Sprawa C‑654/23

Inteligo Media SA

przeciwko

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Curtea de Apel Bucureşti)

Wyrok Trybunału (pierwsza izba) z dnia 13 listopada 2025 r.

Odesłanie prejudycjalne – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58/WE – Artykuł 13 ust. 1 i 2 – Komunikaty niezamówione – Pojęcie komunikatu wysłanego „do celów marketingu bezpośredniego” – Otrzymanie szczegółowych elektronicznych danych kontaktowych „w kontekście sprzedaży produktu lub usługi” – Rejestracja na platformie internetowej zapewniająca dostęp do dodatkowych treści – Wysyłanie pocztą elektroniczną codziennego biuletynu informacyjnego – Rozporządzenie (UE) 2016/679 – Artykuł 6 – Zgodność przetwarzania z prawem – Artykuł 95 – Stosunek do dyrektywy 2002/58/WE

1. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Komunikaty niezamówione – Pojęcie komunikatu wysłanego „do celów marketingu bezpośredniego” – Otrzymanie szczegółowych elektronicznych danych kontaktowych „w kontekście sprzedaży produktu lub usługi” – Rejestracja na platformie internetowej zapewniająca nieodpłatny dostęp do niektórych treści i biuletynu informacyjnego – Wysyłany nieodpłatnie pocztą elektroniczną biuletyn informacyjny zawierający linki do płatnych artykułów – Włączenie

   (dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 13 ust. 1, 2)

   (zob. pkt 40–63, pkt 1 sentencji)

2. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Komunikaty niezamówione – Używanie poczty elektronicznej do celów marketingu bezpośredniego – Brak możliwości zastosowania przewidzianych w rozporządzeniu 2016/679 warunków zgodności przetwarzania z prawem

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 173, art. 6 ust. 1, art. 95; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 13 ust. 2)

   (zob. pkt 65–69, pkt 2 sentencji)

Streszczenie

Trybunał, do którego Curtea de Apel București (sąd apelacyjny w Bukareszcie, Rumunia) wystąpił z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym, doprecyzował pojęcia komunikatu wysłanego „do celów marketingu bezpośredniego” i szczegółowych elektronicznych danych kontaktowych otrzymanych „w kontekście sprzedaży produktu lub usługi” w rozumieniu art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej ( 1 ) w kontekście rejestracji na platformie internetowej zapewniającej dostęp do elektronicznego biuletynu informacyjnego. Trybunał wyjaśnił również związek między tą dyrektywą a RODO ( 2 ) w odniesieniu do warunków zgodności z prawem przetwarzania danych osobowych dokonywanego w ramach komunikatów niezamówionych w rozumieniu art. 13 wspomnianej dyrektywy.

Inteligo Media jest wydawcą internetowej publikacji prasowej avocatnet.ro przeznaczonej do informowania szerokiego kręgu odbiorców, niebędących specjalistami w dziedzinie prawa, o wprowadzanych codziennie w Rumunii zmianach legislacyjnych. W lipcu 2018 r. spółka ta wprowadziła system odpłatnego abonamentu w odniesieniu do części treści dostarczanych jej czytelnikom. W okresie zaistnienia okoliczności faktycznych w postępowaniu głównym Inteligo Media umożliwiała nieodpłatny dostęp do maksymalnej liczby artykułów miesięcznie, po przekroczeniu której zainteresowany użytkownik musiał utworzyć nieodpłatne konto na prowadzonej przez Inteligo Media platformie internetowej. Rejestracja do tej usługi dawała użytkownikowi prawo dostępu do dodatkowej liczby artykułów miesięcznie oraz do otrzymywania nieodpłatnie za pośrednictwem poczty elektronicznej codziennego biuletynu informacyjnego zawierającego streszczenie zmian legislacyjnych omówionych w artykułach zawartych w publikacji, w tym linki do tych artykułów. Użytkownik miał również możliwość uzyskania odpłatnego dostępu do wszystkich artykułów zawartych w publikacji. Użytkownicy mogli zdecydować się nie otrzymywać tego biuletynu informacyjnego lub anulować subskrypcję w dowolnym momencie.

