ATHANASIOSA RANTOSA
przedstawiona w dniu 20 września 2022 r. ( 1 )
Sprawa C‑252/21
Meta Platforms Inc., dawniej Facebook Inc.,
Meta Platforms Ireland Limited, dawniej Facebook Ireland Ltd.,
Facebook Deutschland GmbH
przeciwko
Bundeskartellamt
przy udziale:
Verbraucherzentrale Bundesverband e.V.
[wniosek o wydanie w trybie prejudycjalnym złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy)]
Odesłanie prejudycjalne – Rozporządzenie (UE) 2016/679 – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Sieci społecznościowe – Artykuł 4 pkt 11 – Pojęcie „zgody” osoby, której dane dotyczą – Zgoda udzielona administratorowi, którym jest przedsiębiorstwo zajmujące pozycję dominującą – Artykuł 6 ust. 1 lit. b)–f) – Zgodność przetwarzania z prawem – Przetwarzanie, które jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – Przetwarzanie, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – Artykuł 9 ust. 1 i art. 9 ust. 2 lit. e) – Szczególne kategorie danych osobowych – Dane osobowe w sposób oczywisty upublicznione przez osobę, której dotyczą – Artykuły 51–66 – Kompetencje krajowego organu ds. konkurencji – Łączenie z kompetencjami organów nadzorczych ds. ochrony danych osobowych – Przyjęcie środków dotyczących prawa konkurencji przez organ mający siedzibę w innym państwie członkowskim niż wiodący organ nadzorczy ds. ochrony danych
Wprowadzenie
|
1. |
Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy) w ramach sporu pomiędzy spółkami z grupy Meta Platforms ( 2 ) a Bundeskartellamt (federalnym urzędem ds. ochrony konkurencji, Niemcy) dotyczącego decyzji, na mocy której urząd ten zakazał skarżącej w postępowaniu głównym przetwarzania danych przewidzianego w warunkach korzystania z jej sieci społecznościowej Facebook, a także stosowania wspomnianych warunków korzystania i nakazał skarżącej zaprzestanie tych działań ( 3 ). |
|
2. |
Pytania prejudycjalne dotyczą w istocie z jednej strony kompetencji krajowego organu ochrony konkurencji, takiego jak Bundeskartellamt, do badania, jako zagadnienia głównego lub incydentalnego, zachowania przedsiębiorstwa w świetle niektórych przepisów rozporządzenia (UE) 2016/679 ( 4 ), a z drugiej strony wykładni tych przepisów w zakresie w szczególności przetwarzania danych osobowych wrażliwych, warunków istotnych dla zgodności z prawem tego przetwarzania danych osobowych i wyrażenia dobrowolnej zgody na rzecz przedsiębiorstwa zajmującego pozycję dominującą. |
Ramy prawne
Przepisy prawa Unii
|
3. |
Artykuł 4 RODO stanowi: „Na użytek niniejszego rozporządzenia: […]
[…]”. |
|
4. |
Artykuł 6 ust. 1 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, ma następujące brzmienie: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”. |
|
5. |
Artykuł 9 ust. 1 i 2 wspomnianego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi: „1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 2. Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
[…]
[…]”. |
|
6. |
Artykuł 51 tego rozporządzenia, zatytułowany „Organ nadzorczy”, zawarty w jego rozdziale VI, zatytułowanym „Niezależne organy nadzorcze”, stanowi: „1. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […] 2. Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII. […]”. |
Prawo niemieckie
|
7. |
Paragraf 19 ust. 1 Gesetz gegen Wettbewerbsbeschränkungen (ustawy o zwalczaniu ograniczeń w konkurencji, zwanej dalej „GWB”) stanowi: „Zakazane jest stanowiące nadużycie wykorzystywanie przez jedno lub kilka przedsiębiorstw pozycji dominującej na rynku” ( 5 ). |
|
8. |
Paragraf 50f GWB stanowi: „1) Organy ochrony konkurencji, organy regulacyjne, federalny inspektor ds. ochrony danych i wolności informacji, regionalni inspektorzy ds. ochrony danych, a także właściwe organy w rozumieniu art. 2 EU-Verbraucherschutzdurchführungsgesetz [(ustawy o wdrażaniu prawa konsumentów Unii Europejskiej)] mogą niezależnie od wybranego postępowania wymieniać między sobą informacje, w tym dane osobowe oraz tajemnice handlowe i biznesowe, w zakresie, w jakim jest to niezbędne do realizacji zadań każdego z nich, a także wykorzystywać te informacje w ramach wybranych postępowań. […]”. |
Postępowanie główne, pytania prejudycjalne i postępowanie przed Trybunałem
|
9. |
Meta Platforms zarządza usługami sieci społecznościowej online „Facebook” w Unii Europejskiej (pod adresem www.facebook.com), a także innymi usługami online, do których należą Instagram i WhatsApp. Model biznesowy sieci społecznościowych zarządzanych przez Meta Platforms polega w istocie, po pierwsze, na świadczeniu nieodpłatnych dla użytkowników prywatnych usług sieci społecznościowych i, po drugie, na sprzedaży reklam online, które są dostosowane do indywidualnego użytkownika sieci społecznościowej i mają na celu pokazanie użytkownikowi towarów i usług, które mogłyby go zainteresować, w szczególności ze względu na jego osobiste zachowania konsumenckie, zainteresowania, siłę nabywczą i sytuację życiową. Pod względem technicznym tego typu reklama opiera się na zautomatyzowanym tworzeniu bardzo szczegółowych profili użytkowników sieci i serwisów online oferowanych na poziomie grupy ( 6 ). |
|
10. |
W celu gromadzenia i przetwarzania danych użytkowników Meta Platforms opiera się na umowie użytkowania, którą zawierają z nią jej użytkownicy, klikając na przycisk „zarejestruj się”; tym samym zgadzają się na warunki korzystania z serwisu Facebook. Wyrażenie zgody na te warunki serwisu jest zasadniczym warunkiem korzystania z sieci społecznościowej Facebook ( 7 ). Kluczowy element niniejszej sprawy dotyczy praktyki polegającej, po pierwsze, na gromadzeniu danych z innych serwisów grupy, a także ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów lub za pośrednictwem plików cookies zapisywanych na komputerze lub mobilnym urządzeniu użytkownika, po drugie, na połączeniu tych danych z kontem Facebook danego użytkownika, a po trzecie, na wykorzystywaniu tych danych (zwanej dalej „sporną praktyką”). |
|
11. |
Bundeskartellamt wszczął przeciwko Meta Platforms postępowanie, w wyniku którego wydał sporną decyzję zakazującą jej przetwarzania danych, o którym mowa w warunkach korzystania z Facebooka, a także wprowadzenia w życie tych warunków i ustanowił wobec niej środki mające na celu zaprzestanie tych działań. Bundeskartellamt uzasadnił swoją decyzję w szczególności tym, że przedmiotowe przetwarzanie stanowiło nadużywanie pozycji dominującej tej spółki na rynku sieci społecznościowych dla użytkowników prywatnych w Niemczech w rozumieniu § 19 GWB ( 8 ). |
|
12. |
W dniu 11 lutego 2019 r. Meta Platforms złożyła skargę na sporną decyzję do Oberlandesgericht Düsseldorf (wyższego sądu krajowego w Düsseldorfie) ( 9 ), sądu odsyłającego, którego wątpliwości w istocie dotyczą z jednej strony możliwości kontrolowania przez krajowe organy ds. konkurencji zgodności przetwarzania danych z wymogami ustanowionymi w RODO, jak również ustalania i sankcjonowania faktu naruszenia przepisów RODO, a z drugiej strony interpretacji i stosowania niektórych przepisów tego rozporządzenia. |
|
13. |
W tych okolicznościach Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
Jeżeli na pytanie 7 należy udzielić odpowiedzi twierdzącej, konieczne jest udzielenie odpowiedzi na pytania 3–5 w odniesieniu do danych dotyczących korzystania z należącego do grupy serwisu Instagram”. |
|
14. |
Uwagi na piśmie zostały złożone przez Meta Platforms, rządy niemiecki, czeski, włoski i austriacki, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (stowarzyszenie konsumentów, Niemcy) oraz przez Komisję Europejską. Podczas rozprawy, która odbyła się w dniu 10 maja 2022 r., strony te przedstawiły także swoje stanowiska ustnie. |
Analiza
|
15. |
Pytania prejudycjalne będące przedmiotem niniejszej sprawy, odnoszące się do wykładni szeregu przepisów RODO, dotyczą w istocie, po pierwsze, kompetencji organu ochrony konkurencji do ustalania i sankcjonowania faktu naruszenia przepisów z zakresu przetwarzania danych osobowych i jego obowiązków współpracy z organem wiodącym w rozumieniu RODO (pytania pierwsze i siódme), po drugie, zakazu przetwarzania danych wrażliwych oraz warunków wyrażenia zgody na ich wykorzystanie (pytanie drugie), po trzecie, zgodności przetwarzania danych osobowych z prawem (pytania trzecie i piąte) i, po czwarte, ważności zgody na przetwarzanie danych osobowych udzielonej przedsiębiorstwu zajmującemu pozycję dominującą (pytanie szóste). |
|
16. |
W kolejnych punktach zajmę się najpierw pytaniami pierwszym i siódmym, a następnie pozostałymi pytaniami w kolejności, w jakiej zostały zadane, łącząc pytania od trzeciego do piątego. |
W przedmiocie pierwszego pytania prejudycjalnego
|
17. |
W pierwszym pytaniu prejudycjalnym sąd odsyłający dąży w istocie do ustalenia, czy organ ochrony konkurencji, który prowadzi postępowanie w sprawie naruszeń reguł konkurencji, może z jednej strony tytułem głównym ( 10 ) wydać rozstrzygnięcie w przedmiocie naruszenia przepisów RODO dotyczących przetwarzania danych osobowych przez przedsiębiorstwo, którego główna jednostka organizacyjna – ponosząca wyłączną odpowiedzialność za przetwarzanie danych osobowych w całej Unii – znajduje się w innym państwie członkowskim, a z drugiej strony nakazać zaniechanie tego naruszenia [pytanie pierwsze lit. a)], zaś w przypadku udzielenia odpowiedzi twierdzącej, czy wiodący organ nadzorczy na podstawie art. 56 ust. 1 RODO może także poddać postępowaniu wyjaśniającemu ustanowione przez to przedsiębiorstwo warunki dotyczące przetwarzania danych [pytanie pierwsze lit. b)]. |
|
18. |
Jednakże wydaje mi się, z zastrzeżeniem sprawdzenia tego przez sąd odsyłający, że Bundeskartellamt w spornej decyzji nie ukarał Meta Platforms za naruszenie RODO, lecz przeprowadził – wyłącznie pod kątem stosowania reguł konkurencji – analizę domniemanego nadużycia przez nią pozycji dominującej, biorąc pod uwagę, między innymi, niezgodność zachowania tego przedsiębiorstwa z przepisami RODO. |
|
19. |
Uważam zatem, że pytanie pierwsze lit. a) w zakresie, w jakim dotyczy ono możliwości wydania przez organ ochrony konkurencji tytułem głównym rozstrzygnięcia w przedmiocie naruszenia przepisów RODO i nakazania zaniechania tego naruszenia w rozumieniu tego rozporządzenia, jest nieistotne dla sprawy ( 11 ). |
|
20. |
Z powyższego wynika, że pytanie pierwsze lit. b), które zależy od odpowiedzi twierdzącej na pytanie pierwsze lit. a), jest również nieistotne dla sprawy ( 12 ). |
W przedmiocie siódmego pytania prejudycjalnego
|
21. |
W siódmym pytaniu prejudycjalnym sąd odsyłający zmierza w istocie do ustalenia, czy organ ochrony konkurencji może, w przypadku gdy prowadzi dochodzenie w przedmiocie naruszeń reguł konkurencji, dokonać pomocniczo ( 13 ) ustaleń, czy warunki przetwarzania danych i ich stosowanie są zgodne z RODO [pytanie siódme lit. a)], a w przypadku udzielenia odpowiedzi twierdzącej, czy organ ochrony konkurencji może także dokonywać analizy wówczas, gdy jednocześnie właściwy wiodący organ nadzorczy prowadzi postępowanie wyjaśniające w przedmiocie tych warunków [pytanie siódme lit. b)]. |
|
22. |
