Ochrona danych osobowych w sieciach społecznościowych

Art. 5 ust. 1 lit. c) RODO należy interpretować w ten sposób, że przewidziana w nim zasada „minimalizacji danych” stoi na przeszkodzie temu, by wszystkie dane osobowe, które zostały pozyskane przez administratora danych, takiego jak operator platformy internetowej sieci społecznościowej, od osoby, której dane dotyczą, lub od podmiotów zewnętrznych i które zostały zebrane zarówno na tej platformie, jak i poza nią, były agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bezterminowo i bez względu na charakter tych danych.

Z uwagi na przewidzianą w art. 5 ust. 1 lit. c) RODO zasadę minimalizacji danych administrator nie może zbierać danych osobowych w sposób ogólny i niezróżnicowany oraz że powinien on powstrzymać się od zbierania danych, które nie są absolutnie niezbędne z punktu widzenia celów przetwarzania [wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests, C-175/20].

Art. 25 ust. 2 tego rozporządzenia wymaga od administratora podjęcia odpowiednich środków w celu zapewnienia, by domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zgodnie z tym przepisem obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

W niniejszej sprawie z postanowienia odsyłającego wynika, że Meta Platforms Ireland gromadzi dane osobowe użytkowników Facebooka, w tym M. Schremsa, dotyczące ich aktywności zarówno w ramach tej sieci społecznościowej, jak i poza nią, w tym w szczególności dane dotyczące przeglądania platformy internetowej oraz stron i aplikacji internetowych podmiotów zewnętrznych, a także monitoruje aktywność użytkowników dotyczącą przeglądania tych stron za pomocą umieszczonych na tych stronach internetowych „wtyczek społecznościowych” i „pikseli”.

Tymczasem, jak orzekł już Trybunał, tego rodzaju przetwarzanie ma szczególnie szeroki zakres, ponieważ potencjalnie dotyczy nieograniczonego zbioru danych i ma istotny wpływ na użytkownika, w przypadku którego znaczna część jego aktywności – a wręcz prawie cała jego aktywność w Internecie – jest monitorowana przez Meta Platforms Ireland, co może wywołać u niego poczucie, że jego życie prywatne jest pod stałym nadzorem [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C-252/21].

63      W tych okolicznościach przetwarzanie danych rozpatrywane w postępowaniu głównym niesie za sobą poważną ingerencję w prawa podstawowe osób, których dane dotyczą, w szczególności ich prawa do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej, które nie wydaje się, z zastrzeżeniem ustaleń, których powinien dokonać sąd odsyłający, racjonalnie uzasadnione w świetle celu polegającego na umożliwieniu rozpowszechniania ukierunkowanej reklamy.

W każdym razie niezróżnicowane wykorzystanie wszystkich danych osobowych przechowywanych przez platformę społecznościową do celów reklamowych, niezależnie od stopnia ich wrażliwości, nie wydaje się być proporcjonalną ingerencją w prawa, które użytkownikom tej platformy gwarantuje RODO.

Wyrok TSUE z dnia 4 października 2024 r., C-446/21

Standard: 83964 (pełna treść orzeczenia)

Art. 9 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w tym przepisie, i, w stosownym przypadku, zamieszcza w nich dane, rejestrując się na tych stronach lub tych aplikacjach czy też składając zamówienia online, dokonywane przez operatora tej internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu, za pomocą zintegrowanych interfejsów, plików cookie lub podobnych technologii rejestracji, danych pochodzących z przeglądania tych stron i tych aplikacji oraz danych zamieszczonych przez użytkownika, łączeniu wszystkich tych danych z kontem sieci społecznościowej tego użytkownika i wykorzystywaniu tych danych przez tego operatora należy uznać za „przetwarzanie szczególnych kategorii danych osobowych” w rozumieniu tego przepisu, które jest co do zasady zakazane, z zastrzeżeniem wyjątków przewidzianych w art. 9 ust. 2 RODO, jeżeli owo przetwarzanie danych może ujawniać informacje należące do jednej z tych kategorii, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej.

Art. 9 ust. 2 lit. e) RODO należy interpretować w ten sposób, iż w przypadku gdy użytkownik internetowej sieci społecznościowej przegląda strony internetowe lub aplikacje powiązane z jedną lub kilkoma kategoriami, o których mowa w art. 9 ust. 1 RODO, nie upublicznia on w sposób oczywisty, w rozumieniu pierwszego z tych przepisów, dotyczących tego przeglądania danych zbieranych przez operatora tej internetowej sieci społecznościowej za pomocą plików cookie lub podobnych technologii rejestracji.

