W dniu 07.12.2020 r. (doręczone w dniu 28.12.2020 r.) Wyższy Sąd Okręgowy (Oberlandesgericht Wien, OLG) wydał wyrok w postępowaniu odwoławczym Schrems przeciwko Facebook Ireland Ltd.. (GZ 11 R 153 / 20f, 154 / 20b).¹ Potwierdzając orzeczenie Sądu Okręgowego do Spraw Cywilnych (Landesgericht für Zivilrechtssachen), orzekł on, że platforma mediów społecznościowych miała obowiązek zapewnić powodowi pełny dostęp do przechowywanych na jego temat danych, zobowiązując tym samym korporację do zapłaty odszkodowania w wysokości 500 EUR (art. 82 GDPR).

Stwierdził jednak również, że przetwarzanie danych nie wymaga uzyskania przez platformę jednoznacznej, odrębnej zgody użytkowników zgodnie z unijnym prawem ochrony danych (art. 6 ust. 1 lit. a) GDPR), ale że takie prawo do wykorzystywania danych jest z natury przyznane Facebookowi na mocy jego warunków umownych.

Decyzja dotyczy szeregu skarg prawnych i wiąże się z trzema odrębnymi kwestiami, które zostały wyodrębnione poniżej.

Podział ról stron w ramach prawa ochrony danych

Powód

• Zdaniem powoda, użytkownik platformy jest uważany za stronę odpowiedzialną lub "administratora danych" (art. 4 ust. 7 GDPR) w odniesieniu do aplikacji danych obsługiwanych przez niego samego do celów osobistych;
• Pozwany na mocy umowy działa jako "podmiot przetwarzający", co uniemożliwia mu dokonywanie jakichkolwiek zastosowań danych bez instrukcji powoda lub niezgodnie z nimi;
• Umowa spełniająca wymogi art. 28 ust. 3 GDPR nie została zawarta, mimo że strona powodowa była uprawniona do zawarcia takiej umowy.

Strona pozwana

• Pozwanego należy uznać za jedyną osobę odpowiedzialną w stosunku do powoda, który nie ma interesu w uzyskaniu zadośćuczynienia deklaratywnego.

OLG (str. 21-23)

• Samo korzystanie z platformy sieci społecznościowej nie czyni użytkownika współodpowiedzialnym za przetwarzanie danych osobowych przez tę sieć;
• Odmiennie należy postąpić w przypadku stron fanowskich, gdzie operator takiej strony przyczynia się do przetwarzania danych osobowych odwiedzających, co czyni go administratorem danych (ETS C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. par. 35, 36 i 41).
• Użytkownik Facebooka jest zatem tylko współodpowiedzialny za dane osobowe osób trzecich (art. 4 ust. 7 GDPR) i tylko podmiotem danych w odniesieniu do własnych danych osobowych.

Skuteczna zgoda do Przetwarzania Danych Osobowych

Powód

• Wyrażenie zgody na warunki korzystania z platformy mediów społecznościowych i powiązane wytyczne dotyczące wykorzystania danych nie oznacza skutecznej zgody w rozumieniu art. 6 ust. 1 i art. 7 GDPR;
• W przeciwieństwie do przepisów GDPR, które weszły w życie z dniem 25.05.2018 r., umowy cywilnoprawne pod rządami poprzednio obowiązującej ustawy o ochronie danych osobowych nie przewidywały wyraźnych wymogów "zgody";
• Włączając uprzednią zgodę do warunków korporacji przed wejściem w życie GDPR, użytkownicy zostali nieumyślnie zmuszeni do zawarcia nowej umowy, co pozwoliło platformie obejść bardziej rygorystyczne standardy ochrony danych w ramach obecnych przepisów GDPR;
• W związku z tym powód nie wyraził skutecznej zgody w rozumieniu GDPR na przetwarzanie danych przez pozwaną.

Strona pozwana

• Przetwarzanie danych przez platformę było zgodne z przepisami art. 6 ust. 1 lit. b) GDPR, ponieważ stanowiło niezbędną część realizacji umowy.