We wrześniu 2019 r. rumuński organ ochrony danych (zwany dalej „ANSPDCP”) sporządził protokół z naruszenia, w którym nałożył na Inteligo Media grzywnę. ANSPDCP uznał, że spółka ta nie była w stanie udowodnić uzyskania wyraźnej zgody pewnej liczby użytkowników na przetwarzanie dotyczących ich danych osobowych (poczta elektroniczna, hasło, nazwa użytkownika) oraz że dane te, zebrane pierwotnie w celu wykonania przedmiotowej umowy, były przetwarzane w sposób niezgodny z tym celem, a mianowicie na potrzeby przekazywania biuletynu informacyjnego.

Wyrokiem wydanym w grudniu 2021 r. Tribunalul București (sąd okręgowy w Bukareszcie, Rumunia) uwzględnił częściowo wniosek Inteligo Media o stwierdzenie nieważności protokołu z naruszenia sporządzonego przez ANSPDCP. W szczególności obniżył on kwotę nałożonej na tę spółkę grzywny, przy czym potwierdził stwierdzenie wykroczenia administracyjnego poczynione w protokole z naruszenia.

Sąd odsyłający, do którego wniesiono środki odwoławcze od tego wyroku, zastanawia się nad podstawą prawną przetwarzania danych osobowych rozpatrywanego w postępowaniu głównym oraz nad przesłankami, które muszą zostać spełnione, aby takie przetwarzanie można było uznać za zgodne z prawem w świetle dyrektywy o prywatności i łączności elektronicznej oraz RODO. Zdaniem tego sądu konieczne jest doprecyzowanie w szczególności warunków, w jakich można uznać, że adres poczty elektronicznej użytkownika otrzymano „w kontekście sprzedaży produktu lub usługi” w rozumieniu art. 13 ust. 2 dyrektywy o prywatności i łączności elektronicznej, jak również zakresu pojęcia „marketingu bezpośredniego” zawartego w tym art. 13.

Ocena Trybunału

W pierwszej kolejności Trybunał zauważył, że przepisy art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej mają zastosowanie wyłącznie do komunikatów wysyłanych „do celów marketingu bezpośredniego”.

Trybunał zbadał więc wpierw kwestię, czy przesyłanie biuletynu informacyjnego takiego jak rozpatrywany w postępowaniu głównym ma na celu „marketing bezpośredni”, w rozumieniu art. 13 ust. 1 i 2 wspomnianej dyrektywy. Trybunał przypomniał tym samym, że przewidziane w tym przepisie pojęcie komunikatu wysłanego „do celów marketingu bezpośredniego” obejmuje komunikaty, które służą celom handlowym i są skierowane bezpośrednio i indywidualnie do konsumenta ( 3 ).

Trybunał stwierdził, że komunikatem będącym przedmiotem postępowania głównego jest codzienny biuletyn informacyjny rozpowszechniany w formie wiadomości elektronicznej, zawierający streszczenie zmian legislacyjnych omówionych w artykułach zawartych w publikacji prasowej, jak również linki do tych artykułów. Zdaniem Trybunału okoliczność, że komunikat ten ma również treść informacyjną, nie może oznaczać, że powinno się go wyłączyć z zakresu pojęcia komunikatu wysłanego „do celów marketingu bezpośredniego” w rozumieniu art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej, a tym samym z zakresu stosowania tego przepisu.

Przeciwnie, Trybunał zauważył, że taki komunikat ma na celu skłonienie odnośnych użytkowników do uzyskania dostępu do płatnych treści dostarczanych przez wydawcę prasowego poprzez zachęcanie ich do wyczerpania liczby artykułów, z którymi można zapoznać się bezpłatnie na danej platformie internetowej, oraz do zakupu pełnej subskrypcji. Ma on zatem promować sprzedaż tych treści i w konsekwencji realizuje cel handlowy. Ponadto w zakresie, w jakim komunikat ten, rozpowszechniany w formie wiadomości elektronicznej, pojawia się bezpośrednio w skrzynce odbiorczej prywatnej poczty elektronicznej jej odbiorców, Trybunał uznał, że jest on wysyłany „do celów marketingu bezpośredniego” ( 4 ), i to niezależnie od tego, czy ów cel można wywieść z samej treści rzeczonego komunikatu, czy też ze struktury oferty nadawcy wspomnianego komunikatu.

