CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

Wydanie tymczasowe

OPINIA RZECZNIKA GENERALNEGO

ATHANASIOSA RANTOSA

przedstawiona w dniu 20 września 2022 r.(1)

Sprawa C‑252/21

Meta Platforms Inc., dawniej Facebook Inc.,

Meta Platforms Ireland Limited, dawniej Facebook Ireland Ltd.,

Facebook Deutschland GmbH

przeciwko

Bundeskartellamt

przy udziale:

Verbraucherzentrale Bundesverband e.V.

[wniosek o wydanie w trybie prejudycjalnym złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy)]

Odesłanie prejudycjalne – Rozporządzenie (UE) 2016/679 – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Sieci społecznościowe – Artykuł 4 pkt 11 – Pojęcie „zgody” osoby, której dane dotyczą – Zgoda udzielona administratorowi, którym jest przedsiębiorstwo zajmujące pozycję dominującą – Artykuł 6 ust. 1 lit. b)–f) – Zgodność przetwarzania z prawem – Przetwarzanie, które jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – Przetwarzanie, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – Artykuł 9 ust. 1 i art. 9 ust. 2 lit. e) – Szczególne kategorie danych osobowych – Dane osobowe w sposób oczywisty upublicznione przez osobę, której dotyczą – Artykuły 51–66 – Kompetencje krajowego organu ds. konkurencji – Łączenie z kompetencjami organów nadzorczych ds. ochrony danych osobowych – Przyjęcie środków dotyczących prawa konkurencji przez organ mający siedzibę w innym państwie członkowskim niż wiodący organ nadzorczy ds. ochrony danych

Wprowadzenie

1. Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy) w ramach sporu pomiędzy spółkami z grupy Meta Platforms(2) a Bundeskartellamt (federalnym urzędem ds. ochrony konkurencji, Niemcy) dotyczącego decyzji, na mocy której urząd ten zakazał skarżącej w postępowaniu głównym przetwarzania danych przewidzianego w warunkach korzystania z jej sieci społecznościowej Facebook, a także stosowania wspomnianych warunków korzystania i nakazał skarżącej zaprzestanie tych działań(3).

2. Pytania prejudycjalne dotyczą w istocie z jednej strony kompetencji krajowego organu ochrony konkurencji, takiego jak Bundeskartellamt, do badania, jako zagadnienia głównego lub incydentalnego, zachowania przedsiębiorstwa w świetle niektórych przepisów rozporządzenia (UE) 2016/679(4), a z drugiej strony wykładni tych przepisów w zakresie w szczególności przetwarzania danych osobowych wrażliwych, warunków istotnych dla zgodności z prawem tego przetwarzania danych osobowych i wyrażenia dobrowolnej zgody na rzecz przedsiębiorstwa zajmującego pozycję dominującą.

Ramy prawne

Przepisy prawa Unii

3. Artykuł 4 RODO stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

11) »zgoda« osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

[…]”.

4. Artykuł 6 ust. 1 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, ma następujące brzmienie:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

5. Artykuł 9 ust. 1 i 2 wspomnianego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi:

„1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2. Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

[…]

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

[…]”.

6. Artykuł 51 tego rozporządzenia, zatytułowany „Organ nadzorczy”, zawarty w jego rozdziale VI, zatytułowanym „Niezależne organy nadzorcze”, stanowi:

„1. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […]

2. Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII.

[…]”.

Prawo niemieckie

7. Paragraf 19 ust. 1 Gesetz gegen Wettbewerbsbeschränkungen (ustawy o zwalczaniu ograniczeń w konkurencji, zwanej dalej „GWB”) stanowi:

„Zakazane jest stanowiące nadużycie wykorzystywanie przez jedno lub kilka przedsiębiorstw pozycji dominującej na rynku”(5).

8. Paragraf 50f GWB stanowi:

„1) Organy ochrony konkurencji, organy regulacyjne, federalny inspektor ds. ochrony danych i wolności informacji, regionalni inspektorzy ds. ochrony danych, a także właściwe organy w rozumieniu art. 2 EU-Verbraucherschutzdurchführungsgesetz [(ustawy o wdrażaniu prawa konsumentów Unii Europejskiej)] mogą niezależnie od wybranego postępowania wymieniać między sobą informacje, w tym dane osobowe oraz tajemnice handlowe i biznesowe, w zakresie, w jakim jest to niezbędne do realizacji zadań każdego z nich, a także wykorzystywać te informacje w ramach wybranych postępowań. […]”.

Postępowanie główne, pytania prejudycjalne i postępowanie przed Trybunałem

9. Meta Platforms zarządza usługami sieci społecznościowej online „Facebook” w Unii Europejskiej (pod adresem www.facebook.com), a także innymi usługami online, do których należą Instagram i WhatsApp. Model biznesowy sieci społecznościowych zarządzanych przez Meta Platforms polega w istocie, po pierwsze, na świadczeniu nieodpłatnych dla użytkowników prywatnych usług sieci społecznościowych i, po drugie, na sprzedaży reklam online, które są dostosowane do indywidualnego użytkownika sieci społecznościowej i mają na celu pokazanie użytkownikowi towarów i usług, które mogłyby go zainteresować, w szczególności ze względu na jego osobiste zachowania konsumenckie, zainteresowania, siłę nabywczą i sytuację życiową. Pod względem technicznym tego typu reklama opiera się na zautomatyzowanym tworzeniu bardzo szczegółowych profili użytkowników sieci i serwisów online oferowanych na poziomie grupy(6).

10. W celu gromadzenia i przetwarzania danych użytkowników Meta Platforms opiera się na umowie użytkowania, którą zawierają z nią jej użytkownicy, klikając na przycisk „zarejestruj się”; tym samym zgadzają się na warunki korzystania z serwisu Facebook. Wyrażenie zgody na te warunki serwisu jest zasadniczym warunkiem korzystania z sieci społecznościowej Facebook(7). Kluczowy element niniejszej sprawy dotyczy praktyki polegającej, po pierwsze, na gromadzeniu danych z innych serwisów grupy, a także ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów lub za pośrednictwem plików cookies zapisywanych na komputerze lub mobilnym urządzeniu użytkownika, po drugie, na połączeniu tych danych z kontem Facebook danego użytkownika, a po trzecie, na wykorzystywaniu tych danych (zwanej dalej „sporną praktyką”).

11. Bundeskartellamt wszczął przeciwko Meta Platforms postępowanie, w wyniku którego wydał sporną decyzję zakazującą jej przetwarzania danych, o którym mowa w warunkach korzystania z Facebooka, a także wprowadzenia w życie tych warunków i ustanowił wobec niej środki mające na celu zaprzestanie tych działań. Bundeskartellamt uzasadnił swoją decyzję w szczególności tym, że przedmiotowe przetwarzanie stanowiło nadużywanie pozycji dominującej tej spółki na rynku sieci społecznościowych dla użytkowników prywatnych w Niemczech w rozumieniu § 19 GWB(8).

12. W dniu 11 lutego 2019 r. Meta Platforms złożyła skargę na sporną decyzję do Oberlandesgericht Düsseldorf (wyższego sądu krajowego w Düsseldorfie)(9), sądu odsyłającego, którego wątpliwości w istocie dotyczą z jednej strony możliwości kontrolowania przez krajowe organy ds. konkurencji zgodności przetwarzania danych z wymogami ustanowionymi w RODO, jak również ustalania i sankcjonowania faktu naruszenia przepisów RODO, a z drugiej strony interpretacji i stosowania niektórych przepisów tego rozporządzenia.

