, które jest co do zasady zakazane, z zastrzeżeniem wyjątków przewidzianych w art. 9 ust. 2 RODO, jeżeli owo przetwarzanie danych może ujawniać informacje należące do jednej z tych kategorii, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej.
W przedmiocie pytania drugiego lit. b)
74 Co się tyczy pytania drugiego lit. b) w brzmieniu przeformułowanym w pkt 65 niniejszego wyroku, dotyczącego odstępstwa przewidzianego w art. 9 ust. 2 lit. e) RODO, należy przypomnieć, że zgodnie z tym przepisem obowiązujący co do zasady zakaz jakiegokolwiek przetwarzania szczególnych kategorii danych osobowych, który został ustanowiony w tym art. 9 ust. 1, nie ma zastosowania w sytuacji, gdy to przetwarzanie dotyczy takich danych osobowych „w sposób oczywisty upublicznionych przez osobę, której dane dotyczą”.
75 Na wstępie należy zauważyć, że po pierwsze, odstępstwo to ma zastosowanie wyłącznie do danych w sposób oczywisty upublicznionych „przez osobę, której dane dotyczą”. W związku z tym nie ma ono zastosowania do danych dotyczących osób innych niż ta, która w sposób oczywisty je upubliczniła.
76 Po drugie, ze względu na to, że w art. 9 ust. 2 RODO przewidziany został wyjątek od zasady zakazu przetwarzania szczególnych kategorii danych osobowych, przepis ten należy interpretować zawężająco (zob. podobnie wyroki: z dnia 17 września 2014 r., Baltic Agro, C‑3/13, EU:C:2014:2227, pkt 24 i przytoczone tam orzecznictwo; a także z dnia 6 czerwca 2019 r., Weil, C‑361/18, EU:C:2019:473, pkt 43 i przytoczone tam orzecznictwo).
77 Wynika z tego, że do celów zastosowania wyjątku przewidzianego w art. 9 ust. 2 lit. e) RODO należy sprawdzić, czy osoba, której dane dotyczą, zamierzała, w drodze wyraźnej czynności potwierdzającej, udostępnić rozpatrywane dane osobowe ogółowi opinii publicznej.
78 W tym względzie, co się tyczy, po pierwsze, przeglądania stron internetowych lub aplikacji powiązanych z jedną lub kilkoma kategoriami, o których mowa w art. 9 ust. 1 RODO, należy stwierdzić, że poprzez to przeglądanie dany użytkownik w żaden sposób nie zamierza upublicznić faktu, że przeglądał te strony lub aplikacje czy też dotyczących tego przeglądania danych, które mogą zostać powiązane z jego osobą. Może on bowiem co najwyżej spodziewać się, że dostęp do tych danych będzie miał administrator strony lub aplikacji i że udostępnia je on, w stosownych przypadkach i z zastrzeżeniem udzielonej przez tego użytkownika wyraźnej zgody, pewnym osobom trzecim, nie zaś ogółowi opinii publicznej.
79 Z samego faktu przeglądania takich stron internetowych lub aplikacji przez użytkownika nie można zatem wywnioskować, że wspomniane dane osobowe zostały przez niego w sposób oczywisty upublicznione w rozumieniu art. 9 ust. 2 lit. e) RODO.
80 Po drugie, co się tyczy działań polegających na zamieszczaniu danych na tych stronach internetowych lub w tych aplikacjach, a także na aktywowaniu zintegrowanych z nimi przycisków wyboru, takich jak przyciski „Lubię to” lub „Udostępnij”, lub też przycisków umożliwiających temu użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika sieci społecznościowej Facebook, z jego numerem telefonu lub z jego adresem elektronicznym, należy zauważyć, że składową tych czynności jest interakcja między tym użytkownikiem a daną stroną internetową lub daną aplikacją oraz, w stosownych przypadkach, stroną internetową sieci społecznościowej, której to interakcji stopień upublicznienia może się różnić w zależności od tego, jakie będą indywidualne parametry przyjęte przez tego użytkownika.
81 W tych okolicznościach do sądu odsyłającego należy zbadanie, czy użytkownicy, których przetwarzanie dotyczy, mają możliwość podjęcia, za pomocą zdefiniowanych ze znajomością rzeczy parametrów, decyzji o udostępnieniu danych zamieszczanych na stronach internetowych lub w aplikacjach lub danych wynikających z aktywacji zintegrowanych z nimi przycisków do dokonywania wyboru ogółowi opinii publicznej, czy też, przeciwnie, o udostępnieniu ich bardziej lub mniej ograniczonej liczbie wybranych osób.
82 W przypadku gdy użytkownicy, których dane dotyczą, mają rzeczywiście taki wybór, można uznać, że w sytuacji gdy dobrowolnie zamieszczają oni dane na stronie internetowej lub w aplikacji lub też aktywują zintegrowane z nimi przyciski do dokonywania wyboru, użytkownicy ci w sposób oczywisty upubliczniają dotyczące ich dane w rozumieniu art. 9 ust. 2 lit. e) RODO jedynie w przypadku, gdy poprzez indywidualnie zdefiniowanie z pełną znajomością rzeczy parametrów użytkownicy ci jasno dali wyraz dokonanemu przez siebie wyborowi udostępnienia tych danych nieograniczonej liczbie osób, czego zweryfikowanie należy do sądu odsyłającego.
83 Gdy natomiast takie przyjęcie indywidualnych parametrów nie jest proponowane, biorąc pod uwagę to, co zostało wskazane w pkt 77 niniejszego wyroku, należy uznać, że w przypadku gdy użytkownicy ci zamieszczają z własnej woli dane na stronie internetowej lub w aplikacji lub też aktywują zintegrowane z nimi przyciski do dokonywania wyboru, do tego, aby można było uznać, iż upublicznili oni w sposób oczywisty te dane, konieczne jest wyraźne wyrażenie przez nich – na podstawie wyraźnej informacji dostarczonej przez tę stronę lub przez tę aplikację przed takim zamieszczeniem lub aktywacją – zgody na to, aby wszystkie osoby mające dostęp do tej strony lub do tej aplikacji mogły wizualizować te dane.
