Odpowiedzialność za przetwarzanie danych osobowych

Trybunał orzekł, że w przypadku prowadzenia fanpage'a na Facebooku administrator ponosi odpowiedzialność za przetwarzanie danych. W niniejszym przypadku Wirtschaftsakademie musiała dezaktywować fanpage z powodu naruszeń ochrony danych osobowych. Decyzja ta dotyczyła korzystania z plików cookies bez informowania użytkowników. TS uznał, że Facebook Inc. i Facebook Ireland określają cele i sposoby przetwarzania danych, dlatego są uznani za administratorów danych w rozumieniu dyrektywy 95/46.

Tematyka: przetwarzanie danych osobowych, Facebook, administrator danych, ochrona danych osobowych, fanpage, pliki cookies, dyrektywa 95/46, odpowiedzialność za dane, organ nadzorczy, TS, Wirtschaftsakademie

Trybunał orzekł, że art. 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, iż
w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu
mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa
w art. 28 ust. 3 tej dyrektywy, z powodu [...]
Wirtschaftsakademie Schleswig-Holstein GmbH (dalej jako: Wirtschaftsakademie) jest spółką prawa prywatnego,
która świadczy usługi kształcenia przy użyciu fanpage’a prowadzonego na Facebooku. Administratorzy fanpage’ów
mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji
„Facebook Insights” udostępnionej im nieodpłatnie przez Facebook. Dane te są gromadzone dzięki plikom
szpiegującym (dalej jako: pliki cookies), z których każdy zawiera niepowtarzalny kod użytkownika; są one aktywne
przez 2 lata i zapisywane przez Facebook na twardym dysku komputera lub na każdym innym nośniku osób
odwiedzających fanpage’a. Kod użytkownika, który można powiązać z danymi połączenia użytkowników
zarejestrowanych na Facebooku, zostaje pobrany i przetworzony w chwili otwarcia fanpage’ów. Z postanowienia
odsyłającego wynika, że ani Wirtschaftsakademie, ani Facebook Ireland Ltd nie wspomniały o operacji zapisania
i o działaniu tego pliku cookie lub o późniejszym przetwarzaniu danych, przynajmniej w okresie mającym znaczenie
dla postępowania głównego.
Niezależny regionalny organ ds. ochrony danych kraju związkowego Schlezwik-Holsztyn (dalej jako: ULD) jest
organem nadzorczym w rozumieniu art. 28 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r.
w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych
danych, odpowiedzialny za monitorowanie stosowania na terytorium kraju związkowego Szlezwik-Holsztyn,
przepisów przyjętych przez Republikę Federalną Niemiec na podstawie tej dyrektywy. Decyzją z 3.11.2011 r. (dalej
jako: zaskarżona decyzja) ULD nakazał Wirtschaftsakademie dezaktywację fanpage’a stworzonego przez nią na
Facebooku pod adresem: www.facebook.com/wirtschaftsakademie pod groźbą grzywny w przypadku jej
niewykonania w wyznaczonym terminie ze względu na to, iż ani Wirtschaftsakademie, ani Facebook nie informowali
osób odwiedzających fanpage’a o tym, że Facebook gromadził za pomocą plików cookies dotyczące ich dane
osobowe oraz że następnie przetwarzali te informacje. Wirtschaftsakademie wniosła odwołanie od tej decyzji
podnosząc, że nie była odpowiedzialna z punktu widzenia prawa mającego zastosowanie do ochrony danych ani za
przetwarzanie danych dokonywane przez Facebook, ani za zainstalowane przez niego pliki cookies.
Poprzez pytania prejudycjalne sąd odsyłający zmierzał do ustalenia, czy art. 2 lit. d), art. 17 ust. 2, art. 24 i art. 28 ust.
3 tiret drugie dyrektywy 95/46 należy interpretować w ten sposób, że umożliwiają one uwzględnienie
odpowiedzialności podmiotu, jako administratora fanpage’a prowadzonego na stronie portalu społecznościowego,
w przypadku naruszenia przepisów dotyczących ochrony danych osobowych ze względu na decyzję tego podmiotu
o korzystaniu z tego portalu społecznościowego w celu upowszechniania swojej oferty informacyjnej?
