C-40/17
Podsumowanie
Sprawa C-40/17 dotyczyła wykładni dyrektywy 95/46/WE w przedmiocie ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony przez Oberlandesgericht Düsseldorf w związku ze sporem między Fashion ID GmbH & Co. KG a Verbraucherzentrale NRW eV. Fashion ID umieściła na swojej stronie internetowej wtyczkę społecznościową „Lubię to” Facebooka, co skutkowało przekazywaniem danych osobowych użytkowników do Facebook Ireland, nawet jeśli użytkownicy nie byli członkami Facebooka ani nie kliknęli na przycisk. Verbraucherzentrale NRW zarzuciło Fashion ID naruszenie przepisów o ochronie danych osobowych, w tym brak zgody i naruszenie obowiązków informacyjnych. Trybunał Sprawiedliwości UE rozpatrzył sześć pytań prejudycjalnych. Po pierwsze, orzekł, że przepisy dyrektywy 95/46/WE (art. 22-24) nie stoją na przeszkodzie krajowym regulacjom zezwalającym stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem w sprawach naruszenia ochrony danych osobowych. Po drugie, stwierdził, że operator strony internetowej, taki jak Fashion ID, który umieszcza wtyczkę społecznościową, jest współadministratorem danych osobowych użytkowników w zakresie zbierania i przekazywania tych danych. Odpowiedzialność Fashion ID jest jednak ograniczona do tych operacji, których cele i sposoby sama określa. Po trzecie, Trybunał wyjaśnił, że dla legalności przetwarzania danych na podstawie art. 7 lit. f) dyrektywy, zarówno operator strony, jak i dostawca wtyczki muszą dążyć do realizacji uzasadnionych interesów. Po czwarte, w odniesieniu do zgody użytkownika (art. 2 lit. h) i art. 7 lit. a)), orzeczono, że operator strony jest odpowiedzialny za jej uzyskanie w zakresie operacji, które sam kontroluje. Podobnie, obowiązek informacyjny na podstawie art. 10 dyrektywy ciąży na operatorze strony w odniesieniu do tych samych operacji. Wyrok podkreśla znaczenie ochrony danych osobowych i wskazuje na odpowiedzialność podmiotów, które w jakikolwiek sposób wpływają na przetwarzanie tych danych.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaOkreślenie odpowiedzialności operatorów stron internetowych za dane osobowe użytkowników w kontekście korzystania z wtyczek społecznościowych i innych zewnętrznych elementów.
Orzeczenie dotyczy dyrektywy 95/46/WE, która została zastąpiona RODO, jednak zasady interpretacji i podziału odpowiedzialności pozostają aktualne.
Zagadnienia prawne (4)
Czy przepisy dyrektywy 95/46/WE dotyczące środków prawnych i sankcji stoją na przeszkodzie krajowym regulacjom zezwalającym stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem w sprawach naruszenia ochrony danych osobowych?Ratio decidendi
Odpowiedź sądu
Nie, przepisy te nie stoją na przeszkodzie takim regulacjom krajowym, które mogą stanowić odpowiedni środek zapewniający pełną realizację dyrektywy.
Uzasadnienie
Dyrektywa 95/46/WE nie harmonizuje wyczerpująco przepisów krajowych dotyczących środków prawnych. Artykuły 22-24 dyrektywy zobowiązują państwa członkowskie do zapewnienia prawa do środków prawnych, ale nie określają ich szczegółowo. Ustanowienie możliwości wytoczenia powództwa przez stowarzyszenie konsumentów może być uznane za "odpowiedni środek" w rozumieniu art. 24 dyrektywy, przyczyniając się do jej celów.
Czy operator strony internetowej, który umieszcza wtyczkę społecznościową umożliwiającą zbieranie i przekazywanie danych osobowych użytkowników stronie trzeciej (dostawcy wtyczki), jest administratorem danych w rozumieniu art. 2 lit. d) dyrektywy 95/46/WE, nawet jeśli nie ma wpływu na przetwarzanie danych przez stronę trzecią?Ratio decidendi
Odpowiedź sądu
Tak, operator strony internetowej może być uznany za administratora danych, wspólnie z dostawcą wtyczki, w zakresie operacji zbierania danych i ich ujawniania poprzez transmisję, jeśli wspólnie określają cele i sposoby tych operacji.
