Wyrok z dnia 2024-10-04 sygn. C-446/21

Numer BOS: 2226775
Data orzeczenia: 2024-10-04
Rodzaj organu orzekającego: Trybunał Sprawiedliwości Unii Europejskiej

Najważniejsze fragmenty orzeczenia w Standardach:

WYROK TRYBUNAŁU (czwarta izba)

z dnia 4 października 2024 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania ich danych osobowych – Rozporządzenie (UE) 2016/679 – Internetowe sieci społecznościowe – Ogólne warunki korzystania dotyczące umów zawieranych między platformą cyfrową a użytkownikiem – Reklama spersonalizowana – Artykuł 5 ust. 1 lit. b) – Zasada ograniczenia celu – Artykuł 5 ust. 1 lit. c) – Zasada minimalizacji danych – Artykuł 9 ust. 1 i 2 – Przetwarzanie szczególnych kategorii danych osobowych – Dane dotyczące orientacji seksualnej – Dane upublicznione przez osobę, której dane dotyczą

W sprawie C-446/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Oberster Gerichtshof (sąd najwyższy, Austria) postanowieniem z dnia 23 czerwca 2021 r., które wpłynęło do Trybunału w dniu 20 lipca 2021 r., w postępowaniu:

Maximilian Schrems

przeciwko

Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd,

TRYBUNAŁ (czwarta izba),

w składzie: C. Lycourgos, prezes izby, O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin i L.S. Rossi (sprawozdawczyni), sędziowie,

rzecznik generalny: A. Rantos,

sekretarz: N. Mundhenke, administratorka,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 8 lutego 2024 r. r.,

rozważywszy uwagi, które przedstawili:

–        w imieniu Maximiliana Schremsa – K. Raabe-Stuppnig, Rechtsanwältin,

–        w imieniu Meta Platforms Ireland Ltd – K. Hanschitz, H.-G. Kamann, S. Khalil, B. Knötzl i A. Natterer, Rechtsanwälte,

–        w imieniu rządu austriackiego – A. Posch, J. Schmoll, C. Gabauer, G. Kunnert i E. Riedl, w charakterze pełnomocników,

–        w imieniu rządu francuskiego – R. Bénard i A.-L. Desjonquères, w charakterze pełnomocników,

–        w imieniu rządu włoskiego – G. Palmieri, działająca w charakterze pełnomocnika, którą wspierał E. De Bonis, avvocato dello stato,

–        w imieniu rządu portugalskiego – P. Barros da Costa, A. Pimenta, J. Ramos i C. Vieira Guerra, w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher, M. Heller i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 25 kwietnia 2024 r.,

wydaje następujący

Wyrok

1        Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 5 ust. 1 lit. b) i c), art. 6 ust. 1 lit. a) i b) oraz art. 9 ust. 1 i art. 9 ust. 2 lit. e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35; zwanego dalej „RODO”).

2        Wniosek ten został złożony w ramach sporu pomiędzy Maximilianem Schremsem, użytkownikiem sieci społecznościowej Facebook, a spółką Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd, z siedzibą w Irlandii, w przedmiocie przetwarzania przez tę spółkę danych osobowych tego użytkownika, które według niego jest niezgodne z prawem.

 Ramy prawne

 Prawo Unii

3        Motywy 1, 4, 39, 42, 43, 50 i 51 RODO głoszą:

„(1)      Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »Kartą«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

[…]

(4)      Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w [Karcie] – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.

[…]

(39)      Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. […] Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. […]

[…]

(42)      Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. […] Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

(43)      Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

[…]

(50)      Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. […]

(51)      Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. […] Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach […]. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby […]”.

4        Artykuł 4 tego rozporządzenia stanowi:

„Na użytek niniejszego rozporządzenia:

1)      »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]

2)      »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

7)      »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

[…]

11)      »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

[…]

23)      »transgraniczne przetwarzanie« oznacza:

a)      przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo

b)      przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

[…]”.

5        Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi w ust. 1 i 2:

„1.      Dane osobowe muszą być:

a)      przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b)      zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […] (»ograniczenie celu«);

c)      adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

[…]

e)      przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; […] (»ograniczenie przechowywania«).

2.      Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

6        Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, ma następujące brzmienie:

„1.      Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)      przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

[…].

4.      Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)      wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b)      kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c)      charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;

d)      ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e)      istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji”.

7        Artykuł 7 RODO, zatytułowany „Warunki wyrażenia zgody”, przewiduje:

„1.      Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

[…]

3.      Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

4.      Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.

8        Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi:

„1.      Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.      Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

[…]

e)      przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

[…]”.

9        Artykuł 13 wspomnianego rozporządzenia, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, stanowi, co następuje:

„1.      Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:

[…]

c)      cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

[…].

3.      Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

[…]”.

10      Artykuł 25 ust. 2 tego rozporządzenia stanowi:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

 Postępowanie główne i pytania prejudycjalne

11      Spółka Meta Platforms Ireland, która zarządza ofertą usług serwisu społecznościowego Facebook w Unii, jest administratorem danych osobowych użytkowników tego serwisu społecznościowego w Unii. Spółka nie posiada oddziału w Austrii. Meta Platforms Ireland promuje, w szczególności pod adresem www.facebook.com, usługi, które do dnia 5 listopada 2023 r. były świadczone na rzecz użytkowników prywatnych nieodpłatnie. Od dnia 6 listopada 2023 r. usługi te są bezpłatne wyłącznie dla użytkowników, którzy zgodzili się na gromadzenie i wykorzystywanie ich danych osobowych w celu kierowania do nich spersonalizowanych reklam, przy czym użytkownicy mają możliwość wykupienia odpłatnego abonamentu w celu uzyskania dostępu do wersji tych usług pozbawionej ukierunkowanych reklam.

12      Model biznesowy internetowej sieci społecznościowej Facebook jest oparty na finansowaniu pochodzącym z reklam internetowych, które są kierowane w sposób ukierunkowany do indywidualnych użytkowników sieci społecznościowej, w szczególności w zależności od ich zachowań konsumenckich, zainteresowań i sytuacji życiowej. Pod względem technicznym tego typu reklama jest możliwa dzięki zautomatyzowanemu tworzeniu bardzo szczegółowych profili użytkowników sieci i usług internetowych oferowanych na poziomie grupy Meta.