Trybunał wskazał, że taką wykładnię pojęcia komunikatu wysłanego „do celów marketingu bezpośredniego” potwierdzają kontekst, w jaki się ono wpisuje, oraz cele realizowane przez dyrektywę o prywatności i łączności elektronicznej.

W tym względzie Trybunał zauważył, że art. 13 ust. 1 dyrektywy o prywatności i łączności elektronicznej ustanawia zasadę, która uzależnia przekazywanie niezamówionych komunikatów objętych zakresem jego stosowania od wymogu uzyskania uprzedniej zgody ich odbiorcy. W braku tej zgody taki komunikat jest dozwolony tylko wtedy, gdy spełnione są przesłanki przewidziane w art. 13 ust. 2 rzeczonej dyrektywy. Przepis ten wymaga, po pierwsze, aby zgodnie z przepisami Unii Europejskiej w dziedzinie ochrony danych ( 5 ) nadawca odnośnego komunikatu otrzymał od jego odbiorców szczegółowe elektroniczne dane kontaktowe dotyczące kontaktu z nimi za pomocą poczty elektronicznej w kontekście sprzedaży produktu lub usługi. Po drugie, te szczegółowe elektroniczne dane kontaktowe mogą być wykorzystywane na potrzeby marketingu bezpośredniego pod warunkiem, że ów marketing bezpośredni dotyczy podobnych produktów lub usług oferowanych przez samego nadawcę. Po trzecie, to wykorzystanie jest uzależnione od warunku, że odbiorcy zostali jasno i wyraźnie poinformowani o możliwości sprzeciwienia się, w prosty i wolny od opłat sposób, takiemu wykorzystywaniu ich elektronicznych danych kontaktowych w chwili ich pobierania oraz przy każdej okazji otrzymywania wiadomości, w przypadku klientów, którzy początkowo nie sprzeciwili się takiemu wykorzystywaniu.

Ponadto art. 13 ust. 4 dyrektywy o prywatności i łączności elektronicznej zakazuje praktyki wysyłania poczty elektronicznej do celów marketingu bezpośredniego, która ukrywa lub zataja tożsamość nadawcy, w którego imieniu wysyłany jest komunikat; która narusza dyrektywę 2000/31 ( 6 ); która nie wskazuje ważnego adresu, na który odbiorca może wysłać żądanie zaprzestania takich komunikatów; lub która zachęca odbiorców do odwiedzenia stron internetowych naruszających art. 6 dyrektywy o prywatności i łączności elektronicznej.

Trybunał wyjaśnił, że wszystkie te gwarancje służą realizacji celów dyrektywy o prywatności i łączności elektronicznej polegających na zapewnieniu środków zabezpieczających abonentów przed ingerencją w ich prywatność przez niezamówione komunikaty wysyłane do celów marketingu bezpośredniego, w szczególności przez urządzenia do wywołań automatycznych, telefaksy i wiadomości poczty elektronicznej, jak również SMS. Każda inna wykładnia mogłaby osłabić skuteczność (effet utile) art. 13 owej dyrektywy i podważyć w ten sposób poziom ochrony prywatności, do którego dąży ta dyrektywa. W konsekwencji Trybunał stwierdził, że komunikat taki jak ten rozpatrywany w postępowaniu głównym należy uznać za wysłany „do celów marketingu bezpośredniego” w rozumieniu art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej.

Następnie Trybunał zbadał, czy szczegółowe elektroniczne dane kontaktowe użytkowników, którym wysyłano biuletyn informacyjny, uzyskano „w kontekście sprzedaży produktu lub usługi” w rozumieniu art. 13 ust. 2 tej dyrektywy.