Z art. 1 ust. 1 i z motywu 10 dyrektywy 95/46 wynika, że jej celem jest zapewnienie wysokiego poziomu ochrony
podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania
danych osobowych (wyrok Ryneš, C-212/13, pkt 27). Zgodnie z tym celem art. 2 lit. d) tej dyrektywy definiuje
w sposób szeroki pojęcie „administrator danych” jako oznaczające osobę fizyczną lub prawną, władzę publiczną,
agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania
danych osobowych. Z orzecznictwa TS wynika, że celem tego przepisu jest zapewnienie, poprzez przyjęcie szerokiej
definicji tego pojęcia skutecznej i pełnej ochrony osobom, których dane dotyczą (wyrok Google Spain i Google, C-
131/12, pkt 34). Ponadto, termin „administrator danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie
z innymi podmiotami” określa cele i sposoby przetwarzania danych osobowych. Zatem to pojęcie nie odsyła
koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy
czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych.
Trybunał stwierdził, że w niniejszym przypadku Facebook Inc. oraz, w odniesieniu do UE, Facebook Ireland muszą
zostać uznane za podmioty określające cele i sposoby przetwarzania danych osobowych użytkowników Facebooka,
a także osób, które odwiedziły fanpage’e prowadzone na Facebooku, w związku z czym objęte są one pojęciem
„administrator danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46.
Każda osoba, która chce utworzyć fanpage’a na Facebooku, zawiera z Facebook Ireland szczególną umowę
w sprawie otwarcia takiej strony i akceptuje w związku z tym warunki korzystania z tej strony, w tym odnośną politykę
w dziedzinie plików cookies. Przetwarzanie danych, o którym mowa w postępowaniu głównym, jest zasadniczo
dokonywane poprzez zapisanie przez Facebook na komputerze lub na każdym innym urządzeniu osób
odwiedzających fanpage’a plików cookies, które mają na celu przechowywanie informacji w przeglądarkach

internetowych i pozostają aktywne przez okres 2 lat, jeśli nie zostaną usunięte. W praktyce Facebook otrzymuje,
zapisuje i przetwarza informacje przechowywane w plikach cookies w szczególności, gdy osoba korzysta z usług
Facebooka, usług świadczonych przez inne jego spółki oraz usług świadczonych przez inne przedsiębiorstwa, które
korzystają z usług tego portalu. Ponadto inne podmioty, takie jak partnerzy Facebooka, a nawet osoby trzecie, mogą
korzystać z plików cookies w produktach Facebooka, aby świadczyć usługi bezpośrednio temu portalowi
społecznościowemu, a także przedsiębiorstwom reklamującym się na Facebooku. Takie przetwarzanie danych
osobowych ma w szczególności pozwolić Facebookowi na poprawę systemu reklam, jakie emituje za pośrednictwem
swego portalu, oraz administratorowi fanpage’a na uzyskanie statystyk sporządzonych przez ten portal w oparciu
o liczbę odwiedzających tę stronę, do celów zarządzania promocją jego działalności. Sam fakt korzystania z portalu
społecznościowego nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych
osobowych dokonywane przez ów portal. Jednak TS zaznaczył, że administrator fanpage’a prowadzonego na
Facebooku, tworząc taką stronę, daje temu portalowi możliwość zapisania plików cookies na komputerze lub na
każdym innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy ta osoba posiada konto na
Facebooku czy też nie.
Utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na
ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów
w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby
statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów
udostępnionych przez Facebook zdefiniować kryteria, na podstawie których te statystyki muszą być sporządzane,
a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji
administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób
odwiedzających jego stronę.