84 W świetle powyższych rozważań na pytanie drugie lit. b) należy odpowiedzieć, że art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, iż w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w art. 9 ust. 1 RODO, nie upublicznia on w sposób oczywisty, w rozumieniu pierwszego z tych przepisów, dotyczących tego przeglądania danych zbieranych przez operatora tej internetowej sieci społecznościowej za pomocą plików cookie lub podobnych technologii rejestracji.
85 Gdy taki użytkownik zamieszcza dane na takich stronach internetowych lub w takich aplikacjach lub też gdy aktywuje zintegrowane z tymi stronami i aplikacjami przyciski wyboru, takie jak przyciski „Lubię to” lub „Udostępnij”, lub też przyciski umożliwiające użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika w internetowej sieci społecznościowej, z jego numerem telefonu lub jego adresem elektronicznym, upublicznia on w oczywisty sposób, w rozumieniu tego art. 9 ust. 2 lit. e), dane zamieszczone w ten sposób lub wynikające z aktywowania tych przycisków jedynie w przypadku, gdy uprzednio wyraźnie wyraził swój wybór – w stosownym przypadku poprzez indywidualne zdefiniowanie z pełną znajomością rzeczy parametrów – publicznego udostępnienia dotyczących go danych nieograniczonej liczbie osób.
W przedmiocie pytań prejudycjalnych od trzeciego do piątego
86 Poprzez pytania trzecie i czwarte, które należy zbadać łącznie, sąd odsyłający dąży w istocie do ustalenia, czy i na jakich warunkach art. 6 ust. 1 akapit pierwszy lit. b) i f) RODO należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do wykonania umowy, której stroną są osoby, których dane dotyczą, w rozumieniu lit. b), lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu lit. f). Sąd ten zastanawia się w szczególności, czy w tym celu pewne wyraźnie przez ten sąd wymienione interesy stanowią „prawnie uzasadnione interesy” w rozumieniu tego ostatniego przepisu.
87 Poprzez swoje piąte pytanie sąd odsyłający pyta w istocie, czy art. 6 ust. 1 akapit pierwszy lit. c)–e) RODO należy interpretować w ten sposób, że takie przetwarzanie danych osobowych można uznać za niezbędne do wypełnienia ciążącego na administratorze danych obowiązku prawnego, w rozumieniu lit. c), do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, w rozumieniu lit. d), lub też do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, w rozumieniu lit. e), jeśli takie przetwarzanie jest, odpowiednio, konieczne w celu ustosunkowania się do zgodnego z prawem wniosku o przedstawienie pewnych danych, w celu zwalczania szkodliwych zachowań i wspierania bezpieczeństwa lub w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa.
Uwagi wstępne
88 Na wstępie należy zauważyć, po pierwsze, iż pytania od trzeciego do piątego zostały zadane z tego względu, że zgodnie z poczynionymi przez federalny urząd ds. ochrony konkurencji ustaleniami, które zostały zawarte w jego decyzji z dnia 6 lutego 2019 r., nie można uznać, iż użytkownicy sieci społecznościowej Facebook wyrazili zgodę na przetwarzanie, w rozumieniu art. 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) RODO, ich będących przedmiotem postępowania głównego danych. To w tym kontekście zatem sąd odsyłający, zwracając się do Trybunału w związku z przyjęciem tego założenia z pytaniem szóstym, uważa, że należy sprawdzić, czy przetwarzanie to spełnia choć jedną z pozostałych przesłanek zgodności z prawem, o których mowa w art. 6 ust. 1 lit. b)–f) tego rozporządzenia.
89 W tym kontekście należy zauważyć, że czynności zbierania, łączenia i wykorzystywania danych, o których mowa w pytaniach od trzeciego do piątego, mogą obejmować zarówno dane wrażliwe w rozumieniu art. 9 ust. 1 RODO, jak i dane, które nie podlegają takiej szczególnej ochronie. Należy zaś uściślić, że w przypadku gdy przedmiotem takich czynności jest zbiór danych zawierający jednocześnie dane wrażliwe i takie, które nie podlegają takiej szczególnej ochronie, a w szczególności jest pozyskiwany jako jedna całość, a dane te nie mogą zostać w momencie tego pozyskiwania oddzielone od siebie, przetwarzanie tego zbioru danych należy uznać za zabronione w rozumieniu art. 9 ust. 1 RODO, w sytuacji gdy zawiera on co najmniej jedną daną wrażliwą i jednocześnie nie ma zastosowania żadne z odstępstw, o których mowa w art. 9 ust. 2 tego rozporządzenia.
90 Po drugie, w celu udzielenia odpowiedzi na pytania od trzeciego do piątego należy przypomnieć, że w art. 6 ust. 1 akapit pierwszy RODO zawarty został wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem. Aby zatem można było uznać dane przetwarzanie za zgodne z prawem, musi ono stanowić jeden z przewidzianych w tym przepisie przypadków [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 99 i przytoczone tam orzecznictwo].
91 Zgodnie z brzmieniem art. 6 ust. 1 akapit pierwszy lit. a) tego rozporządzenia przetwarzanie danych osobowych jest zgodne z prawem, gdy – i w takim zakresie, w jakim – osoba, której dane dotyczą, wyraziła na to zgodę w określonym celu lub określonych celach.
92 W braku takiej zgody lub jeżeli zgoda ta nie została udzielona w sposób dobrowolny, konkretny, świadomy i jednoznaczny w rozumieniu art. 4 pkt 11 RODO, takie przetwarzanie jest jednak uzasadnione, w sytuacji gdy spełnia ono jeden z wymogów dotyczących niezbędności, o których mowa w art. 6 ust. 1 akapit pierwszy lit. b)–f) tego rozporządzenia.