OLG (str. 23-24)

• GDPR dopuszcza różne podstawy przetwarzania danych osobowych, między innymi, jeśli jest to konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b) GDPR);
• Konieczność ustala się niniejszym dla każdego przypadku oddzielnie, z należytym uwzględnieniem celu umowy i zobowiązań wynikających z treści umowy;
• Istota modelu biznesowego Facebooka i jego umownego celu koncentruje się na:
  • Dla użytkownika: uzyskanie dostępu do spersonalizowanej platformy komunikacyjnej;
  • W przypadku platformy: udostępnienie dostępu bez dodatkowych kosztów;
• W związku z tym firma obsługująca platformę może sięgnąć po inne źródła finansowania, np. reklamę dostosowaną do konkretnego użytkownika;
• Przetwarzanie danych osobowych użytkowników stanowi podstawowy filar umowy między platformą a użytkownikiem, ponieważ jest to podstawa, która umożliwia dostosowanie reklamy do zainteresowań poszczególnych użytkowników;
• Element konieczności w odniesieniu do przetwarzania danych polega na tym, że wykorzystanie takich informacji z jednej strony kształtuje zindywidualizowane doświadczenia użytkowników, a z drugiej strony stanowi kanał finansowy, dzięki któremu platforma osiąga zyski.

Wniosek o udostępnienie informacji

Powód

• Złożono wniosek o udzielenie informacji, na który nie udzielono jeszcze odpowiedzi zgodnie z art. 15 GDPR;
• Tylko częściowe udostępnienie informacji o wykorzystywaniu i przetwarzaniu danych (osobowych) nie wypełnia ustawowych obowiązków pozwanej;
• Niepewność dotycząca przetwarzania danych spowodowała rozstrój emocjonalny, który uprawnia powoda do zadośćuczynienia niemajątkowego w wysokości 500 EUR.

Strona pozwana

• Strona pozwana nie uchybiła swojemu obowiązkowi;
• Strona powodowa nie przedstawiła żadnych rozstrzygających zarzutów dotyczących roszczenia odszkodowawczego.

OLG (24-29)

• Facebook nie zapewnił swoim użytkownikom dostępu do danych w swoich narzędziach dostępu, co dało powodowi prawo do wniesienia skargi zakorzenione w art. 15 ust. 1 GDPR;
• Powód jest uprawniony do informacji dotyczących:
  • Dane osobowe przetwarzane przez Facebook i ich cele (art. 15 ust. 1 lit. a) GDPR);
  • Komu ujawniane są odpowiednie dane osobowe, tj. (kategorie) odbiorców (art. 15 ust. 1 lit. b) GDPR);
  • Pochodzenie danych, jeśli nie zostały zebrane od powoda (art. 15 ust. 1 lit. g) GDPR);
• Kwota 500 euro jest adekwatna do niewielkiego zakresu dolegliwości doznanych przez powoda i okazuje się uzasadniona.

Komentarz

Zgodnie z twierdzeniami powoda, Europejska Agencja Ochrony Danych już wcześniej wyraźnie zakazała przetwarzania szczególnych kategorii danych osobowych, chyba że udzielono wyraźnej zgody lub takie przetwarzanie jest konieczne ze względu na istotny interes publiczny (art. 9 ust. 2 lit. g) GDPR). Chociaż klauzule umowne dotyczące wykorzystania danych mogłyby być nadal stosowane do przekazywania danych, nie byłyby one wystarczające do zastąpienia konieczności uzyskania takiej zgody.²

Chociaż OLG przyznał prawo do odwołania się do austriackiego Sądu Najwyższego, oczekuje się, że poruszone kwestie prawne zostaną ponownie wniesione do Trybunału Sprawiedliwości Unii Europejskiej w odpowiednim czasie.

Przypisy

1 Wyrok dostępny w języku niemieckim za pośrednictwem: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Europejska Rada Ochrony Danych. Dostępne na: edpb.europa.eu/news/news/2020/european-data-protection-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [dostęp 05.02.2021].

Treść tego artykułu ma na celu dostarczenie ogólnego przewodnika na ten temat. Należy zwrócić się o poradę specjalistyczną dotyczącą konkretnych okoliczności.