13. W tych okolicznościach Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1) a) Czy zgodna z art. 51 i nast. [RODO] jest sytuacja, w której krajowy organ ochrony konkurencji państwa członkowskiego, taki jak Bundeskartellamt, który nie jest organem nadzorczym w rozumieniu art. 51 i nast. RODO i w którego państwie członkowskim przedsiębiorstwo z siedzibą poza Unią Europejską utrzymuje jednostkę organizacyjną, wspierającą główną jednostkę organizacyjną tego przedsiębiorstwa, która znajduje się w innym państwie członkowskim i ponosi wyłączną odpowiedzialność za przetwarzanie danych osobowych na całym terytorium Unii Europejskiej, w dziedzinie reklamy, komunikacji i public relations, stwierdza w ramach kontroli nadużywania prawa antymonopolowego naruszenie RODO w odniesieniu do warunków umownych głównej jednostki organizacyjnej, dotyczących przetwarzania danych i stosowania tych warunków, oraz wydaje decyzję nakazującą zaniechania tego naruszenia?

b) W przypadku udzielenia odpowiedzi twierdzącej: czy zgodna z art. 4 ust. 3 TUE jest sytuacja, w której jednocześnie wiodący organ nadzorczy w państwie członkowskim głównej jednostki organizacyjnej w rozumieniu art. 56 ust. 1 RODO poddaje jej warunki umowne dotyczące przetwarzania danych postępowaniu wyjaśniającemu?

W przypadku udzielenia odpowiedzi twierdzącej na pytanie 1:

2) a) Czy w sytuacji, gdy internauta korzysta ze stron internetowych lub aplikacji, które wiążą się z kryteriami z art. 9 ust. 1 RODO, takich jak aplikacje do flirtowania, portale randkowe dla osób homoseksualnych, strony internetowe partii politycznych, strony internetowe związane ze zdrowiem, w ten sposób, że albo tylko je wywołuje, albo również dokonuje tam wpisów, na przykład podczas rejestracji lub składania zamówienia, a inne przedsiębiorstwo, takie jak Facebook Ireland, za pośrednictwem interfejsów zintegrowanych ze stronami internetowymi i aplikacjami, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, gromadzi dane o wywołaniach stron internetowych i aplikacji przez użytkownika oraz o wpisach dokonanych tam przez użytkownika, łączy je z danymi konta Facebook.com użytkownika i wykorzystuje, to gromadzenie i/lub łączenie i/lub wykorzystywanie stanowi przetwarzanie danych wrażliwych [wrażliwych danych osobowych] w rozumieniu tego przepisu?

b) W przypadku udzielenia odpowiedzi twierdzącej: czy wywoływanie tych stron internetowych i aplikacji i/lub dokonywanie wpisów i/lub obsługa przycisków (»wtyczek społecznościowych«, takich jak »Lubię to«, »Udostępnij«, »Facebook Login« lub »Account Kit«) zintegrowanych na tych stronach internetowych lub aplikacjach przez dostawcę takiego jak Facebook Ireland stanowi upublicznienie w sposób oczywisty danych dotyczących wywołania jako takiego i/lub wpisów dokonanych przez użytkownika w rozumieniu art. 9 ust. 2 lit. e) RODO?

3) Czy przedsiębiorstwo takie jak Facebook Ireland, które prowadzi finansowany z reklam cyfrowy portal społecznościowy i oferuje w warunkach korzystania z niego personalizację treści i reklam, bezpieczeństwo sieci, ulepszanie produktów oraz ciągłe i niezakłócone korzystanie ze wszystkich produktów własnych grupy, może powołać się na uzasadnienie w postaci konieczności wykonania umowy zgodnie z art. 6 ust. 1 lit. b) RODO lub realizacji prawnie uzasadnionych interesów zgodnie z art. 6 ust. 1 lit. f) RODO, jeżeli w tym celu gromadzi dane z innych serwisów grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, łączy je z kontem użytkownika w serwisie [Facebook] i wykorzystuje?

4) Czy w takim przypadku również

– niepełnoletniość użytkowników w celu personalizacji treści i reklam, ulepszania produktów, bezpieczeństwa sieci i komunikacji o charakterze niehandlowym z użytkownikiem,

– świadczenie usług pomiarowych, analitycznych i innych usług biznesowych reklamodawcom, deweloperom i innym partnerom, aby umożliwić im ocenę i poprawę swoich usług,

– przekazywanie komunikacji marketingowej z użytkownikiem, aby przedsiębiorstwo mogło ulepszać swoje produkty i prowadzić marketing bezpośredni,

– badania i innowacje na rzecz celów społecznych, aby wspierać rozwój stanu wiedzy lub zrozumienia naukowego w odniesieniu do ważnych kwestii społecznych oraz wywierać pozytywny wpływ na społeczeństwo i świat,

– informowanie organów ścigania i organów wykonawczych oraz reagowanie na wnioski prawne w celu zapobiegania, wykrywania i ścigania przestępstw, niedozwolonego użytkowania, naruszeń warunków użytkowania i zasad oraz innych szkodliwych zachowań,

mogą stanowić prawnie uzasadnione interesy w rozumieniu art. 6 ust. 1 lit. f) RODO, jeżeli przedsiębiorstwo w tym celu gromadzi dane z innych serwisów należących do grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, łączy je z kontem użytkownika w serwisie [Facebook] i wykorzystuje?

5) Czy w takim przypadku gromadzenie danych z innych serwisów należących do grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak »Facebook Business Tools«, lub za pośrednictwem plików cookies lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, połączenie z kontem użytkownika [Facebook] i wykorzystanie lub wykorzystanie już w inny sposób legalnie zgromadzonych i powiązanych danych w poszczególnych przypadkach może być również uzasadnione na podstawie art. 6 ust. 1 lit. c)–e) RODO, na przykład w celu ustosunkowania się do zgodnego z prawem wniosku o dostarczenie określonych danych [lit. c)], w celu zwalczania szkodliwych zachowań i wspierania bezpieczeństwa [lit. d)], w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa [lit. e)]?

6) Czy można wyrazić wobec przedsiębiorstwa zajmującego pozycję dominującą na rynku, jakim jest Facebook Ireland, skuteczną, w szczególności zgodnie z art. 4 pkt 11 RODO, dobrowolną zgodę w rozumieniu art. 6 ust. 1 lit. a) oraz art. 9 ust. 2 lit. a) RODO?

Jeżeli na pytanie 1 należy udzielić odpowiedzi przeczącej:

7) a) Czy krajowy organ ochrony konkurencji państwa członkowskiego, taki jak Bundeskartellamt, który nie jest organem nadzoru w rozumieniu art. 51 i nast. RODO i który bada naruszenie zakazu nadużywania pozycji dominującej w prawie antymonopolowym przez przedsiębiorstwo dominujące, które nie polega na naruszeniu RODO przez warunki przetwarzania danych i ich stosowanie, może dokonać ustaleń, na przykład w ramach wyważenia interesów, czy ustanowione przez to przedsiębiorstwo warunki przetwarzania danych i ich stosowanie są zgodne z RODO?

b) W przypadku udzielenia odpowiedzi twierdzącej: czy w odniesieniu do art. 4 ust. 3 TUE ma to zastosowanie również wtedy, gdy jednocześnie właściwy wiodący organ nadzorczy na podstawie art. 56 ust. 1 RODO poddaje warunki przetwarzania danych tego przedsiębiorstwa postępowaniu wyjaśniającemu?