93 W tym kontekście uzasadnienia przewidziane w tym ostatnim przepisie, ze względu na to, że pozwalają one na uznanie za zgodne z prawem przetwarzania danych osobowych dokonywanego w przypadku braku zgody osoby, której dane dotyczą, winny podlegać wykładni zawężającej [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 73 i przytoczone tam orzecznictwo].
94 Ponadto, jak już zostało to rozstrzygnięte przez Trybunał, jeżeli można stwierdzić, że przetwarzanie danych osobowych jest niezbędne w świetle jednego z przewidzianych w art. 6 ust. 1 akapit pierwszy lit. b)–f) RODO uzasadnień, nie ma potrzeby ustalania, czy przetwarzanie to wchodzi również w zakres innego z tych uzasadnień (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 71).
95 Należy wreszcie również wyjaśnić, że zgodnie z art. 5 RODO to na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że są one przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Ponadto zgodnie z art. 13 ust. 1 lit. c) tego rozporządzenia w przypadku gdy dane osobowe są pozyskiwane od osoby, której dotyczą, to na administratorze danych spoczywa obowiązek poinformowania jej o celach przetwarzania, do którego dane są przeznaczone, oraz o podstawie prawnej tego przetwarzania.
96 Choć to do sądu odsyłającego będzie należało ustalenie, czy poszczególne elementy przetwarzania rozpatrywanego w postępowaniu głównym są uzasadnione na gruncie jednej z konieczności, o których mowa w art. 6 ust. 1 akapit pierwszy lit. b)–f) RODO, Trybunał może jednak udzielić mu użytecznych wskazówek umożliwiających mu rozstrzygnięcie zawisłego przed nim sporu.
W przedmiocie pytań trzeciego i czwartego
97 Co się tyczy, w pierwszej kolejności, art. 6 ust. 1 akapit pierwszy lit. b) RODO, przewiduje on, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest „niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
98 W związku z tym aby przetwarzanie danych osobowych zostało uznane za niezbędne do wykonania umowy w rozumieniu tego przepisu, musi być ono obiektywnie konieczne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz osoby, której te dane dotyczą. Administrator musi zatem być w stanie wykazać, dlaczego główny cel umowy nie mógłby zostać osiągnięty bez rozpatrywanego przetwarzania.
99 Bez znaczenia w tym względzie jest jako taka okoliczność polegająca na tym, że takie przetwarzanie jest wymienione w umowie lub że jest ono jedynie przydatne do jej wykonania. Elementem decydującym o zastosowaniu uzasadnienia, o którym mowa w art. 6 ust. 1 akapit pierwszy lit. b) RODO, jest bowiem to, że przetwarzanie danych osobowych dokonywane przez administratora ma istotne znaczenie dla prawidłowego wykonania umowy zawartej między nim a osobą, której dane dotyczą, i co za tym idzie, że nie istnieją inne dające się zastosować, mniej inwazyjne, rozwiązania.
100 W tym względzie, jak zauważył rzecznik generalny w pkt 54 opinii, w przypadku gdy umowa obejmuje kilka odrębnych usług lub elementów usługi, które można wykonywać niezależnie od siebie, kwestię zastosowania art. 6 ust. 1 akapit pierwszy lit. b) RODO należy oceniać w kontekście każdej z tych usług oddzielnie.
101 W niniejszej sprawie, w ramach uzasadnień, które mogą wchodzić w zakres zastosowania tego przepisu, sąd odsyłający wskazuje – jako elementy mające zapewnić należyte wykonanie umowy zawartej między Meta Platforms Ireland a jej użytkownikami – na personalizację treści oraz ciągłe i niezakłócone korzystanie z usług własnych grupy Meta.
102 W odniesieniu do, po pierwsze, uzasadnienia opartego na personalizacji treści, należy zauważyć, iż choć taka personalizacja jest użyteczna dla użytkownika ze względu na to, że umożliwia mu między innymi oglądanie treści, które w znacznym stopniu odpowiadają jego zainteresowaniom, to jednak – z zastrzeżeniem zweryfikowania tego przez sąd krajowy – ta personalizacja treści nie wydaje się konieczna do oferowania temu użytkownikowi usług internetowej sieci społecznościowej. Usługi te mogą być w odpowiednim przypadku świadczone na rzecz użytkownika w formie równoważnej alternatywy, która nie wiąże się z taką personalizacją, skutkiem czego nie jest ona obiektywnie niezbędna do osiągnięcia celu stanowiącego integralną część tych właśnie usług.
103 Po drugie, w odniesieniu do uzasadnienia opartego na ciągłym i niezakłóconym korzystaniu z usług własnych grupy Meta, z akt sprawy, którymi dysponuje Trybunał, wynika, że możliwość założenia konta użytkownika w sieci społecznościowej Facebook nie jest związana z obowiązkiem subskrybowania przez daną osobę różnego rodzaju oferowanych przez grupę Meta usług. Różne towary i usługi oferowane przez grupę mogą być bowiem używane niezależnie od siebie, a podstawą korzystania z poszczególnych produktów lub usług jest zawarcie odrębnej umowy w tym przedmiocie.
104 Zatem, z zastrzeżeniem zweryfikowania tego przez sąd odsyłający, przetwarzanie danych osobowych pochodzących z oferowanych przez grupę Meta usług innych niż usługa internetowej sieci społecznościowej nie wydaje się konieczne do umożliwienia świadczenia tej właśnie usługi.
105 Jeśli chodzi o, w drugiej kolejności, art. 6 ust. 1 akapit pierwszy lit. f) RODO, stanowi on, że przetwarzanie danych osobowych jest zgodne z prawem w zakresie, w jakim jest „niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.