13      W celu przetwarzania danych osobowych użytkowników sieci społecznościowej Facebook Meta Platforms Ireland opiera się na umowie o korzystanie z tej sieci, do której przystępują oni poprzez kliknięcie przycisku „Rejestracja” i zaakceptowanie w ten sposób regulaminu korzystania z jej usług. W chwili zaistnienia okoliczności faktycznych w postępowaniu głównym akceptacja tego regulaminu była konieczna do rozpoczęcia korzystania z sieci społecznościowej Facebook. W zakresie dotyczącym przetwarzania danych osobowych swoich użytkowników regulamin odsyła do zasad korzystania z tych danych oraz zasad dotyczących plików „cookies” udostępnianych przez tę spółkę. Zgodnie z tymi zasadami Meta Platforms Ireland zbiera dane o użytkownikach i ich urządzeniach dotyczące ich aktywności zarówno w ramach sieci społecznościowej, jak i poza nią, oraz kojarzy je z ich kontami Facebook. Źródłem danych dotyczących aktywności użytkowników poza siecią społecznościową (zwanych również „danymi off-Facebook”) są, po pierwsze, przeglądane strony internetowe i aplikacje podmiotów zewnętrznych, które są połączone z Facebookiem za pomocą interfejsów programowania, i po drugie, inne usługi internetowe należące do grupy Meta, takie jak w szczególności Instagram i WhatsApp.

14      Przed wejściem w życie RODO użytkownicy Facebooka udzielali wyraźnej zgody na przetwarzanie ich danych zgodnie z regulaminem strony pozwanej mającym zastosowanie w tym okresie. W związku z wejściem w życie RODO w dniu 25 maja 2018 r. Meta Platforms Ireland przyjęła w dniu 19 kwietnia 2018 r. nowy regulamin, który przedstawiła swoim użytkownikom do zatwierdzenia. Maximilian Schrems, którego konto zostało zablokowane, zmuszony był zaakceptować nowy regulamin, aby nadal móc korzystać z Facebooka. Jego zgoda była konieczna do zachowania dostępu do konta i korzystania z odpowiednich usług.

15      Meta Platforms Ireland wprowadziła szereg „narzędzi” (tools), dzięki którym użytkownicy mają wgląd w przechowywane przez spółkę dane dotyczące ich aktywności i mogą je kontrolować. Narzędzia nie pokazują wszystkich przetwarzanych danych, a tylko te, które zdaniem tej spółki najbardziej interesują użytkowników i które są dla nich najbardziej istotne. Użytkownik może zatem na przykład dowiedzieć się, że otworzył aplikację za pośrednictwem swojego profilu na Facebooku, odwiedził stronę internetową, dokonał określonego wyszukiwania lub zakupu bądź kliknął w reklamę.

16      Jak wynika z regulaminu i wytycznych Meta Platforms Ireland spółka ta wykorzystuje pliki „cookie” [ciasteczka], „social plugins” [wtyczki społecznościowe] i piksele. Za pomocą plików cookie może ona ustalać, kto odwiedził daną stronę internetową. Bez włączonych plików cookie korzystanie z wielu usług świadczonych przez Meta Platforms Ireland jest niemożliwe. „Wtyczki społecznościowe” Facebooka są „umieszczane” na stronach internetowych podmiotów zewnętrznych przez ich operatorów. Najczęściej wykorzystywanym przyciskiem jest przycisk „Lubię to” Facebooka. Przy każdej wizycie na stronie internetowej zawierającej ten przycisk Meta Platforms Ireland otrzymuje informacje na temat plików „cookie” zainstalowanych na używanym urządzeniu, adresie URL odwiedzanej strony i innych danych, takich jak adres IP lub godzina wizyty. W tym celu nie jest konieczne, aby użytkownik kliknął przycisk „Lubię to”, ponieważ samo przeglądanie strony internetowej zawierającej taką „wtyczkę” uruchamia proces przekazywania danych tej spółce.

17      Z postanowienia odsyłającego wynika, że „wtyczki” można również znaleźć na stronach internetowych partii politycznych oraz na stronach skierowanych do osób homoseksualnych, które odwiedził M. Schrems. Dzięki tym „wtyczkom” Meta Platforms Ireland była w stanie monitorować zachowanie M. Schremsa w Internecie, co doprowadziło do zgromadzenia przez tę spółkę pewnych wrażliwych danych osobowych na jego temat.

18      Podobnie jak w przypadku „wtyczek społecznościowych”, piksele mogą być zintegrowane ze stronami witryn internetowych i umożliwiają gromadzenie informacji o użytkownikach, którzy odwiedzili te strony, w szczególności w celu pomiaru i optymalizacji wyświetlanych na tych stronach reklam. Przykładowo, integrując piksel Facebooka ze swoimi stronami internetowymi, ich operatorzy mogą otrzymywać raporty od Meta Platforms Ireland na temat liczby osób, którym wyświetliła się ich reklama na Facebooku i które następnie weszły na ich stronę internetową w celu zapoznania się z ofertą lub w celu dokonania zakupu.

19      „Wtyczki społecznościowe” i piksele, w połączeniu z plikami „cookie”, stanowią zatem istotny element reklamy internetowej, biorąc pod uwagę, że zdecydowana większość treści dostępnych w Internecie jest finansowana z reklam. W szczególności dzięki „wtyczkom” użytkownikom wyświetlają się odpowiednie reklamy, zaś dzięki pikselom reklamodawcy mogą mierzyć skuteczność kampanii reklamowych i pozyskiwać informacje o docelowych grupach użytkowników.