 Gdy taki użytkownik  zamieszcza dane na takich stronach internetowych lub w takich aplikacjach lub też gdy aktywuje zintegrowane z tymi stronami i aplikacjami przyciski wyboru, takie jak przyciski „Lubię to” lub „Udostępnij”, lub też przyciski umożliwiające użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika w internetowej sieci społecznościowej, z jego numerem telefonu lub jego adresem elektronicznym, upublicznia on w oczywisty sposób, w rozumieniu tego art. 9 ust. 2 lit. e), dane zamieszczone w ten sposób lub wynikające z aktywowania tych przycisków jedynie w przypadku, gdy uprzednio wyraźnie wyraził swój wybór – w stosownym przypadku poprzez indywidualne zdefiniowanie z pełną znajomością rzeczy parametrów – publicznego udostępnienia dotyczących go danych nieograniczonej liczbie osób.

Art. 6 ust. 1 akapit pierwszy lit. b) RODO należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do wykonania umowy, której stroną są osoby, których dane dotyczą, w rozumieniu tego przepisu, tylko wtedy, gdy przetwarzanie to jest obiektywnie niezbędne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz tych samych użytkowników, skutkiem czego główny cel umowy nie mógłby zostać osiągnięty bez tego przetwarzania.

Artykuł 6 ust. 1 akapit pierwszy lit. f) RODO należy interpretować w ten sposób, że takie przetwarzanie może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.

Ze ścisłej wykładni, jaką należy przyjąć w odniesieniu do art. 6 ust. 1 akapit pierwszy lit. d) RODO, wynika, że ze względu na charakter usług świadczonych przez operatora internetowej sieci społecznościowej taki podmiot, którego działalność ma charakter głównie gospodarczy i handlowy, nie może powoływać się na ochronę istotnego znaczenia dla życia jego użytkowników lub innej osoby, aby w ten sposób uzasadnić, w oderwaniu od kontekstu, w abstrakcyjny i prewencyjny sposób, zgodność z prawem przetwarzania danych takiego jak to rozpatrywane w postępowaniu głównym.

Art. 6 ust. 1 akapit pierwszy lit. c) RODO należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych jest uzasadnione, w rozumieniu tego przepisu, jeżeli to przetwarzanie jest rzeczywiście niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych na podstawie przepisu prawa Unii lub prawa danego państwa członkowskiego, owa podstawa prawna służy realizacji celu leżącego w interesie publicznym i jest proporcjonalna do prawnie uzasadnionego celu, a przetwarzanie to jest dokonywane w granicach tego, co jest absolutnie niezbędne.

Artykuł 6 ust. 1 akapit pierwszy lit. d) i e) RODO należy interpretować w ten sposób, że takie przetwarzanie danych osobowych nie może – co do zasady i z zastrzeżeniem weryfikacji, którą powinien przeprowadzić sąd odsyłający – zostać uznane za niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej w rozumieniu lit. d) lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, w rozumieniu lit. e) tego przepisu.

Art. 6 ust. 1 akapit pierwszy lit. a) i art. 9 ust. 2 lit. a) RODO należy interpretować w ten sposób, że okoliczność polegająca na tym, iż operator internetowej sieci społecznościowej zajmuje pozycję dominującą na rynku internetowych sieci społecznościowych, nie stoi sama w sobie na przeszkodzie temu, by użytkownicy takiej sieci mogli skutecznie wyrazić zgodę, w rozumieniu art. 4 pkt 11 tego rozporządzenia, na przetwarzanie ich danych osobowych przez tego operatora. Niemniej jednak okoliczność ta stanowi element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie, czego udowodnienie należy do tego operatora.

W art. 9 ust. 1 RODO ustanowiona została zasada zakazu przetwarzania wymienionych w nim szczególnych kategorii danych osobowych. Chodzi tu w szczególności o dane, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne oraz dane dotyczące zdrowia, seksualności lub orientacji danej osoby fizycznej.

Do celów stosowania art. 9 ust. 1 RODO w przypadku przetwarzania danych osobowych przez operatora internetowej sieci społecznościowej należy sprawdzić, czy takie dane umożliwiają ujawnienie informacji należących do jednej z kategorii określonych w tym przepisie, niezależnie od tego, czy informacje te dotyczą użytkownika tej sieci, czy jakiejkolwiek innej osoby fizycznej. W przypadku udzielenia odpowiedzi twierdzącej takie przetwarzanie danych osobowych będzie w konsekwencji zakazane, z zastrzeżeniem odstępstw przewidzianych w art. 9 ust. 2 RODO.