106 Jak orzekł już bowiem Trybunał, w przepisie tym określono trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację prawnie uzasadnionych interesów przez administratora danych lub osobę trzecią, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z tych prawnie uzasadnionych interesów, oraz po trzecie, przesłankę, aby interesy lub podstawowe prawa i wolności osoby objętej ochroną danych nie miały pierwszeństwa przed prawnie uzasadnionymi interesami administratora lub osoby trzeciej (wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 106 i przytoczone tam orzecznictwo).
107 Co się tyczy, po pierwsze, przesłanki dotyczącej realizacji prawnie uzasadnionych interesów, należy wyjaśnić, że zgodnie z art. 13 ust. 1 lit. d) RODO administrator podczas pozyskiwania danych osobowych od osoby, której dane dotyczą, winien poinformować ją, jeżeli to przetwarzanie odbywa się na podstawie art. 6 ust. 1 akapit pierwszy lit. f) tego rozporządzenia, o realizowanych prawnie uzasadnionych interesach.
108 Jeśli chodzi, po drugie, o przesłankę, zgodnie z którą przetwarzanie danych osobowych musi być niezbędne dla potrzeb wynikających z prawnie uzasadnionych interesów, wiąże się ona ze spoczywającym na sądzie odsyłającym obowiązkiem zweryfikowania tego, czy ten prawnie uzasadniony interes w przetwarzaniu danych nie może, racjonalnie rzecz biorąc, zostać zrealizowany w równie skuteczny sposób za pomocą innych środków, w mniejszym stopniu naruszających podstawowe prawa i wolności osób, których te dane dotyczą, w szczególności prawa do poszanowania życia prywatnego i ochrony danych osobowych zagwarantowane w art. 7 i 8 karty praw podstawowych [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 110 i przytoczone orzecznictwo].
109 W tym kontekście należy również przypomnieć, że przesłankę, zgodnie z którą przetwarzanie musi być niezbędne, należy badać łącznie z zasadą tzw. minimalizacji danych, ustanowioną w art. 5 ust. 1 lit. c) RODO, zgodnie z którą dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” (zob. podobnie wyrok z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, pkt 48).
110 Jeśli chodzi, po trzecie, o przesłankę, zgodnie z którą interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie mają pierwszeństwa przed prawnie uzasadnionym interesem administratora danych lub osoby trzeciej, Trybunał orzekł już, że wiąże się ona z wyważeniem rozpatrywanych przeciwstawnych praw i interesów, co jest co do zasady uzależnione od konkretnych okoliczności danego przypadku, w związku z czym dokonanie tego wyważenia, z uwzględnieniem tych szczególnych okoliczności, należy do sądu odsyłającego (wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 111 i przytoczone tam orzecznictwo).
111 W tym względzie z samego brzmienia art. 6 ust. 1 akapit pierwszy lit. f) RODO wynika, że przy dokonywaniu takiego wyważenia należy zwrócić szczególną uwagę na sytuację, gdy osoba, której dane dotyczą, jest dzieckiem. Zgodnie bowiem z motywem 38 tego rozporządzenia szczególnej ochrony przy przetwarzaniu danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z tym przetwarzaniem danych osobowych. Taka szczególna ochrona powinna więc w szczególności mieć zastosowanie w przypadku przetwarzania danych osobowych dotyczących dzieci do celów marketingowych lub tworzenia profili osobowościowych lub profili użytkowników czy też oferowania usług skierowanych bezpośrednio do dzieci.
112 Ponadto, jak wynika z motywu 47 RODO, interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mogą, racjonalnie rzecz biorąc, spodziewać się takiego przetwarzania.
113 W niniejszej sprawie, w ramach uzasadnień mogących wchodzić w zakres stosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO, sąd odsyłający powołuje się na personalizację reklamy, na bezpieczeństwo sieci, na ulepszanie produktów, na informowanie organów ścigania i organów wykonawczych oraz reagowanie na wnioski prawne w celu zapobiegania, wykrywania i ścigania przestępstw, na małoletniość użytkownika, na badania i innowacje na rzecz celów społecznych oraz na skierowaną do reklamodawców i innych partnerów biznesowych ofertę usług związanych z przekazywaniem wymienianej z użytkownikiem informacji marketingowej oraz z narzędziami analitycznymi umożliwiającymi ocenę osiąganych przez nich wyników.
114 W tym względzie należy na wstępie zauważyć, że wniosek o wydanie orzeczenia w trybie prejudycjalnym nie zawiera wyjaśnień, które pozwalałyby zrozumieć, w jaki sposób badania naukowe i innowacje na rzecz celów społecznych lub małoletniość użytkownika mogłyby uzasadniać zbieranie i wykorzystywanie rozpatrywanych danych jako prawnie uzasadnione interesy w rozumieniu art. 6 ust. 1 akapit pierwszy lit. f) RODO. W związku z tym Trybunał nie jest w stanie zająć stanowiska w tej kwestii.
115 Po pierwsze, w odniesieniu do personalizacji reklamy, należy zauważyć, że zgodnie z motywem 47 RODO przetwarzanie danych osobowych do celu marketingu bezpośredniego można uznać za wykonywane w prawnie uzasadnionym interesie administratora danych.
116 Takie przetwarzanie musi być jednak niezbędne do realizacji celów związanych z tym interesem, a interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie mogą mieć pierwszeństwa przed tym uzasadnionym interesem administratora. W kontekście tego wyważania wchodzących w grę i przeciwstawnych praw i interesów, a mianowicie praw i interesów administratora z jednej strony oraz praw i interesów osoby, której dane dotyczą, z drugiej strony, należy wziąć pod uwagę, jak zauważono w pkt 112 niniejszego wyroku, w szczególności racjonalne oczekiwania osoby, której dane dotyczą, oraz zakres przedmiotowej operacji przetwarzania i jej wpływ na tę osobę.