Trybunał podkreślił, po pierwsze, że zgodnie z powszechnie przyjętą definicją pojęcie „sprzedaży” może obejmować jedynie transakcje, które wiążą się z zapłatą wynagrodzenia. Po drugie, art. 13 ust. 2 rzeczonej dyrektywy nie wprowadza żadnego rozróżnienia w zależności od rodzaju danej usługi. Co się tyczy usług objętych zakresem stosowania dyrektywy o handlu elektronicznym, Trybunał przypomniał, że wynagrodzenie za usługę świadczoną przez usługodawcę w ramach jego działalności gospodarczej niekoniecznie jest wypłacane przez korzystające z niej osoby. Ma to miejsce w szczególności, gdy usługodawca świadczy usługę nieodpłatnie w celach reklamowych w odniesieniu do towarów sprzedawanych lub usług świadczonych przez tego usługodawcę, gdyż koszt tej działalności jest wówczas zawarty w cenie sprzedaży owych towarów lub usług ( 7 ). Rozważania te można przenieść na grunt wykładni art. 13 ust. 2 dyrektywy o prywatności i łączności elektronicznej.

Trybunał uznał, że ma to miejsce w niniejszej sprawie, ponieważ Inteligo Media otrzymała szczegółowe elektroniczne dane kontaktowe zainteresowanych użytkowników przy tworzeniu przez nich bezpłatnego konta na platformie internetowej prowadzonej przez tę spółkę. Subskrybując tę usługę, użytkownicy uzyskiwali prawo do bezpłatnego dostępu do pewnej liczby artykułów, które ukazały się w danej publikacji, oraz do otrzymywania wspomnianego biuletynu informacyjnego. Świadczenie takiej usługi ma przede wszystkim cel reklamowy, polegający na promowaniu płatnych treści dostarczanych przez Inteligo Media, a koszt tej usługi jest zawarty w cenie tych treści.

W tych okolicznościach wynagrodzenie pośrednie, zawarte w cenie sprzedaży pełnej subskrypcji oferowanej przez tego usługodawcę, takie jak to będące przedmiotem sporu w postępowaniu głównym, spełnia nierozerwalnie związany z pojęciem „sprzedaży” wymóg uiszczenia zapłaty w zamian za usługę. W konsekwencji transakcja taka jak ta, w ramach której Inteligo Media otrzymała szczegółowe elektroniczne dane kontaktowe użytkowników, może wchodzić w zakres pojęcia „sprzedaży […] usługi” w rozumieniu dyrektywy o prywatności i łączności elektronicznej.

Trybunał dodał, że wykładnia ta jest zgodna z kontekstem, w którym pojęcie to jest używane, oraz z celami uregulowania, którego jest ono częścią. W tym względzie Trybunał wyjaśnił, po pierwsze, że o ile wyjątek przewidziany w art. 13 ust. 2 tej dyrektywy należy interpretować ściśle, o tyle nie wyklucza on możliwości wypłaty wynagrodzenia wymaganego z tytułu transakcji „sprzedaży” w rozumieniu tego przepisu przez osobę inną niż odbiorca produktu lub usługi będących przedmiotem tej transakcji. Przeciwnie, z brzmienia tego przepisu wynika, że prawodawca Unii ograniczył się do wymogu, aby szczegółowe elektroniczne dane kontaktowe zainteresowanych użytkowników zostały otrzymane „w kontekście sprzedaży produktu lub usługi”.

Po drugie, wykładnia pojęć z art. 13 ust. 2 dyrektywy o prywatności i łączności elektronicznej powinna w każdym wypadku być zgodna z celem tego przepisu. W związku z tym konieczność ścisłej wykładni tego przepisu nie może być rozumiana jako pozwalająca na taką wykładnię tych pojęć, która pozbawiałaby je skuteczności (effet utile). Tymczasem, co się tyczy celu realizowanego przez rzeczony przepis, prawodawca Unii zamierzał przewidzieć odstępstwo od zasady zawartej w art. 13 ust. 1, na wypadek gdy szczegółowe elektroniczne dane kontaktowe zainteresowanych użytkowników zostają uzyskane „w kontekście istniejącej relacji z klientem”, bez dalszego określania tej relacji ( 8 ).