Jeżeli na pytanie 7 należy udzielić odpowiedzi twierdzącej, konieczne jest udzielenie odpowiedzi na pytania 3–5 w odniesieniu do danych dotyczących korzystania z należącego do grupy serwisu Instagram”.

14. Uwagi na piśmie zostały złożone przez Meta Platforms, rządy niemiecki, czeski, włoski i austriacki, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (stowarzyszenie konsumentów, Niemcy) oraz przez Komisję Europejską. Podczas rozprawy, która odbyła się w dniu 10 maja 2022 r., strony te przedstawiły także swoje stanowiska ustnie.

Analiza

15. Pytania prejudycjalne będące przedmiotem niniejszej sprawy, odnoszące się do wykładni szeregu przepisów RODO, dotyczą w istocie, po pierwsze, kompetencji organu ochrony konkurencji do ustalania i sankcjonowania faktu naruszenia przepisów z zakresu przetwarzania danych osobowych i jego obowiązków współpracy z organem wiodącym w rozumieniu RODO (pytania pierwsze i siódme), po drugie, zakazu przetwarzania danych wrażliwych oraz warunków wyrażenia zgody na ich wykorzystanie (pytanie drugie), po trzecie, zgodności przetwarzania danych osobowych z prawem (pytania trzecie i piąte) i, po czwarte, ważności zgody na przetwarzanie danych osobowych udzielonej przedsiębiorstwu zajmującemu pozycję dominującą (pytanie szóste).

16. W kolejnych punktach zajmę się najpierw pytaniami pierwszym i siódmym, a następnie pozostałymi pytaniami w kolejności, w jakiej zostały zadane, łącząc pytania od trzeciego do piątego.

W przedmiocie pierwszego pytania prejudycjalnego

17. W pierwszym pytaniu prejudycjalnym sąd odsyłający dąży w istocie do ustalenia, czy organ ochrony konkurencji, który prowadzi postępowanie w sprawie naruszeń reguł konkurencji, może z jednej strony tytułem głównym(10) wydać rozstrzygnięcie w przedmiocie naruszenia przepisów RODO dotyczących przetwarzania danych osobowych przez przedsiębiorstwo, którego główna jednostka organizacyjna – ponosząca wyłączną odpowiedzialność za przetwarzanie danych osobowych w całej Unii – znajduje się w innym państwie członkowskim, a z drugiej strony nakazać zaniechanie tego naruszenia [pytanie pierwsze lit. a)], zaś w przypadku udzielenia odpowiedzi twierdzącej, czy wiodący organ nadzorczy na podstawie art. 56 ust. 1 RODO może także poddać postępowaniu wyjaśniającemu ustanowione przez to przedsiębiorstwo warunki dotyczące przetwarzania danych [pytanie pierwsze lit. b)].

18. Jednakże wydaje mi się, z zastrzeżeniem sprawdzenia tego przez sąd odsyłający, że Bundeskartellamt w spornej decyzji nie ukarał Meta Platforms za naruszenie RODO, lecz przeprowadził – wyłącznie pod kątem stosowania reguł konkurencji – analizę domniemanego nadużycia przez nią pozycji dominującej, biorąc pod uwagę, między innymi, niezgodność zachowania tego przedsiębiorstwa z przepisami RODO.

19. Uważam zatem, że pytanie pierwsze lit. a) w zakresie, w jakim dotyczy ono możliwości wydania przez organ ochrony konkurencji tytułem głównym rozstrzygnięcia w przedmiocie naruszenia przepisów RODO i nakazania zaniechania tego naruszenia w rozumieniu tego rozporządzenia, jest nieistotne dla sprawy(11).

20. Z powyższego wynika, że pytanie pierwsze lit. b), które zależy od odpowiedzi twierdzącej na pytanie pierwsze lit. a), jest również nieistotne dla sprawy(12).

W przedmiocie siódmego pytania prejudycjalnego

21. W siódmym pytaniu prejudycjalnym sąd odsyłający zmierza w istocie do ustalenia, czy organ ochrony konkurencji może, w przypadku gdy prowadzi dochodzenie w przedmiocie naruszeń reguł konkurencji, dokonać pomocniczo(13) ustaleń, czy warunki przetwarzania danych i ich stosowanie są zgodne z RODO [pytanie siódme lit. a)], a w przypadku udzielenia odpowiedzi twierdzącej, czy organ ochrony konkurencji może także dokonywać analizy wówczas, gdy jednocześnie właściwy wiodący organ nadzorczy prowadzi postępowanie wyjaśniające w przedmiocie tych warunków [pytanie siódme lit. b)].

22. Jeśli chodzi w pierwszej kolejności o pytanie siódme lit. a), wydaje mi się, że nawet jeśli dany organ ochrony konkurencji nie jest właściwy do stwierdzenia naruszenia RODO(14), to co do zasady rozporządzenie to nie stoi na przeszkodzie temu, by organy inne niż organy nadzorcze mogły przy wykonywaniu swoich własnych kompetencji i uprawnień pomocniczo uwzględniać zgodność danego zachowania z przepisami RODO. Jest tak moim zdaniem w przypadku wykonywania przez organ ochrony konkurencji uprawnień przyznanych mu na mocy art. 102 TFUE i art. 5 akapit pierwszy rozporządzenia (WE) nr 1/2003(15) lub jakiejkolwiek innej odpowiedniej normy krajowej(16).

23. Przy wykonywaniu swoich kompetencji organ ochrony konkurencji powinien bowiem ocenić w szczególności, czy badane zachowanie polega na wykorzystaniu środków odmiennych od tych stosowanych w ramach konkurencji pozacenowej, z uwzględnieniem kontekstu prawnego i gospodarczego, w który wpisuje się to zachowanie(17). W tym względzie zgodność lub niezgodność z przepisami RODO tego zachowania, nie jako takiego, lecz ze względu na wszystkie okoliczności sprawy, może stanowić przesłankę istotną dla ustalenia, czy to zachowanie stanowi wykorzystanie środków stosowanych w warunkach normalnej konkurencji, przy czym okoliczność, czy dane zachowanie ma znamiona nadużycia w rozumieniu art. 102 TFUE, czy też ich nie ma, nie wynika z jego zgodności z RODO lub z innymi przepisami prawa lub braku tej zgodności(18).

24. W związku z tym uważam, że analiza nadużycia pozycji dominującej na rynku może uzasadniać to, iż organ ochrony konkurencji dokonuje wykładni norm nieobjętych prawem konkurencji, takich jak normy RODO(19), uściślając przy tym, że taka analiza jest przeprowadzana pomocniczo(20) i nie przesądza o stosowaniu tego rozporządzenia przez właściwe organy kontroli(21).