Jeśli chodzi w pierwszej kolejności o pytanie siódme lit. a), wydaje mi się, że nawet jeśli dany organ ochrony konkurencji nie jest właściwy do stwierdzenia naruszenia RODO ( 14 ), to co do zasady rozporządzenie to nie stoi na przeszkodzie temu, by organy inne niż organy nadzorcze mogły przy wykonywaniu swoich własnych kompetencji i uprawnień pomocniczo uwzględniać zgodność danego zachowania z przepisami RODO. Jest tak moim zdaniem w przypadku wykonywania przez organ ochrony konkurencji uprawnień przyznanych mu na mocy art. 102 TFUE i art. 5 akapit pierwszy rozporządzenia (WE) nr 1/2003 ( 15 ) lub jakiejkolwiek innej odpowiedniej normy krajowej ( 16 ). |
|
23. |
Przy wykonywaniu swoich kompetencji organ ochrony konkurencji powinien bowiem ocenić w szczególności, czy badane zachowanie polega na wykorzystaniu środków odmiennych od tych stosowanych w ramach konkurencji pozacenowej, z uwzględnieniem kontekstu prawnego i gospodarczego, w który wpisuje się to zachowanie ( 17 ). W tym względzie zgodność lub niezgodność z przepisami RODO tego zachowania, nie jako takiego, lecz ze względu na wszystkie okoliczności sprawy, może stanowić przesłankę istotną dla ustalenia, czy to zachowanie stanowi wykorzystanie środków stosowanych w warunkach normalnej konkurencji, przy czym okoliczność, czy dane zachowanie ma znamiona nadużycia w rozumieniu art. 102 TFUE, czy też ich nie ma, nie wynika z jego zgodności z RODO lub z innymi przepisami prawa lub braku tej zgodności ( 18 ). |
|
24. |
W związku z tym uważam, że analiza nadużycia pozycji dominującej na rynku może uzasadniać to, iż organ ochrony konkurencji dokonuje wykładni norm nieobjętych prawem konkurencji, takich jak normy RODO ( 19 ), uściślając przy tym, że taka analiza jest przeprowadzana pomocniczo ( 20 ) i nie przesądza o stosowaniu tego rozporządzenia przez właściwe organy kontroli ( 21 ). |
|
25. |
Jeśli chodzi w drugiej kolejności o pytanie siódme lit. b), sąd odsyłający podnosi kwestię, jakie są, w ramach zastosowania ustanowionej w art. 4 ust. 3 TUE zasady lojalnej współpracy, obowiązki, jakie ma względem wiodącego organu nadzorczego w rozumieniu RODO organ ochrony konkurencji w sytuacji, gdy dokonuje on wykładni przepisów tego rozporządzenia i, dokładniej rzecz biorąc, gdy to samo zachowanie, które jest analizowane przez organ ochrony konkurencji, jest przedmiotem badania prowadzonego przez właściwy wiodący organ nadzorczy. |
|
26. |
W niniejszej sprawie badanie przez organ ochrony konkurencji, choćby nawet incydentalne, zachowania przedsiębiorstwa w świetle norm RODO niesie ze sobą ryzyko powstania między organem ochrony konkurencji a organami nadzorczymi rozbieżności co do wykładni tego rozporządzenia, co zasadniczo może naruszać jednolitą wykładnię RODO ( 22 ). |
|
27. |
Prawo Unii nie przewiduje w takiej sytuacji szczegółowych zasad współpracy między organem ochrony konkurencji a organami nadzorczymi w rozumieniu RODO. W szczególności ani mechanizm współpracy między właściwymi organami w rozumieniu RODO przy jego stosowaniu ( 23 ), ani inne szczegółowe zasady współpracy między organami administracji, takie jak przepisy dotyczące współpracy między organami ds. konkurencji a Komisją przy stosowaniu reguł konkurencji ( 24 ), nie mają zastosowania w niniejszej sprawie. |
|
28. |
Niemniej jednak przy dokonywaniu wykładni RODO organ ochrony konkurencji jest związany ustanowioną w art. 4 ust. 3 TUE zasadą lojalnej współpracy, zgodnie z którą Unia i państwa członkowskie, w tym ich organy administracji ( 25 ), wzajemnie się szanują i udzielają sobie wzajemnego wsparcia w wykonywaniu zadań wynikających z traktatów. W szczególności akapit trzeci tego przepisu stanowi, że państwa członkowskie ułatwiają wypełnianie przez Unię jej zadań i powstrzymują się od podejmowania wszelkich środków, które mogłyby zagrażać urzeczywistnieniu celów Unii ( 26 ). Ponadto podobnie jak każdy organ administracji odpowiedzialny za stosowanie prawa Unii organ ochrony konkurencji jest związany zasadą dobrej administracji jako ogólną zasadą prawa Unii, która obejmuje w szczególności ciążący na organach krajowych szeroko rozumiany obowiązek dbałości i staranności ( 27 ). |
|
29. |
A zatem w braku szczegółowych przepisów dotyczących mechanizmów współpracy, które powinien ewentualnie przyjąć prawodawca Unii, organ ochrony konkurencji, dokonując wykładni przepisów RODO, podlega co najmniej obowiązkowi udzielania informacji, powiadamiania i współpracy z właściwymi organami w rozumieniu tego rozporządzenia na podstawie norm krajowych regulujących jego kompetencje (zasada autonomii proceduralnej państw członkowskich) oraz z poszanowaniem zasad równoważności i skuteczności ( 28 ). |
|
30. |
Moim zdaniem z powyższego wynika, że w sytuacji, gdy wiodący organ nadzorczy zajął stanowisko w przedmiocie stosowania niektórych przepisów RODO w odniesieniu do identycznej lub podobnej praktyki, organ ochrony konkurencji nie może co do zasady odejść od interpretacji przyjętej przez ten organ nadzorczy, który jako jedyny jest właściwy do stosowania tego rozporządzenia ( 29 ), i powinien w miarę możliwości oraz przestrzegając w szczególności prawa do obrony osób, których sprawa dotyczy, zastosować się do ewentualnych decyzji wydanych przez organ nadzorczy w odniesieniu do takiego samego zachowania ( 30 ), a w przypadku wątpliwości co do wykładni dokonanej przez ten właściwy organ, skonsultować się z nim lub w stosownym wypadku, gdy ten ostatni znajduje się w innym państwie członkowskim, z krajowym organem nadzorczym ( 31 ). |
|
31. |
Ponadto, jeżeli właściwy organ nadzorczy nie wydał decyzji, wówczas do organu ochrony konkurencji należy informowanie go ( 32 ) oraz, jeżeli organ rozpoczął postępowanie wyjaśniające w sprawie tej samej praktyki lub wyraził taki zamiar, współpraca z nim i ewentualnie, przed rozpoczęciem swojej własnej oceny, oczekiwanie na wynik postępowania wyjaśniającego przeprowadzonego przez organ nadzorczy, w zakresie, w jakim jest to stosowne i nie przesądza w szczególności o przestrzeganiu przez organ ochrony konkurencji rozsądnego terminu do zakończenia postępowania wyjaśniającego oraz prawa do obrony osób, których to dotyczy ( 33 ). |
|
32. |
Moim zdaniem w niniejszej sprawie formalne podjęcie współpracy z krajowymi organami nadzorczymi ( 34 ) oraz nawiązanie kontaktu nieformalnego z wiodącym organem nadzorczym Irlandii, na które powołał się Bundeskartellamt, czego weryfikacja należy do sądu odsyłającego, może wystarczyć do stwierdzenia, że organ ten wypełnił ciążące na nim obowiązki należytej staranności i lojalnej współpracy ( 35 ). |
|
33. |
Podsumowując, proponuję, aby na siódme pytanie prejudycjalne odpowiedzieć, że art. 51–66 RODO należy interpretować w ten sposób, że organ ochrony konkurencji w ramach uprawnień przysługujących mu na mocy reguł konkurencji może pomocniczo zbadać zgodność badanych praktyk z przepisami RODO, uwzględniając jednocześnie wszystkie decyzje wydane przez organ nadzorczy właściwy na podstawie RODO lub przeprowadzone przezeń na tej podstawie dochodzenia, informując o tym krajowy organ nadzorczy i w odpowiednim przypadku konsultując się z nim. |
W przedmiocie drugiego pytania prejudycjalnego
|
34. |
W drugim pytaniu prejudycjalnym sąd odsyłający dąży w istocie do ustalenia, czy art. 9 ust. 1 RODO należy interpretować w ten sposób, że sporna praktyka w sytuacji, gdy dotyczy wywoływania stron internetowych i aplikacji osób trzecich ( 36 ), stanowi przetwarzanie wyliczonych w tym przepisie danych wrażliwych ( 37 ), które jest zakazane ( 38 ) [pytanie drugie lit. a)], a jeśli tak, to czy art. 9 ust. 2 lit. e) tego rozporządzenia należy interpretować w ten sposób, że użytkownik w sposób oczywisty – w rozumieniu tego przepisu – upublicznia z jednej strony dane ujawnione w wyniku wywołania stron internetowych oraz aplikacji lub z drugiej strony dane zamieszczone we wpisach lub wynikające z aktywowania zintegrowanych z tą stroną internetową lub aplikacjami ( 39 ) przycisków do dokonywania wyborów [pytanie drugie lit. b)]. |
|
35. |
Co się tyczy w pierwszej kolejności pytania drugiego lit. a), przypominam, że zgodnie z art. 9 ust. 1 RODO przetwarzanie danych wrażliwych jest zabronione. Jak wynika z motywu 51 tego rozporządzenia, szczególna ochrona tych danych jest uzasadniona tym, że z racji swego charakteru są one szczególnie wrażliwe w świetle podstawowych praw i wolności, a ich przetwarzanie może powodować poważne ryzyko dla tych podstawowych praw i wolności. Ponadto pomimo nieco niejasnego brzmienia tego przepisu ( 40 ) nie wydaje mi się, aby – jak założył sąd odsyłający – wprowadzał on istotną różnicę między danymi osobowymi wrażliwymi ze względu na to, że „ujawniają” pewną sytuację, i danymi, które same w sobie są wrażliwe ( 41 ). |
|
36. |
W niniejszej sprawie jest moim zdaniem oczywiste, że sporna praktyka stanowi przetwarzanie danych osobowych, które co do zasady może wchodzić w zakres stosowania tego przepisu i być zakazane, skoro przetwarzane dane „ujawniają” jedną z wyliczonych w nim sytuacji wrażliwych. Należy zatem ustalić, czy i w jakim zakresie wywoływanie stron internetowych i aplikacji lub zamieszczanie na nich wpisów danych mogą mieć właściwości „ujawniające” jedną z wrażliwych sytuacji wymienionych w omawianym przepisie. |
|
37. |
W tym względzie wątpię, czy właściwe (i zawsze możliwe) jest wprowadzenie rozróżnienia między z jednej strony samym tylko zainteresowaniem osoby, której dane dotyczą, w odniesieniu do niektórych informacji, a z drugiej strony przynależnością tej osoby do jednej z kategorii, o których mowa w tym przepisie ( 42 ). Skoro stanowiska stron w postępowaniu głównym są pod tym względem sprzeczne ( 43 ), uważam, że odpowiedzi na to pytanie można szukać jedynie indywidualnie dla każdego z poszczególnych działań składających się na sporną praktykę. |
|
38. |
O ile, jak podnosi rząd niemiecki, zwykłe gromadzenie wrażliwych danych osobowych dotyczących wywoływania strony internetowej lub aplikacji samo w sobie niekoniecznie stanowi przetwarzanie wrażliwych danych osobowych w rozumieniu tego przepisu ( 44 ), to przeciwnie, połączenie tych danych z kontem Facebook użytkownika, którego dane dotyczą, lub ich wykorzystywanie stanowią zachowania, które o wiele łatwiej można uznać za takie przetwarzanie. Moim zdaniem elementem decydującym do celów stosowania art. 9 ust. 1 RODO jest możliwość, że przetwarzane dane pozwalają na profilowanie użytkownika według kategorii, które wynikają z zawartego w tym przepisie wyliczenia danych wrażliwych ( 45 ). |
|
39. |
W tym kontekście, aby móc ustalić, czy przetwarzanie danych wchodzi w zakres stosowania tego przepisu, użyteczne może być wprowadzenie rozróżnienia w odpowiednim przypadku pomiędzy z jednej strony przetwarzaniem danych, które można prima facie zaklasyfikować do kategorii danych wrażliwych i które same w sobie pozwalają na profilowanie osoby, której dane dotyczą, a z drugiej strony przetwarzaniem danych, które same nie są wrażliwe, lecz wymagają późniejszych działań polegających na kompilacji w celu wyciągnięcia wiarygodnych wniosków umożliwiających profilowanie danej osoby. |
|
40. |
Niemniej jednak należy wyjaśnić, że kategoryzacja w rozumieniu tego przepisu istnieje niezależnie od tego, czy jest ona prawidłowa bądź prawdziwa, czy nie ( 46 ). Należy wziąć pod uwagę możliwość, że tego rodzaju kategoryzacja stwarza poważne zagrożenie dla podstawowych praw i wolności osoby, której dane dotyczą, jak zostało to przypomniane w motywie 51 RODO – możliwość, która jest niezależna od prawdziwości owej kategoryzacji. |
|
41. |