Co się tyczy działań polegających na zamieszczaniu danych na tych stronach internetowych lub w tych aplikacjach, a także na aktywowaniu zintegrowanych z nimi przycisków wyboru, takich jak przyciski „Lubię to” lub „Udostępnij”, lub też przycisków umożliwiających temu użytkownikowi zidentyfikowanie się na tych stronach lub w tych aplikacjach za pomocą identyfikatorów połączenia związanych z jego kontem użytkownika sieci społecznościowej Facebook, z jego numerem telefonu lub z jego adresem elektronicznym, należy zauważyć, że składową tych czynności jest interakcja między tym użytkownikiem a daną stroną internetową lub daną aplikacją oraz, w stosownych przypadkach, stroną internetową sieci społecznościowej, której to interakcji stopień upublicznienia może się różnić w zależności od tego, jakie będą indywidualne parametry przyjęte przez tego użytkownika.

Do sądu odsyłającego należy zbadanie, czy użytkownicy, których przetwarzanie dotyczy, mają możliwość podjęcia, za pomocą zdefiniowanych ze znajomością rzeczy parametrów, decyzji o udostępnieniu danych zamieszczanych na stronach internetowych lub w aplikacjach lub danych wynikających z aktywacji zintegrowanych z nimi przycisków do dokonywania wyboru ogółowi opinii publicznej, czy też, przeciwnie, o udostępnieniu ich bardziej lub mniej ograniczonej liczbie wybranych osób.

W przypadku gdy użytkownicy, których dane dotyczą, mają rzeczywiście taki wybór, można uznać, że w sytuacji gdy dobrowolnie zamieszczają oni dane na stronie internetowej lub w aplikacji lub też aktywują zintegrowane z nimi przyciski do dokonywania wyboru, użytkownicy ci w sposób oczywisty upubliczniają dotyczące ich dane w rozumieniu art. 9 ust. 2 lit. e) RODO jedynie w przypadku, gdy poprzez indywidualnie zdefiniowanie z pełną znajomością rzeczy parametrów użytkownicy ci jasno dali wyraz dokonanemu przez siebie wyborowi udostępnienia tych danych nieograniczonej liczbie osób, czego zweryfikowanie należy do sądu odsyłającego.

Gdy natomiast takie przyjęcie indywidualnych parametrów nie jest proponowane, biorąc pod uwagę to, co zostało wskazane w pkt 77 niniejszego wyroku, należy uznać, że w przypadku gdy użytkownicy ci zamieszczają z własnej woli dane na stronie internetowej lub w aplikacji lub też aktywują zintegrowane z nimi przyciski do dokonywania wyboru, do tego, aby można było uznać, iż upublicznili oni w sposób oczywisty te dane, konieczne jest wyraźne wyrażenie przez nich – na podstawie wyraźnej informacji dostarczonej przez tę stronę lub przez tę aplikację przed takim zamieszczeniem lub aktywacją – zgody na to, aby wszystkie osoby mające dostęp do tej strony lub do tej aplikacji mogły wizualizować te dane.

Personalizacja treści, która umożliwia użytkownikowi oglądanie treści, które w znacznym stopniu odpowiadają jego zainteresowaniom, to jednak – z zastrzeżeniem zweryfikowania tego przez sąd krajowy – nie wydaje się jednak konieczna do oferowania użytkownikowi usług internetowej sieci społecznościowej. Usługi te mogą być w odpowiednim przypadku świadczone na rzecz użytkownika w formie równoważnej alternatywy, która nie wiąże się z taką personalizacją, skutkiem czego nie jest ona obiektywnie niezbędna do osiągnięcia celu stanowiącego integralną część tych właśnie usług. Zatem, z zastrzeżeniem zweryfikowania tego przez sąd odsyłający, przetwarzanie danych osobowych pochodzących z oferowanych przez grupę Meta usług innych niż usługa internetowej sieci społecznościowej nie wydaje się konieczne do umożliwienia świadczenia tej właśnie usługi.