25. Jeśli chodzi w drugiej kolejności o pytanie siódme lit. b), sąd odsyłający podnosi kwestię, jakie są, w ramach zastosowania ustanowionej w art. 4 ust. 3 TUE zasady lojalnej współpracy, obowiązki, jakie ma względem wiodącego organu nadzorczego w rozumieniu RODO organ ochrony konkurencji w sytuacji, gdy dokonuje on wykładni przepisów tego rozporządzenia i, dokładniej rzecz biorąc, gdy to samo zachowanie, które jest analizowane przez organ ochrony konkurencji, jest przedmiotem badania prowadzonego przez właściwy wiodący organ nadzorczy.

26. W niniejszej sprawie badanie przez organ ochrony konkurencji, choćby nawet incydentalne, zachowania przedsiębiorstwa w świetle norm RODO niesie ze sobą ryzyko powstania między organem ochrony konkurencji a organami nadzorczymi rozbieżności co do wykładni tego rozporządzenia, co zasadniczo może naruszać jednolitą wykładnię RODO(22).

27. Prawo Unii nie przewiduje w takiej sytuacji szczegółowych zasad współpracy między organem ochrony konkurencji a organami nadzorczymi w rozumieniu RODO. W szczególności ani mechanizm współpracy między właściwymi organami w rozumieniu RODO przy jego stosowaniu(23), ani inne szczegółowe zasady współpracy między organami administracji, takie jak przepisy dotyczące współpracy między organami ds. konkurencji a Komisją przy stosowaniu reguł konkurencji(24), nie mają zastosowania w niniejszej sprawie.

28. Niemniej jednak przy dokonywaniu wykładni RODO organ ochrony konkurencji jest związany ustanowioną w art. 4 ust. 3 TUE zasadą lojalnej współpracy, zgodnie z którą Unia i państwa członkowskie, w tym ich organy administracji(25), wzajemnie się szanują i udzielają sobie wzajemnego wsparcia w wykonywaniu zadań wynikających z traktatów. W szczególności akapit trzeci tego przepisu stanowi, że państwa członkowskie ułatwiają wypełnianie przez Unię jej zadań i powstrzymują się od podejmowania wszelkich środków, które mogłyby zagrażać urzeczywistnieniu celów Unii(26). Ponadto podobnie jak każdy organ administracji odpowiedzialny za stosowanie prawa Unii organ ochrony konkurencji jest związany zasadą dobrej administracji jako ogólną zasadą prawa Unii, która obejmuje w szczególności ciążący na organach krajowych szeroko rozumiany obowiązek dbałości i staranności(27).

29. A zatem w braku szczegółowych przepisów dotyczących mechanizmów współpracy, które powinien ewentualnie przyjąć prawodawca Unii, organ ochrony konkurencji, dokonując wykładni przepisów RODO, podlega co najmniej obowiązkowi udzielania informacji, powiadamiania i współpracy z właściwymi organami w rozumieniu tego rozporządzenia na podstawie norm krajowych regulujących jego kompetencje (zasada autonomii proceduralnej państw członkowskich) oraz z poszanowaniem zasad równoważności i skuteczności(28).

30. Moim zdaniem z powyższego wynika, że w sytuacji, gdy wiodący organ nadzorczy zajął stanowisko w przedmiocie stosowania niektórych przepisów RODO w odniesieniu do identycznej lub podobnej praktyki, organ ochrony konkurencji nie może co do zasady odejść od interpretacji przyjętej przez ten organ nadzorczy, który jako jedyny jest właściwy do stosowania tego rozporządzenia(29), i powinien w miarę możliwości oraz przestrzegając w szczególności prawa do obrony osób, których sprawa dotyczy, zastosować się do ewentualnych decyzji wydanych przez organ nadzorczy w odniesieniu do takiego samego zachowania(30), a w przypadku wątpliwości co do wykładni dokonanej przez ten właściwy organ, skonsultować się z nim lub w stosownym wypadku, gdy ten ostatni znajduje się w innym państwie członkowskim, z krajowym organem nadzorczym(31).

31. Ponadto, jeżeli właściwy organ nadzorczy nie wydał decyzji, wówczas do organu ochrony konkurencji należy informowanie go(32) oraz, jeżeli organ rozpoczął postępowanie wyjaśniające w sprawie tej samej praktyki lub wyraził taki zamiar, współpraca z nim i ewentualnie, przed rozpoczęciem swojej własnej oceny, oczekiwanie na wynik postępowania wyjaśniającego przeprowadzonego przez organ nadzorczy, w zakresie, w jakim jest to stosowne i nie przesądza w szczególności o przestrzeganiu przez organ ochrony konkurencji rozsądnego terminu do zakończenia postępowania wyjaśniającego oraz prawa do obrony osób, których to dotyczy(33).

32. Moim zdaniem w niniejszej sprawie formalne podjęcie współpracy z krajowymi organami nadzorczymi(34) oraz nawiązanie kontaktu nieformalnego z wiodącym organem nadzorczym Irlandii, na które powołał się Bundeskartellamt, czego weryfikacja należy do sądu odsyłającego, może wystarczyć do stwierdzenia, że organ ten wypełnił ciążące na nim obowiązki należytej staranności i lojalnej współpracy(35).

33. Podsumowując, proponuję, aby na siódme pytanie prejudycjalne odpowiedzieć, że art. 51–66 RODO należy interpretować w ten sposób, że organ ochrony konkurencji w ramach uprawnień przysługujących mu na mocy reguł konkurencji może pomocniczo zbadać zgodność badanych praktyk z przepisami RODO, uwzględniając jednocześnie wszystkie decyzje wydane przez organ nadzorczy właściwy na podstawie RODO lub przeprowadzone przezeń na tej podstawie dochodzenia, informując o tym krajowy organ nadzorczy i w odpowiednim przypadku konsultując się z nim.

W przedmiocie drugiego pytania prejudycjalnego

34. W drugim pytaniu prejudycjalnym sąd odsyłający dąży w istocie do ustalenia, czy art. 9 ust. 1 RODO należy interpretować w ten sposób, że sporna praktyka w sytuacji, gdy dotyczy wywoływania stron internetowych i aplikacji osób trzecich(36), stanowi przetwarzanie wyliczonych w tym przepisie danych wrażliwych(37), które jest zakazane(38) [pytanie drugie lit. a)], a jeśli tak, to czy art. 9 ust. 2 lit. e) tego rozporządzenia należy interpretować w ten sposób, że użytkownik w sposób oczywisty – w rozumieniu tego przepisu – upublicznia z jednej strony dane ujawnione w wyniku wywołania stron internetowych oraz aplikacji lub z drugiej strony dane zamieszczone we wpisach lub wynikające z aktywowania zintegrowanych z tą stroną internetową lub aplikacjami(39) przycisków do dokonywania wyborów [pytanie drugie lit. b)].

35. Co się tyczy w pierwszej kolejności pytania drugiego lit. a), przypominam, że zgodnie z art. 9 ust. 1 RODO przetwarzanie danych wrażliwych jest zabronione. Jak wynika z motywu 51 tego rozporządzenia, szczególna ochrona tych danych jest uzasadniona tym, że z racji swego charakteru są one szczególnie wrażliwe w świetle podstawowych praw i wolności, a ich przetwarzanie może powodować poważne ryzyko dla tych podstawowych praw i wolności. Ponadto pomimo nieco niejasnego brzmienia tego przepisu(40) nie wydaje mi się, aby – jak założył sąd odsyłający – wprowadzał on istotną różnicę między danymi osobowymi wrażliwymi ze względu na to, że „ujawniają” pewną sytuację, i danymi, które same w sobie są wrażliwe(41).