117 W tym względzie należy zauważyć, że pomimo nieodpłatności usług internetowej sieci społecznościowej takiej jak Facebook jej użytkownik nie może, racjonalnie rzecz biorąc, spodziewać się, że operator tej sieci społecznościowej będzie przetwarzał bez jego zgody jego dane osobowe w celu personalizacji reklamy. W tych okolicznościach należy uznać, że interesy i prawa podstawowe takiego użytkownika mają pierwszeństwo przed interesem, jaki ma w takiej personalizacji reklamy operator sieci społecznościowej, który finansuje za pomocą tej reklamy swoją działalność, efektem czego przetwarzanie dokonywane przez niego w takich celach nie może wchodzić w zakres zastosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO.
118 Ponadto rozpatrywane w postępowaniu głównym przetwarzanie ma szczególnie szeroki zakres, ponieważ dotyczy potencjalnie nieograniczonego zbioru danych i ma istotny wpływ na użytkownika, w przypadku którego znaczna część działalności – a wręcz prawie cała działalność w Internecie – jest monitorowana przez Meta Platforms Ireland, co może wywołać u niego poczucie, że jego życie prywatne jest pod stałym nadzorem.
119 Po drugie, jeśli chodzi o cel polegający na zapewnieniu bezpieczeństwa sieci, stanowi on, zgodnie z motywem 49 RODO, prawnie uzasadniony interes Meta Platforms Ireland, który może uzasadniać przetwarzanie będące przedmiotem postępowania głównego.
120 Jednakże, jeśli chodzi o konieczność tego przetwarzania dla realizacji celów związanych z tym prawnie uzasadnionym interesem, sąd odsyłający będzie musiał sprawdzić, czy i w jakim zakresie to przetwarzanie danych osobowych pozyskanych ze źródeł znajdujących się poza siecią społecznościową Facebook jest rzeczywiście niezbędne dla zapewnienia wewnętrznego bezpieczeństwa tego portalu.
121 W tym kontekście, jak zauważono w pkt 108 i 109 niniejszego wyroku, sąd ten winien również zweryfikować z jednej strony to, czy prawnie uzasadnionego interesu w przetwarzaniu danych nie można racjonalnie osiągnąć w równie skuteczny sposób innymi środkami, w mniejszym stopniu naruszającymi wolności i prawa podstawowe osób, których te dane dotyczą, w szczególności prawa do poszanowania życia prywatnego i ochrony danych osobowych zagwarantowane w art. 7 i 8 karty praw podstawowych, oraz z drugiej strony czy przestrzegana jest zasada „minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c) RODO.
122 Po trzecie, jeśli chodzi o cel polegający na ulepszaniu produktu, nie można a priori wykluczyć, że interes administratora polegający na ulepszaniu jego produktu lub usługi w celu uczynienia ich bardziej skutecznymi, a tym samym bardziej atrakcyjnymi, może stanowić prawnie uzasadniony interes uzasadniający przetwarzanie danych osobowych oraz że takie przetwarzanie może być niezbędne do realizacji tego interesu.
123 Jednakże, z zastrzeżeniem dokonania przez sąd odsyłający ostatecznej oceny w tym względzie, należy uznać za wątpliwe, czy w przypadku przetwarzania danych będącego przedmiotem postępowania głównego cel polegający na ulepszaniu produktu mógłby – biorąc pod uwagę skalę tego przetwarzania i jego istotny wpływ na użytkownika, jak również okoliczność polegającą na tym, że użytkownik ten wcale nie może racjonalnie spodziewać się tego, iż te dane te będą przetwarzane przez Meta Platforms Ireland – mieć pierwszeństwo przed interesami i prawami podstawowymi takiego użytkownika, tym bardziej w przypadku, gdy jest nim dziecko.
124 Po czwarte, jeśli chodzi o wskazany przez sąd odsyłający cel związany z udzielaniem informacji właściwym organom ścigania i organom wykonawczym w celu zapobiegania przestępstwom, ich wykrywania i ścigania, należy stwierdzić, że cel ten nie może co do zasady stanowić prawnie uzasadnionego interesu realizowanego przez administratora w rozumieniu art. 6 ust. 1 akapit pierwszy lit. f) RODO. Podmiot prywatny taki jak Meta Platforms Ireland nie może bowiem powoływać się na taki prawnie uzasadniony interes pozostający bez związku z prowadzoną przezeń działalnością gospodarczą i handlową. Cel ten może natomiast uzasadniać przetwarzanie danych przez taki podmiot wówczas, gdy jest to obiektywnie konieczne do wypełnienia ciążącego na tym administratorze obowiązku prawnego.
125 W świetle wszystkich powyższych rozważań na pytania trzecie i czwarte należy odpowiedzieć, iż art. 6 ust. 1 akapit pierwszy lit. b) RODO należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do wykonania umowy, której stroną są osoby, których dane dotyczą, w rozumieniu tego przepisu, tylko wtedy, gdy przetwarzanie to jest obiektywnie niezbędne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz tych samych użytkowników, skutkiem czego główny cel umowy nie mógłby zostać osiągnięty bez tego przetwarzania.
126 Artykuł 6 ust. 1 akapit pierwszy lit. f) RODO należy interpretować w ten sposób, że takie przetwarzanie może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.
W przedmiocie pytania piątego
127 W pierwszej kolejności, w zakresie, w jakim pytanie to dotyczy art. 6 ust. 1 akapit pierwszy lit. c) i e) RODO, należy przypomnieć, że zgodnie z art. 6 ust. 1 akapit pierwszy lit. c) przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia ciążącego na administratorze danych obowiązku prawnego. Ponadto, zgodnie z art. 6 ust. 1 akapit pierwszy lit. e), przetwarzanie jest zgodne z prawem również wówczas, gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania powierzonej temu administratorowi władzy publicznej.