Dyrektywa 95/46 nie wymaga, aby w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego
samego przetwarzania każdy miał dostęp do odnośnych danych osobowych. W tych okolicznościach TS uznał, że
administrator fanpage’a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując
działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych oraz
jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego
fanpage’a. Z tego względu TS stwierdził, że Wirtschaftsakademie ponosi na poziomie UE wspólną odpowiedzialność
z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Okoliczność, iż administrator
fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go z jego
obowiązków w dziedzinie ochrony danych osobowych. Ponadto fanpage’e prowadzone na Facebooku mogą być
odwiedzane również przez osoby, które nie są użytkownikami tego portalu i które w związku z tym nie posiadają
konta użytkownika na tym portalu. Trybunał podkreślił, że w tym przypadku odpowiedzialność administratora
fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo
wejście na fanpage’a przez osoby odwiedzające powoduje automatyczne przetworzeniem ich danych osobowych.
Rzecznik generalny wskazał, że istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową
odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych (pkt 75 i 76 opinii).
Trybunał dodał, że te podmioty mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu,
tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych
okoliczności danej sprawy.
Trybunał orzekł, że art. 2 lit. d) dyrektywy 95/46 powinien być interpretowany w ten sposób, iż pojęcie „administrator
danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu
społecznościowym.
Poprzez kolejne pytania prejudycjalne sąd odsyłający zmierzał do ustalenia, czy art. 4 i 28 dyrektywy 95/46 należy
interpretować w ten sposób, że w przypadku gdy przedsiębiorstwo z siedzibą poza UE ma kilka oddziałów w różnych
państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu
przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału znajdującego się na terytorium tego państwa, nawet jeżeli
zgodnie z podziałem zadań w obrębie grupy, ten oddział jest wyłącznie odpowiedzialny za sprzedaż przestrzeni
reklamowej i inne działania marketingowe na terytorium tego państwa?
Zgodnie z art. 28 ust. 1 i 3 dyrektywy 95/46 każdy organ nadzorczy wykonuje wszelkie uprawnienia nadane mu przez
prawo krajowe na terytorium państwa członkowskiego, któremu podlega, w celu zapewnienia na tym terytorium
przestrzegania regulacji z dziedziny ochrony danych (wyrok Weltimmo, C-230/14, pkt 51). Kwestia, jakie prawo
krajowe ma zastosowanie do przetwarzania danych osobowych, jest regulowana w art. 4 dyrektywy 95/46. Zgodnie
z art. 4 ust. 1 lit. a) każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych,
przepisy prawa krajowego przyjmowane na mocy tej dyrektywy, wówczas gdy przetwarzanie danych odbywa się
w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium tego państwa. Jeżeli
ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on
podjąć niezbędne działania, aby zapewnić, że każdy z jego oddziałów wywiązuje się z obowiązków przewidzianych

w odpowiednich przepisach prawa krajowego. Trybunał wskazał, że w sytuacji gdy prawo krajowe państwa
członkowskiego, któremu podlega organ nadzorczy, ma zastosowanie na podstawie art. 4 ust. 1 lit. a) dyrektywy
95/46 ze względu na fakt, iż przetwarzanie to jest dokonywane w kontekście działalności gospodarczej prowadzonej
przez oddział administratora danych na terytorium tego państwa, organ nadzorczy może wykonywać wszelkie
uprawnienia nadane mu przez to prawo w stosunku do tego oddziału i to niezależnie od kwestii, czy administrator
danych posiada oddziały również w innych państwach członkowskich.
Aby ustalić, czy w okolicznościach takich jak te w postępowaniu głównym organ nadzorczy może wykonywać
w stosunku do oddziału znajdującego się na terytorium państwa członkowskiego, któremu ten organ podlega,
uprawnienia przyznane mu przez prawo krajowe, TS wskazał, że należy zbadać, czy po pierwsze, jest to „oddział
administratora danych” w rozumieniu tego przepisu, a po drugie, czy owo przetwarzanie danych odbywa się „w
kontekście prowadzenia […] działalności gospodarczej” tego oddziału w rozumieniu tego przepisu.