Wreszcie, co się tyczy wniosku sądu odsyłającego zmierzającego do ustalenia, czy cel wykorzystania ma znaczenie dla rozpatrywanej oceny ( 47 ), uważam, że wbrew temu, co twierdzi skarżąca w postępowaniu głównym, co do zasady nie jest wymagane, aby administrator danych przetwarzał te dane, „wiedząc i mając bezpośredni zamiar wywieść z nich szczególne kategorie informacji”. Celem omawianego przepisu jest bowiem w istocie zapobieganie w sposób obiektywny poważnemu ryzyku dla podstawowych praw i wolności osób, których dane dotyczą, spowodowanemu przetwarzaniem wrażliwych danych osobowych, niezależnie od wszelkich elementów subiektywnych, takich jak zamiar administratora. |
|
42. |
Co się tyczy w drugiej kolejności pytania drugiego lit. b), przypominam, że zgodnie z art. 9 ust. 2 lit. e) RODO zakaz przetwarzania wrażliwych danych osobowych nie ma zastosowania, jeżeli przetwarzanie to dotyczy danych osobowych, które są w sposób oczywisty upublicznione przez osobę, której dane dotyczą. Ponadto z zawartego w treści tego przepisu odniesienia do wyrażenia przyimkowego „w sposób oczywisty” oraz faktu, że przepis ten ustanawia wyjątek od zasady zakazu przetwarzania danych wrażliwych ( 48 ), wynika wymóg szczególnie ścisłego stosowania tego wyjątku ze względu na poważne ryzyko dla praw podstawowych i podstawowych wolności osób, których dane dotyczą ( 49 ). Aby wyjątek ten mógł mieć zastosowanie, użytkownik musi mieć moim zdaniem pełną świadomość tego, że za pomocą wyraźnej i jednoznacznej ( 50 ) czynności upublicznia ( 51 ) dane osobowe. |
|
43. |
Wydaje mi się, że w niniejszej sprawie zachowanie polegające na wywoływaniu stron internetowych i aplikacji, zamieszczaniu wpisów danych na tych stronach i w tych aplikacjach oraz aktywowaniu zintegrowanych z nimi przycisków do dokonywania wyborów nie może co do zasady być zrównane z zachowaniem upubliczniającym w sposób oczywisty wrażliwe dane osobowe użytkownika w rozumieniu art. 9 ust. 2 lit. e) RODO. |
|
44. |
W szczególności pragnę zauważyć, że co do zasady wywoływanie stron internetowych i aplikacji umożliwia dostęp do danych dotyczących kliknięć wyłącznie administratorowi strony internetowej lub danej aplikacji oraz osobom trzecim, którym przekazuje on te informacje, takim jak skarżąca w postępowaniu głównym ( 52 ). Podobnie, o ile poprzez zamieszczanie wpisów danych na stronach internetowych i w aplikacjach osoba, której dane dotyczą, mogłaby udzielić w sposób bezpośredni i dobrowolny informacji o niektórych wrażliwych danych osobowych, o tyle pragnę również stwierdzić, że informacje te są dostępne wyłącznie dla operatora danej strony internetowej lub danej aplikacji oraz dla osób trzecich, którym przekazuje on te informacje. Wykluczam zatem, że takie zachowania mogą świadczyć o chęci udostępnienia tych danych społeczności ( 53 ). Ponadto, o ile jest oczywiste, że poprzez aktywowanie służących do dokonywania wyborów przycisków zintegrowanych z tą stroną internetową lub aplikacją ( 54 ) zainteresowana osoba wyraźnie wyraża wolę udostępnienia niektórych informacji odbiorcom spoza strony internetowej lub danej aplikacji, o tyle jestem zdania, że – jak podkreśla Bundeskartellamt – zachowując się w ten sposób, dana osoba jest świadoma, że udostępnia informacje określonemu kręgowi osób, często ustalanemu przez samego użytkownika ( 55 ), a nie społeczności ( 56 ). |
|
45. |
Wreszcie, jeśli chodzi o znaczenie ewentualnej zgody udzielonej przez użytkownika w rozumieniu art. 5 ust. 3 dyrektywy 2002/58, aby dane osobowe mogły być gromadzone za pomocą plików cookies lub podobnych technologii, na które powołuje się sąd odsyłający, uważam, że zgoda ta ze względu na jej szczególny cel nie może sama w sobie uzasadniać przetwarzania zebranych za pomocą tych środków wrażliwych danych osobowych ( 57 ). Zgoda ta, niezbędna do zainstalowania technicznego środka przechwytywania niektórych czynności użytkownika ( 58 ), nie dotyczy przetwarzania danych wrażliwych i nie może być zrównana z wolą upublicznienia w sposób oczywisty tych danych w rozumieniu art. 9 ust. 2 lit. e) RODO ( 59 ). |
|
46. |
Podsumowując, proponuję, aby na drugie pytanie prejudycjalne odpowiedzieć, po pierwsze, iż art. 9 ust. 1 RODO należy interpretować w ten sposób, że zakaz przetwarzania wrażliwych danych osobowych może obejmować przetwarzanie danych dokonywane przez administratora sieci społecznościowej online polegające na gromadzeniu danych dotyczących użytkownika w przypadku, gdy wywołuje on inne strony internetowe lub aplikacje lub zamieszcza tam wpisy swoich danych, łączeniu tychże danych z kontem użytkownika sieci społecznościowej i ich wykorzystywaniu – pod warunkiem, że przetwarzane informacje, analizowane pojedynczo lub grupowo, pozwalają profilować użytkownika według kategorii wynikających z zawartego w tym przepisie wykazu wrażliwych danych osobowych, a po drugie, iż użytkownik nie upublicznia w sposób oczywisty w rozumieniu art. 9 ust. 2 lit. e) RODO danych ujawnianych przy wywoływaniu stron internetowych i aplikacji lub zamieszczanych w drodze wpisów na tych stronach lub w tych aplikacjach lub wynikających z aktywacji zintegrowanych z nimi przycisków do dokonywania wyborów. |
W przedmiocie pytań prejudycjalnych od trzeciego do piątego
|
47. |
W pytaniach prejudycjalnych od trzeciego do piątego sąd odsyłający dąży w istocie do ustalenia, czy art. 6 ust. 1 lit. b)–f) RODO należy interpretować w ten sposób, że sporna praktyka ( 60 ) wchodzi w zakres zastosowania jednego z uzasadnień przewidzianych w tych przepisach, a w szczególności:
|
|
48. |
Na wstępie niezależnie od kilku kwestii odnoszących się do dopuszczalności pytań czwartego i piątego ( 68 ) proponuję udzielić łącznej odpowiedzi na pytania od trzeciego do piątego, ponieważ wskazówki, które przedstawię poniżej, w szczególności w odniesieniu do pytania trzeciego, mogą być również przydatne dla sądu odsyłającego przy stosowaniu przepisów będących przedmiotem pytań czwartego i piątego. |
|
49. |
Przede wszystkim pragnę zauważyć, że zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) dane osobowe powinny być przetwarzane rzetelnie w określonych celach i na uzasadnionej podstawie przewidzianej ustawą. W tym względzie art. 6 ust. 1 RODO stanowi, że przetwarzanie tych danych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z sześciu warunków wymienionych w tym przepisie ( 69 ). |
|
50. |
W niniejszej sprawie uważam przede wszystkim, że pytania od trzeciego do piątego wymagają przeprowadzenia szczegółowej analizy poszczególnych postanowień warunków korzystania z Facebooka w kontekście spornej praktyki, ponieważ nie jest możliwe ustalenie, czy w odniesieniu do tej praktyki „przedsiębiorstwo takie jak [Meta Platforms]” może powoływać się na wszystkie (lub niektóre) uzasadnienia zawarte w art. 6 ust. 1 RODO w ich całokształcie, nawet jeśli nie można wykluczyć, że ta praktyka lub niektóre ze składających się na nią działań mogą w niektórych przypadkach być objęte zakresem stosowania tego artykułu ( 70 ). |
|
51. |
Następnie przetwarzanie, o którym mowa w przytoczonych przepisach, jest w niniejszym przypadku dokonywane na podstawie ogólnych warunków umowy narzuconych przez administratora przy braku wymogu uzyskania zgody osoby, której dane dotyczą ( 71 ), a nawet wbrew jej woli, co wymaga moim zdaniem przyjęcia ścisłej wykładni omawianych uzasadnień, w szczególności ze względu na to, aby nie doszło do obejścia warunku uzyskania zgody ( 72 ). |
|
52. |
Pragnę wreszcie przypomnieć, że zgodnie z art. 5 ust. 2 RODO ciężar dowodu, że dane osobowe są przetwarzane zgodnie z uregulowaniami zawartymi w tym rozporządzeniu, spoczywa na administratorze, a zgodnie z art. 13 ust. 1 lit. c) tego rozporządzenia to również na administratorze danych ciąży obowiązek określenia celów przetwarzania danych, do których dane są przeznaczone, oraz podstawy prawnej przetwarzania. |
W przedmiocie pytania trzeciego
|
53. |
Po pierwsze, zgodnie z art. 6 ust. 1 lit. b) RODO przetwarzanie danych osobowych jest zgodne z prawem, gdy jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą ( 73 ). |
|
54. |
W tym względzie przypominam, że wyrażenie „konieczność” nie zostało zdefiniowane w prawodawstwie Unii, lecz zgodnie z orzecznictwem stanowi autonomiczne pojęcie prawa Unii ( 74 ). Aby przetwarzanie było konieczne do wykonania umowy, nie wystarczy, aby zostało ono dokonane w związku z wykonaniem umowy ani aby zostało wskazane w umowie ( 75 ) lub nawet aby po prostu było przydatne do wykonania umowy ( 76 ). Zgodnie z orzecznictwem Trybunału przetwarzanie powinno być obiektywnie konieczne do wykonania umowy w tym sensie, że nie mogą istnieć realne, mniej inwazyjne opcje ( 77 ), biorąc pod uwagę także racjonalne oczekiwania osoby, której dane dotyczą ( 78 ). Obejmuje to także fakt, że w przypadku, gdy umowa obejmuje kilka odrębnych usług lub elementów usługi, które w rzeczywistości można wykonywać niezależnie od siebie, kwestię zastosowania art. 6 ust. 1 lit. b) należy oceniać oddzielnie w kontekście każdej z tych usług ( 79 ). |
|
55. |
W ramach tego uzasadnienia sąd odsyłający wspomina o personalizacji treści oraz ciągłym i niezakłóconym korzystaniu z produktów (lub raczej usług) własnych grupy. |
|
56. |
Co się tyczy personalizacji treści, wydaje mi się, że o ile takie działanie może w pewnym stopniu leżeć w interesie użytkownika, ponieważ umożliwia przedstawienie, w szczególności w „Newsfeed” [stale aktualizujących się informacjach w środkowej kolumnie na stronie głównej], treści, które zgodnie z dokonaną przez algorytm oceną odpowiadają interesom użytkownika, o tyle mam wątpliwości co do tego, czy jest ona konieczna dla świadczenia usługi rozpatrywanej sieci społecznościowej na tyle, żeby przetwarzanie danych osobowych w tym celu nie wymagało uzyskania zgody tego użytkownika ( 80 ). Do celów tego badania należałoby również uwzględnić okoliczność, że sporna praktyka nie dotyczy przetwarzania danych dotyczących zachowania użytkownika na stronie lub w aplikacji Facebooka, lecz danych pochodzących ze źródeł zewnętrznych, a zatem potencjalnie nieograniczonych. Zastanawiam się zatem, w jakim stopniu takie przetwarzanie mogłoby odpowiadać oczekiwaniom przeciętnego użytkownika, a ogólniej rzecz biorąc, jaki jest „stopień personalizacji”, którego użytkownik może oczekiwać od usługi, w której się zarejestrował ( 81 ). |
|
57. |
Jeśli chodzi o ciągłe i niezakłócone korzystanie z usług własnych grupy, pragnę zauważyć, że związek między różnego rodzaju usługami oferowanymi przez skarżącą w postępowaniu głównym, na przykład między Facebookiem a Instagramem, oczywiście może być użyteczny dla użytkownika, a nawet czasami przez tego użytkownika pożądany. Wątpię jednak, aby przetwarzanie danych osobowych pochodzących z innych serwisów grupy (w szczególności z Instagramu) było konieczne do świadczenia usług przez Facebooka ( 82 ). |
|
58. |
Po drugie, zgodnie z art. 6 ust. 1 lit. f) RODO przetwarzanie danych osobowych jest zgodne z prawem w zakresie, w jakim jest konieczne do celów urzeczywistnienia prawnie uzasadnionych interesów realizowanych przez administratora danych lub osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny wobec tych interesów charakter mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności wówczas, gdy osoba, której dane dotyczą, jest dzieckiem. |
|
59. |