128 W tym art. 6 ust. 3 RODO w odniesieniu do tych dwóch przypadków zgodności przetwarzania z prawem uściślono w szczególności, że podstawa przetwarzania musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator danych, oraz że ta podstawa prawna powinna służyć realizacji celu leżącego w interesie publicznym i być proporcjonalna do zamierzonego prawnie uzasadnionego celu.
129 W niniejszej sprawie sąd odsyłający dąży do ustalenia, czy przetwarzanie danych osobowych takie jak to rozpatrywane w postępowaniu głównym można uznać za uzasadnione w świetle art. 6 ust. 1 akapit pierwszy lit. c) RODO, jeżeli ma ono na celu „ustosunkowanie się do zgodnego z prawem wniosku o przedstawienie pewnych danych”, i, w świetle art. 6 ust. 1 akapit pierwszy lit. e) tego rozporządzenia, jeżeli ma ono na celu „badanie dotyczące mienia społecznego” i zmierza do „wspierania ochrony, integralności i bezpieczeństwa”.
130 Należy jednak zauważyć, że sąd ten nie przedstawił Trybunałowi dowodów pozwalających mu na sformułowanie konkretnego rozstrzygnięcia tej kwestii.
131 Do tego sądu należy zatem zweryfikowanie, w świetle przesłanek określonych w pkt 128 niniejszego wyroku, czy przetwarzanie to można uznać za uzasadnione w świetle przedstawionych celów.
132 W szczególności, z uwagi na to, co zostało wskazane w pkt 124 niniejszego wyroku, do sądu odsyłającego będzie należało zbadanie, do celów stosowania art. 6 ust. 1 akapit pierwszy lit. c) RODO, czy Meta Platforms Ireland podlega ustawowemu prewencyjnemu obowiązkowi zbierania i zatrzymywania danych osobowych po to, aby móc ustosunkować się do wszelkich złożonych przez organy krajowe wniosków zmierzających do uzyskania określonych danych dotyczących jej użytkowników.
133 Podobnie do tego sądu należeć będzie ocena, w świetle art. 6 ust. 1 akapit pierwszy lit. e) RODO, czy Meta Platforms Ireland powierzono zadanie wykonywane w interesie publicznym lub w ramach sprawowania władzy publicznej, w szczególności w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa, przy czym należy wskazać, że z uwagi na co do zasady ekonomiczny i handlowy charakter działalności tej spółki powierzenie temu prywatnemu podmiotowi takiego zadania należy uznać za mało prawdopodobne.
134 Ponadto sąd odsyłający powinien w razie potrzeby zweryfikować, czy, biorąc pod uwagę zakres przetwarzania danych przeprowadzanego przez Meta Platforms Ireland i jego znaczący wpływ na użytkowników sieci społecznościowej Facebook, przetwarzanie to jest dokonywane w granicach tego, co jest absolutnie niezbędne.
135 Co się tyczy, w drugiej kolejności, art. 6 ust. 1 akapit pierwszy lit. d) RODO, w przepisie tym przewidziano, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
136 Jak wynika z motywu 46 tego rozporządzenia, przepis ten dotyczy szczególnej sytuacji, w której przetwarzanie danych osobowych jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. W tym względzie w motywie tym wymienione zostały przykładowo cele humanitarne, takie jak monitorowanie epidemii i ich rozprzestrzeniania się, a także nadzwyczajne sytuacje humanitarne, takie jak klęski żywiołowe i katastrofy spowodowane przez człowieka.
137 Z tych przykładów oraz ze ścisłej wykładni, jaką należy przyjąć w odniesieniu do art. 6 ust. 1 akapit pierwszy lit. d) RODO, wynika, że ze względu na charakter usług świadczonych przez operatora internetowej sieci społecznościowej taki podmiot, którego działalność ma charakter głównie gospodarczy i handlowy, nie może powoływać się na ochronę istotnego znaczenia dla życia jego użytkowników lub innej osoby, aby w ten sposób uzasadnić, w oderwaniu od kontekstu, w abstrakcyjny i prewencyjny sposób, zgodność z prawem przetwarzania danych takiego jak to rozpatrywane w postępowaniu głównym.
138 W świetle powyższych rozważań na pytanie piąte należy odpowiedzieć, iż art. 6 ust. 1 akapit pierwszy lit. c) RODO należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych jest uzasadnione, w rozumieniu tego przepisu, jeżeli to przetwarzanie jest rzeczywiście niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych na podstawie przepisu prawa Unii lub prawa danego państwa członkowskiego, owa podstawa prawna służy realizacji celu leżącego w interesie publicznym i jest proporcjonalna do prawnie uzasadnionego celu, a przetwarzanie to jest dokonywane w granicach tego, co jest absolutnie niezbędne.
139 Artykuł 6 ust. 1 akapit pierwszy lit. d) i e) RODO należy interpretować w ten sposób, że takie przetwarzanie danych osobowych nie może – co do zasady i z zastrzeżeniem weryfikacji, którą powinien przeprowadzić sąd odsyłający – zostać uznane za niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej w rozumieniu lit. d) lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, w rozumieniu lit. e) tego przepisu.
W przedmiocie pytania szóstego
140 Poprzez szóste pytanie sąd krajowy zmierza w istocie do ustalenia, czy art. 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, że zgoda udzielona przez użytkownika internetowej sieci społecznościowej operatorowi tej sieci może zostać uznana za spełniającą przewidziane w art. 4 pkt 11 tego rozporządzenia przesłanki ważności, a w szczególności wymóg, by zgoda ta była udzielana dobrowolnie, w sytuacji gdy operator ten zajmuje pozycję dominującą na rynku internetowych sieci społecznościowych.