20      W niniejszej sprawie z postanowienia odsyłającego wynika, że M. Schrems nie wyraził zgody na przetwarzanie przez Meta Platforms Ireland jego danych osobowych – które uzyskuje ona od reklamodawców i innych partnerów, a które dotyczą aktywności M. Schremsa poza Facebookiem – do celów reklamy spersonalizowanej. Mimo to Meta Platforms Ireland miała pozyskać za pośrednictwem plików „cookie”, „wtyczek społecznościowych” i porównywalnych technologii zintegrowanych ze stronami internetowymi podmiotów zewnętrznych pewne dane dotyczące M. Schremsa, które miały być wykorzystywane przez tę spółkę w celu ulepszenia produktów Facebooka i wysyłania M. Schremsowi spersonalizowanych reklam.

21      Z postanowienia odsyłającego wynika również, że M. Schrems nie umieszczał na swoim profilu na Facebooku żadnych danych wrażliwych, że jego aktywność lub informacje pojawiające się na jego „osi czasu” są widoczne tylko dla jego „znajomych”, zaś sama „lista znajomych” nie jest publiczna. Maximilian Schrems postanowił również nie zezwalać Meta Platforms Ireland na wykorzystywanie, w celu wysyłania mu ukierunkowanych reklam, tych pól w jego profilu, które dotyczą jego relacji uczuciowych, pracodawcy, zatrudnienia lub wykształcenia.

22      Jednakże w świetle posiadanych przez niego informacji, Meta Platforms Ireland może również pozyskiwać informacje na temat zainteresowań M. Schremsa tematami wrażliwymi, takimi jak zdrowie, orientacja seksualna, grupy etniczne i partie polityczne, dzięki czemu może mu ona wysyłać ukierunkowane reklamy dotyczące na przykład tej orientacji seksualnej lub tych przekonań politycznych.

23      I tak, po pierwsze, M. Schrems otrzymał materiały promocyjne pewnej austriackiej polityczki, które zostały doń skierowane w oparciu o analizę Meta Platforms Ireland, która wykazała, że miał on punkty wspólne z użytkownikami, którzy „polubili” tę polityczkę, klikając przycisk „Lubię to”. Po drugie, M. Schrems regularnie otrzymywał reklamy skierowane do osób o orientacji homoseksualnej i zaproszenia na imprezy kierowane do tych osób, mimo że nigdy wcześniej nie wykazywał zainteresowania wspomnianymi imprezami ani nie znał miejsc, w których miały się one odbywać. Rzeczone reklamy lub zaproszenia nie były oparte bezpośrednio na orientacji seksualnej powoda i jego „znajomych”, lecz na przeprowadzonej analizie ich zainteresowań, w tym przypadku na fakcie, że jeden ze znajomych M. Schremsa oznaczył pewien produkt, naciskając przycisk „Lubię to”.

24      Maximillian Schrems zlecił przeprowadzenie analizy dotyczącej wniosków, które można było wyciągnąć z jego listy znajomych, która wykazała, że pełnił on służbę zastępczą w organizacji Czerwonego Krzyża w Salzburgu (Austria) i że jest osobą homoseksualną. Ponadto lista jego aktywności poza Facebookiem, będąca w posiadaniu Meta Platforms Ireland, obejmuje m.in. korzystnie z aplikacji randkowych dla osób homoseksualnych oraz stron internetowych do nawiązywania znajomości przez takie osoby, a także ze strony internetowej austriackiej partii politycznej. Wśród przechowywanych danych powoda w postępowaniu głównym był w szczególności jego adres mailowy, który nie został wskazany na jego profilu na Facebooku, ale którego używał on do komunikacji z Meta Platforms Ireland.

25      Z postanowienia odsyłającego wynika również, że M. Schrems nie kryje się publicznie ze swoją homoseksualną orientacją. Nigdy jednak nie wspomniał o niej na swoim profilu na Facebooku.

26      Maximilian Schrems podniósł przed Landesgericht für Zivilrechtssachen Wien (sądem okręgowym w Wiedniu orzekającym w sprawach cywilnych, Austria), że przetwarzanie jego danych osobowych przez Meta Platforms Ireland narusza szereg przepisów RODO. W tym względzie twierdzi, że jego zgoda na regulamin korzystania z platformy cyfrowej pozwanej w postępowaniu głównym nie odpowiadała wymogom określonym w art. 6 ust. 1 i art. 7 tego rozporządzenia. Ponadto Meta Platforms Ireland przetwarza dane wrażliwe powoda w postępowaniu głównym w rozumieniu art. 9 wspomnianego rozporządzenia bez uzyskania jego zgody wymaganej na podstawie art. 7 tego rozporządzenia. M. Schrems nie wyraził też ważnej zgody na przetwarzanie danych osobowych, które Meta Platforms Ireland otrzymała od podmiotów zewnętrznych. W tym kontekście M. Schrems wniósł między innymi o nakazanie pozwanej zaprzestania przetwarzania jego danych osobowych do celów spersonalizowanej reklamy oraz wykorzystywania tych danych wynikających z przeglądania stron internetowych podmiotów zewnętrznych i uzyskanych przez podmioty zewnętrzne.

27      Zdaniem Meta Platforms Ireland przetwarzanie danych M. Schremsa odbywało się jednak zgodnie z regulaminem korzystania z internetowego portalu społecznościowego, który jest zgodny z wymogami RODO. Przedmiotowe przetwarzanie danych jest zgodne z prawem i nie opiera się na zgodzie powoda wymaganej przez art. 6 ust. 1 lit. a) tego rozporządzenia, lecz na innych podstawach, w tym przede wszystkim na niezbędności tego przetwarzania do celów wykonania umowy zawartej między powodem a pozwaną w postępowaniu głównym w rozumieniu art. 6 ust. 1 lit. b) wspomnianego rozporządzenia.