Jeśli chodzi o pierwszą przesłankę TS przypomniał, że motyw 19 dyrektywy 95/46 stanowi, iż prowadzenie
działalności gospodarczej na terytorium państwa członkowskiego zakłada efektywne i rzeczywiste prowadzenie
działań poprzez stabilne rozwiązania organizacyjne i że forma prawna prowadzonej działalności gospodarczej –
niezależnie od tego, czy jest to oddział lub spółka zależna posiadająca osobowość prawną – nie jest w tym względzie
czynnikiem decydującym (wyrok Weltimmo, pkt 28). W niniejszej sprawie jest bezsporne, że Facebook Inc., jako
administrator danych osobowych, wspólnie z Facebook Ireland, posiada stały oddział w RFN, tj. Facebook Germany,
znajdujący się w Hamburgu, i że ta ostatnia spółka efektywnie i rzeczywiście prowadzi działalność w tym państwie.
Z tego względu TS stwierdził, ze jest ona kwalifikowana jako oddział w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46.
Odnosząc się do drugiej przesłanki TS przypomniał, że zważywszy na cel dyrektywy 95/46 polegający na
zapewnieniu skutecznej i pełnej ochrony swobód i praw podstawowych osób fizycznych, w szczególności ich prawa
do prywatności w zakresie przetwarzania danych osobowych, w odniesieniu do wyrażenia „w kontekście
prowadzenia […] działalności gospodarczej” nie można przyjmować wykładni zawężającej (wyrok Weltimmo, pkt 25).
Następnie TS podkreślił, że art. 4 ust. 1 lit. a) dyrektywy 95/46 nie ustanawia wymogu, aby przetwarzanie danych
osobowych było dokonywane „przez” sam podmiot prowadzący działalność gospodarczą, lecz jedynie „w kontekście
prowadzenia przez” niego działalności gospodarczej (wyrok Google Spain i Google, C-131/12, pkt 52).
Facebook Germany jest odpowiedzialny za promocję i sprzedaż przestrzeni reklamowej oraz prowadzi działania
skierowane do osób mieszkających w RFN. Facebook, generuje większą część swoich przychodów w szczególności
dzięki reklamom emitowanym na stronach internetowych tworzonych i odwiedzanych przez użytkowników, a oddział
Facebooka znajdujący się w RFN ma zapewniać w tym państwie promocję i sprzedaż powierzchni reklamowej, tak
aby osiągnąć rentowność usług oferowanych przez Facebook. Rzecznik generalny stwierdził, że działalność tego
oddziału należy uznać za nierozerwalnie związaną z rozpatrywanym w postępowaniu głównym przetwarzaniem
danych osobowych, za które Facebook Inc. jest odpowiedzialny wspólnie z Facebook Ireland (pkt 94 opinii).
W konsekwencji takie przetwarzanie należy traktować jako dokonywane w kontekście działalności gospodarczej
prowadzonej przez oddział administratora danych w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46 (wyrok Google
Spain i Google, pkt 55, 56). Trybunał stwierdził, że skoro zgodnie z art. 4 ust. 1 lit. a) dyrektywy 95/46 prawo
niemieckie ma zastosowanie do spornego przetwarzania danych osobowych, niemiecki organ nadzorczy jest
uprawniony do zastosowania tego prawa w odniesieniu do tego przetwarzania (art. 28 ust. 1 tej dyrektywy).
Trybunał orzekł, że art. 4 i 28 dyrektywy 95/46 trzeba interpretować w ten sposób, iż w przypadku gdy
przedsiębiorstwo z siedzibą poza UE ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy
państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku
do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa, nawet jeżeli zgodnie z podziałem
zadań w obrębie grupy, po pierwsze, oddział ten jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej
i inne działania marketingowe na terytorium tego państwa, a po drugie, wyłączną odpowiedzialność za gromadzenie
i przetwarzanie danych osobowych ponosi w zakresie całego terytorium UE oddział położony w innym państwie
członkowskim.