Uzasadnienie
Definicja administratora danych w dyrektywie 95/46/WE jest szeroka. Operator strony, który wpływa na zbieranie i przekazywanie danych poprzez umieszczenie wtyczki, uczestniczy w określaniu celów i sposobów tych konkretnych operacji. Wspólna odpowiedzialność nie wymaga dostępu do danych. Odpowiedzialność operatora jest ograniczona do tych etapów przetwarzania, które faktycznie kontroluje.
W przypadku umieszczenia wtyczki społecznościowej, jakie uzasadnione interesy należy brać pod uwagę przy ocenie legalności przetwarzania danych na podstawie art. 7 lit. f) dyrektywy 95/46/WE?Ratio decidendi
Odpowiedź sądu
Należy brać pod uwagę uzasadnione interesy zarówno operatora strony internetowej, jak i dostawcy wtyczki społecznościowej, aby operacje przetwarzania były uzasadnione względem każdego z nich.
Uzasadnienie
Artykuł 7 lit. f) dyrektywy wymaga, aby przetwarzanie było konieczne dla realizacji uzasadnionych interesów administratora lub osoby trzeciej, której dane są ujawniane, pod warunkiem, że nie narusza to praw osoby, której dane dotyczą. W sytuacji wspólnego administrowania, obie strony muszą dążyć do swoich uzasadnionych interesów.
Kto jest odpowiedzialny za uzyskanie zgody użytkownika (art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46/WE) oraz za spełnienie obowiązku informacyjnego (art. 10 dyrektywy 95/46/WE) w przypadku umieszczenia wtyczki społecznościowej na stronie internetowej?Ratio decidendi
Odpowiedź sądu
Operator strony internetowej jest odpowiedzialny za uzyskanie zgody i poinformowanie użytkownika, ale tylko w odniesieniu do operacji przetwarzania, których cele i sposoby sam określa (zbieranie i przekazywanie danych).
Uzasadnienie
Zgoda i obowiązek informacyjny muszą być udzielone przed rozpoczęciem przetwarzania. Operator strony uruchamia proces przetwarzania poprzez umieszczenie wtyczki, dlatego jest odpowiedzialny za te początkowe etapy. Odpowiedzialność ta jest ograniczona do zakresu jego kontroli nad celami i sposobami przetwarzania.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| Fashion ID GmbH & Co. KG | spolka | skarżący |
| Verbraucherzentrale NRW eV | organ_krajowy | pozwany |
| Facebook Ireland Ltd | spolka | interwenient |
| Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen | organ_krajowy | inne |
| rząd niemiecki | panstwo_czlonkowskie | inne |
| rząd belgijski | panstwo_czlonkowskie | inne |
| rząd włoski | panstwo_czlonkowskie | inne |
| rząd austriacki | panstwo_czlonkowskie | inne |
| rząd polski | panstwo_czlonkowskie | inne |
| Komisja Europejska | instytucja_ue | inne |
Przepisy (18)
Główne
Dyrektywa 95/46/WE art. 2 § lit. d)
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Definicja 'administratora danych' jest szeroka i obejmuje podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych.
Dyrektywa 95/46/WE art. 2 § lit. b)
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Definicja 'przetwarzania danych osobowych' obejmuje szeroki zakres operacji, w tym gromadzenie i ujawnianie danych.
Dyrektywa 95/46/WE art. 7 § lit. f)
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Przetwarzanie danych jest legalne, gdy jest konieczne dla uzasadnionych interesów administratora lub osoby trzeciej, pod warunkiem, że nie narusza to praw osoby, której dane dotyczą.
Dyrektywa 95/46/WE art. 7 § lit. a)
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Przetwarzanie danych jest legalne, gdy osoba, której dane dotyczą, wyraziła na to zgodę.
Dyrektywa 95/46/WE art. 10
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Administrator danych ma obowiązek poinformowania osoby, od której gromadzone są dane, o określonych informacjach.
Dyrektywa 95/46/WE art. 22
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Każda osoba ma prawo do środków prawnych w związku z naruszeniem praw gwarantowanych przepisami krajowymi dotyczącymi przetwarzania danych.