Zgodnie z orzecznictwem Trybunału omawiany przepis określa trzy kumulatywne przesłanki legalności przetwarzania danych osobowych; jest to, po pierwsze, realizacja prawnie uzasadnionych interesów przez administratora danych lub osobę trzecią, lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla realizacji tych prawnie uzasadnionych interesów, po trzecie zaś, interesy te muszą przeważać nad podstawowymi prawami i wolnościami osoby objętej ochroną danych ( 83 ). |
|
60. |
Co się tyczy w pierwszej kolejności realizacji jednego z prawnie uzasadnionych interesów, przypominam, że istnieje szeroki wachlarz interesów uznanych w RODO i orzecznictwo za takowe ( 84 ); pragnę przy tym wyjaśnić, że zgodnie z art. 13 ust. 1 lit. d) RODO to na administratorze ciąży obowiązek podania prawnie uzasadnionych interesów realizowanych w ramach art. 6 ust. 1 lit. f) RODO ( 85 ). |
|
61. |
Dodatkowo w odniesieniu do warunku, zgodnie z którym przetwarzanie danych osobowych musi być konieczne dla realizacji potrzeb wynikających z prawnie uzasadnionych interesów, z orzecznictwa Trybunału wynika, że odstępstwa od ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne ( 86 ). Jeżeli zatem nie ma alternatywnego rozwiązania, które byłoby lepsze z punktu widzenia ochrony danych osobowych, konieczne jest istnienie ścisłego związku między przetwarzaniem a realizowanym interesem, gdyż nie wystarczy, aby przetwarzanie było jedynie użyteczne dla administratora. |
|
62. |
Wreszcie, co się tyczy porównania interesów administratora z interesami lub wolnościami oraz podstawowymi prawami osoby, której dane dotyczą, to zgodnie z orzecznictwem Trybunału wyważenie wchodzących w grę interesów należy do sądu odsyłającego ( 87 ). Ponadto, jak wskazano w motywie 47 RODO, w ramach tego ważenia niezbędne jest uwzględnienie rozsądnych oczekiwań opartych na relacjach łączących osoby, których dane dotyczą, z administratorem oraz ustalenie, czy osoba, której dane dotyczą, może rozsądnie oczekiwać w chwili i w ramach gromadzenia danych osobowych, że będą one przetwarzane w określonych celach. |
|
63. |
W ramach tego uzasadnienia sąd odsyłający powołuje się na personalizację reklamy, bezpieczeństwo sieci i poprawę jakości produktu. |
|
64. |
Przede wszystkim, co się tyczy personalizacji reklamy, z motywu 47 RODO wynika, że przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za działanie wykonywane w prawnie uzasadnionym interesie administratora. Jednakże w odniesieniu do konieczności przetwarzania należy zauważyć, że przedmiotowe dane pochodzą ze źródeł zewnętrznych względem Facebooka, a zatem pojawia się pytanie, jaki jest obiektywnie niezbędny w tym względzie „stopień personalizacji” reklamy. Jeśli chodzi o wyważenie wchodzących w grę interesów, należy moim zdaniem wziąć pod uwagę charakter rozpatrywanego prawnie uzasadnionego interesu (w niniejszej sprawie jest to interes czysto ekonomiczny), a także wpływ, jaki ma to przetwarzanie na użytkownika, w tym również na jego racjonalne oczekiwania, oraz ewentualne środki ochronne wprowadzone przez administratora ( 88 ). |
|
65. |
Podobne rozważania można następnie przeprowadzić w odniesieniu do bezpieczeństwa sieci. O ile bowiem prawnie uzasadniony interes administratora ( 89 ) może stanowić takie uzasadnienie przetwarzania, o tyle mniej oczywiste jest stwierdzenie, że przetwarzanie jest w tym przypadku konieczne, biorąc pod uwagę również to, że dane te pochodzą ze źródeł zewnętrznych wobec Facebooka ( 90 ). W każdym razie przypominam, że na administratorze spoczywa obowiązek określenia celów bezpieczeństwa, na których można ewentualnie oprzeć każdy z poszczególnych przypadków przetwarzania. |
|
66. |
W odniesieniu wreszcie do poprawy jakości produktu, jeżeli poprawa bezpieczeństwa została wyłączona jako jedno z analizowanych powyżej uzasadnień szczególnych, wydaje mi się, że takie uzasadnienie powinno być raczej w interesie użytkownika niż administratora. W tym kontekście trudno jest zrozumieć, w jakim zakresie prawnie uzasadniony interes administratora mógłby stanowić takie uzasadnienie i w jakim zakresie pozwoliłoby ono na pominięcie uzyskania zgody użytkownika. Co się tyczy przesłanki konieczności i wyważenia wchodzących w grę praw i interesów, odsyłam do rozważań powyżej. |
W przedmiocie pytań czwartego i piątego
|
67. |
W czwartym pytaniu prejudycjalnym, które stanowi w istocie rozszerzenie części drugiej trzeciego pytania prejudycjalnego, sąd odsyłający zmierza do ustalenia, czy powtarzanie się pewnych wyliczonych sytuacji wiąże się z istnieniem prawnie uzasadnionego interesu w rozumieniu art. 6 ust. 1 lit. f) RODO, podczas gdy w piątym pytaniu prejudycjalnym sąd ten zmierza do ustalenia, czy konieczność ustosunkowania się do zgodnego z prawem wniosku o dostarczenie pewnych danych, konieczność zwalczania szkodliwych zachowań i wspierania bezpieczeństwa lub w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa stanowią uzasadnienia mające zastosowanie w przypadku spornej praktyki ( 91 ). |
|
68. |
Niezależnie od dopuszczalności tych pytań ( 92 ) co do zasady uważam, że nie można wykluczyć w odniesieniu do pytania czwartego, iż w okolicznościach przywołanych przez sąd odsyłający ( 93 ) prawnie uzasadnione interesy mogą stanowić uzasadnienie niektórych postanowień stanowiących składową spornej praktyki, a jeśli chodzi o pytanie piąte, że w pewnych sytuacjach sporna praktyka może być uzasadniona na podstawie przywołanych przepisów. |
|
69. |
Jednakże z postanowienia odsyłającego nie wynika, czy i w jakim zakresie Meta Platforms Ireland wskazała w odniesieniu do każdego celu przetwarzania i rodzaju przetwarzanych danych prawnie uzasadnione interesy, które były konkretnie realizowane, lub inne uzasadnienia ewentualnie odpowiednie w tym przypadku ( 94 ). W świetle powyższych wskazówek to do sądu odsyłającego należy zatem zbadanie w okolicznościach przywołanych przez ten sąd, w jakim zakresie sporna praktyka jest uzasadniona istnieniem – po stronie Meta Platforms Ireland – prawnie uzasadnionych interesów w przetwarzaniu danych w rozumieniu art. 6 ust. 1 lit. f) RODO, czy też zachodzeniem jednego z pozostałych warunków określonych w art. 6 ust. 1 lit. c)–e) tego rozporządzenia. |
W przedmiocie odpowiedzi na pytania od trzeciego do piątego
|
70. |
Podsumowując, proponuję, aby na pytania prejudycjalne od trzeciego do piątego odpowiedzieć, że art. 6 ust. 1 lit. b)–f) RODO należy interpretować w ten sposób, iż sporna praktyka lub niektóre z będących jej składowymi czynności mogą być objęte wyjątkami przewidzianymi w tych przepisach pod warunkiem, że każdy z analizowanych sposobów przetwarzania danych spełnia przesłanki określone w konkretnym uzasadnieniu przedstawionym przez administratora danych i że w związku z tym:
|
W przedmiocie szóstego pytania prejudycjalnego
|
71. |
W szóstym pytaniu prejudycjalnym sąd odsyłający zmierza w istocie do ustalenia, czy art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, że można wyrazić skuteczną i dobrowolną zgodę – w rozumieniu art. 4 pkt 11 tego rozporządzenia – wobec przedsiębiorstwa zajmującego pozycję dominującą na krajowym rynku sieci społecznościowych online dla użytkowników prywatnych. |
|
72. |
Na wstępie pragnę przypomnieć, że w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO przewidziany został obowiązek uzyskania zgody osoby, której dane dotyczą, odpowiednio w odniesieniu do przetwarzania danych osobowych ogólnie i do przetwarzania danych wrażliwych. Ponadto zgodnie z art. 4 pkt 11 RODO do celów tego rozporządzenia „zgoda” osoby, której dane dotyczą, oznacza jakiekolwiek dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdza, że przyzwala na przetwarzanie dotyczących jej danych osobowych ( 95 ). |
|
73. |
Jeśli chodzi w szczególności o przesłankę „dobrowolności” zgody, która jest jedyną kwestionowaną w niniejszej sprawie, pragnę zauważyć, że zgodnie z motywem 42 RODO wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru ( 96 ) oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji ( 97 ). Ponadto, jak ustanowiono to w art. 7 ust. 1 RODO (i powtórzono w jego motywie 42), jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. |
|
74. |
Co się tyczy niniejszej sprawy, przypominam przede wszystkim, że – jak podkreślono w motywie 43 zdanie pierwsze RODO – zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje „wyraźny brak równowagi” między osobą, której dane dotyczą, a administratorem ( 98 ), następnie, że zgodnie z art. 7 ust. 4 RODO w chwili oceniania, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy wykonanie umowy, w tym świadczenie usługi, nie jest uzależnione między innymi od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy ( 99 ), i dodatkowo, że zgodnie z motywem 43 zdanie drugie RODO zgody także nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne ( 100 ). |
|
75. |
W niniejszej sprawie uważam, że ewentualne istnienie pozycji dominującej na rynku po stronie administratora odpowiedzialnego za przetwarzanie danych osób korzystających z sieci społecznościowej odgrywa rolę przy ocenie tego, czy przy wyrażaniu tej zgody użytkownik tej sieci miał swobodę wyboru. Zajmowanie przez administratora danych osobowych znaczącej pozycji rynkowej może bowiem prowadzić do oczywistego braku równowagi sił w rozumieniu wskazanym w pkt 74 niniejszej opinii ( 101 ). Należy jednak wyjaśnić z jednej strony, że aby taka sytuacja przewagi rynkowej była istotna z punktu widzenia stosowania RODO, nie musi ona koniecznie być utożsamiana z osiągnięciem progu pozycji dominującej w rozumieniu art. 102 TFUE ( 102 ), a z drugiej strony, że ta okoliczność sama w sobie nie może co do zasady pozbawiać zgody wszelkiej ważności ( 103 ). |
|
76. |
W związku z tym ważność zgody należy badać indywidualnie w świetle innych czynników wskazanych w pkt 73 i 74 niniejszej opinii oraz przy uwzględnieniu wszystkich okoliczności sprawy i tego, że ciężar wykazania, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych, spoczywa na administratorze danych. |
|
77. |
Podsumowując, proponuję, aby na szóste pytanie prejudycjalne odpowiedzieć, że art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, iż okoliczność polegająca na tym, iż przedsiębiorstwo, które prowadzi sieć społecznościową, zajmuje pozycję dominującą na krajowym rynku sieci społecznościowych online dla użytkowników prywatnych, nie może sama w sobie pozbawiać zgody użytkownika tej sieci na przetwarzanie jego danych osobowych jej ważnego charakteru w rozumieniu art. 4 pkt 11 RODO. Okoliczność taka odgrywa jednak rolę przy ocenie dobrowolności wyrażenia zgody w rozumieniu tego przepisu, której to obowiązek wykazania spoczywa na administratorze, przy uwzględnieniu w odpowiednim przypadku istnienia wyraźnej nierównowagi między osobą, której dane dotyczą, a administratorem, ewentualnego wyrażenia zgody na przetwarzanie danych osobowych innych niż te, które są absolutnie konieczne do świadczenia rozpatrywanych usług, konieczności, by zgoda była wyrażona odrębnie dla każdego z celów, dla których dane są przetwarzane, oraz konieczności uniknięcia sytuacji, w której dochodzi do powstania szkody dla użytkownika, który zgodę wycofał. |
Wnioski
|
78. |
W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Oberlandesgericht Düsseldorf (sąd krajowy w Düsseldorfie, Niemcy) odpowiedział następująco:
|
( 1 ) Język oryginału: francuski.