W kolejnych pytaniach prejudycjalnych sąd odsyłający zmierzał do ustalenia, czy art. 4 ust. 1 lit. a) i art. 28 ust. 3 i 6
dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy organ nadzorczy państwa członkowskiego
zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa uprawnienia
interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych
osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie
członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny zgodności z prawem takiego przetwarzania
danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę
na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa o podjęcie działań?
Trybunał wskazał, że art. 28 ust. 1 ak. 2 tej dyrektywy 95/46 stanowi, iż organy nadzorcze odpowiedzialne za kontrolę
stosowania na terytorium państw członkowskich, którym podlegają, przepisów przyjętych przez te państwa na
podstawie tej dyrektywy, postępują w sposób niezależny przy wykonywaniu powierzonych im funkcji. Wymóg ten
wynika również z unijnego prawa pierwotnego, w szczególności z art. 8 ust. 3 Karty praw podstawowych Unii

Europejskiej i z art. 16 ust. 2 TFUE (wyrok Schrems, C-362/14, pkt 40). Ponadto, o ile zgodnie z art. 28 ust. 6 ak. 2
dyrektywy 95/46 organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania powierzonych im
obowiązków, o tyle ta dyrektywa nie przewiduje żadnego kryterium określającego pierwszeństwo interwencji organów
nadzorczych ani nie nakłada na organ nadzorczy państwa członkowskiego obowiązku zastosowania się do
stanowiska wyrażonego ewentualnie przez jednostkę nadzorczą innego państwa członkowskiego. Trybunał
przypomniał, że zgodnie z art. 8 ust. 3 Karty praw podstawowych i z art. 28 dyrektywy 95/46 krajowe organy
nadzorcze są zobowiązane kontrolować przestrzeganie unijnych zasad dotyczących ochrony osób fizycznych
w zakresie przetwarzania danych osobowych, w związku z czym każdy z nich jest wyposażony w kompetencję do
zbadania, czy przetwarzanie danych osobowych na terytorium państwa członkowskiego, któremu on podlega,
następuje z poszanowaniem wymogów przewidzianych w dyrektywie 95/46 (wyrok Schrems, pkt 47).
Z orzecznictwa TS wynika, że art. 28 dyrektywy 95/46 ma zastosowanie do wszelkiego przetwarzania danych
osobowych, nawet jeśli istnieje decyzja organu nadzorczego innego państwa członkowskiego, organ nadzorczy, do
którego osoba wniosła skargę dotyczącą ochrony jej praw i wolności w zakresie przetwarzania dotyczących jej
danych osobowych, powinien zbadać w sposób niezależny, czy przetwarzanie tych danych następuje
z poszanowaniem wymogów przewidzianych w tej dyrektywie (wyrok Schrems, pkt 57). Trybunał stwierdził, że
w niniejszym przypadku zgodnie z systemem ustanowionym przez dyrektywę 95/46 ULD był uprawniony do
dokonania oceny, w sposób niezależny od ocen przeprowadzonych przez irlandzki organ nadzorczy, zgodności
z prawem przetwarzania danych, którego dotyczy postępowanie główne.
Trybunał orzekł, że art. 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, iż
w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu
mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa
w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych
przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ
jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa,
zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia
interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się
do organu nadzorczego drugiego państwa o podjęcie działań.
Autorka jest doktorem nauk prawnych, ekspertem ds. prawa gospodarczego, WPiA UKSW w Warszawie
Wyrok TS z 5.6.2018 r., Wirtschaftsakademie Schleswig-Holstein, C-210/16

Art. 4 i 28 dyrektywy 95/46 należy interpretować tak, że organ nadzorczy państwa może wykonywać uprawnienia interwencyjne wobec podmiotu mającego siedzibę na jego terytorium, nawet jeśli naruszenia ochrony danych dokonywane są przez osobę trzecią z siedzibą w innym państwie członkowskim. ULD był uprawniony do oceny zgodności przetwarzania danych, niezależnie od organu nadzorczego z innego państwa członkowskiego.