2020 m. gruodžio 7 d. (įteikta 2020 m. gruodžio 28 d.) Aukštesnysis apygardos teismas (Oberlandesgericht Wien, OLG) priėmė sprendimą apeliacinėje byloje Schrems prieš Facebook Ireland Ltd. (GZ 11 R 153/20f, 154/20b).¹ Patvirtindamas apygardos civilinių bylų teismo (Landesgericht für Zivilrechtssachen) sprendimą, jis nusprendė, kad socialinės žiniasklaidos platforma privalėjo suteikti ieškovui visapusišką prieigą prie jo turimų duomenų, todėl įpareigojo korporaciją sumokėti 500 EUR kompensaciją (BDAR 82 straipsnis).

Vis dėlto teismas taip pat padarė išvadą, kad pagal ES duomenų apsaugos teisę (BDAR 6 straipsnio 1 dalies a punktas) nereikalaujama, kad platforma gautų nedviprasmišką atskirą naudotojų sutikimą dėl duomenų tvarkymo veiksmo, tačiau tokia teisė naudoti duomenis "Facebook" savaime suteikiama pagal sutarties sąlygas.

Sprendime nagrinėjami keli teisiniai skundai ir trys skirtingi klausimai, kurie išskiriami toliau.

Šalių vaidmenų paskirstymas pagal Duomenų apsaugos įstatymą

Ieškovas

• Ieškovo teigimu, platformos naudotojas laikomas atsakinga šalimi arba "duomenų valdytoju" (BDAR 4 straipsnio 7 dalis), kiek tai susiję su jo asmeniniais tikslais naudojamomis duomenų programomis;
• Atsakovas pagal sutartį veikia kaip "duomenų tvarkytojas", todėl jis negali atlikti jokių duomenų naudojimo veiksmų be ieškovo nurodymų arba jiems prieštaraujant;
• Sutartis, atitinkanti BDAR 28 straipsnio 3 dalies reikalavimus, nebuvo sudaryta, nors ieškovas turėjo teisę į tokią sutartį.

Atsakovas

• Atsakovas laikytinas vienintele atsakinga šalimi ieškovo atžvilgiu, kuris nėra suinteresuotas deklaratyvia pagalba.

OLG (p. 21-23)

• Vien naudojimasis socialinio tinklo platforma nereiškia, kad naudotojas tampa bendrai atsakingas už tame tinkle atliekamą asmens duomenų tvarkymą;
• Reikia atskirti gerbėjų puslapius, kuriuose minėto puslapio operatorius prisideda prie lankytojų asmens duomenų tvarkymo, todėl jis yra duomenų valdytojas (ETT C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, sp. 35, 36 ir 41 punktai).
• Taigi "Facebook" naudotojas yra tik bendrai atsakinga šalis, susijusi su trečiųjų šalių asmens duomenimis (BDAR 4 straipsnio 7 dalis), ir tik duomenų subjektas, susijęs su savo asmens duomenimis.

Veiksmingas sutikimas dėl asmens duomenų tvarkymo

Ieškovas

• Sutikimas su socialinės žiniasklaidos platformos naudojimosi sąlygomis ir susijusiomis duomenų naudojimo gairėmis nėra veiksmingas sutikimas, kaip apibrėžta BDAR 6 straipsnio 1 dalyje ir 7 straipsnyje;
• Priešingai nei nuo 2018 m. gegužės 25 d. įsigaliojusio BDAR nuostatos, civilinės teisės sutartyse, reglamentuotose pagal ankstesnį duomenų apsaugos įstatymą, nebuvo numatyti aiškūs "sutikimo" reikalavimai;
• Prieš įsigaliojant BDAR į korporacijos sąlygas įtraukus išankstinį sutikimą, naudotojai netyčia buvo priversti sudaryti naują sutartį, o tai leido platformai apeiti griežtesnius duomenų apsaugos standartus pagal dabartines BDAR nuostatas;
• Todėl ieškovas nedavė veiksmingo sutikimo, kaip apibrėžta BDAR, dėl atsakovo atliekamo duomenų tvarkymo.

Atsakovas

• Platformos atliekamas duomenų tvarkymas atitiko BDAR 6 straipsnio 1 dalies b punkto nuostatas, nes buvo būtina sutarties vykdymo dalis.