( 2 ) Są to mianowicie Meta Platforms Inc., dawniej Facebook Inc., Meta Platforms Ireland Limited, dawniej Facebook Ireland Ltd., i Facebook Deutschland GmbH (zwane dalej „Meta Platforms” lub „skarżącą w postępowaniu głównym”).
( 3 ) Decyzja B6-22/16 z dnia 6 lutego 2019 r. (zwana dalej „sporną decyzją”).
( 4 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwane dalej „RODO”).
( 5 ) W wersji obowiązującej do dnia 18 stycznia 2021 r.
( 6 ) W tym celu poza danymi dostarczanymi bezpośrednio przez użytkowników przy rejestracji w odpowiednich serwisach online Meta Platforms gromadzi inne dane o użytkownikach i urządzeniach w ramach portalu społecznościowego i serwisów online oraz poza nim i łączy je z poszczególnymi kontami tych użytkowników. Dane te jako całość pozwalają na wyciągnięcie szczegółowych wniosków co do preferencji i zainteresowań użytkowników.
( 7 ) W szczególności w zakresie przetwarzania danych osobowych warunki użytkowania odsyłają do zasad dotyczących danych oraz „cookies” udostępnionych przez Meta Platforms. Zgodnie z nimi Meta Platforms gromadzi dane o użytkownikach oraz ich urządzeniach dotyczące działań użytkowników w ramach portalu społecznościowego i poza nim i łączy je z kontami Facebook tych użytkowników. Działania odbywające się poza siecią społecznościową polegają z jednej strony na wchodzeniu na strony internetowe i aplikacje osób trzecich połączonych z Facebookiem za pomocą interfejsów programowania aplikacji (a mianowicie „Facebook Business Tools”), a z drugiej strony na korzystaniu z innych serwisów online należących do grupy Meta Platforms, w tym Instagram i WhatsApp.
( 8 ) Zdaniem Bundeskartellamt to przetwarzanie danych, stanowiące wyraz siły rynkowej, naruszyło przepisy RODO i nie było uzasadnione w świetle art. 6 ust. 1 i art. 9 ust. 2 tego rozporządzenia.
( 9 ) Dodatkowo z inicjatywy Komisji Europejskiej i krajowych stowarzyszeń ochrony konsumentów państw członkowskich Meta Platforms z dniem 31 lipca 2019 r. wprowadziła nowe warunki korzystania, w które wyraźnie stwierdzono, że zamiast płacić za korzystanie z produktów Facebooka, użytkownik zgadza się na wyświetlanie reklam. Ponadto począwszy od dnia 28 stycznia 2020 r. Meta Platforms oferuje na całym świecie tak zwaną „Off-Facebook Activity”, która pozwala użytkownikom Facebooka na przeglądanie podsumowania informacji otrzymywanych przez Facebook na temat ich działań na innych stronach internetowych i w aplikacjach, a także na oddzielenie tych danych w przeszłości i na przyszłość od ich konta w serwisie Facebook, jeśli sobie tego życzą.
( 10 ) Wydaje mi się, że tak należy interpretować wyrażenie „stwierdza […] naruszenie RODO […] oraz wydaje decyzję nakazującą zaniechanie tego naruszenia”, zawarte w pierwszym pytaniu prejudycjalnym.
( 11 ) W każdym razie, zważywszy, że RODO przewiduje pełną harmonizację prawa do ochrony danych, której głównym elementem jest zharmonizowany mechanizm wdrażania oparty na zasadzie „kompleksowej współpracy” przewidziany w art. 51–67 tego rozporządzenia, wydaje mi się oczywiste, że organ inny niż organy nadzorcze w rozumieniu tego rozporządzenia (taki jak organ ochrony konkurencji) nie jest właściwy do stwierdzenia tytułem głównym naruszenia tego rozporządzenia ani do zastosowania przewidzianych sankcji.
( 12 ) W każdym razie, biorąc pod uwagę fakt, że organ ochrony konkurencji nie jest uprawniony do stwierdzenia tytułem głównym naruszenia tego rozporządzenia ani do stosowania przewidzianych sankcji, uważam, że ewentualna decyzja organu ochrony konkurencji w tym zakresie nie może naruszać uprawnień organów nadzorczych w rozumieniu RODO.
( 13 ) Sądzę, że w ten właśnie sposób należy interpretować znajdujące się w siódmym pytaniu prejudycjalnym wyrażenie „może dokonać ustaleń, na przykład w ramach wyważenia interesów, czy ustanowione przez to przedsiębiorstwo warunki przetwarzania danych i ich stosowanie są zgodne z RODO”.
( 14 ) Zobacz przypis 11 niniejszej opinii.
( 15 ) Rozporządzenie Rady z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji ustanowionych w art. [101 i 102 TFUE] (Dz.U. 2003, L 1, s. 1).
( 16 ) Podobnie jak § 19 GWB, będący podstawą spornej decyzji.
( 17 ) Zobacz tytułem przykładu wyrok z dnia 6 września 2017 r., Intel/Komisja (C‑413/14 P, EU:C:2017:632, pkt 136 i przytoczone tam orzecznictwo). Dodatkowo Trybunał wyjaśnił, że art. 102 TFUE ma ogólny zakres zastosowania, który nie może zostać ograniczony przez ramy prawne przyjęte przez prawodawcę Unii, w tym przypadku ramy prawne w dziedzinie łączności elektronicznej [zob. podobnie wyrok z dnia 10 lipca 2014 r., Telefónica i Telefónica de España/Komisja (C‑295/12 P, EU:C:2014:2062, pkt 128)].
( 18 ) W świetle tego, iż te dwie kategorie norm zostały ustanowione dla realizacji różnych celów, oczywiste jest bowiem, że zachowanie dotyczące przetwarzania danych może stanowić naruszenie reguł konkurencji, nawet jeśli jest zgodne z RODO, i odwrotnie, zachowanie niezgodne z prawem w rozumieniu tego aktu niekoniecznie prowadzi do wniosku, że stanowi ono naruszenie reguł konkurencji. W tym względzie Trybunał wyjaśnił, że zgodność zachowania z przepisami szczególnymi nie wyklucza możliwości zastosowania do tego samego zachowania art. 101 i 102 TFUE [zob. w szczególności wyrok z dnia 6 grudnia 2012 r., AstraZeneca/Komisja (C‑457/10 P, EU:C:2012:770, pkt 132), w którym Trybunał przypomniał także, że nadużycia pozycji dominującej polegają w większości przypadków na zachowaniach skądinąd zgodnych z prawem w świetle innych gałęzi prawa niż prawo konkurencji]. Gdyby bowiem za mające znamiona nadużycia w rozumieniu tego postanowienia były uznawane jedynie praktyki, które obiektywnie ograniczają konkurencję i jednocześnie są niezgodne z prawem, oznaczałoby to, że dane zachowanie – wyłącznie z powodu jego zgodności z prawem – mimo że jest potencjalnie szkodliwe dla konkurencji, nie może zostać ukarane na podstawie art. 102 TFUE, co podważałoby cel tego postanowienia polegający na ustanowieniu systemu zapewniającego, aby konkurencja na rynku wewnętrznym nie była zakłócana [zob. podobnie moja opinia w sprawie Servizio Elettrico Nazionale i in. (C‑377/20, EU:C:2021:998, pkt 37)]. Z orzecznictwa Trybunału wynika, że tylko jeśli zachowanie antykonkurencyjne zostaje narzucone przedsiębiorstwom przez ustawodawstwo krajowe lub jeśli ustawodawstwo to tworzy ramy prawne, które same z siebie eliminują wszelkie możliwości działania zgodnego z regułami konkurencji z ich strony, art. 101 i 102 TFUE nie znajdują zastosowania. Natomiast artykuły te mogą znaleźć zastosowanie, jeśli okaże się, że ustawodawstwo krajowe pozostawia możliwość istnienia konkurencji, która może być uniemożliwiona, ograniczona lub zakłócona poprzez niezależne działania przedsiębiorstw [zob. podobnie wyrok z dnia 14 października 2010 r., Deutsche Telekom/Komisja (C‑280/08 P, EU:C:2010:603, pkt 80 i przytoczone tam orzecznictwo)].
( 19 ) Wykładnia, zgodnie z którą organom ochrony konkurencji nie wolno interpretować postanowień RODO w ramach wykonywania ich kompetencji, mogłaby bowiem podważyć skuteczne stosowanie prawa antymonopolowego Unii.
( 20 ) Ponadto pomocniczy charakter wykładni RODO dokonywanej przez organ ochrony konkurencji nie stoi na przeszkodzie temu, by wykładnia ta została poddana kontroli sądowej przed sądami krajowymi właściwymi ds. konkurencji, które w przypadku trudności z wykładnią mogłyby zwrócić się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym, tak jak w niniejszej sprawie w odniesieniu do pytań prejudycjalnych od drugiego do szóstego.
( 21 ) Wykładnia RODO przez organ ochrony konkurencji wyłącznie w celu stosowania norm (i ewentualnie nałożenia sankcji) przewidzianych w prawie antymonopolowym nie może bowiem pozbawić organów nadzorczych kompetencji i uprawnień przyznanym ich w ramach tego rozporządzenia. Ponadto możliwość pomocniczego dokonywania przez organ ochrony konkurencji wykładni tego rozporządzenia nie stwarza większych trudności w jego stosowaniu, które jest zastrzeżone dla organów nadzorczych, ani w odniesieniu do nakazania środków naprawczych lub sankcji, ponieważ te środki lub sankcje ewentualnie nałożone przez organ ochrony konkurencji opierają się na zasadach, celach i prawnie uzasadnionych interesach innych niż chronione przez to samo rozporządzenie {z tego zresztą względu w takiej sytuacji nałożenie sankcji przez organ ochrony konkurencji i organ nadzorczy w rozumieniu RODO nie jest moim zdaniem objęte zasadą ne bis in idem [zob. analogicznie wyrok z dnia 22 marca 2022 r., bpost (C‑117/20, EU:C:2022:202, pkt 42–50)]}.
( 22 ) Ponadto ryzyko rozbieżnej wykładni jest nieodłącznie związane z każdą dziedziną regulowaną przez przepisy sektorowe, które organ ochrony konkurencji powinien lub może brać pod uwagę przy ocenie zgodności z prawem określonego zachowania w świetle prawa konkurencji.
( 23 ) Rozdziały VI i VII RODO ustanawiają w szczególności mechanizmy „kompleksowej współpracy” polegającej na wymianie informacji i wzajemnej pomocy między organami nadzorczymi.