28      W sprawie rozpatrywanej w postępowaniu głównym do Trybunału skierowano już wniosek o wydanie orzeczenia w trybie prejudycjalnym, który doprowadził do wydania wyroku z dnia 25 stycznia 2018 r., Schrems (C‑498/16, EU:C:2018:37). W następstwie tego wyroku Landesgericht für Zivilrechtssachen Wien (sąd okręgowy w Wiedniu orzekający w sprawach cywilnych) oddalił żądania M. Schremsa wyrokiem z dnia 30 czerwca 2020 r. . Również Oberlandesgericht Wien (wyższy sąd krajowy w Wiedniu, Austria), do którego M. Schrems wniósł apelację od tego wyroku, oddalił ją w szczególności ze względu na to, że przetwarzanie jego danych osobowych jako użytkownika platformy internetowej, w tym przesyłanie mu zindywidualizowanych reklam, stanowi integralną część zawartej przez strony umowy o korzystanie z tej platformy. Przetwarzanie tych danych jest zatem konieczne do wykonania tej umowy w rozumieniu art. 6 ust. 1 lit. b) RODO.

29      Rozpatrujący skargę rewizyjną M. Schremsa Oberster Gerichtshof (sąd najwyższy, Austria) zwraca uwagę, że model biznesowy Meta Platforms Ireland polega na generowaniu dochodów z ukierunkowanych reklam i treści komercyjnych wysyłanych użytkownikom Facebooka w oparciu o ich preferencje i zainteresowania, o których informacje są pozyskiwane poprzez przetwarzanie ich danych osobowych. Tymczasem, skoro owo przetwarzanie pozwala Facebookowi na nieodpłatne świadczenie usług swoim użytkownikom, może ono zostać uznane za niezbędne do wykonania umowy zawartej z tymi użytkownikami w rozumieniu art. 6 ust. 1 lit. b) RODO.

30      Jednakże zdaniem tego sądu przepis ten, który należy interpretować zawężająco, nie powinien zezwalać na takie przetwarzanie danych bez zgody osoby, której dane dotyczą.

31      Ponadto sąd ten zauważa, że Meta Platforms Ireland przetwarza dane osobowe, które można zaklasyfikować jako „wrażliwe” na podstawie art. 9 ust. 1 RODO.

32      W niniejszym przypadku Meta Plaforms Ireland przetwarza dane dotyczące przekonań politycznych i orientacji seksualnej M. Schremsa. Zgodnie z ustaleniami Oberster Gerichtshof (sądu najwyższego) M. Schrems nie kryje się publicznie ze swoją orientacją homoseksualną. W szczególności w ramach panelu dyskusyjnego, w którym uczestniczył w Wiedniu w dniu 12 lutego 2019 r., na zaproszenie przedstawicielstwa Komisji Europejskiej w Austrii, M. Schrems odniósł się do swojej orientacji seksualnej, chcąc wyrazić krytykę przetwarzania danych osobowych przez Facebook, w tym jego własnych danych. Jednakże, jak M. Schrems stwierdził również przy tej okazji, nigdy nie wspomniał on o tym aspekcie swojego życia prywatnego na swoim profilu na Facebooku.

33      Zdaniem tego sądu powstaje zatem pytanie, czy zainteresowany użytkownik w sposób oczywisty podał do wiadomości publicznej swoje wrażliwe dane osobowe i tym samym zezwolił na ich przetwarzanie na podstawie art. 9 ust. 2 lit. e) RODO.

34      W tych okolicznościach Oberster Gerichtshof (sąd najwyższy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy przepisy art. 6 ust. 1 lit. a) i b) [RODO] należy interpretować w ten sposób, że zgodność z prawem postanowień umownych zawartych w regulaminie dotyczącym umów korzystania z platformy, takich jak te rozpatrywane w postępowaniu głównym (w szczególności postanowień umownych, takich jak: »[z]amiast płacić […] poprzez korzystanie z produktów Facebooka objętych niniejszym Regulaminem użytkownik zgadza się na to, by Facebook wyświetlał mu reklamy […]. Wykorzystujemy dane osobowe użytkowników […] w celu wyświetlania użytkownikom reklam, które są dla nich bardziej interesujące«), które obejmują przetwarzanie danych osobowych w celu ich agregacji i analizy na potrzeby reklamy spersonalizowanej, należy oceniać zgodnie z wymogami określonymi w art. 6 ust. 1 lit. a) w związku z art. 7 RODO, których nie można zastąpić poprzez powołanie się na art. 6 ust. 1 lit. b) RODO?

2)      Czy art. 5 ust. 1 lit. c) RODO (minimalizacja danych) należy interpretować w ten sposób, że wszystkie dane osobowe, którymi dysponuje platforma taka jak ta rozpatrywana w postępowaniu głównym (w szczególności pochodzące od osoby, której dane dotyczą, lub od osób trzecich na tej platformie i poza nią) mogą być, bez ograniczeń co do czasu lub rodzaju danych, agregowane, analizowane i przetwarzane dla celów reklamy ukierunkowanej?

3)      Czy art. 9 ust. 1 RODO należy interpretować w ten sposób, że należy stosować go do przetwarzania danych umożliwiającego ukierunkowane filtrowanie (np. na potrzeby reklamy) szczególnych kategorii danych osobowych, takich jak przekonania polityczne czy orientacja seksualna, nawet jeśli administrator nie wprowadza rozróżnienia w odniesieniu do tych danych?

4)      Czy art. 5 ust. 1 lit. b) w związku z art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, że dotycząca własnej orientacji seksualnej wypowiedź poczyniona dla celów dyskusji panelowej zezwala na przetwarzanie innych danych dotyczących orientacji seksualnej w celu agregacji i analizy danych na potrzeby reklamy spersonalizowanej?”.

 Postępowanie przed Trybunałem

35      Postanowieniem z dnia 7 kwietnia 2022 r. prezes Trybunału zawiesił niniejsze postępowanie do czasu wydania orzeczenia kończącego postępowanie w sprawie C‑252/21, Meta Platforms i in.

36      Postanowieniem z dnia 7 lipca 2023 r. prezes Trybunału doręczył sądowi odsyłającemu w niniejszej sprawie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2023:537), zwracając się do niego z pytaniem, czy w świetle tego wyroku zamierza on podtrzymać swój wniosek o wydanie orzeczenia w trybie prejudycjalnym w całości lub w części, a w przypadku częściowego wycofania tego wniosku – przedstawić powody utrzymania w mocy jego części.