141 Artykuł 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) RODO przewidują wymóg zgody osoby, której dane dotyczą, odpowiednio, na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów oraz na przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 ust. 1.
142 W myśl art. 4 pkt 11 RODO zgoda oznacza wszelkie „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
143 W odniesieniu do pytań postawionych przez sąd krajowy należy przypomnieć w pierwszej kolejności, że, zgodnie z motywem 42 RODO wyrażenia zgody nie można uznać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
144 W drugiej kolejności – zgodnie z motywem 43 tego rozporządzenia aby zapewnić dobrowolność tej zgody, nie może ona stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. W motywie tym wyjaśniono też, że zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne.
145 W trzeciej kolejności – art. 7 ust. 4 RODO stanowi, że przy ocenianiu tego, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się między innymi, czy wykonanie umowy, w tym świadczenie usługi, jest uzależnione od zgody na przetwarzanie danych osobowych, które nie jest niezbędne do wykonania tej umowy.
146 Odpowiedzi na szóste pytanie należy udzielić, biorąc pod uwagę te właśnie rozważania.
147 W tym względzie należy stwierdzić, że niewątpliwie prawdą jest, iż okoliczność polegająca na tym, że operator internetowej sieci społecznościowej, jako administrator danych, zajmuje pozycję dominującą na rynku sieci społecznościowych, nie stoi jako taka na przeszkodzie temu, by użytkownicy tej sieci społecznościowej mogli skutecznie wyrażać zgodę, w rozumieniu art. 4 pkt 11 RODO, na przetwarzanie ich danych osobowych przez tego operatora.
148 Niemniej jednak, jak zauważył w istocie rzecznik generalny w pkt 75 opinii, okoliczność taka powinna być brana pod uwagę przy ocenie ważności i – w szczególności – dobrowolności zgody udzielanej przez użytkownika tej sieci, skoro może ona mieć wpływ na swobodę wyboru tego użytkownika, który mógłby nie być w stanie odmówić lub wycofać zgody bez niekorzystnych dla siebie konsekwencji, tak jak zostało to wskazane w motywie 42 RODO.
149 Ponadto istnienie takiej pozycji dominującej może skutkować powstaniem wyraźnego braku równowagi, w rozumieniu motywu 43 RODO, między osobą, której dane dotyczą, a administratorem danych, który to brak równowagi sprzyja w szczególności narzucaniu warunków, które nie są ściśle konieczne do wykonania umowy, co należy uwzględnić zgodnie z art. 7 ust. 4 tego rozporządzenia. W tym kontekście należy przypomnieć, że jak wskazano w pkt 102–104 niniejszego wyroku, nie wydaje się – z zastrzeżeniem weryfikacji, jakie powinien przeprowadzić sąd odsyłający – by przetwarzanie rozpatrywane w postępowaniu głównym było ściśle konieczne do wykonania umowy między Meta Platforms Ireland a użytkownikami sieci społecznościowej Facebook.
150 Użytkownicy ci powinni zatem mieć swobodę odmówienia indywidualnie, w ramach procesu zmierzającego do zawarcia umowy, wyrażenia zgody na poszczególne operacje przetwarzania danych, które nie są niezbędne do wykonania umowy, przy czym nie są oni jednak zobowiązani do całkowitego zrezygnowania z korzystania z usługi oferowanej przez operatora internetowej sieci społecznościowej, co oznacza, że użytkownikom tym oferuje się, w stosownym przypadku za odpowiednim wynagrodzeniem, równoważną alternatywę, która nie jest powiązana z takimi operacjami przetwarzania danych.
151 Ponadto, zważywszy na skalę omawianego przetwarzania danych oraz na istotny wpływ, jaki wywiera ono na użytkowników tej sieci, a także na okoliczność, że użytkownicy ci wcale nie mogą racjonalnie spodziewać się tego, że operator sieci społecznościowej będzie przetwarzał dane inne niż te dotyczące ich zachowania w ramach tej sieci, należy uznać za stosowne, w rozumieniu motywu 43, udzielenie odrębnej zgody na przetwarzanie z jednej strony tych właśnie danych oraz z drugiej strony danych off‑Facebook. Do sądu odsyłającego należy zweryfikowanie istnienia takiej możliwości, w braku której należałoby domniemywać, że zgoda wspomnianych użytkowników na przetwarzanie danych off‑Facebook nie została udzielona dobrowolnie.
152 Wreszcie należy przypomnieć, że zgodnie z art. 7 ust. 1 RODO w przypadku gdy przetwarzanie odbywa się na podstawie zgody, obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie dotyczących jej danych osobowych, spoczywa na administratorze.
153 To w świetle tych kryteriów i szczegółowej analizy wszystkich okoliczności sprawy do sądu odsyłającego będzie należało ustalenie, czy użytkownicy sieci społecznościowej Facebook skutecznie i – w szczególności – dobrowolnie wyrazili zgodę na przetwarzanie rozpatrywane w postępowaniu głównym.
154 W świetle powyższych rozważań na pytanie szóste należy odpowiedzieć, iż art. 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, że okoliczność polegająca na tym, iż operator internetowej sieci społecznościowej zajmuje pozycję dominującą na rynku internetowych sieci społecznościowych, nie stoi sama w sobie na przeszkodzie temu, by użytkownicy takiej sieci mogli skutecznie wyrazić zgodę, w rozumieniu art. 4 pkt 11 tego rozporządzenia, na przetwarzanie ich danych osobowych przez tego operatora. Niemniej jednak okoliczność ta stanowi element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie, czego udowodnienie należy do tego operatora.