W odniesieniu do personalizacji reklamy, należy zauważyć, że zgodnie z motywem 47 RODO przetwarzanie danych osobowych do celu marketingu bezpośredniego można uznać za wykonywane w prawnie uzasadnionym interesie administratora danych. Takie przetwarzanie musi być jednak niezbędne do realizacji celów związanych z tym interesem, a interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie mogą mieć pierwszeństwa przed tym uzasadnionym interesem administratora. W kontekście tego wyważania wchodzących w grę i przeciwstawnych praw i interesów, a mianowicie praw i interesów administratora z jednej strony oraz praw i interesów osoby, której dane dotyczą, z drugiej strony, należy wziąć pod uwagę, w szczególności racjonalne oczekiwania osoby, której dane dotyczą, oraz zakres przedmiotowej operacji przetwarzania i jej wpływ na tę osobę.

Pomimo nieodpłatności usług internetowej sieci społecznościowej takiej jak Facebook jej użytkownik nie może, racjonalnie rzecz biorąc, spodziewać się, że operator tej sieci społecznościowej będzie przetwarzał bez jego zgody jego dane osobowe w celu personalizacji reklamy. W tych okolicznościach należy uznać, że interesy i prawa podstawowe takiego użytkownika mają pierwszeństwo przed interesem, jaki ma w takiej personalizacji reklamy operator sieci społecznościowej, który finansuje za pomocą tej reklamy swoją działalność, efektem czego przetwarzanie dokonywane przez niego w takich celach nie może wchodzić w zakres zastosowania art. 6 ust. 1 akapit pierwszy lit. f) RODO.

Jeśli chodzi o konieczność tego przetwarzania dla realizacji celów związanych z tym prawnie uzasadnionym interesem, sąd odsyłający będzie musiał sprawdzić, czy i w jakim zakresie to przetwarzanie danych osobowych pozyskanych ze źródeł znajdujących się poza siecią społecznościową Facebook jest rzeczywiście niezbędne dla zapewnienia wewnętrznego bezpieczeństwa tego portalu. W tym kontekście, sąd winien zweryfikować z jednej strony to, czy prawnie uzasadnionego interesu w przetwarzaniu danych nie można racjonalnie osiągnąć w równie skuteczny sposób innymi środkami, w mniejszym stopniu naruszającymi wolności i prawa podstawowe osób, których te dane dotyczą, w szczególności prawa do poszanowania życia prywatnego i ochrony danych osobowych zagwarantowane w art. 7 i 8 karty praw podstawowych, oraz z drugiej strony czy przestrzegana jest zasada „minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c) RODO.

Jeśli chodzi o cel polegający na ulepszaniu produktu, nie można a priori wykluczyć, że interes administratora polegający na ulepszaniu jego produktu lub usługi w celu uczynienia ich bardziej skutecznymi, a tym samym bardziej atrakcyjnymi, może stanowić prawnie uzasadniony interes uzasadniający przetwarzanie danych osobowych oraz że takie przetwarzanie może być niezbędne do realizacji tego interesu. Jednakże, z zastrzeżeniem dokonania przez sąd odsyłający ostatecznej oceny w tym względzie, należy uznać za wątpliwe, czy w przypadku przetwarzania danych będącego przedmiotem postępowania głównego cel polegający na ulepszaniu produktu mógłby – biorąc pod uwagę skalę tego przetwarzania i jego istotny wpływ na użytkownika, jak również okoliczność polegającą na tym, że użytkownik ten wcale nie może racjonalnie spodziewać się tego, iż te dane te będą przetwarzane przez Meta Platforms Ireland – mieć pierwszeństwo przed interesami i prawami podstawowymi takiego użytkownika, tym bardziej w przypadku, gdy jest nim dziecko.

Jeśli chodzi o wskazany przez sąd odsyłający cel związany z udzielaniem informacji właściwym organom ścigania i organom wykonawczym w celu zapobiegania przestępstwom, ich wykrywania i ścigania, należy stwierdzić, że cel ten nie może co do zasady stanowić prawnie uzasadnionego interesu realizowanego przez administratora w rozumieniu art. 6 ust. 1 akapit pierwszy lit. f) RODO. Podmiot prywatny taki jak Meta Platforms Ireland nie może bowiem powoływać się na taki prawnie uzasadniony interes pozostający bez związku z prowadzoną przezeń działalnością gospodarczą i handlową. Cel ten może natomiast uzasadniać przetwarzanie danych przez taki podmiot wówczas, gdy jest to obiektywnie konieczne do wypełnienia ciążącego na tym administratorze obowiązku prawnego.

Wyrok TSUE z dnia 4 lipca 2023 r., C-252/21

Standard: 84139 (pełna treść orzeczenia)