37      Postanowieniem z dnia 19 lipca 2023 r., które wpłynęło do sekretariatu Trybunału w dniu 9 sierpnia 2023 r., sąd ten wycofał swoje pytania prejudycjalne pierwsze i trzecie, podnosząc, że wspomniany wyrok udziela na nie odpowiedzi. Sąd ten podtrzymał natomiast swoje pytania prejudycjalne drugie i czwarte, twierdząc, że w tym samym wyroku nie udzielono na nie pełnej odpowiedzi.

 W przedmiocie pytania drugiego

38      Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. c) RODO należy interpretować w ten sposób, że przewidziana w nim zasada „minimalizacji danych” stoi na przeszkodzie temu, by wszystkie dane osobowe, które zostały pozyskane przez administratora danych, takiego jak operator platformy internetowej sieci społecznościowej, od osoby, której dane dotyczą, lub od podmiotów zewnętrznych i które zostały zebrane zarówno na tej platformie, jak i poza nią, były agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bezterminowo i bez względu na charakter tych danych.

 W przedmiocie dopuszczalności

39      Pozwana w postępowaniu głównym twierdzi, że pytanie to jest niedopuszczalne, ponieważ, po pierwsze, sąd odsyłający nie wyjaśnił powodów, dla których odpowiedź na to pytanie byłaby użyteczna dla rozstrzygnięcia sporu w postępowaniu głównym, a po drugie, sąd ten oparł się na nieprawidłowym założeniu faktycznym, błędnie przyjmując, że pozwana w postępowaniu głównym wykorzystuje do celów reklamowych wszystkie dane osobowe, którymi dysponuje, w sposób bezterminowy i bez żadnego rozróżnienia w zależności od charakteru tych danych.

40      Co się tyczy w pierwszej kolejności argumentu, zgodnie z którym sąd krajowy nie przedstawił powodów, dla których uważa, że odpowiedź na pytanie drugie jest przydatna dla rozstrzygnięcia sporu w postępowaniu głównym, należy podkreślić znaczenie wskazania przez sąd krajowy dokładnych powodów, które wywołały u niego wątpliwości w przedmiocie wykładni prawa Unii i dla których uznał za konieczne postawienie pytań prejudycjalnych Trybunałowi [wyroki: z dnia 6 grudnia 2005 r., ABNA i in., C‑453/03, C‑11/04, C‑12/04 i C‑194/04, EU:C:2005:741, pkt 46; z dnia 29 lutego 2024 r., Staatssecretaris van Justitie en Veiligheid (Wzajemne zaufanie w przypadku przekazania), C‑392/22, EU:C:2024:195, pkt 85]. W niniejszej sprawie z rozważań zawartych we wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika jednak, że sąd odsyłający zmierza do ustalenia, czy – przy założeniu, że przetwarzanie w celach reklamowych, o którym mowa w postępowaniu głównym, jest uzasadnione na podstawie art. 6 ust. 1 akapit pierwszy lit. b) RODO – zakres danych przetwarzanych w ten sposób przez pozwaną w postępowaniu głównym jest zgodny z zasadą minimalizacji danych, czy też, przeciwnie, tak szerokie przetwarzanie narusza obowiązki ciążące na administratorze na mocy art. 5 RODO. Powody, dla których odpowiedź na to pytanie jest użyteczna dla rozstrzygnięcia sporu w postępowaniu głównym, wynikają zatem w sposób wystarczający z wniosku o wydanie orzeczenia w trybie prejudycjalnym.

41      Co się tyczy w drugiej kolejności argumentu, zgodnie z którym sąd odsyłający oparł się na nieprawidłowym założeniu faktycznym, nie ulega wątpliwości, że drugie pytanie prejudycjalne opiera się na założeniu, zgodnie z którym, po pierwsze, jak wspomniano w pkt 20 niniejszego wyroku, mimo że M. Schrems nie zezwolił Meta Platforms Ireland na przetwarzanie jego danych osobowych dotyczących jego działalności poza Facebookiem, spółka ta przetwarzała jednak niektóre z tych danych, które uzyskała od stron podmiotów zewnętrznych, na podstawie akceptacji przez M. Schremsa regulaminu korzystania z sieci społecznościowej, w szczególności dzięki wykorzystaniu plików „cookies” i „wtyczek społecznościowych” Facebooka zintegrowanych ze stronami internetowymi tych podmiotów zewnętrznych, a po drugie, te dane osobowe są przetwarzane przez Meta Platforms Ireland bezterminowo i bez rozróżnienia w zależności od charakteru tych danych.

42      Należy jednak przypomnieć, że zgodnie z utrwalonym orzecznictwem art. 267 TFUE ustanawia procedurę bezpośredniej współpracy między Trybunałem a sądami państw członkowskich. W ramach tej procedury, opartej na wyraźnym rozdziale zadań sądów krajowych i Trybunału, wszelka ocena stanu faktycznego sprawy należy do kompetencji sądu krajowego, do którego należy, przy uwzględnieniu okoliczności konkretnej sprawy, ocena zarówno tego, czy do wydania wyroku jest mu niezbędne uzyskanie orzeczenia prejudycjalnego, jak i znaczenia skierowanych do Trybunału pytań, podczas gdy Trybunał jest uprawniony wyłącznie do orzekania o wykładni lub ważności aktów prawa Unii w oparciu o fakty przedstawione mu przez sąd krajowy (wyrok z dnia 25 października 2017 r., Polbud – Wykonawstwo, C‑106/16, EU:C:2017:804, pkt 27 i przytoczone tam orzecznictwo).

43      Odpowiedzi na zadane pytanie należy w konsekwencji udzielić w oparciu o to założenie, którego zasadność musi jednak ustalić sąd odsyłający.

44      W związku z tym drugie pytanie prejudycjalne jest dopuszczalne.

 Co do istoty

45      W pierwszej kolejności należy przypomnieć, że cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywów 1 i 10, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, zapisanego w art. 8 ust. 1 Karty i w art. 16 ust. 1 TFUE (wyrok z dnia 7 marca 2024 r., IAB Europe, C‑604/22, EU:C:2024:214, pkt 53 i przytoczone tam orzecznictwo).