( 24 ) Zobacz rozporządzenie Rady (WE) nr 1/2003 i dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1 z dnia 11 grudnia 2018 r. mająca na celu nadanie organom ochrony konkurencji państw członkowskich uprawnień w celu skuteczniejszego egzekwowania prawa i zapewnienia należytego funkcjonowania rynku wewnętrznego (Dz.U. 2019, L 11, s. 3).
( 25 ) Zobacz w szczególności podobnie wyroki: z dnia 14 listopada 1989 r., Włochy/Komisja (14/88, EU:C:1989:421, pkt 20); a także z dnia 11 czerwca 1991 r., Athanasopoulos i in. (C‑251/89, EU:C:1991:242, pkt 57).
( 26 ) Ponadto ustanowiony w RODO mechanizm współpracy między organami nadzorczymi może być sam w sobie uznany za lex specialis, który uzupełnia i precyzuje ogólną zasadę lojalnej współpracy ustanowioną w art. 4 ust. 3 TUE (zob. w szczególności doktryna: H. Hijmans, Article 51 Supervisory authority, w: The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, s. 869). To samo dotyczy innych instrumentów współpracy istniejących wcześniej niż ten, który przewiduje RODO, takich jak system współpracy między organami ds. konkurencji (zob. w szczególności rozdział IV rozporządzenia nr 1/2003).
( 27 ) Zobacz podobnie opinia rzecznik generalnej V. Trstenjak w sprawie Gorostiaga Atxalandabaso/Parlament (C‑308/07 P, EU:C:2008:498, pkt 89).
( 28 ) Zobacz w szczególności wyrok z dnia 2 czerwca 2022 r., Skeyes (C‑353/20, EU:C:2022:423, pkt 52 i przytoczone tam orzecznictwo). Moim zdaniem wskazówki co do kroków, jakie należy podjąć, można w tym przypadku wywieść z systemu współpracy ustanowionego przez RODO, a także z systemu ustanowionego w dziedzinie konkurencji, przy czym w braku przepisów ad hoc obowiązek staranności ciążący na organie ochrony konkurencji nie sięga tak daleko, by nakładać na niego szczegółowe obowiązki, takie jak w szczególności obowiązki przewidziane w ramach procedury współpracy i kontroli spójności, o której mowa w rozdziale VII RODO (np. nie można oczekiwać od organu ochrony konkurencji wysłania projektu decyzji właściwemu organowi nadzorczemu w rozumieniu tego rozporządzenia w celu uzyskania opinii tego ostatniego organu).
( 29 ) Zobacz w szczególności podobnie w odniesieniu do dziedziny objętej przepisami Unii w dziedzinie farmacji wyrok z dnia 23 stycznia 2018 r., F. Hoffmann-La Roche i in. (C‑179/16, EU:C:2018:25, pkt 58–64).
( 30 ) Innymi słowy, decyzja ta sama w sobie stanowi element stanu prawnego i faktycznego, które organ ochrony konkurencji zobowiązany jest zbadać, zachowując przy tym swobodę wnioskowania w zakresie prawa konkurencji (zob. przypis 18 niniejszej opinii).
( 31 ) Biorąc pod uwagę rolę i funkcje krajowych organów nadzorczych w systemie współpracy ustanowionym przez RODO, uważam, że współdziałanie z krajowym organem nadzorczym może samo w sobie wystarczyć do spełnienia obowiązku staranności i lojalnej współpracy ze strony organu ochrony konkurencji, w szczególności gdy organ ten nie ma możliwości (w świetle właściwych procedur przewidzianych w prawie krajowym) lub środków (w szczególności językowych) pozwalających na prawidłową interakcję z wiodącym organem nadzorczym innego państwa członkowskiego.
( 32 ) Lub w stosownym wypadku, gdy organ ten znajduje się w innym państwie członkowskim, krajowego organu nadzorczego (zob. przypis 31 niniejszej opinii).
( 33 ) Pamiętając, że wykładnia niektórych przepisów RODO dokonana przez organ ochrony konkurencji w ramach wykonywania jego uprawnień nie przesądza o ich wykładni i zastosowaniu przez właściwe organy nadzorcze w rozumieniu tego rozporządzenia (zob. przypis 21 niniejszej opinii).
( 34 ) Bundeskartellamt podnosi w tym względzie, że oparł się na niemieckim prawie konkurencji, które umożliwia mu wymianę informacji z krajowymi organami nadzorczymi w rozumieniu RODO.
( 35 ) Jest tak tym bardziej, że – jak podnosi Bundeskartellamt – niemiecki federalny organ nadzorczy i wiodący organ nadzorczy Irlandii potwierdziły mu, że ten ostatni nie wszczął żadnego postępowania w przedmiocie takich samych praktyk jak te, które badał Bundeskartellamt.
( 36 ) Sąd odsyłający odnosi się w szczególności do wywoływania stron internetowych lub aplikacji oraz do zamieszczania przez użytkownika wpisów danych na tych stronach lub w tych aplikacjach (takich jak aplikacje do flirtowania, portale randkowe dla osób homoseksualnych, strony internetowe partii politycznych, strony internetowe związane ze zdrowiem), które generują dane chronione tym przepisem.
( 37 ) Zwanych dalej „danymi wrażliwymi”. Chodzi o przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne lub przynależność do związków zawodowych, a także przetwarzanie danych genetycznych czy też biometrycznych w celu zidentyfikowania osoby fizycznej w sposób jednolity, danych dotyczących zdrowia lub danych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej.
( 38 ) Pragnę zauważyć przy okazji, że skoro Bundeskartellamt w swojej decyzji wziął pod uwagę zgodę w rozumieniu art. 6 ust. 1 lit. a) RODO, a nie zgodę na podstawie art. 9 ust. 2 lit. a) RODO, to ma on wątpliwości co do znaczenia tej kwestii dla rozstrzygnięcia sporu.
( 39 ) Sąd odsyłający odnosi się w tym względzie do „wtyczek społecznościowych”, takich jak przyciski „Lubię to” lub „Udostępnij”, do „Zaloguj się przez Facebook” (to znaczy do możliwości zidentyfikowania się za pomocą identyfikatorów połączenia związanych z kontem Facebook) i do „account kit” (to znaczy do możliwości zidentyfikowania się w aplikacji lub na witrynie, niekoniecznie związanych z Facebookiem, za pomocą numeru telefonu lub adresu e-mail, bez konieczności podawania hasła).
( 40 ) Pragnę również wskazać na istotną niespójność, jak zachodzi między francuską wersją RODO, odnoszącą się w zdaniu pierwszym tego przepisu do przetwarzania danych osobowych, które „ujawnia” pewne sytuacje wrażliwe, a wersją niemiecką (a także w szczególności wersjami grecką i włoską [oraz polską – przyp. tłum.]), odnoszącymi się do przetwarzania danych osobowych, które „ujawniają” te sytuacje. O ile się nie mylę, francuska wersja językowa tego przepisu pozostaje w sprzeczności z większością pozostałych wersji językowych. Ponadto w kontekście wspomnianego przepisu bardziej logiczne wydaje mi się powiązanie czasownika „ujawniać” z danymi, ponieważ w dalszej części tego przepisu to dane są przedmiotem analizy, a nie przetwarzanie. Wynika to również z francuskiej treści motywu 51 RODO, który stanowi, że do takich danych wrażliwych „powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne” (wyróżnienie moje).
( 41 ) Moim zdaniem nie byłoby zgodne z duchem art. 9 ust. 1 RODO, którym jest ochrona pewnych wrażliwych danych osobowych, aby wprowadzać rozróżnienie na przykład między z jednej strony pochodzeniem rasowym lub etnicznym, które zawierałoby zakaz przetwarzania nie tylko danych bezpośrednio wskazujących na pochodzenie, ale także danych ujawniających tę sytuację, a z drugiej strony danymi genetycznymi, których zakaz przetwarzania nie obejmowałby danych ujawniających tę sytuację, przy czym nie zawsze jest oczywiste rozróżnienie z jednej strony danych, które wchodzą w zakres pewnych sytuacji (na przykład pochodzenie rasowe lub etniczne), a z drugiej strony danych, które dotyczą innych sytuacji (na przykład zdrowie). W tym względzie pragnę zauważyć, że o ile art. 9 ust. 1 RODO odnosi się w szczególności do danych dotyczących zdrowia, o tyle jego art. 4 pkt 15 definiuje „dane dotyczące zdrowia” jako „dane osobowe o zdrowiu fizycznym lub psychicznym [odnoszące się do zdrowia fizycznego lub psychicznego] osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia” (wyróżnienie moje). Jak sugeruje rząd niemiecki, może się zdarzyć, że ta niespójność w brzmieniu omawianego przepisu stanowi jedynie nieszczególnie udaną próbę wprowadzenia rozróżnienia pomiędzy zwykłymi danymi o treści stricte informacyjnej, a „metadanymi”, w przypadku których odpowiednia zawartość informacyjna pojawia się jedynie w konkretnym kontekście w drodze oceny lub powiązania.
( 42 ) Co do zasady, jak podnosi skarżąca w postępowaniu głównym, te dwa aspekty różnią się między sobą. Zwykła bowiem okoliczność, że użytkownik uzyskał dostęp do strony internetowej lub wykonał na niej jakieś działania, nie musi sama w sobie ujawniać informacji na temat jego wierzeń, zdrowia, opinii politycznych itp., ponieważ zainteresowanie stroną internetową nie świadczy automatycznie o podzielaniu propagowanych idei lub przynależności do grup opisanych na tej stronie. Jest tak w szczególności w przypadku wywoływania strony partii politycznej lub takiej, która propaguje specyficzną ideologię polityczną, co nie musi oznaczać, że podziela się tę ideologię, lecz może być spowodowane ciekawością, a nawet wynikać z krytycznego nastawienia do tejże ideologii.
( 43 ) Zdaniem Meta Platforms fakt, że użytkownik miał dostęp do strony internetowej lub wykonał na niej jakieś działania, sam w sobie nie ujawnia informacji wrażliwych, ponieważ nawet gdyby zaobserwowano lub wykorzystano zainteresowanie stroną internetową, nie stanowiłoby to przetwarzania danych wrażliwych. Miałoby to miejsce tylko w przypadku, gdyby użytkownicy zostali sklasyfikowani za pomocą tych danych. W związku z tym dane będące przedmiotem spornej praktyki byłyby objęte ochroną przewidzianą w art. 9 ust. 1 RODO tylko wtedy, gdyby odnosiły się do jednej z kategorii, o których mowa w tym przepisie, i były celowo i świadomie przetwarzane z zamiarem wyprowadzenia na ich podstawie tych kategorii informacji. Natomiast zgodnie z wykładnią przyjętą przez Bundeskartellamt – moim zdaniem zbyt rygorystyczną – sam fakt, że dana osoba wywołuje określoną stronę internetową lub korzysta z określonej aplikacji, której główny przedmiot należy do dziedzin wyliczonych w art. 9 ust. 1 RODO, uruchamia już ochronę przewidzianą w tym przepisie. Ochrona wrażliwych danych osobowych nie zależy od zamiaru wykorzystania tych danych przez administratora, ponieważ prawa osoby, której dane dotyczą, są już naruszone przez fakt, że traci ona na nie wpływ.
( 44 ) Jak bowiem przyznała Europejska Rada Ochrony Danych (EROD), sam fakt, że dostawca mediów społecznościowych przetwarza znaczne ilości danych, które mogą być wykorzystane do celów wnioskowania o szczególnych kategoriach danych, nie oznacza automatycznie, że przetwarzanie podlega art. 9 RODO [zob. EROD, wytyczne 8/2020 z dnia 13 kwietnia 2021 r. dotyczące targetowania użytkowników mediów społecznościowych (zwane dalej „wytycznymi EROD 8/2020”), pkt 124].
( 45 ) Moim zdaniem przyjęcie takiej wykładni pozwoliłoby uniknąć sytuacji, nad którą ubolewa skarżąca w postępowaniu głównym, a w której administrator w istocie naruszałby w sposób domyślny RODO, ponieważ nie mógłby przeszkodzić ewentualnemu otrzymaniu (w szczególności za pomocą zautomatyzowanych środków) informacji mających pośredni związek z kategoriami danych wrażliwych, bez uszczerbku dla ciążącego na nim obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa dostosowanego do ryzyka zgodnie z art. 32 RODO.