Dyrektywa 95/46/WE art. 23
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Osoba, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych, ma prawo do odszkodowania od administratora danych.
Dyrektywa 95/46/WE art. 24
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Państwa członkowskie przyjmują odpowiednie środki w celu zapewnienia pełnej realizacji przepisów dyrektywy.
Dyrektywa 95/46/WE art. 28
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Organy nadzorcze są odpowiedzialne za kontrolę stosowania przepisów o ochronie danych i mają prawo pozywania w przypadku naruszenia.
Pomocnicze
RODO art. 80 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Wyraźnie zezwala państwom członkowskim na umożliwienie stowarzyszeniom ochrony interesów konsumentów występowania przed sądem.
Dyrektywa o prywatności i łączności elektronicznej art. 5 § ust. 3
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady
Dotyczy zgody na przechowywanie informacji lub uzyskanie dostępu do informacji w urządzeniu końcowym użytkownika.
UWG art. 3 § ust. 1
Ustawa o zwalczaniu nieuczciwej konkurencji (Niemcy)
UWG art. 3a
Ustawa o zwalczaniu nieuczciwej konkurencji (Niemcy)
UWG art. 8 § ust. 3 pkt 3
Ustawa o zwalczaniu nieuczciwej konkurencji (Niemcy)
Unterlassungsklagegesetz art. 2 § ust. 1 i 2
Ustawa w sprawie powództw o zaniechanie (Niemcy)
TMG art. 12 § ust. 1
Ustawa o mediach elektronicznych (Niemcy)
TMG art. 13 § ust. 1
Ustawa o mediach elektronicznych (Niemcy)
TMG art. 15 § ust. 1
Ustawa o mediach elektronicznych (Niemcy)
Argumenty
Skuteczne argumenty
Przepisy dyrektywy 95/46/WE nie wykluczają możliwości przyznania stowarzyszeniom ochrony konsumentów legitymacji procesowej w sprawach o naruszenie ochrony danych. • Operator strony internetowej, który umieszcza wtyczkę społecznościową, jest współadministratorem danych w zakresie zbierania i przekazywania danych, nawet jeśli nie ma wpływu na dalsze przetwarzanie. • Zarówno operator strony, jak i dostawca wtyczki muszą dążyć do realizacji własnych uzasadnionych interesów dla legalności przetwarzania. • Operator strony jest odpowiedzialny za uzyskanie zgody i poinformowanie użytkownika w zakresie operacji, które sam kontroluje.
Odrzucone argumenty
Dyrektywa 95/46/WE dokonała pełnej harmonizacji i wyklucza możliwość przyznania stowarzyszeniom ochrony konsumentów legitymacji procesowej wykraczającej poza zakres dyrektywy. • Operator strony nie jest administratorem danych, ponieważ nie ma wpływu na przetwarzanie danych przez dostawcę wtyczki. • Obowiązek uzyskania zgody i informowania spoczywa wyłącznie na dostawcy wtyczki, a nie na operatorze strony.
Godne uwagi sformułowania
Operator strony internetowej, który umieszcza wtyczkę społecznościową [...] można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. • Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa. • Jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów [...] aby operacje te były względem każdego z nich uzasadnione. • Zgoda [...] powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji [...] której lub których cele i sposoby wspomniany operator określa.
Skład orzekający
K. Lenaerts
prezes
A. Prechal
sędzia
C. Toader
sędzia
A. Rosas
sprawozdawca
M. Ilešič
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Określenie odpowiedzialności operatorów stron internetowych za dane osobowe użytkowników w kontekście korzystania z wtyczek społecznościowych i innych zewnętrznych elementów."
Ograniczenia: Orzeczenie dotyczy dyrektywy 95/46/WE, która została zastąpiona RODO, jednak zasady interpretacji i podziału odpowiedzialności pozostają aktualne.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego zjawiska korzystania z mediów społecznościowych i wtyczek na stronach internetowych, co ma bezpośrednie przełożenie na prywatność milionów użytkowników i praktykę wielu firm.
“Czy wiesz, że umieszczając przycisk 'Lubię to' na swojej stronie, stajesz się odpowiedzialny za dane Twoich użytkowników?”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny