Facebook przed sądem krajowym

Trybunał Sprawiedliwości UE przyznał krajowemu organowi nadzorczemu państwa członkowskiego prawo do podnoszenia zarzutów naruszeń RODO wobec Facebooka przed sądami, nawet jeśli nie jest wiodącym organem. Wyrok ten ma istotne znaczenie dla egzekwowania przestrzegania przepisów o ochronie danych osobowych w transgranicznym kontekście.

Tematyka: Facebook, TSUE, RODO, ochrona danych osobowych, organ nadzorczy, przetwarzanie danych, sąd krajowy

Trybunał przyznał krajowemu organowi nadzorczemu państwa członkowskiego prawo do podnoszenia
wszelkich zarzucanych naruszeń RODO wobec Facebooka przed sądami tego państwa, nawet jeśli nie jest on
w odniesieniu do tego przetwarzania „wiodącym organem nadzorczym”. Przy czym TSUE sformułował
również w niniejszym wyroku dodatkowe warunki stosowania tego uprawnienia.
Stan faktyczny
Spór pomiędzy Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA a belgijskim organem ochrony
danych dotyczył wniesionego przez ten organ powództwa o zaniechanie na terytorium Belgii przetwarzania danych
internautów przez sieć społecznościową Facebook z wykorzystaniem technologii takich jak pliki cookie, wtyczki
społecznościowe (social plug ‑ ins) i piksele monitorujące.
Stanowisko TSUE
Mechanizm kompleksowej współpracy
W art. 56 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1
ze zm.; dalej: RODO) ustanowiony został w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4
pkt 23 RODO, mechanizm kompleksowej współpracy, oparty na podziale kompetencji między „wiodącym
organem nadzorczym” i pozostałymi organami nadzorczymi, których dana sprawa dotyczy. W ramach tego
mechanizmu to organ nadzorczy głównej lub jedynej jednostki organizacyjnej administratora lub podmiotu
przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą
przewidzianą w art. 60 RODO – względem transgranicznego przetwarzania dokonywanego przez tego administratora
lub ten podmiot przetwarzający. W szczególności z art. 56 i 60 RODO wynika, że w odniesieniu do „przetwarzania
transgranicznego”, z zastrzeżeniem art. 56 ust. 2 RODO, poszczególne krajowe organy nadzorcze, których sprawa
dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania
porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione
przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych, prowadzonej we
wszystkich jego jednostkach organizacyjnych na obszarze Unii. Ponadto, art. 61 ust. 1 RODO zobowiązuje organy
nadzorcze w szczególności do przekazywania istotnych informacji oraz do świadczenia wzajemnej pomocy
w celu spójnego wdrażania i stosowania tego rozporządzenia w całej UE. W art. 63 RODO wyjaśniono, że to w tym
właśnie celu w art. 64 i 65 ustanowiony zostaje mechanizm kontroli spójności (wyrok TSUE z 24.9.2019 r.,
C‑ 507/17,
Google (Zakres terytorialny prawa do usunięcia linków).
Trybunał orzekł, że art. 55 ust. 1, art. 56–58 oraz art. 60–66 RODO w zw. z art. 7, 8 i 47 KPP należy interpretować
w ten sposób, że organ nadzorczy państwa członkowskiego – który na podstawie ustawodawstwa krajowego
wydanego w wykonaniu art. 58 ust. 5 RODO jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego
rozporządzenia przed sądami tego państwa i, w stosownych przypadkach, do wszczęcia postępowania sądowego –
może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo
tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym”
w rozumieniu art. 56 ust. 1 RODO. Jednakże pod warunkiem, że jest to jeden z przypadków, w których RODO
przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie
narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem
ustanowionych w RODO procedur współpracy i kontroli spójności.
Legitymacja procesowa
W art. 58 ust. 5 RODO przyznano każdemu organowi nadzorczemu uprawnienie do wnoszenia do organów
sądowych jego państwa członkowskiego spraw dotyczących wszelkich zarzucanych naruszeń tego rozporządzenia
oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania jego
przepisów.
Trybunał stwierdził, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny. Ponadto, podkreślił, że
prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa
członkowskiego od spełnienia warunku, aby powództwo wnoszone przez ten organ było skierowane
przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt
16 tego rozporządzenia lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. Niemniej