46      W tym kontekście rozdziały II i III tego rozporządzenia określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności, z zastrzeżeniem odstępstw przewidzianych w art. 23 wspomnianego rozporządzenia, wszelkie przetwarzanie danych osobowych musi, po pierwsze, być zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 tego rozporządzenia i spełniać warunki zgodności przetwarzania z prawem, wymienione w jego art. 6, a po drugie, szanować prawa osoby, której dane dotyczą, określone w art. 12–22 RODO [wyrok z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie), C‑757/22, EU:C:2024:598, pkt 49 i przytoczone tam orzecznictwo].

47      Jak już wyjaśnił Trybunał, zasady dotyczące przetwarzania danych osobowych, wymienione w art. 5 RODO, stosuje się kumulatywnie (wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 47).

48      W tym względzie należy zauważyć, że zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, oraz że zgodnie z art. 5 ust. 1 lit. b) tego rozporządzenia dane te muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

49      Ponadto zgodnie z art. 5 ust. 1 lit. c) tego rozporządzenia, w którym ustanowiono zasadę „minimalizacji danych”, dane osobowe powinny być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2023:537, pkt 109 i przytoczone tam orzecznictwo].

50      Zasada ta, jak orzekł już Trybunał, jest wyrazem zasady proporcjonalności [zob. podobnie wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 98 i przytoczone tam orzecznictwo; z dnia 30 stycznia 2024 r., Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C‑118/22, EU:C:2024:97, pkt 41].

51      Zgodnie z zasadą odpowiedzialności wyrażoną w art. 5 ust. 2 RODO administrator powinien być w stanie wykazać, że przestrzega określonych w ust. 1 tego artykułu zasad dotyczących przetwarzania danych osobowych (zob. podobnie wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 24). Ponadto zgodnie z art. 13 ust. 1 lit. c) tego rozporządzenia, w przypadku gdy dane osobowe są pozyskiwane od osoby, której dotyczą, to na administratorze danych spoczywa obowiązek poinformowania jej o celach przetwarzania, do którego dane są przeznaczone, oraz o podstawie prawnej tego przetwarzania [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 95].

52      W drugiej kolejności, co się tyczy ograniczenia czasowego przetwarzania danych osobowych takiego jak rozpatrywane w postępowaniu głównym, należy przypomnieć, że Trybunał orzekł już, iż biorąc pod uwagę zasadę minimalizacji danych, administrator danych jest zobowiązany ograniczyć do niezbędnego minimum, w świetle zamierzonego celu przetwarzania danych, okres zbierania przedmiotowych danych osobowych [wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 79].

53      Im bowiem dłuższy jest okres przechowywania takich danych, tym znaczniejszy ma to wpływ na interesy i życie prywatne osoby, której dane dotyczą, i tym bardziej rygorystyczne są wymogi w zakresie zgodności przechowywania tych danych z prawem [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 95].

54      Należy też zauważyć, że zgodnie z art. 5 ust. 1 lit. e) RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których dane te są przetwarzane.

55      Z brzmienia tego artykułu wynika zatem jednoznacznie, że ustanowiona w nim zasada „ograniczenia przechowywania” wymaga od administratora, by był w stanie wykazać, zgodnie z zasadą rozliczalności przypomnianą w pkt 51 niniejszego wyroku, iż dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono (zob. podobnie wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 53).

56      Wynika z tego, jak orzekł już Trybunał, że nawet początkowo zgodne z prawem przetwarzanie danych może z czasem stać się sprzeczne z przepisami RODO, jeżeli dane te nie są już niezbędne do celów, dla których były zgromadzone lub dalej przetworzone, oraz że dane te powinny zostać usunięte, gdy rzeczone cele zostały osiągnięte (zob. podobnie wyrok z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 54 i przytoczone tam orzecznictwo).

57      W tych okolicznościach, jak w istocie zauważył rzecznik generalny w pkt 22 opinii, do sądu krajowego należy dokonanie oceny, z uwzględnieniem wszystkich istotnych okoliczności sprawy i przy zastosowaniu zasady proporcjonalności, przypomnianej w art. 5 ust. 1 lit. c) RODO, czy okres przechowywania danych osobowych przez administratora jest racjonalnie uzasadniony w świetle celu polegającego na umożliwieniu przesyłania zindywidualizowanych reklam.

58      W każdym wypadku bezterminowe przechowywanie danych osobowych użytkowników platformy sieci społecznościowej do celów ukierunkowanej reklamy należy uznać za nieproporcjonalną ingerencję w zagwarantowane tym użytkownikom w RODO prawa.

59      W trzeciej kolejności, co się tyczy okoliczności, że dane osobowe rozpatrywane w postępowaniu głównym są gromadzone, agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bez rozróżnienia w zależności od charakteru tych danych, należy przypomnieć, że Trybunał orzekł już, iż z uwagi na przewidzianą w art. 5 ust. 1 lit. c) RODO zasadę minimalizacji danych administrator nie może zbierać danych osobowych w sposób ogólny i niezróżnicowany oraz że powinien on powstrzymać się od zbierania danych, które nie są absolutnie niezbędne z punktu widzenia celów przetwarzania [wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 74].

60      Należy również zauważyć, że art. 25 ust. 2 tego rozporządzenia wymaga od administratora podjęcia odpowiednich środków w celu zapewnienia, by domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zgodnie z tym przepisem obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

61      W niniejszej sprawie z postanowienia odsyłającego wynika, że Meta Platforms Ireland gromadzi dane osobowe użytkowników Facebooka, w tym M. Schremsa, dotyczące ich aktywności zarówno w ramach tej sieci społecznościowej, jak i poza nią, w tym w szczególności dane dotyczące przeglądania platformy internetowej oraz stron i aplikacji internetowych podmiotów zewnętrznych, a także monitoruje aktywność użytkowników dotyczącą przeglądania tych stron za pomocą umieszczonych na tych stronach internetowych „wtyczek społecznościowych” i „pikseli”.