( 46 ) Zobacz podobnie wytyczne EROD 8/2020, pkt 125.
( 47 ) Sąd odsyłający wskazuje w tym względzie na personalizację sieci społecznościowej oraz reklam, bezpieczeństwo sieci, poprawę usług pomiarowych i analitycznych dla reklamodawców, badania w interesie wspólnym, udzielanie odpowiedzi na wnioski prawne, zgodność z obowiązkami ustawowymi, ochronę żywotnych interesów użytkowników i osób trzecich oraz na zadania wykonywane w interesie publicznym.
( 48 ) Zobacz analogicznie wyrok z dnia 21 grudnia 2016 r., Tele2 Sverige et Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970, pkt 89 i przytoczone tam orzecznictwo), dotyczący wykładni art. 15 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11).
( 49 ) Zobacz także opinia 6/2014, s. 10, 11, Grupy Roboczej Art. 29, niezależnego organu doradczego ustanowionego na mocy art. 29 dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31) i od czasu przyjęcia RODO zastąpionej przez EROD.
( 50 ) Warunek ten jest moim zdaniem bardzo zbliżony do warunku odnoszącego się do zgody osoby, której dane dotyczą.
( 51 ) Przypominam, że zgodnie z art. 5 ust. 2 RODO ciężar dowodu, że dane osobowe są przetwarzane zgodnie z normą RODO, spoczywa na administratorze.
( 52 ) Ponadto, o ile uważny użytkownik jest prawdopodobnie świadomy faktu, że informacje o jego połączeniu są dostępne dla administratora strony internetowej lub aplikacji, o tyle moim zdaniem nie jest już tak oczywiste, że jest on również świadomy, że informacje te są również dostępne dla administratora jego konta na Facebooku.
( 53 ) Użytkownik jest co najwyżej świadomy swojej „relacji” z administratorem strony lub aplikacji oraz osobami trzecimi, którym administrator ten przekazuje te informacje, lecz może się okazać, że nie jest on świadomy nawet tej relacji, ponieważ, w zależności od okoliczności, może mieć wrażenie, że ujawnia informacje, ewentualnie anonimizowane, jedynie urządzeniu.
( 54 ) Chodzi o przyciski takie jak „lubię to”, „udostępnij” itp. (zob. przypis 39 niniejszej opinii).
( 55 ) Na przykład Facebook oferuje użytkownikowi, w jego preferencjach, kilka opcji udostępniania informacji z jego konta Facebook.
( 56 ) Oczywiście nie można wykluczyć, że w szczególnych przypadkach użytkownik w drodze tych czynności stara się faktycznie przekazywać dotyczące go informacje nieokreślonej liczbie osób. Na przykład możliwe jest, że użytkownik ustawi opcje udostępniania swojego konta na Facebooku w taki sposób, aby treści znajdujące się na jego profilu były dostępne dla wszystkich użytkowników tej sieci społecznościowej, i jest tego świadom. Jednakże nawet w takich okolicznościach, mając na uwadze ścisły charakter rozpatrywanego wyjątku |(zob. pkt 42 niniejszej opinii), nie jest oczywiste, że użytkownik poprzez takie zachowanie chciał bez żadnej wątpliwości wyrazić zamiar upublicznienia w sposób oczywisty omawianych danych osobowych.
( 57 ) Zobacz podobnie wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 87–89).
( 58 ) W szczególności plików cookies (zob. motyw 25 dyrektywy 2002/58).
( 59 ) Ponadto zgody tej nie można również utożsamiać z wyraźną zgodą na przetwarzanie tych danych w rozumieniu art. 9 ust. 2 lit. a) RODO. Zgoda na profilowanie w rozumieniu art. 22 ust. 1 lit. c) RODO, której przedmiot jest ewidentnie ograniczony do przetwarzania polegającego na profilowaniu, również nie może mieć znaczenia.
( 60 ) W odniesieniu do pytania piątego sąd odsyłający włączył do spornej praktyki – poza gromadzeniem, łączeniem z kontem Facebook użytkownika i wykorzystywaniem danych pochodzących z innych serwisów grupy, a także ze stron internetowych i aplikacji należących do podmiotów trzecich (zob. pkt 10 niniejszej opinii) – także „wykorzystywanie już w inny sposób legalnie zgromadzonych i powiązanych danych” z kontem Facebook użytkownika.
( 61 ) Artykuł 6 ust. 1 lit. b) RODO.
( 62 ) Artykuł 6 ust. 1 lit. f) RODO.
( 63 ) Artykuł 6 ust. 1 lit. f) RODO.
( 64 ) To znaczy w odniesieniu do użytkowników małoletnich, świadczenia usług pomiarowych, analitycznych i innych usług biznesowych, przekazywania komunikacji marketingowej użytkownikom, badań i innowacji na rzecz celów społecznych, a także do informowania organów ścigania oraz reagowania na wnioski prawne.
( 65 ) Artykuł 6 ust. 1 lit. c) RODO.
( 66 ) Artykuł 6 ust. 1 lit. d) RODO.
( 67 ) Artykuł 6 ust. 1 lit. e) RODO.
( 68 ) W pytaniu czwarty sąd odsyłający zdaje się bowiem wzywać Trybunał do zajęcia stanowiska w przedmiocie stosowania, a nie wykładni art. 6 ust. 1 lit. f) RODO, a w pytaniu piątym nie wyjaśnia powodów, dla których żywi on wątpliwości co do wykładni art. 6 ust. 1 lit. c)–e) tego rozporządzenia.
( 69 ) Zobacz wytyczne EROD 2/2019 z dnia 8 października 2019 r. w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) RODO w kontekście świadczenia usług online na rzecz osób, których dane dotyczą (zwane dalej „wytycznymi EROD 2/2019”), pkt 1.
( 70 ) W tym względzie, o ile strony postępowania głównego są zasadniczo zgodne co do założenia, że do tego, aby można zastosować omawiane uzasadnienia, należy przeprowadzić analizę każdego konkretnego przypadku z osobna, o tyle ich stanowiska są rozbieżne, jeśli chodzi o praktyczne konsekwencje tego założenia. Bundeskartellamt podkreśla, że to na administratorze spoczywa obowiązek wykazania w sposób szczegółowy, jakie konkretnie dane będą przetwarzane w ramach danego scenariusza wykorzystania, i podnosi w szczególności, że skarżąca w postępowaniu przed sądem krajowym ograniczyła się do wskazania, iż całokształt przetwarzania danych pochodzących ze źródeł spoza Facebooka jest konieczny do każdego z celów przetwarzania danych określonych w warunkach korzystania. Meta Platforms Ireland uważa natomiast, że bez zbadania szczególnych cech każdego przypadku przetwarzania Bundeskartellamt nie mógł wykluczyć, iż sporna praktyka może być oparta na omawianych uzasadnieniach, a zatem nie mógł dojść do wniosku, że praktyka ta jest niezgodna z RODO.
( 71 ) Wyrażenie zgody przez użytkownika zostało przewidziane w art. 6 ust. 1 lit. a) RODO.
( 72 ) W tym względzie w pkt 16 wytycznych EROD 2/2019 wyjaśniono w szczególności, że zasady ograniczania celu [art. 5 ust. 1 lit. b) RODO] i minimalizacji danych [art. 5 ust. 1 lit. c) RODO] odgrywają szczególnie ważną rolę w przypadku umów o świadczenie usług online, które zazwyczaj nie podlegają indywidualnym negocjacjom, a to ze względu na istnienie poważnego ryzyka, iż administratorzy danych będą dążyć do zawierania w umowach warunków mających na celu maksymalne zwiększenie możliwości zbierania i wykorzystywania danych bez stosownego określania tych celów i uwzględnienia obowiązków dotyczących minimalizacji danych.
( 73 ) Zgodnie z pkt 2 wytycznych EROD 2/2019 przepis ten wspiera swobodę prowadzenia działalności gospodarczej zagwarantowaną w art. 16 karty i odzwierciedla fakt, że czasami zobowiązań umownych wobec osoby, której dane dotyczą, nie można wykonać bez przekazania przez nią pewnych danych osobowych. Pragnę uściślić, że drugi z przewidzianych w tym przepisie przypadków, dotyczący konieczności podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy, nie ma znaczenia w niniejszej sprawie. To samo dotyczy kwestii istnienia umowy ważnej zarówno w świetle właściwego prawa umów, jak i innych wymogów prawnych, w tym dotyczących umów konsumenckich [zob. w szczególności dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. 1993, L 95, s. 29)], która nie jest przedmiotem niniejszego odesłania prejudycjalnego.
( 74 ) Zobacz w odniesieniu do uregulowania odpowiadającego art. 6 ust. 1 lit. b) RODO, ustanowionego w art. 7 lit. e) dyrektywy 95/46, wyrok z dnia 16 grudnia 2008 r., Huber (C‑524/06, EU:C:2008:724, pkt 52).
( 75 ) Ponadto, o ile samo odniesienie do przetwarzania danych lub wspomnienie o przetwarzaniu danych w umowie nie jest wystarczające, aby takie przetwarzanie objąć zakresem stosowania art. 6 ust. 1 lit. b), przetwarzanie może być obiektywnie niezbędne, nawet jeśli nie określono tego wyraźnie w umowie, bez uszczerbku dla obowiązków administratora w zakresie przejrzystości (zob. wytyczne EROD 2/2019, pkt 27).
( 76 ) Zobacz podobnie wytyczne EROD 2/2019, pkt 25.
( 77 ) Zobacz podobnie wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, pkt 86), a także wytyczne EROD 2/2019, pkt 25. W tym względzie wytyczne te w pkt 27–32 odnoszą się w szczególności do tego, by przetwarzanie było obiektywnie niezbędne do osiągnięcia celu, jakim jest świadczenie tej usługi na rzecz osoby, której dane dotyczą, przy czym administrator powinien być w stanie wykazać, w jaki sposób główny przedmiot konkretnej umowy zawartej z osobą, której dane dotyczą, nie będzie mógł zostać faktycznie realizowany bez przetwarzania danych osobowych. W pkt 33 tych wytycznych zostały określone pomagające to ustalić pytania.
( 78 ) Zobacz podobnie wytyczne EROD 2/2019, pkt 32.
( 79 ) Zobacz podobnie wytyczne EROD 2/2019, pkt 37.
( 80 ) W tym względzie rząd austriacki trafnie zauważa, że wcześniej skarżąca w postępowaniu głównym umożliwiała użytkownikom Facebooka wybranie opcji przedstawianych chronologicznie lub spersonalizowanych Newsfeed [stale aktualizujących się informacji w środkowej kolumnie na stronie głównej], co świadczy o tym, że istnieje możliwość alternatywnego sposobu działania.
( 81 ) O ile sąd odsyłający nie stwierdzi inaczej, nie uważam, aby gromadzenie i wykorzystywanie danych osobowych poza Facebookiem mogło być konieczne do świadczenia usług oferowanych w ramach profilu Facebook, tak aby zgoda udzielona początkowo w celu uzyskania dostępu do sieci społecznościowej (czyli otwarcia profilu na Facebooku) mogła w sposób ważny obejmować przetwarzanie danych osobowych użytkownika poza Facebookiem. W takiej bowiem sytuacji korzystanie z omawianych usług byłoby uzależnione od zgody, która nie jest konieczna do wykonania umowy, a zgodnie z art. 7 ust. 4 RODO sąd odsyłający powinien w jak największym stopniu uwzględnić tę okoliczność (która zgodnie z motywem 43 RODO stanowi domniemanie bezskuteczności zgody, której obalenie spoczywa na administratorze danych w rozumieniu art. 7 ust. 1 RODO). Ponadto taka zgoda moim zdaniem również nie byłaby zgodna z zasadą, która wymaga wyrażenia z osobna zgody na każdą z poszczególnych operacji składających się na przetwarzanie danych osobowych (zob. część trzecia pkt 74 niniejszej opinii), ponieważ pozostaje ona bez związku ze zgodą użytkownika wyrażaną początkowo przy zakładaniu konta na Facebooku oraz jego ewentualną zgodą na przetwarzanie danych osobowych poza Facebookiem. Ponadto, nawet w przypadku ewentualnej późniejszej zgody, wyrażanej konkretnie na wykorzystanie danych poza Facebookiem, nie można rezygnować z przeprowadzenia analizy tego, czy administrator daje możliwość wyboru usługi równoważnej, która nie pociąga za sobą konieczności wyrażenia zgody na przetwarzanie danych osobowych do dodatkowych celów (zob. EROD, wytyczne 5/2020 z dnia 4 maja 2020 r. dotyczące zgody na mocy rozporządzenia (UE) 2016/679, zwane dalej „wytycznymi EROD 5/2020”), pkt 37, w których pkt 38 jest również mowa o tym, że administrator danych nie może odsyłać do równoważnej usługi świadczonej przez inny podmiot].
