Niemiecki Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federalny związek centrali oraz stowarzyszeń konsumenckich, „związek organizacji konsumenckich”) zarzuca spółce Facebook Ireland naruszenie, w ramach udostępnienia w „App-Center” platformy z darmowymi grami pochodzących od podmiotów trzecich (1), reguł ochrony danych osobowych oraz reguł służących zwalczaniu nieuczciwej konkurencji i ochronie konsumentów. W tym kontekście związek organizacji konsumenckich skierował przeciwko Facebook Ireland do niemieckich sądów powództwo o nakazanie zaprzestania szkodliwych praktyk.
Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) uważa, że Facebook Ireland nie udzieliła użytkownikom w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem niezbędnych informacji dotyczących celu, w jakim przetwarzane są ich dane, jak również informacji dotyczących odbiorcy tych danych. Zdaniem tego sądu Facebook Ireland dopuściła się naruszenia rozporządzenia ogólnego o ochronie danych osobowych („RODO”) (2).
Bundesgerichtshof ma jednak wątpliwości w przedmiocie dopuszczalności wniesionego przez związek organizacji konsumenckich powództwa.
Zastanawia się on bowiem, czy stowarzyszeniu, którego celem jest ochrona interesów konsumentów, takiemu jak związek organizacji konsumenckich, przysługuje jeszcze, po wejściu w życie RODO, uprawnienie do występowania przed sądami cywilnymi z powództwem dotyczącym naruszenia tego rozporządzenia, niezależnie od konkretnych naruszeń praw poszczególnych osób, których dane dotyczą, i bez otrzymanego od nich upoważnienia.
Bundesgerichtshof stoi w szczególności na stanowisku, że z okoliczności polegającej na tym, iż RODO przyznaje organom nadzorczym rozszerzone kompetencje w dziedzinie monitorowania, prowadzenia postępowań wyjaśniających i przyjmowania środków naprawczych, wynika, że zadanie egzekwowania tego rozporządzenia należy przede wszystkim do tych organów.
Bundesgerichtshof zwrócił się więc do Trybunału Sprawiedliwości o dokonanie wykładni RODO.
W przedłożonej opinii Jean Richard de la Tour zaproponował Trybunałowi, żeby interpretować RODO w taki sposób, że nie stoi ono na przeszkodzie przepisom krajowym zezwalającym stowarzyszeniom, których celem jest ochrona interesów konsumentów, na wytaczanie przed sądami powództw przeciwko potencjalnym sprawcom naruszeń przepisów dotyczących danych osobowych, powołując się na zakaz stosowania nieuczciwych praktyk handlowych, naruszenie przepisów prawa w dziedzinie ochrony konsumentów lub zakaz stosowania nieważnych ogólnych warunków umownych, jeśli dane powództwo przedstawicielskie ma za cel wyegzekwowanie praw, które osoby, których dane są przetwarzane, wywodzą bezpośrednio z tego rozporządzenia.
Rzecznik generalny przypomniał, że w wyroku w sprawie Fashion ID (3) Trybunał zajął stanowisko w podobnej kwestii odnośnie do będącej poprzedniczką RODO dyrektywy 95/46 (4) . Rozstrzygnął on wówczas, że ta dyrektywa nie stoi na przeszkodzie krajowym przepisom zezwalającym stowarzyszeniom ochrony interesów konsumentów na występowanie przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych na drodze sądowej.
Rzecznik generalny uznał, że ani fakt zastąpienia dyrektywy 95/46 rozporządzeniem, ani okoliczność polegająca na tym, że RODO zawiera przepis dotyczący reprezentowania osób, których dane dotyczą, w ramach dochodzenia roszczeń przed sądem, nie mogą stanowić podstawy zakwestionowania rozstrzygnięcia Trybunału w tym względzie.
Jego zdaniem państwa członkowskie mogą też w przypadku określonych podmiotów przewidzieć możliwość wytaczania, bez upoważnienia otrzymanego od osoby, której dane dotyczą i bez konieczności powoływania się na konkretne przypadki indywidualnie wskazanych osób, powództw przedstawicielskich w celu ochrony zbiorowych interesów konsumentów, jeśli podmioty te powołują się na naruszenie przepisów tego rozporządzenia przyznających osobom, których dane dotyczą, prawa podmiotowe.
Taki zaś właśnie przypadek stanowi wniesienie przez związek organizacji konsumenckich powództwa przeciwko Facebook Ireland.
Rzecznik generalny stwierdził również, że RODO nie stoi na przeszkodzie przepisom krajowym, które uprawniają stowarzyszenia, których celem jest ochrona interesów konsumentów, do występowania przed sądami z powództwami mającymi na celu zagwarantowanie przestrzegania praw przyznanych tym rozporządzeniem, a to poprzez ustanowienie reguł mających na celu ochronę konsumentów czy też zwalczanie nieuczciwych praktyk handlowych. Reguły te mogą bowiem zawierać przepisy podobne do tych zawartych w rozporządzeniu, w szczególności w zakresie dotyczącym informowania osób, których dane dotyczą, o przetwarzaniu tych ostatnich. Wówczas naruszenie takiej reguły dotyczącej ochrony danych osobowych może jednocześnie pociągać za sobą naruszenie reguł dotyczących ochrony konsumentów czy też ochrony przed nieuczciwymi praktykami handlowymi.
Zdaniem rzecznika generalnego taka obrona przez stowarzyszenia zbiorowych interesów konsumentów jest w szczególności zbieżna z realizowanym przez RODO celem zapewnienia wysokiego stopnia ochrony danych osobowych.
Przypisy:
1. Przeglądając gry dostępne w App-Center w dniu 26 listopada 2012 r. użytkownik mógł zauważyć szereg informacji wyświetlanych po kliknięciu na „Sofort spielen” (Zagraj teraz). Z informacji tych wynikało, że korzystanie z tej aplikacji umożliwia dostawcy gier uzyskanie określonych danych osobowych i publikację w imieniu użytkownika niektórych informacji, takich jak uzyskane przez niego w grze wyniki. Korzystanie z aplikacji wiązało się z zaakceptowaniem przez użytkownika jej ogólnych warunków oraz jej polityki w dziedzinie ochrony danych. Ponadto, w przypadku gry w „Scrabble” wskazano, że użytkownik zezwala na zamieszczanie przez aplikację w jego imieniu postów dotyczących jego statusu, a także zdjęć i innych informacji.
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).
3. Wyrok Trybunału z dnia 29 lipca 2019 r. w sprawie Fashion ID (C-40/17; zob. także komunikat prasowy nr 99/19).
4. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).