62      Tymczasem, jak orzekł już Trybunał, tego rodzaju przetwarzanie ma szczególnie szeroki zakres, ponieważ potencjalnie dotyczy nieograniczonego zbioru danych i ma istotny wpływ na użytkownika, w przypadku którego znaczna część jego aktywności – a wręcz prawie cała jego aktywność w Internecie – jest monitorowana przez Meta Platforms Ireland, co może wywołać u niego poczucie, że jego życie prywatne jest pod stałym nadzorem [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 118].

63      W tych okolicznościach przetwarzanie danych rozpatrywane w postępowaniu głównym niesie za sobą poważną ingerencję w prawa podstawowe osób, których dane dotyczą, w szczególności ich prawa do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej, które nie wydaje się, z zastrzeżeniem ustaleń, których powinien dokonać sąd odsyłający, racjonalnie uzasadnione w świetle celu polegającego na umożliwieniu rozpowszechniania ukierunkowanej reklamy.

64      W każdym razie niezróżnicowane wykorzystanie wszystkich danych osobowych przechowywanych przez platformę społecznościową do celów reklamowych, niezależnie od stopnia ich wrażliwości, nie wydaje się być proporcjonalną ingerencją w prawa, które użytkownikom tej platformy gwarantuje RODO.

65      W świetle powyższych rozważań na pytanie drugie należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. c) RODO należy interpretować w ten sposób, że przewidziana w nim zasada „minimalizacji danych” stoi na przeszkodzie temu, by wszystkie dane osobowe, które zostały pozyskane przez administratora danych, takiego jak operator platformy internetowej sieci społecznościowej, od osoby, której dane dotyczą, lub od podmiotów zewnętrznych i które zostały zebrane zarówno na tej platformie, jak i poza nią, były agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bezterminowo i bez względu na charakter tych danych.

 W przedmiocie pytania czwartego

66      Poprzez to pytanie sąd odsyłający dąży w istocie do ustalenia, czy art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, że okoliczność, iż dana osoba wypowiedziała się na temat swojej orientacji seksualnej w trakcie otwartej dla publiczności dyskusji panelowej, upoważnia operatora platformy internetowej sieci społecznościowej do przetwarzania innych danych dotyczących orientacji seksualnej tej osoby, pozyskanych w danym wypadku poza tą platformą za pośrednictwem aplikacji i stron internetowych podmiotów zewnętrznych w celu ich agregacji i analizy służących oferowaniu tej osobie zindywidualizowanej reklamy.

67      W szczególności sąd odsyłający dąży do ustalenia, czy wypowiedź M. Schremsa w trakcie dyskusji panelowej skutkuje utratą przez niego prawa do ochrony wynikającej z art. 9 ust. 1 RODO i czy w konsekwencji Facebook miał prawo do przetwarzania innych danych dotyczących jego orientacji seksualnej.

68      Na wstępie należy zauważyć, że dyskusja panelowa, na którą powołuje się sąd odsyłający, w trakcie której M. Schrems wypowiedział się na temat swojej orientacji seksualnej, odbyła się w dniu 12 lutego 2019 r. i że – jak wynika z postanowienia odsyłającego – w tym dniu Meta Platforms Ireland przetwarzała już dane osobowe dotyczące orientacji seksualnej M. Schremsa, w związku z czym przedmiotowa wypowiedź miała miejsce już po rozpoczęciu takiego przetwarzania danych.

69      Wynika z tego, że czwarte pytanie prejudycjalne sądu odsyłającego należy rozumieć jako odnoszące się wyłącznie do przetwarzania danych dotyczących orientacji seksualnej M. Schremsa przez Meta Platforms Ireland po dniu 12 lutego 2019 r. Do sądu odsyłającego należy jednak ustalenie, czy takie przetwarzanie rzeczywiście miało miejsce po tej dacie, zgodnie z orzecznictwem przypomnianym w pkt 42 niniejszego wyroku.

70      W celu udzielenia odpowiedzi na to pytanie należy w pierwszej kolejności przypomnieć, że jak wskazano w motywie 51 RODO, dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. W motywie tym wyjaśniono, że takich danych osobowych nie należy przetwarzać, chyba że RODO dopuszcza to w szczególnych przypadkach.

71      W tym kontekście w art. 9 ust. 1 RODO ustanowiona została zasada zakazu przetwarzania wymienionych w nim szczególnych kategorii danych osobowych. Chodzi tu w szczególności o dane, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby fizycznej.

72      Do celów stosowania art. 9 ust. 1 RODO w przypadku przetwarzania danych osobowych przez operatora internetowej sieci społecznościowej należy sprawdzić, czy takie dane umożliwiają ujawnienie informacji należących do jednej z kategorii określonych w tym przepisie, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej. W przypadku udzielenia odpowiedzi twierdzącej takie przetwarzanie danych osobowych będzie w konsekwencji zakazane, z zastrzeżeniem odstępstw przewidzianych w art. 9 ust. 2 RODO.

73      Jak orzekł już Trybunał, ten mający co do zasady zastosowanie zakaz przewidziany w art. 9 ust. 1 RODO obowiązuje niezależnie od tego, czy informacja ujawniona w wyniku danego przetwarzania jest prawdziwa i czy administrator danych działa w celu uzyskania informacji należących do jednej ze szczególnych kategorii, o których mowa w tym przepisie. Biorąc bowiem pod uwagę poważne zagrożenia dla podstawowych wolności i praw podstawowych osób, których dane dotyczą, a które to zagrożenia wynikają z przetwarzania danych osobowych należących do kategorii, o których mowa w art. 9 ust. 1 RODO, ustanawiając tę regulację, prawodawca zmierzał do zakazania tego rodzaju przetwarzania, niezależnie od jego zadeklarowanego celu [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 69, 70].

