To irlandzki organ ochrony danych prowadzi sprawy dotyczące Facebooka. Są jednak wyjątki
Sprawy dotyczące transgranicznego transferu danych RODO przekazało w gestię wiodących organów ochrony, czyli w tych państwach, w których dana firma ma swoją główną siedzibę. Giganci tacy jak Google, Microsoft czy Apple siedziby mają w Irlandii, co oznacza, że to tamtejszy organ powinien rozstrzygać problemy związane z przekazywaniem danych do USA. Czy jednak oznacza to, że inne organy nie mają w tym zakresie żadnych uprawnień? Przyjęcie takiej wykładni oznaczałoby w praktyce, że krajowe instytucje, w tym polski Urząd Ochrony Danych Osobowych, pełnią, co do zasady, funkcję pomocniczą. Trybunał Sprawiedliwości Unii Europejskiej przyznał, że główne kompetencje rzeczywiście ma organ irlandzki. Pozostałe mogą jednak interweniować w drodze wyjątku. Ważniejsze w tym wyroku jest jednak to, że narzuca organowi wiodącemu obowiązek ścisłej współpracy z krajowymi odpowiednikami i nie pozwala pomijać ich zdania.
Spór sądowy
Chodzi o postępowanie prowadzone przez belgijski organ ochrony danych osobowych przeciwko Facebookowi. Portal ten śledzi ruch nie tylko zarejestrowanych użytkowników, lecz także innych internautów, którzy wchodzą na niego np. poprzez linki. O ile ci pierwsi akceptują regulamin i godzą się np. na zapisywanie plików cookies na swoich komputerach, o tyle drudzy już nie. To, zdaniem belgijskiego organu, narusza przepisy o ochronie danych osobowych. Dlatego wniósł on do sądu o zakazanie Facebookowi umieszczania cookies na komputerach użytkowników, którzy nie wyrazili na to zgody. Co więcej domaga się również, by portal społecznościowy wykasował wszystkie dane Belgów, które zostały pozyskane bez ich zgody.
Postępowanie jest prowadzone od 2015 r. W 2016 r. belgijski sąd uznał, że może ono być prowadzone wyłącznie wobec belgijskiego oddziału Facebooka, wobec irlandzkiego już nie. W 2018 r. zaczęto stosować RODO, a w nim pojawiły się wspomniane już przepisy dotyczące organu wiodącego. To na ich podstawie portal społecznościowy zaczął argumentować, że sąd belgijski, tak samo jak organ tego kraju, nie jest właściwy do prowadzenia spraw związanych z transgranicznym przetwarzaniem danych. Sąd postanowił poprosić TSUE o rozstrzygnięcie tej kwestii.
Organ właściwy
TSUE przyznał, że – co do zasady – to wiodący organ jest właściwy do prowadzenia spraw dotyczących transgranicznego przekazywania danych (o ile zajmie się danym przypadkiem). Taki podział kompetencyjny jest zgodny z Kartą praw podstawowych UE. Jednocześnie jednak zasady podziału kompetencji nie zwalniają żadnego z organów z odpowiedzialności za należytą ochronę danych osobowych. Oznacza to, że w niektórych sytuacjach także krajowa instytucja może skorzystać z prawa wystąpienia do sądu, np. gdy zwróci się o wzajemną pomoc do wiodącego organu i nie otrzyma odpowiedzi.
Dominacja podmiotu wiodącego w zakresie spraw transgranicznych jest uzasadniona przede wszystkich chęcią zapewnienia spójnej interpretacji przepisów na terenie całej UE. W wyroku podkreślono jednak, że RODO wprost przewiduje wyjątki mechanizmów spójności. Jeden z nich to skargi dotyczące wyłącznie jednostki organizacyjnej w danym państwie członkowskim lub też mające wpływ na obywateli wyłącznie w państwie członkowskim danego organu. Inny ‒ i ten w praktyce najczęściej może mieć zastosowanie ‒ to potrzeba pilnego rozpoznania sprawy.
„Jednakże to uprawnienie organów nadzorczych powinno być wykonywane w poszanowaniu zasad lojalnej i skutecznej współpracy z wiodącym organem nadzorczym, zgodnie z procedurą przewidzianą w art. 56 ust. 3–5 RODO” ‒ zaznaczył TSUE.
Obowiązek współpracy organów dotyczy jednak obydwu stron.
„Z tego względu (…) wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy, zaś wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów skutkują zablokowaniem, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy” ‒ zauważył TSUE. ©℗
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 15 czerwca 2021 r. w sprawie C-645/19. www.serwisy.gazetaprawna.pl/orzeczenia