jednak organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5
RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania
RODO.
Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego
przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego
innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego, w rozumieniu tego
przepisu, nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego
przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub
inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.
Adresat powództwa
W niniejszej sprawie przetwarzanie danych osobowych, którego w UE dokonuje wyłącznie Facebook Ireland i które
polega na gromadzeniu informacji o zachowaniach w Internecie m.in. posiadaczy konta na Facebooku, ma na celu
umożliwienie Facebookowi poprawę efektywności jej systemu reklamowego. Trybunał wskazał, że po pierwsze, sieć
społecznościowa taka jak Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest
w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie
w tym państwie, chociaż miałoby to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych,
z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka. Po drugie, prowadzona jako
główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu
punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych
osobowych przez Facebook Ireland. W tych okolicznościach rodzaje działalności prowadzone przez jednostkę
organizacyjną grupy Facebook znajdującą się w Belgii, zdaniem TSUE, należy uznać za nierozerwalnie związane
z rozpatrywanym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność
w odniesieniu do terytorium Unii. W konsekwencji TSUE uznał, że takie przetwarzanie należy traktować jako
dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora”
w rozumieniu art. 3 ust. 1 RODO.
Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu
danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami
tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia
postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej
jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak
i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy
przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten
jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na
pierwsze z zadanych pytań prejudycjalnych.
Bezpośrednia skuteczność
Trybunał podkreślił, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż ten przepis ma bezpośrednią
skuteczność. W konsekwencji krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub
dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie
został przetransponowany do ustawodawstwa danego państwa członkowskiego.

Komentarz
Wydaje się, że w pewnym zakresie niniejszy wyrok można odczytywać jako zakwestionowanie szerokiej interpretacji
mechanizmu kompleksowej współpracy uregulowanego w RODO. Trybunał rozstrzygał, czy administrator,
w rozpatrywanej sprawie Facebook Ireland Ltd, może zostać pozwany, co do transgranicznego przetwarzania
danych, przez organ nadzorczy państwa innego niż państwo, w którym ten administrator ma swoją główną jednostkę
organizacyjną. Jeszcze przed wydaniem tego wyroku w doktrynie podnoszono, że przyznanie takiej legitymacji
procesowej może powodować, że nadzór będzie sprawowany przez „o jeden organ za dużo”.
Niewątpliwe najistotniejszy wniosek jaki wynika z obszernego uzasadnienia niniejszego wyroku, to uprawnienie na
podstawie RODO dla organu nadzorczego państwa członkowskiego na wszczęcie przed sądem tego państwa
postępowania w sprawie domniemanego naruszenia tego rozporządzenia, w związku z transgranicznym
przetwarzaniem danych w sytuacji, w której ów organ nie jest wiodącym organem nadzorczym, w rozumieniu art. 56
ust. 1 RODO. Przy czym TSUE zaznaczył, że to uprawnienie może wykonywać pod warunkiem, że po pierwsze, jest
to jeden z przypadków, w których RODO przyznaje temu organowi uprawnienie do wydania decyzji stwierdzającej, iż
owo przetwarzanie narusza RODO, oraz pod drugie, jest ono wykonywane zgodnie z uregulowanymi w RODO
procedurami współpracy i kontroli spójności. Tym samym ta kompetencja będzie przysługiwała również polskiemu
Prezesowi Urzędu Ochrony Danych Osobowych (zob. art. 34 ust. 2 ustawy z 10.5.2018 r. o ochronie danych
osobowych (t.j. Dz.U. z 2019 r. poz. 1781).

Wyrok TSUE z 15.6.2021 r., w spr. (Facebook Ireland i in.), C-645/19,

Wyrok TSUE potwierdza możliwość organu nadzorczego państwa członkowskiego podnoszenia zarzutów naruszeń RODO przed sądami, nawet bez bycia wiodącym organem. Decyzja ta wprowadza istotne zmiany w mechanizmach współpracy organów nadzorczych w kontekście ochrony danych osobowych.