36. W niniejszej sprawie jest moim zdaniem oczywiste, że sporna praktyka stanowi przetwarzanie danych osobowych, które co do zasady może wchodzić w zakres stosowania tego przepisu i być zakazane, skoro przetwarzane dane „ujawniają” jedną z wyliczonych w nim sytuacji wrażliwych. Należy zatem ustalić, czy i w jakim zakresie wywoływanie stron internetowych i aplikacji lub zamieszczanie na nich wpisów danych mogą mieć właściwości „ujawniające” jedną z wrażliwych sytuacji wymienionych w omawianym przepisie.

37. W tym względzie wątpię, czy właściwe (i zawsze możliwe) jest wprowadzenie rozróżnienia między z jednej strony samym tylko zainteresowaniem osoby, której dane dotyczą, w odniesieniu do niektórych informacji, a z drugiej strony przynależnością tej osoby do jednej z kategorii, o których mowa w tym przepisie(42). Skoro stanowiska stron w postępowaniu głównym są pod tym względem sprzeczne(43), uważam, że odpowiedzi na to pytanie można szukać jedynie indywidualnie dla każdego z poszczególnych działań składających się na sporną praktykę.

38. O ile, jak podnosi rząd niemiecki, zwykłe gromadzenie wrażliwych danych osobowych dotyczących wywoływania strony internetowej lub aplikacji samo w sobie niekoniecznie stanowi przetwarzanie wrażliwych danych osobowych w rozumieniu tego przepisu(44), to przeciwnie, połączenie tych danych z kontem Facebook użytkownika, którego dane dotyczą, lub ich wykorzystywanie stanowią zachowania, które o wiele łatwiej można uznać za takie przetwarzanie. Moim zdaniem elementem decydującym do celów stosowania art. 9 ust. 1 RODO jest możliwość, że przetwarzane dane pozwalają na profilowanie użytkownika według kategorii, które wynikają z zawartego w tym przepisie wyliczenia danych wrażliwych(45).

39. W tym kontekście, aby móc ustalić, czy przetwarzanie danych wchodzi w zakres stosowania tego przepisu, użyteczne może być wprowadzenie rozróżnienia w odpowiednim przypadku pomiędzy z jednej strony przetwarzaniem danych, które można prima facie zaklasyfikować do kategorii danych wrażliwych i które same w sobie pozwalają na profilowanie osoby, której dane dotyczą, a z drugiej strony przetwarzaniem danych, które same nie są wrażliwe, lecz wymagają późniejszych działań polegających na kompilacji w celu wyciągnięcia wiarygodnych wniosków umożliwiających profilowanie danej osoby.

40. Niemniej jednak należy wyjaśnić, że kategoryzacja w rozumieniu tego przepisu istnieje niezależnie od tego, czy jest ona prawidłowa bądź prawdziwa, czy nie(46). Należy wziąć pod uwagę możliwość, że tego rodzaju kategoryzacja stwarza poważne zagrożenie dla podstawowych praw i wolności osoby, której dane dotyczą, jak zostało to przypomniane w motywie 51 RODO – możliwość, która jest niezależna od prawdziwości owej kategoryzacji.

41. Wreszcie, co się tyczy wniosku sądu odsyłającego zmierzającego do ustalenia, czy cel wykorzystania ma znaczenie dla rozpatrywanej oceny(47), uważam, że wbrew temu, co twierdzi skarżąca w postępowaniu głównym, co do zasady nie jest wymagane, aby administrator danych przetwarzał te dane, „wiedząc i mając bezpośredni zamiar wywieść z nich szczególne kategorie informacji”. Celem omawianego przepisu jest bowiem w istocie zapobieganie w sposób obiektywny poważnemu ryzyku dla podstawowych praw i wolności osób, których dane dotyczą, spowodowanemu przetwarzaniem wrażliwych danych osobowych, niezależnie od wszelkich elementów subiektywnych, takich jak zamiar administratora.

42. Co się tyczy w drugiej kolejności pytania drugiego lit. b), przypominam, że zgodnie z art. 9 ust. 2 lit. e) RODO zakaz przetwarzania wrażliwych danych osobowych nie ma zastosowania, jeżeli przetwarzanie to dotyczy danych osobowych, które są w sposób oczywisty upublicznione przez osobę, której dane dotyczą. Ponadto z zawartego w treści tego przepisu odniesienia do wyrażenia przyimkowego „w sposób oczywisty” oraz faktu, że przepis ten ustanawia wyjątek od zasady zakazu przetwarzania danych wrażliwych(48), wynika wymóg szczególnie ścisłego stosowania tego wyjątku ze względu na poważne ryzyko dla praw podstawowych i podstawowych wolności osób, których dane dotyczą(49). Aby wyjątek ten mógł mieć zastosowanie, użytkownik musi mieć moim zdaniem pełną świadomość tego, że za pomocą wyraźnej i jednoznacznej(50) czynności upublicznia(51) dane osobowe.

43. Wydaje mi się, że w niniejszej sprawie zachowanie polegające na wywoływaniu stron internetowych i aplikacji, zamieszczaniu wpisów danych na tych stronach i w tych aplikacjach oraz aktywowaniu zintegrowanych z nimi przycisków do dokonywania wyborów nie może co do zasady być zrównane z zachowaniem upubliczniającym w sposób oczywisty wrażliwe dane osobowe użytkownika w rozumieniu art. 9 ust. 2 pkt 2 RODO.

44. W szczególności pragnę zauważyć, że co do zasady wywoływanie stron internetowych i aplikacji umożliwia dostęp do danych dotyczących kliknięć wyłącznie administratorowi strony internetowej lub danej aplikacji oraz osobom trzecim, którym przekazuje on te informacje, takim jak skarżąca w postępowaniu głównym(52). Podobnie, o ile poprzez zamieszczanie wpisów danych na stronach internetowych i w aplikacjach osoba, której dane dotyczą, mogłaby udzielić w sposób bezpośredni i dobrowolny informacji o niektórych wrażliwych danych osobowych, o tyle pragnę również stwierdzić, że informacje te są dostępne wyłącznie dla operatora danej strony internetowej lub danej aplikacji oraz dla osób trzecich, którym przekazuje on te informacje. Wykluczam zatem, że takie zachowania mogą świadczyć o chęci udostępnienia tych danych społeczności(53). Ponadto, o ile jest oczywiste, że poprzez aktywowanie służących do dokonywania wyborów przycisków zintegrowanych z tą stroną internetową lub aplikacją(54) zainteresowana osoba wyraźnie wyraża wolę udostępnienia niektórych informacji odbiorcom spoza strony internetowej lub danej aplikacji, o tyle jestem zdania, że – jak podkreśla Bundeskartellamt – zachowując się w ten sposób, dana osoba jest świadoma, że udostępnia informacje określonemu kręgowi osób, często ustalanemu przez samego użytkownika(55), a nie społeczności(56).