( 82 ) Jak podnosi rząd austriacki, decydujące w tym względzie wydaje mi się stwierdzenie, że różne produkty oferowane przez grupę mogą być używane niezależnie od siebie i że korzystanie z każdego serwisu opiera się na odrębnej umowie. Ponadto, jak zauważa Bundeskartellamt, ciągłe i niezakłócone korzystanie z serwisów własnych grupy należy uznać raczej za leżące w interesie użytkownika niż za konieczne dla działania tych serwisów, tak że co do zasady właściwsze byłoby pozostawienie dokonania tego wyboru użytkownikowi.
( 83 ) Zobacz analogicznie wyrok z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 28), dotyczący normy ustanowionej w art. 7 lit. f) dyrektywy 95/46, a odpowiadającej art. 6 ust. 1 lit. f) RODO.
( 84 ) Jak wskazał rzecznik generalny M. Bobek w opinii w sprawie Fashion ID (C‑40/17, EU:C:2018:1039, pkt 122), pojęcie „prawnie uzasadnionego interesu” w ramach dyrektywy 95/46 wydaje się dość pojemne i elastyczne. Jak podnosi bowiem skarżąca w postępowaniu głównym, Trybunał uznał wiele interesów za uzasadnione [zob. w szczególności wyroki: z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 81); z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779, pkt 55); z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 29); z dnia 24 września 2019 r., GC i in. (Usunięcie danych wrażliwych) (C‑136/17, EU:C:2019:773, pkt 53); z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, pkt 59); z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 108, 109)]. Moim zdaniem taki sam wniosek należy wyciągnąć z RODO, w którego motywie 47 wymieniono między innymi tytułem przykładu sytuację, gdy osoba, której dane dotyczą, jest klientem administratora danych lub działa na jego rzecz, oraz przetwarzanie danych osobowych do celów zapobiegania oszustwom lub do celów marketingu bezpośredniego, zaś w motywie 49 wymieniono bezpieczeństwo sieci i informacji oraz oferowanych usług.
( 85 ) Co wiąże się moim zdaniem z wymogiem sprecyzowania, na którym z prawnie uzasadnionych interesów opiera się każda z poszczególnych czynności składowych przetwarzania.
( 86 ) Zobacz podobnie wyroki: z dnia 4 maja 2017 r.Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 30); z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 110).
( 87 ) Zobacz podobnie wyroki: z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 31); z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 111). Trybunał przypomniał w tym względzie, że art. 7 lit. f) dyrektywy 95/46 [który odpowiada art. 6 ust. 1 lit. f) RODO] stoi na przeszkodzie temu, by państwo członkowskie w sposób kategoryczny i uogólniony wykluczyło w odniesieniu do określonych kategorii danych osobowych możliwość ich przetwarzania, nie pozwalając na wyważenie występujących w konkretnym przypadku przeciwstawnych praw i interesów; Trybunał uściślił przy tym, że państwo członkowskie nie może określić w stosunku do tych kategorii w sposób ostateczny rezultatu ważenia przeciwstawnych praw i interesów, nie dopuszczając do innego rezultatu będącego wynikiem szczególnych okoliczności konkretnego przypadku [wyrok z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779, pkt 62 i przytoczone tam orzecznictwo)].
( 88 ) Interesujących rozważań w tym względzie dostarcza opinia 6/2014 Grupy Roboczej Art. 29 w ust. III.3.4.
( 89 ) Zgodnie bowiem z motywem 49 RODO przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji jest, jak sprecyzowano w tym przepisie, prawnie uzasadnionym interesem administratora. Może chodzić na przykład o zapobieganie niedozwolonemu dostępowi do sieci łączności elektronicznej i rozpowszechnianiu złośliwych wirusów. Pragnę również zauważyć, że zgodnie z art. 32 tego rozporządzenia wprowadzono w nim w życie w szczególności odpowiednie środki techniczne i organizacyjne mające na celu zapewnienie poziomu bezpieczeństwa dostosowanego do ryzyka oraz że zgodnie z art. 5 ust. 1 lit. f) tego rozporządzenia dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
( 90 ) Należy zatem zbadać, w jakim stopniu przetwarzanie danych osobowych spoza strony internetowej lub aplikacji Facebooka okazuje się konieczne dla jego bezpieczeństwa. O ile sąd odsyłający wskazuje w tym względzie na możliwość wykorzystania danych z WhatsApp w roli antyspamowej (poprzez wykorzystanie informacji pochodzących z kont WhatsApp, które wysyłają spam, w celu podjęcia działań wobec odpowiadających im kont na Facebooku) oraz danych z aplikacji Instagram w celu wychwycenia wątpliwych lub niezgodnych z prawem zachowań, o tyle wątpię, aby skarżąca w postępowaniu głównym mogła przyznać sobie prawo do przetwarzania danych osobowych w celach „policyjnych” w szerokim znaczeniu, zważywszy, że zgodnie z orzecznictwem Trybunału w dziedzinie (odmiennej, lecz powiązanej) danych dotyczących łączności elektronicznej nawet środki ustawodawcze przewidujące w celach prewencyjnych uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji są niezgodne z dyrektywą 2002/58 [zob. wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 168)]. Ponadto przy założeniu, że konieczność zapewnienia bezpieczeństwa sieci wynika z wymogu prawnego, administrator może powołać się na szczególne uzasadnienie przewidziane w art. 6 ust. 1 lit. c) RODO.
( 91 ) Zgodnie z art. 6 ust. 1 lit. c)–e) RODO.
( 92 ) Zobacz pkt 48 niniejszej opinii.
( 93 ) Uwzględniając uwagę szeroki wachlarz prawnie uzasadnionych interesów uznanych w orzecznictwie (zob. pkt 60 niniejszej opinii). Na przykład wydaje mi się oczywiste co do zasady, że ochrona małoletnich może uzasadniać przyjęcie odpowiednich środków ochrony mających na celu zakazanie im dostępu do niestosownej lub niebezpiecznej treści.
( 94 ) Zgodnie bowiem z art. 13 ust. 1 lit. c) i d) RODO to na administratorze danych ciąży między innymi obowiązek wskazania, dla każdego celu przetwarzania, prawnie uzasadnionych interesów, które on sam lub osoba trzecia realizuje.
( 95 ) W wyroku z dnia 11 listopada 2020 r., Orange Romania (C‑61/19, EU:C:2020:901, pkt 35, 36 i przytoczone tam orzecznictwo), Trybunał wyjaśnił, że brzmienie art. 4 pkt 11 RODO, który definiuje „zgodę osoby, której dane dotyczą”, wydaje się bowiem jeszcze bardziej rygorystyczne niż brzmienie art. 2 lit. h) dyrektywy 95/46, gdyż przepis ten wymaga „dobrowolnego, konkretnego, świadomego i jednoznacznego” wyrażenia woli przez osobę, której dane dotyczą, w postaci oświadczenia lub „wyraźnego działania potwierdzającego” oznaczającego zgodę tej osoby na przetwarzanie dotyczących jej danych.
( 96 ) Jak podkreśla EROD, przymiot „dobrowolności” zakłada rzeczywistą możliwość dokonania wyboru przez osoby, których dane dotyczą (zob. wytyczne EROD 5/2020, pkt 13). W tym samym punkcie wyjaśniono w szczególności, że zgoda nie została udzielona dobrowolnie, jeżeli z jednej strony osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia, a z drugiej strony wyrażenie zgody stanowi niepodlegającą negocjacji część warunków ogólnych. W związku z tym wyrażenie zgody nie zostanie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji. W tym przypadku, jak podkreśla skarżąca w postępowaniu głównym, jedyną niedogodnością, jaką osoba, której dane dotyczą, musi zaakceptować, jest to, że w danym przypadku serwis może nie mieć tej samej funkcjonalności lub jakości, ponieważ przetwarzanie danych, w odniesieniu do których zgoda nie została udzielona, jest do tego technicznie konieczne.
( 97 ) W tym względzie w wytycznych EROD 5/2020 wymieniono wprowadzenie w błąd, zastraszanie, przymus lub znaczące negatywne skutki dla osoby, której dane dotyczą i która nie wyraziła zgody; przypomniano w nich, że administrator powinien być w stanie udowodnić, że osobie, której dane dotyczą, przysługiwała faktyczna możliwość wyboru co do udzielenia zgody i jej wycofania (pkt 47).
( 98 ) Oprócz sytuacji dotyczących stosunków z organami władzy publicznej i stosunków pracy, o których mowa w motywie 43, które nie mają znaczenia dla niniejszej sprawy, pkt 24 wytycznych EROD 5/2020 wymienia w szczególności sytuacje, gdy osoba, której dane dotyczą, nie ma możliwości dokonania rzeczywistego wyboru lub zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji (np. znaczących kosztów dodatkowych), jeżeli nie wyrazi zgody.
( 99 ) Pytanie to częściowo pokrywa się z pytaniem będącym przedmiotem pierwszej części trzeciego pytania prejudycjalnego (zob. pkt 53–57 niniejszej opinii). W motywie 43 zdanie drugie RODO przewidziano, że w takiej sytuacji uważa się, iż zgoda nie została udzielona w sposób dobrowolny (zgodnie z pkt 26 wytycznych EROD 5/2020; tym samym RODO zapewnia, by przetwarzanie danych osobowych, którego dotyczy wniosek o wyrażenie zgody, nie nosiło bezpośrednich ani pośrednich znamion świadczenia wzajemnego związanego z wykonaniem umowy), zastosowanie terminu „uważa się” wyraźnie wskazuje jednak, że jest to możliwe wyłącznie w wyjątkowych przypadkach (zob. wytyczne EROD 5/2020, pkt 35). Ponadto art. 7 ust. 4 RODO ma charakter katalogu otwartego dzięki zastosowaniu w nim wyrażenia „między innymi”, które oznacza, że istnieje również szereg innych sytuacji, które mogą zostać objęte zakresem stosowania tego przepisu, w tym wszelka niewłaściwa presja lub niewłaściwy wpływ na osobę, której dane dotyczą, uniemożliwiający jej swobodne złożenie oświadczenia woli (wytyczne EROD 5/2020, pkt 14).
( 100 ) W motywie 32 RODO wyjaśniono w szczególności, że udzielona zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach, a jeżeli przetwarzanie to służy różnym celom, potrzebne jest uzyskanie osobnej zgody na każdy z tych celów. W tym względzie wytyczne EROD 5/2020 odnoszą się do „szczegółowości” zgody jako przeszkody dla tego, aby zgoda miała swobodny charakter (pkt 44).
( 101 ) Taka sytuacja sprzyja w szczególności narzuceniu warunków, które nie są konieczne do wykonania umowy (zob. pkt 53–57 niniejszej opinii).
( 102 ) Innymi słowy, jak podnosi Komisja, stopień przewagi rynkowej przedsiębiorstwa, który jest krytyczny dla ważności zgody na mocy RODO, nie musi być utożsamiany z osiągnięciem progu pozycji dominującej na rynku w rozumieniu art. 102 TFUE.
( 103 ) Oczywiście, choć z jednej strony istnienie pozycji dominującej samo w sobie nie stoi na przeszkodzie możliwości wyrażenia dobrowolnej zgody na przetwarzanie danych osobowych, to z drugiej strony brak takiej pozycji nie jest sam w sobie wystarczający do zagwarantowania w każdych okolicznościach, że zgoda taka zostanie skutecznie udzielona.