OLG (p. 23-24)

• BDAR leidžiami įvairūs asmens duomenų tvarkymo pagrindai, inter alia, jei tai būtina sutarčiai, kurios šalis yra duomenų subjektas, vykdyti (BDAR 6 straipsnio 1 dalies b punktas);
• Būtinumas nustatomas kiekvienu konkrečiu atveju, tinkamai atsižvelgiant į sutarties tikslą ir įsipareigojimus, kylančius iš sutarties turinio;
• "Facebook" verslo modelio esmė ir jo sutartinė paskirtis:
  • Naudotojui: prieigos prie asmeninių ryšių platformos gavimas;
  • Platformos atveju: suteikti prieigą be papildomų išlaidų;
• Todėl platformą valdanti bendrovė gali pasinaudoti kitais finansavimo šaltiniais, pvz., konkrečiam naudotojui pritaikyta reklama;
• Asmeninių naudotojo duomenų tvarkymas yra pagrindinis platformos ir naudotojo susitarimo ramstis, nes tai yra pagrindas, leidžiantis reklamą pritaikyti prie konkretaus naudotojo interesų;
• Duomenų tvarkymo būtinumo komponentas yra nustatytas todėl, kad tokios informacijos naudojimas, viena vertus, formuoja individualią naudotojų patirtį, kita vertus, yra finansinis kanalas, per kurį platforma gauna pelną.

Prašymas pateikti informaciją

Ieškovas

• Pagal BDAR 15 straipsnį buvo pateiktas prašymas pateikti informaciją, tačiau į jį nebuvo atsakyta;
• Atsakovei nevykdant teisinių pareigų, informacija apie (asmens) duomenų naudojimą ir tvarkymą prieinama tik iš dalies;
• Neaiškumas dėl duomenų tvarkymo sukėlė emocinį sukrėtimą, dėl kurio ieškovas turi teisę į 500 EUR neturtinės žalos atlyginimą.

Atsakovas

• Atsakovė savo pareigos nepažeidė;
• Ieškovas nepateikė jokių įtikinamų teiginių dėl reikalavimo atlyginti žalą.

OLG (24-29)

• "Facebook" nesuteikė savo naudotojams prieigos prie duomenų priemonių, o tai suteikia ieškovui teisę pareikšti ieškinį, įtvirtintą BDAR 15 straipsnio 1 dalyje;
• Ieškovas turi teisę gauti informaciją, susijusią su:
  • "Facebook" tvarkomi asmens duomenys ir jų tvarkymo tikslai (BDAR 15 straipsnio 1 dalies a punktas);
  • kam atskleidžiami atitinkami asmens duomenys, t. y. duomenų gavėjų kategorijos (15 straipsnio 1 dalies b punktas);
  • Duomenų kilmė, jei jie surinkti ne iš ieškovo (BDAR 15 straipsnio 1 dalies g punktas);
• 500 EUR suma atspindi nedidelį ieškovo patirtų nepatogumų mastą ir yra pagrįsta.

Komentaras

Remdamasi ieškovo teiginiais, Europos duomenų apsaugos agentūra anksčiau aiškiai uždraudė tvarkyti specialių kategorijų asmens duomenis, išskyrus atvejus, kai duotas aiškus sutikimas arba kai toks tvarkymas būtinas dėl didelio viešojo intereso (BDAR 9 straipsnio 2 dalies g punktas). Nors duomenų perdavimui vis dar galėtų būti naudojamos sutartinės sąlygos dėl duomenų naudojimo, jų nepakaktų pakeisti būtinybės pateikti tokį sutikimą.²

Nors OLG suteikė teisę pateikti apeliacinį skundą Austrijos Aukščiausiajam Teismui, tikimasi, kad iškilę teisiniai klausimai ilgainiui vėl bus perduoti Europos Sąjungos Teisingumo Teismui.

Pastabos

1 sprendimas vokiečių kalba per: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen". Europäischer Datenschutzausschuss - Europos duomenų apsaugos valdyba. Galima rasti adresu: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [žiūrėta 2021 02 05].

Šio straipsnio turinys yra skirtas bendram šios temos aiškinimui. Dėl konkrečių aplinkybių reikėtų kreiptis į specialistus.