45. Wreszcie, jeśli chodzi o znaczenie ewentualnej zgody udzielonej przez użytkownika w rozumieniu art. 5 ust. 3 dyrektywy 2002/58, aby dane osobowe mogły być gromadzone za pomocą plików cookies lub podobnych technologii, na które powołuje się sąd odsyłający, uważam, że zgoda ta ze względu na jej szczególny cel nie może sama w sobie uzasadniać przetwarzania zebranych za pomocą tych środków wrażliwych danych osobowych(57). Zgoda ta, niezbędna do zainstalowania technicznego środka przechwytywania niektórych czynności użytkownika(58), nie dotyczy przetwarzania danych wrażliwych i nie może być zrównana z wolą upublicznienia w sposób oczywisty tych danych w rozumieniu art. 9 ust. 2 lit. e) RODO(59).

46. Podsumowując, proponuję, aby na drugie pytanie prejudycjalne odpowiedzieć, po pierwsze, iż art. 9 ust. 1 RODO należy interpretować w ten sposób, że zakaz przetwarzania wrażliwych danych osobowych może obejmować przetwarzanie danych dokonywane przez administratora sieci społecznościowej online polegające na gromadzeniu danych dotyczących użytkownika w przypadku, gdy wywołuje on inne strony internetowe lub aplikacje lub zamieszcza tam wpisy swoich danych, łączeniu tychże danych z kontem użytkownika sieci społecznościowej i ich wykorzystywaniu – pod warunkiem, że przetwarzane informacje, analizowane pojedynczo lub grupowo, pozwalają profilować użytkownika według kategorii wynikających z zawartego w tym przepisie wykazu wrażliwych danych osobowych, a po drugie, iż użytkownik nie upublicznia w sposób oczywisty w rozumieniu art. 9 ust. 2 lit. e) RODO danych ujawnianych przy wywoływaniu stron internetowych i aplikacji lub zamieszczanych w drodze wpisów na tych stronach lub w tych aplikacjach lub wynikających z aktywacji zintegrowanych z nimi przycisków do dokonywania wyborów.

W przedmiocie pytań prejudycjalnych od trzeciego do piątego

47. W pytaniach prejudycjalnych od trzeciego do piątego sąd odsyłający dąży w istocie do ustalenia, czy art. 6 ust. 1 lit. b)–f) RODO należy interpretować w ten sposób, że sporna praktyka(60) wchodzi w zakres zastosowania jednego z uzasadnień przewidzianych w tych przepisach, a w szczególności:

– ze względu na konieczność wykonania umowy(61) lub realizacji prawnie uzasadnionych interesów(62), przy uwzględnieniu okoliczności polegającej na tym, że Meta Platforms prowadzi sieć społecznościową finansowaną z reklam, która oferuje w warunkach korzystania z niej personalizację treści i reklam, bezpieczeństwo sieci, ulepszanie produktów oraz ciągłe i niezakłócone korzystanie ze wszystkich produktów własnych grupy (trzecie pytanie prejudycjalne);

– ze względu na istnienie tych prawnie uzasadnionych interesów(63) w kontekście niektórych sytuacji(64) (czwarte pytanie prejudycjalne);

– ze względu na konieczność ustosunkowania się do zgodnego z prawem wniosku o dostarczenie pewnych danych(65), konieczności zwalczania szkodliwych zachowań i wspierania bezpieczeństwa(66) lub badań na rzecz społeczeństwa oraz konieczność wspierania ochrony, integralności i bezpieczeństwa(67) (piąte pytanie prejudycjalne).

48. Na wstępie niezależnie od kilku kwestii odnoszących się do dopuszczalności pytań czwartego i piątego(68) proponuję udzielić łącznej odpowiedzi na pytania od trzeciego do piątego, ponieważ wskazówki, które przedstawię poniżej, w szczególności w odniesieniu do pytania trzeciego, mogą być również przydatne dla sądu odsyłającego przy stosowaniu przepisów będących przedmiotem pytań czwartego i piątego.

49. Przede wszystkim pragnę zauważyć, że zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) dane osobowe powinny być przetwarzane rzetelnie w określonych celach i na uzasadnionej podstawie przewidzianej ustawą. W tym względzie art. 6 ust. 1 RODO stanowi, że przetwarzanie tych danych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z sześciu warunków wymienionych w tym przepisie(69).

50. W niniejszej sprawie uważam przede wszystkim, że pytania od trzeciego do piątego wymagają przeprowadzenia szczegółowej analizy poszczególnych postanowień warunków korzystania z Facebooka w kontekście spornej praktyki, ponieważ nie jest możliwe ustalenie, czy w odniesieniu do tej praktyki „przedsiębiorstwo takie jak [Meta Platforms]” może powoływać się na wszystkie (lub niektóre) uzasadnienia zawarte w art. 6 ust. 1 RODO w ich całokształcie, nawet jeśli nie można wykluczyć, że ta praktyka lub niektóre ze składających się na nią działań mogą w niektórych przypadkach być objęte zakresem stosowania tego artykułu(70).

51. Następnie przetwarzanie, o którym mowa w przytoczonych przepisach, jest w niniejszym przypadku dokonywane na podstawie ogólnych warunków umowy narzuconych przez administratora przy braku wymogu uzyskania zgody osoby, której dane dotyczą(71), a nawet wbrew jej woli, co wymaga moim zdaniem przyjęcia ścisłej wykładni omawianych uzasadnień, w szczególności ze względu na to, aby nie doszło do obejścia warunku uzyskania zgody(72).

52. Pragnę wreszcie przypomnieć, że zgodnie z art. 5 ust. 2 RODO ciężar dowodu, że dane osobowe są przetwarzane zgodnie z uregulowaniami zawartymi w tym rozporządzeniu, spoczywa na administratorze, a zgodnie z art. 13 ust. 1 lit. c) tego rozporządzenia to również na administratorze danych ciąży obowiązek określenia celów przetwarzania danych, do których dane są przeznaczone, oraz podstawy prawnej przetwarzania.

W przedmiocie pytania trzeciego

53. Po pierwsze, zgodnie z art. 6 ust. 1 lit. b) RODO przetwarzanie danych osobowych jest zgodne z prawem, gdy jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą(73).

54. W tym względzie przypominam, że wyrażenie „konieczność” nie zostało zdefiniowane w prawodawstwie Unii, lecz zgodnie z orzecznictwem stanowi autonomiczne pojęcie prawa Unii(74). Aby przetwarzanie było konieczne do wykonania umowy, nie wystarczy, aby zostało ono dokonane w związku z wykonaniem umowy ani aby zostało wskazane w umowie(75) lub nawet aby po prostu było przydatne do wykonania umowy(76). Zgodnie z orzecznictwem Trybunału przetwarzanie powinno być obiektywnie konieczne do wykonania umowy w tym sensie, że nie mogą istnieć realne, mniej inwazyjne opcje(77), biorąc pod uwagę także racjonalne oczekiwania osoby, której dane dotyczą(78). Obejmuje to także fakt, że w przypadku, gdy umowa obejmuje kilka odrębnych usług lub elementów usługi, które w rzeczywistości można wykonywać niezależnie od siebie, kwestię zastosowania art. 6 ust. 1 lit. b) należy oceniać oddzielnie w kontekście każdej z tych usług(79).

55. W ramach tego uzasadnienia sąd odsyłający wspomina o personalizacji treści oraz ciągłym i niezakłóconym korzystaniu z produktów (lub raczej usług) własnych grupy.

