Przepisy krajowe mogą przyznawać organizacjom konsumenckim prawo do samodzielnego wnoszenia pozwów za naruszenie RODO – orzekł Trybunał Sprawiedliwości Unii Europejskiej.
RODO w art. 80 przewiduje, że organizacje społeczne mogą wnosić pozwy za naruszenie przepisów o ochronie danych osobowych, ale tylko po umocowaniu ich przez osobę poszkodowaną. Nie przyznaje więc stowarzyszeniom, w tym również prokonsumenckim, samodzielnego prawa do kierowania takich pozwów. W Niemczech organizacje konsumenckie mają takie kompetencje na podstawie krajowych przepisów o konkurencji. Powstała jednak wątpliwość, czy po wejściu w życie RODO regulacje te zachowały swą moc. Innymi słowy – czy przepisy krajowe mogą iść dalej niż samo RODO.
Problem ten pojawił się przy okazji pozwu wytoczonego Facebookowi przez niemiecki związek organizacji konsumenckich (podczas postępowania nazwę Facebook zmieniono na Meta Platforms). W sprawie tej organizacja zakwestionowała udostępnianie przez globalny serwis społecznościowy gier pochodzących od zewnętrznych dostawców. Klikając „zagraj teraz” użytkownik Facebooka godził się bowiem nie tylko na przekazywanie dostawcom gier swych danych osobowych, ale – w przypadku jednej z aplikacji – także na publikowanie swojego zdjęcia czy statusu. Zdaniem niemieckiego związku organizacji konsumenckich nie spełnia to wymogów dotyczących zgody na przekazywanie danych, jakie nakłada RODO. Dlatego zażądano przed sądem zaprzestania tych praktyk i nakazania Facebookowi, by w sposób klarowny informował użytkowników o przekazywaniu danych.
Sądy wszystkich instancji nie miały wątpliwości, że żądanie to jest jak najbardziej uzasadnione. Na etapie rozpoznawania skargi rewizyjnej zrodziło się jednak pytanie: czy związek organizacji konsumenckich w ogóle miał prawo do wniesienia samodzielnego pozwu. A tak naprawdę – czy przepis krajowy przyznający to uprawnienie nie został uchylony przez wejście w życie RODO.
TSUE w minionym tygodniu orzekł, że nie i przypomniał, że głównym celem unijnego rozporządzenia jest zapewnienie wysokiego poziomu ochrony danych osobowych.
„Upoważnienie stowarzyszeń ochrony interesów konsumentów, takich jak związek organizacji konsumenckich, do wnoszenia – w ramach mechanizmu powództwa przedstawicielskiego – powództw o zaniechanie przetwarzania danych sprzecznego z przepisami tego rozporządzenia, niezależnie od naruszenia praw osoby, której owo naruszenie dotyczy indywidualnie i konkretnie, niewątpliwie przyczynia się do wzmocnienia praw osób, których dane dotyczą, i do zapewnienia im wysokiego poziomu ochrony” – podkreślono w uzasadnieniu wyroku.
Zdaniem TSUE art. 80 RODO nie sprzeciwia się rozszerzeniu prawa do wszczynania postępowania sądowego bez udziału samej osoby poszkodowanej. Potwierdzeniem tego mają też być przepisy dyrektywy 2020/1828 w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów. Choć nie minął jeszcze termin jej implementacji, to wskazuje ona jednoznacznie, że sprawy wszczynane przez organizacje pozarządowe w interesie konsumentów mogą dotyczyć także RODO.
Niektórzy mogą mieć obawy, czy wyrok nie otworzy drogi do szantażowania przedsiębiorców przez nie do końca uczciwe organizacje, tak jak to przed laty działo się na podstawie przepisów konsumenckich. W polskich warunkach tak chyba nie będzie. Przede wszystkim dlatego, że nasze regulacje nie przewidują możliwości wnoszenia przez organizacje pozarządowe samodzielnych pozwów za naruszenia związane z RODO. Zgodnie z art. 61 ustawy o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.) mogą one występować za zgodą osoby, której dane dotyczą, w jej imieniu i na jej rzecz, ale tylko w postępowaniu przed prezesem Urzędu Ochrony Danych Osobowych. Odrębne uprawnienia ma dać wspomniana już dyrektywa 2020/1828, która jednak zawiera również zabezpieczenia przed nadużywaniem drogi sądowej. ©℗
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 28 kwietnia 2022 r. w sprawie C-319/20 www.serwisy.gazetaprawna.pl/orzeczenia