W konsekwencji, z zastrzeżeniem ustaleń, których powinien dokonać sąd odsyłający, okazuje się, że w niniejszej sprawie spełniony jest zarówno warunek, by szczegółowe elektroniczne dane kontaktowe zainteresowanych użytkowników zostały otrzymane „w kontekście sprzedaży produktu lub usługi”, jak i warunek dotyczący bycia „podobną usługą” będącą przedmiotem omawianego marketingu bezpośredniego. W świetle powyższego Trybunał orzekł, iż art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej należy interpretować w ten sposób, że wydawca publikacji internetowej otrzymuje adres poczty elektronicznej użytkownika „w kontekście sprzedaży produktu lub usługi” w rozumieniu tego art. 13 ust. 2, gdy ów użytkownik tworzy nieodpłatnie na platformie internetowej tego wydawcy konto uprawniające go do uzyskania bezpłatnego dostępu do pewnej liczby artykułów związanych z tą publikacją, do otrzymywania nieodpłatnie za pośrednictwem poczty elektronicznej codziennego biuletynu informacyjnego zawierającego streszczenie zmian legislacyjnych omówionych w artykułach zawartych w publikacji, w tym linki do tych artykułów, a także do uzyskania odpłatnie dostępu do dodatkowych artykułów i analiz zawartych w rzeczonej publikacji. Przekazywanie takiego biuletynu informacyjnego stanowi wykorzystanie poczty elektronicznej „na potrzeby marketingu bezpośredniego” w odniesieniu do „podobnych produktów lub usług” w rozumieniu tego ostatniego przepisu.

W drugiej kolejności Trybunał wyjaśnił związek między dyrektywą o prywatności i łączności elektronicznej a RODO w odniesieniu do warunków zgodności z prawem przetwarzania danych osobowych dokonywanego w ramach komunikatów niezamówionych.

Trybunał wskazał, że zgodnie z wyraźnym brzmieniem art. 95 RODO rozporządzenie to nie nakłada na osoby fizyczne ani prawne dodatkowych obowiązków co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają określonym w rzeczonej dyrektywie szczegółowym obowiązkom mającym ten sam cel. Ponadto z RODO ( 9 ) wynika również, że rozporządzenie to powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają określonym w dyrektywie o prywatności i łączności elektronicznej szczegółowym obowiązkom mającym ten sam cel, w tym obowiązkom nałożonym na administratora oraz prawom osób fizycznych. Tymczasem w art. 13 ust. 2 tej dyrektywy uregulowano wyczerpująco zarówno warunki i cele przetwarzania danych, jak i prawa osoby, której te dane dotyczą. Nałożono w nim także na administratora „szczegółowe obowiązki” w rozumieniu art. 95 RODO.

W konsekwencji zgodność z prawem przetwarzania danych osobowych dokonywanego w ramach komunikatu objętego zakresem stosowania art. 13 ust. 2 dyrektywy o prywatności i łączności elektronicznej można ustalić na podstawie tego przepisu, bez konieczności dokonywania jej oceny w świetle warunków zgodności przetwarzania z prawem przewidzianych w RODO ( 10 ). Zważywszy na powyższe, w przypadku gdy administrator wykorzystuje adres poczty elektronicznej użytkownika w celu wysłania mu niezamówionego komunikatu zgodnie z art. 13 ust. 2 tej dyrektywy, warunki zgodności przetwarzania z prawem przewidziane w art. 6 ust. 1 RODO nie mają zastosowania.

( 1 ) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37).

( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwane dalej „RODO”).

( 3 ) Wyrok z dnia 25 listopada 2021 r., StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:954, pkt 47).

( 4 ) W rozumieniu art. 13 ust. 1 i 2 dyrektywy o prywatności i łączności elektronicznej.

( 5 ) Z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31) lub, w zależności od przypadku, z RODO.

( 6 ) Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. 2000, L 178, s. 1, art. 6).

( 7 ) Wyrok z dnia 15 września 2016 r., Mc Fadden (C‑484/14, EU:C:2016:689, pkt 41, 42).

( 8 ) Motyw 41 dyrektywy o prywatności i łączności elektronicznej.

( 9 ) Motyw 173 RODO.

( 10 ) Artykuł 6 ust. 1 lit. a)–f) RODO.