56. Co się tyczy personalizacji treści, wydaje mi się, że o ile takie działanie może w pewnym stopniu leżeć w interesie użytkownika, ponieważ umożliwia przedstawienie, w szczególności w „Newsfeed” [stale aktualizujących się informacjach w środkowej kolumnie na stronie głównej], treści, które zgodnie z dokonaną przez algorytm oceną odpowiadają interesom użytkownika, o tyle mam wątpliwości co do tego, czy jest ona konieczna dla świadczenia usługi rozpatrywanej sieci społecznościowej na tyle, żeby przetwarzanie danych osobowych w tym celu nie wymagało uzyskania zgody tego użytkownika(80). Do celów tego badania należałoby również uwzględnić okoliczność, że sporna praktyka nie dotyczy przetwarzania danych dotyczących zachowania użytkownika na stronie lub w aplikacji Facebooka, lecz danych pochodzących ze źródeł zewnętrznych, a zatem potencjalnie nieograniczonych. Zastanawiam się zatem, w jakim stopniu takie przetwarzanie mogłoby odpowiadać oczekiwaniom przeciętnego użytkownika, a ogólniej rzecz biorąc, jaki jest „stopień personalizacji”, którego użytkownik może oczekiwać od usługi, w której się zarejestrował(81).

57. Jeśli chodzi o ciągłe i niezakłócone korzystanie z usług własnych grupy, pragnę zauważyć, że związek między różnego rodzaju usługami oferowanymi przez skarżącą w postępowaniu głównym, na przykład między Facebookiem a Instagramem, oczywiście może być użyteczny dla użytkownika, a nawet czasami przez tego użytkownika pożądany. Wątpię jednak, aby przetwarzanie danych osobowych pochodzących z innych serwisów grupy (w szczególności z Instagramu) było konieczne do świadczenia usług przez Facebooka(82).

58. Po drugie, zgodnie z art. 6 ust. 1 lit. f) RODO przetwarzanie danych osobowych jest zgodne z prawem w zakresie, w jakim jest konieczne do celów urzeczywistnienia prawnie uzasadnionych interesów realizowanych przez administratora danych lub osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny wobec tych interesów charakter mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności wówczas, gdy osoba, której dane dotyczą, jest dzieckiem.

59. Zgodnie z orzecznictwem Trybunału omawiany przepis określa trzy kumulatywne przesłanki legalności przetwarzania danych osobowych; jest to, po pierwsze, realizacja prawnie uzasadnionych interesów przez administratora danych lub osobę trzecią, lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla realizacji tych prawnie uzasadnionych interesów, po trzecie zaś, interesy te muszą przeważać nad podstawowymi prawami i wolnościami osoby objętej ochroną danych(83).

60. Co się tyczy w pierwszej kolejności realizacji jednego z prawnie uzasadnionych interesów, przypominam, że istnieje szeroki wachlarz interesów uznanych w RODO i orzecznictwo za takowe(84); pragnę przy tym wyjaśnić, że zgodnie z art. 13 ust. 1 lit. d) RODO to na administratorze ciąży obowiązek podania prawnie uzasadnionych interesów realizowanych w ramach art. 6 ust. 1 lit. f) RODO(85).

61. Dodatkowo w odniesieniu do warunku, zgodnie z którym przetwarzanie danych osobowych musi być konieczne dla realizacji potrzeb wynikających z prawnie uzasadnionych interesów, z orzecznictwa Trybunału wynika, że odstępstwa od ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne(86). Jeżeli zatem nie ma alternatywnego rozwiązania, które byłoby lepsze z punktu widzenia ochrony danych osobowych, konieczne jest istnienie ścisłego związku między przetwarzaniem a realizowanym interesem, gdyż nie wystarczy, aby przetwarzanie było jedynie użyteczne dla administratora.

62. Wreszcie, co się tyczy porównania interesów administratora z interesami lub wolnościami oraz podstawowymi prawami osoby, której dane dotyczą, to zgodnie z orzecznictwem Trybunału wyważenie wchodzących w grę interesów należy do sądu odsyłającego(87). Ponadto, jak wskazano w motywie 47 RODO, w ramach tego ważenia niezbędne jest uwzględnienie rozsądnych oczekiwań opartych na relacjach łączących osoby, których dane dotyczą, z administratorem oraz ustalenie, czy osoba, której dane dotyczą, może rozsądnie oczekiwać w chwili i w ramach gromadzenia danych osobowych, że będą one przetwarzane w określonych celach.

63. W ramach tego uzasadnienia sąd odsyłający powołuje się na personalizację reklamy, bezpieczeństwo sieci i poprawę jakości produktu.

64. Przede wszystkim, co się tyczy personalizacji reklamy, z motywu 47 RODO wynika, że przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za działanie wykonywane w prawnie uzasadnionym interesie administratora. Jednakże w odniesieniu do konieczności przetwarzania należy zauważyć, że przedmiotowe dane pochodzą ze źródeł zewnętrznych względem Facebooka, a zatem pojawia się pytanie, jaki jest obiektywnie niezbędny w tym względzie „stopień personalizacji” reklamy. Jeśli chodzi o wyważenie wchodzących w grę interesów, należy moim zdaniem wziąć pod uwagę charakter rozpatrywanego prawnie uzasadnionego interesu (w niniejszej sprawie jest to interes czysto ekonomiczny), a także wpływ, jaki ma to przetwarzanie na użytkownika, w tym również na jego racjonalne oczekiwania, oraz ewentualne środki ochronne wprowadzone przez administratora(88).

65. Podobne rozważania można następnie przeprowadzić w odniesieniu do bezpieczeństwa sieci. O ile bowiem prawnie uzasadniony interes administratora(89) może stanowić takie uzasadnienie przetwarzania, o tyle mniej oczywiste jest stwierdzenie, że przetwarzanie jest w tym przypadku konieczne, biorąc pod uwagę również to, że dane te pochodzą ze źródeł zewnętrznych wobec Facebooka(90). W każdym razie przypominam, że na administratorze spoczywa obowiązek określenia celów bezpieczeństwa, na których można ewentualnie oprzeć każdy z poszczególnych przypadków przetwarzania.

66. W odniesieniu wreszcie do poprawy jakości produktu, jeżeli poprawa bezpieczeństwa została wyłączona jako jedno z analizowanych powyżej uzasadnień szczególnych, wydaje mi się, że takie uzasadnienie powinno być raczej w interesie użytkownika niż administratora. W tym kontekście trudno jest zrozumieć, w jakim zakresie prawnie uzasadniony interes administratora mógłby stanowić takie uzasadnienie i w jakim zakresie pozwoliłoby ono na pominięcie uzyskania zgody użytkownika. Co się tyczy przesłanki konieczności i wyważenia wchodzących w grę praw i interesów, odsyłam do rozważań powyżej.

W przedmiocie pytań czwartego i piątego

67. W czwartym pytaniu prejudycjalnym, które stanowi w istocie rozszerzenie części drugiej trzeciego pytania prejudycjalnego, sąd odsyłający zmierza do ustalenia, czy powtarzanie się pewnych wyliczonych sytuacji wiąże się z istnieniem prawnie uzasadnionego interesu w rozumieniu art. 6 ust. 1 lit. f) RODO, podczas gdy w piątym pytaniu prejudycjalnym sąd ten zmierza do ustalenia, czy konieczność ustosunkowania się do zgodnego z prawem wniosku o dostarczenie pewnych danych, konieczność zwalczania szkodliwych zachowań i wspierania bezpieczeństwa lub w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa stanowią uzasadnienia mające zastosowanie w przypadku spornej praktyki(91).