74      Niemniej jednak, o ile ów art. 9 ust. 1 zakazuje co do zasady przetwarzania danych dotyczących w szczególności orientacji seksualnej, o tyle w art. 9 ust. 2 lit. a)–j) przewidziano dziesięć odstępstw, które są od siebie niezależne i które należy zatem oceniać w sposób autonomiczny. Wynika z tego, że okoliczność, iż przesłanki zastosowania jednego z odstępstw przewidzianych w art. 9 ust. 2 nie zostały spełnione, nie stoi na przeszkodzie powołaniu się przez administratora danych na inne odstępstwo, o którym mowa w tym przepisie (wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 47).

75      Co się tyczy w szczególności odstępstwa przewidzianego w art. 9 ust. 2 lit. e) RODO, należy przypomnieć, że zgodnie z tym przepisem obowiązujący co do zasady zakaz jakiegokolwiek przetwarzania szczególnych kategorii danych osobowych, który został ustanowiony w tym art. 9 ust. 1, nie ma zastosowania w sytuacji, gdy to przetwarzanie dotyczy takich danych osobowych „w sposób oczywisty upublicznionych przez osobę, której dane dotyczą”.

76      Ze względu na to, że w art. 9 ust. 2 lit. e) RODO przewidziany został wyjątek od zasady zakazu przetwarzania szczególnych kategorii danych osobowych, przepis ten należy interpretować zawężająco [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 76 i przytoczone tam orzecznictwo].

77      Wynika z tego, że do celów zastosowania wyjątku przewidzianego w art. 9 ust. 2 lit. e) RODO należy sprawdzić, czy osoba, której dane dotyczą, zamierzała, w drodze wyraźnej czynności potwierdzającej, udostępnić rozpatrywane dane osobowe ogółowi opinii publicznej [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 77].

78      W niniejszej sprawie z postanowienia odsyłającego wynika, że dyskusja panelowa, która odbyła się w dniu 12 lutego 2019 r. w Wiedniu, w trakcie której M. Schrems wypowiedział się na temat swojej orientacji seksualnej, była otwarta dla publiczności, która mogła uzyskać bilet, aby uczestniczyć w niej osobiście, w zależności od dostępności miejsc, oraz że była ona transmitowana na żywo w streamingu. Ponadto nagranie z dyskusji panelowej zostało następnie opublikowane w formie podcastu i na kanale YouTube Komisji.

79      W tych okolicznościach oraz z zastrzeżeniem ustaleń, których powinien dokonać sąd krajowy, nie można wykluczyć, że owa wypowiedź, mimo że stanowi część szerszej dyskusji i padła wyłącznie w celu krytyki przetwarzania danych osobowych dokonywanego przez Facebook, stanowi czynność, poprzez którą zainteresowany, świadomie i w sposób oczywisty, upublicznił, w rozumieniu art. 9 ust. 2 lit. e) RODO, swoją orientację seksualną.

80      W drugiej kolejności, o ile okoliczność, że osoba, której dane dotyczą, w sposób oczywisty upubliczniła dane dotyczące swojej orientacji seksualnej, skutkuje tym, że dane te mogą być przetwarzane w drodze odstępstwa od zakazu przewidzianego w art. 9 ust. 1 RODO i zgodnie z wymogami wynikającymi z innych przepisów tego rozporządzenia [zob. podobnie wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 64], okoliczność ta sama w sobie nie pozwala, wbrew temu, co twierdzi Meta Platforms Ireland, na przetwarzanie innych danych osobowych dotyczących orientacji seksualnej tej osoby.

81      W związku z tym, po pierwsze, sprzeczne z zawężającą wykładnią, jaką należy nadać art. 9 ust. 2 lit. e) RODO, byłoby uznanie, że wszystkie dane dotyczące orientacji seksualnej danej osoby nie są objęte ochroną wynikającą z ust. 1 tego artykułu z tego tylko powodu, że osoba, której dane dotyczą, w sposób oczywisty upubliczniła dane osobowe dotyczące jej orientacji seksualnej.

82      Po drugie, okoliczność, że dana osoba w sposób oczywisty upubliczniła dane dotyczące swojej orientacji seksualnej, nie pozwala uznać, że osoba ta udzieliła zgody, w rozumieniu art. 9 ust. 2 lit. a) RODO, na przetwarzanie przez operatora platformy internetowej sieci społecznościowej innych danych dotyczących jej orientacji seksualnej.

83      W świetle powyższych rozważań na pytanie czwarte należy udzielić następującej odpowiedzi: art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, że okoliczność, iż dana osoba wypowiedziała się na temat swojej orientacji seksualnej w trakcie otwartej dla publiczności dyskusji panelowej, nie upoważnia operatora platformy internetowej sieci społecznościowej do przetwarzania innych danych dotyczących orientacji seksualnej tej osoby, pozyskanych w danym wypadku poza tą platformą za pośrednictwem aplikacji i stron internetowych podmiotów zewnętrznych w celu ich agregacji i analizy służących oferowaniu tej osobie zindywidualizowanej reklamy.

 W przedmiocie kosztów

84      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje:

1)      Artykuł 5 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

przewidziana w nim zasada „minimalizacji danych” stoi na przeszkodzie temu, by wszystkie dane osobowe, które zostały pozyskane przez administratora danych, takiego jak operator platformy internetowej sieci społecznościowej, od osoby, której dane dotyczą, lub od podmiotów zewnętrznych i które zostały zebrane zarówno na tej platformie, jak i poza nią, były agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bezterminowo i bez względu na charakter tych danych.

2)      Artykuł 9 ust. 2 lit. e) rozporządzenia 2016/679

należy interpretować w ten sposób, że:

okoliczność, iż dana osoba wypowiedziała się na temat swojej orientacji seksualnej w trakcie otwartej dla publiczności dyskusji panelowej, nie upoważnia operatora platformy internetowej sieci społecznościowej do przetwarzania innych danych dotyczących orientacji seksualnej tej osoby, pozyskanych w danym wypadku poza tą platformą za pośrednictwem aplikacji i stron internetowych podmiotów zewnętrznych w celu ich agregacji i analizy służących oferowaniu tej osobie zindywidualizowanej reklamy.

Treść orzeczenia pochodzi z curia.europa.eu

Serwis wykorzystuje pliki cookies. Korzystając z serwisu akceptujesz politykę prywatności i cookies.