W przedmiocie kosztów
155 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
1) Artykuł 51 i następne rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz art. 4 ust. 3 TUE
należy interpretować w ten sposób, że:
organ ochrony konkurencji państwa członkowskiego, z zastrzeżeniem poszanowania obowiązku lojalnej współpracy z organami nadzorczymi, może w ramach badania nadużycia pozycji dominującej przez przedsiębiorstwo w rozumieniu art. 102 TFUE stwierdzić, iż ogólne warunki korzystania z usług tego przedsiębiorstwa dotyczące przetwarzania danych osobowych i ich wdrażanie nie są zgodne z tym rozporządzeniem, jeżeli stwierdzenie to jest konieczne do wykazania istnienia takiego nadużycia.
Ze względu na ten obowiązek lojalnej współpracy krajowy organ ochrony konkurencji nie może odstąpić od wydanej przez właściwy krajowy organ nadzorczy lub właściwy wiodący organ nadzorczy decyzji dotyczącej tych ogólnych warunków lub warunków do nich podobnych. Jeżeli organ ochrony konkurencji ma wątpliwości co do zakresu takiej decyzji, w sytuacji gdy wspomniane lub podobne warunki są jednocześnie przedmiotem badania prowadzonego przez te organy, lub jeżeli w braku prowadzenia dochodzenia lub wydania decyzji przez te organy nadzorcze organ ochrony konkurencji uważa, że rozpatrywane przezeń warunki nie są zgodne z rozporządzeniem 2016/679, powinien skonsultować się z tymi właśnie organami nadzorczymi i zwrócić się do nich o współpracę w celu rozwiania wątpliwości lub ustalenia, czy przed przeprowadzeniem swojej własnej oceny winien on poczekać na wydanie przez nie decyzji. W braku zgłoszenia przez te organy zastrzeżeń lub też w braku ustosunkowania się do takiego wniosku w rozsądnym terminie, krajowy organ ochrony konkurencji może kontynuować prowadzone dochodzenie.
2) Artykuł 9 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w tym przepisie, i, w stosownym przypadku, zamieszcza w nich dane, rejestrując się na tych stronach lub tych aplikacjach lub też składając zamówienia online, dokonywane przez operatora tej internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu, za pomocą zintegrowanych interfejsów, plików cookie lub podobnych technologii rejestracji danych pochodzących z przeglądania tych stron i tych aplikacji oraz danych zamieszczonych przez użytkownika, łączeniu wszystkich tych danych z kontem sieci społecznościowej tego użytkownika i wykorzystywaniu wspomnianych danych przez tego operatora należy uznać za „przetwarzanie szczególnych kategorii danych osobowych” w rozumieniu tego przepisu, które jest co do zasady zakazane, z zastrzeżeniem wyjątków przewidzianych w art. 9 ust. 2 tego rozporządzenia, jeżeli owo przetwarzanie danych może ujawniać informacje należące do jednej z tych kategorii, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej.
3) Artykuł 9 ust. 2 lit. e) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w art. 9 ust. 1 tego rozporządzenia, nie upublicznia on w sposób oczywisty, w rozumieniu pierwszego z tych przepisów, dotyczących tego przeglądania danych zbieranych przez operatora tej internetowej sieci społecznościowej za pomocą plików cookie lub podobnych technologii rejestracji.
Gdy taki użytkownik zamieszcza dane na takich stronach internetowych lub w takich aplikacjach lub też gdy aktywuje zintegrowane z tymi stronami i aplikacjami przyciski wyboru, takie jak przyciski „Lubię to” lub „Udostępnij”, lub przyciski umożliwiające użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika w internetowej sieci społecznościowej, z jego numerem telefonu lub jego adresem elektronicznym, upublicznia on w oczywisty sposób, w rozumieniu tego art. 9 ust. 2 lit. e), dane zamieszczone w ten sposób lub wynikające z aktywowania tych przycisków jedynie w przypadku, gdy uprzednio wyraźnie wyraził swój wybór – w stosownym przypadku dokonany poprzez indywidualnie zdefiniowanie parametrów z pełną znajomością rzeczy – publicznego udostępnienia dotyczących go danych nieograniczonej liczbie osób.
4) Artykuł 6 ust. 1 akapit pierwszy lit. b) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do wykonania umowy, której stroną są osoby, których dane dotyczą, w rozumieniu tego przepisu, tylko wtedy, gdy przetwarzanie to jest obiektywnie niezbędne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz tych samych użytkowników, skutkiem czego główny cel umowy nie mógłby zostać osiągnięty bez tego przetwarzania.
5) Artykuł 6 ust. 1 akapit pierwszy lit. f) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.
6) Artykuł 6 ust. 1 akapit pierwszy lit. c) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych jest uzasadnione, w rozumieniu tego przepisu, jeżeli to przetwarzanie jest rzeczywiście niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych na podstawie przepisu prawa Unii lub prawa danego państwa członkowskiego, owa podstawa prawna służy realizacji celu leżącego w interesie publicznym i jest proporcjonalna do prawnie uzasadnionego celu, a przetwarzanie to jest dokonywane w granicach tego, co jest absolutnie niezbędne.
7) Artykuł 6 ust. 1 akapit pierwszy lit. d) i e) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych nie może – co do zasady i z zastrzeżeniem weryfikacji, którą powinien przeprowadzić sąd odsyłający – zostać uznane za niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej w rozumieniu lit. d) lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi w rozumieniu lit. e) tego przepisu.
8) Artykuł 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) rozporządzenia 2016/679
należy interpretować w ten sposób, że:
okoliczność polegająca na tym, iż operator internetowej sieci społecznościowej zajmuje pozycję dominującą na rynku internetowych sieci społecznościowych, nie stoi sama w sobie na przeszkodzie temu, by użytkownicy takiej sieci mogli skutecznie wyrazić zgodę, w rozumieniu art. 4 pkt 11 tego rozporządzenia, na przetwarzanie ich danych osobowych przez tego operatora. Niemniej jednak okoliczność ta stanowi element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie, czego udowodnienie należy do tego operatora.
Podpisy