68. Niezależnie od dopuszczalności tych pytań(92) co do zasady uważam, że nie można wykluczyć w odniesieniu do pytania czwartego, iż w okolicznościach przywołanych przez sąd odsyłający(93) prawnie uzasadnione interesy mogą stanowić uzasadnienie niektórych postanowień stanowiących składową spornej praktyki, a jeśli chodzi o pytanie piąte, że w pewnych sytuacjach sporna praktyka może być uzasadniona na podstawie przywołanych przepisów.

69. Jednakże z postanowienia odsyłającego nie wynika, czy i w jakim zakresie Meta Platforms Ireland wskazała w odniesieniu do każdego celu przetwarzania i rodzaju przetwarzanych danych prawnie uzasadnione interesy, które były konkretnie realizowane, lub inne uzasadnienia ewentualnie odpowiednie w tym przypadku(94). W świetle powyższych wskazówek to do sądu odsyłającego należy zatem zbadanie w okolicznościach przywołanych przez ten sąd, w jakim zakresie sporna praktyka jest uzasadniona istnieniem – po stronie Meta Platforms Ireland – prawnie uzasadnionych interesów w przetwarzaniu danych w rozumieniu art. 6 ust. 1 lit. f) RODO, czy też zachodzeniem jednego z pozostałych warunków określonych w art. 6 ust. 1 lit. c)–e) tego rozporządzenia.

W przedmiocie odpowiedzi na pytania od trzeciego do piątego

70. Podsumowując, proponuję, aby na pytania prejudycjalne od trzeciego do piątego odpowiedzieć, że art. 6 ust. 1 lit. b)–f) RODO należy interpretować w ten sposób, iż sporna praktyka lub niektóre z będących jej składowymi czynności mogą być objęte wyjątkami przewidzianymi w tych przepisach pod warunkiem, że każdy z analizowanych sposobów przetwarzania danych spełnia przesłanki określone w konkretnym uzasadnieniu przedstawionym przez administratora danych i że w związku z tym:

– przetwarzanie to jest obiektywnie konieczne do świadczenia usług związanych z kontem na Facebooku;

– przetwarzanie to jest konieczne dla realizacji prawnie uzasadnionych interesów powołanych przez administratora danych lub osobę trzecią, lub osoby trzecie, którym dane są przekazywane, i nie narusza w nieproporcjonalny sposób podstawowych praw i wolności osoby, której dane dotyczą;

– przetwarzanie to jest konieczne w celu ustosunkowania się do zgodnego z prawem wniosku o dostarczenie pewnych danych, w celu zwalczania szkodliwych zachowań i wspierania bezpieczeństwa lub w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa.

W przedmiocie szóstego pytania prejudycjalnego

71. W szóstym pytaniu prejudycjalnym sąd odsyłający zmierza w istocie do ustalenia, czy art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, że można wyrazić skuteczną i dobrowolną zgodę – w rozumieniu art. 4 pkt 11 tego rozporządzenia – wobec przedsiębiorstwa zajmującego pozycję dominującą na krajowym rynku sieci społecznościowych online dla użytkowników prywatnych.

72. Na wstępie pragnę przypomnieć, że w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO przewidziany został obowiązek uzyskania zgody osoby, której dane dotyczą, odpowiednio w odniesieniu do przetwarzania danych osobowych ogólnie i do przetwarzania danych wrażliwych. Ponadto zgodnie z art. 4 pkt 11 RODO do celów tego rozporządzenia „zgoda” osoby, której dane dotyczą, oznacza jakiekolwiek dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdza, że przyzwala na przetwarzanie dotyczących jej danych osobowych(95).

73. Jeśli chodzi w szczególności o przesłankę „dobrowolności” zgody, która jest jedyną kwestionowaną w niniejszej sprawie, pragnę zauważyć, że zgodnie z motywem 42 RODO wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru(96) oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji(97). Ponadto, jak ustanowiono to w art. 7 ust. 1 RODO (i powtórzono w jego motywie 42), jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

74. Co się tyczy niniejszej sprawy, przypominam przede wszystkim, że – jak podkreślono w motywie 43 zdanie pierwsze RODO – zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje „wyraźny brak równowagi” między osobą, której dane dotyczą, a administratorem(98), następnie, że zgodnie z art. 7 ust. 4 RODO w chwili oceniania, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy wykonanie umowy, w tym świadczenie usługi, nie jest uzależnione między innymi od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy(99), i dodatkowo, że zgodnie z motywem 43 zdanie drugie RODO zgody także nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne(100).

75. W niniejszej sprawie uważam, że ewentualne istnienie pozycji dominującej na rynku po stronie administratora odpowiedzialnego za przetwarzanie danych osób korzystających z sieci społecznościowej odgrywa rolę przy ocenie tego, czy przy wyrażaniu tej zgody użytkownik tej sieci miał swobodę wyboru. Zajmowanie przez administratora danych osobowych znaczącej pozycji rynkowej może bowiem prowadzić do oczywistego braku równowagi sił w rozumieniu wskazanym w pkt 74 niniejszej opinii(101). Należy jednak wyjaśnić z jednej strony, że aby taka sytuacja przewagi rynkowej była istotna z punktu widzenia stosowania RODO, nie musi ona koniecznie być utożsamiana z osiągnięciem progu pozycji dominującej w rozumieniu art. 102 TFUE(102), a z drugiej strony, że ta okoliczność sama w sobie nie może co do zasady pozbawiać zgody wszelkiej ważności(103).

76. W związku z tym ważność zgody należy badać indywidualnie w świetle innych czynników wskazanych w pkt 73 i 74 niniejszej opinii oraz przy uwzględnieniu wszystkich okoliczności sprawy i tego, że ciężar wykazania, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych, spoczywa na administratorze danych.

77. Podsumowując, proponuję, aby na szóste pytanie prejudycjalne odpowiedzieć, że art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, iż okoliczność polegająca na tym, iż przedsiębiorstwo, które prowadzi sieć społecznościową, zajmuje pozycję dominującą na krajowym rynku sieci społecznościowych online dla użytkowników prywatnych, nie może sama w sobie pozbawiać zgody użytkownika tej sieci na przetwarzanie jego danych osobowych jej ważnego charakteru w rozumieniu art. 4 pkt 11 RODO. Okoliczność taka odgrywa jednak rolę przy ocenie dobrowolności wyrażenia zgody w rozumieniu tego przepisu, której to obowiązek wykazania spoczywa na administratorze, przy uwzględnieniu w odpowiednim przypadku istnienia wyraźnej nierównowagi między osobą, której dane dotyczą, a administratorem, ewentualnego wyrażenia zgody na przetwarzanie danych osobowych innych niż te, które są absolutnie konieczne do świadczenia rozpatrywanych usług, konieczności, by zgoda była wyrażona odrębnie dla każdego z celów, dla których dane są przetwarzane, oraz konieczności uniknięcia sytuacji, w której dochodzi do powstania szkody dla użytkownika, który zgodę wycofał.

Wnioski

78. W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Oberlandesgericht Düsseldorf (sąd krajowy w Düsseldorfie, Niemcy) odpowiedział następująco:

1) Artykuły 51–66 rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz uchylającego dyrektywę 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych),