DominikLubasz

dr Dominik Lubasz
Wspólnik, Radca prawny

Co dalej z przepisami uśude dotyczącymi ochrony danych osobowych? Omówienie wyroku TSUE w sprawie Breyer Część II

Dodano: Listopad 7, 2016 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO), Podmiot danych Autor: dr Dominik Lubasz

Jak pisaliśmy w poście pt. „Adres IP jako dane osobowe – co wynika z wyroku w sprawie Breyer ? Część I”  Trybunał Sprawiedliwości Unii Europejskiej wydał 19 października 2016 r. wyrok w sprawie Patrick Breyer vs Republika Federalna Niemiec (C-582/14).

Wyrok ten porusza dwie bardzo istotne kwestie z punktu widzenia regulacji ochrony danych osobowych. Pierwsza, to opisane już we wspomnianym poście zagadnienie dotyczące definicji danych osobowych, a w istocie poszerzenie zakresu informacji, które mogą być uznane za dane osobowe, z uwagi na pośrednią możliwość określenia tożsamości konkretnej osoby, nawet biorąc pod uwagę ograniczenia wynikające z nadmierności kosztów, czasu lub działań. A druga, która stanie się przedmiotem poniższej analizy, to konkluzja Trybunału, w której wykluczył on możliwość istnienia regulacji krajowej, prowadzącej do ograniczania zakresu zastosowania przesłanki legalizacyjnej przetwarzania danych osobowych zwykłych wymienionej w art. 7 lit. f dyrektywy 95/46/WE, implementowanego przez art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (dalej: u.o.d.o.), tj. przesłanki usprawiedliwionego celu administratora.

Drugie pytanie prejudycjalne

W ramach drugiego z pytań prejudycjalnych, Trybunał rozważał, czy  art. 7 dyrektywy 95/46/WE uniemożliwia wprowadzenie przepisu prawa krajowego, zgodnie z którym dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika bez jego zgody tylko wtedy, gdy jest to konieczne do umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika, i zgodnie z którym cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie może uzasadniać korzystania z tych danych po zakończeniu danej sesji.

W czym tkwił problem?

Trybunał Sprawiedliwości UE, w związku z zadanym przez sąd krajowy pytaniem, poddał analizie regulację § 12 oraz § 15  niemieckiej Telemediengesetz [ustawy o usługach medialnych online (telemediach)] z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179, zwanej dalej „TMG”). Powołane przepisy stanowią między innymi, że:
  • § 12:
  1.  Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania telemediów, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów lub gdy użytkownik wyraził na to zgodę.
  2. Usługodawca może wykorzystywać dane osobowe, które zostały zgromadzone w celu udostępniania telemediów, do innych celów tylko wtedy, jeżeli zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów lub jeżeli użytkownik wyraził na to zgodę.
  3. O ile prawo nie stanowi inaczej, należy stosować przepisy obowiązujące w odniesieniu do ochrony danych osobowych, nawet jeżeli dane nie są przetwarzane w zautomatyzowany sposób”.
  •  §15:
  1. usługodawca może gromadzić i wykorzystywać dane osobowe użytkownika tylko wtedy, jeżeli jest to konieczne do umożliwienia korzystania z telemediów i zafakturowania kosztów takiego korzystania (dane o korzystaniu). Danymi o korzystaniu są w szczególności: 1) kryteria umożliwiające identyfikację użytkownika, 2) dane na temat rozpoczęcia i zakończenia oraz zakresu danego korzystania, 3) dane na temat telemediów, z których korzystał użytkownik.
  2. Usługodawca może łączyć dane użytkownika o korzystaniu z różnych telemediów, o ile jest to konieczne w celu zafakturowania w stosunku do użytkownika.
  3. […]
  4. Usługodawca może wykorzystywać dane o korzystaniu po zakończeniu danej sesji, jeżeli są one konieczne do celów wystawienia faktury użytkownikowi (dane do faktury). Usługodawca może zablokować dane w celu dochowania istniejących ustawowych, statutowych lub umownych terminów przechowywania. […]”.

Powyższe przepisy, zwłaszcza § 15 ust. 1 TMG, Trybunał zestawił z celami i regulacją dyrektywy 95/45/WE, której – co istotne – implementacją nie są powyższe przepisy. Wychodząc od, jak się okazało ostatecznie, rozstrzygającej konstatacji, że art. 7 dyrektywy 95/46/WE przewiduje zamknięty i wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za legalne oraz iż państwa członkowskie nie mogą dodawać nowych kryteriów legalności przetwarzania danych osobowych względem kryteriów ustanowionych w tym artykule, ani też ustanawiać dodatkowych wymogów, które doprowadziłyby do modyfikacji zakresu jednego z sześciu kryteriów przewidzianych w tymże artykule. Trybunał wskazał w tym miejscu swych rozważań także na analogicznie rozstrzygający tą kwestie inny wyrok z dnia 24 listopada 2011 r., ASNEF i FECEMD, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30, 32).

Zdaniem Trybunału, podstaw dla uelastycznienia kompetencji państw członkowskich, nie można również upatrywać w brzmieniu art. 5 dyrektywy 95/46/WE. Przepis ten wprawdzie pozwala państwom członkowskim doprecyzować warunki, w jakich przetwarzanie danych osobowych jest legalne, ale uprawnienie to może zostać wykorzystane jedynie zgodnie celem przyświecającym analizowanej dyrektywie, polegającym na zachowaniu równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego.

Państwa członkowskie nie mogą zatem na podstawie art. 5 dyrektywy 95/46/WE wprowadzać innych kryteriów legalności przetwarzania danych osobowych niż kryteria ustanowione w art. 7 dyrektywy, ani też modyfikować, za pomocą dodatkowych wymogów, zakresu sześciu kryteriów przewidzianych we wspomnianym art. 7.

Analizując powołaną regulację niemieckiej ustawy Trybunał, podzielając zdanie wyrażone przez rzecznika generalnego w pkt 100 i 101 opinii, doszedł do wniosku, że uregulowanie § 15 nie ogranicza się do uszczegółowienia pojęcia „uzasadnionego interesu” występującego w art. 7 lit. f) tej dyrektywy, a zatem biorąc pod uwagę powyższe argumenty, w szczególności argument zamkniętego katalogu przesłanek legalizacyjnych, taka regulacja niemiecka nie może się ostać!

Jakie to ma znaczenie dla prawa polskiego?

W pierwszej kolejności warto wskazać, że pierwowzorem analizowanej przez Trybunał regulacji § 15 TMG był § 6 Teledienstedatenschutzgesetz – TDDSG, będącej częścią (art. 2) szerszej regulacji Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste- Gesetz – IuKDG, BGBl. I S. 1870 vom 28. Juli 1997).  To właśnie przepisy art. 2 IuKDG, a precyzyjniej m.in. § 6 TDDSG, w istotnym stopniu inspirowały polskiego ustawodawcę przy tworzeniu regulacji art. 18 i 19 ustawy o świadczeniu usług drogą elektroniczną (dalej: u.ś.u.d.e).

Porównując brzmienie § 6 TDDSG, zastąpionego w zasadzie jednobrzmiąco przez § 15 TMG (które analizował w sprawie Trybunał), oraz przepisy art. 18 i 19 u.ś.u.d.e., można wysnuć wniosek, że rozstrzygnięcie Trybunału, biorąc pod uwagę dotychczasową interpretację zwłaszcza art. 18 ust. 1 i 2 oraz 19 ust. 1 i 2, powinno istotnie wpłynąć na zmianę dotychczasowej linii interpretacyjnej.

Kierunek wykładni przyjęty przez Trybunał prowadzi do wniosku, że dotychczasowe generalne podejście zawężające uprawnienie do przetwarzania danych przez usługodawcę świadczącego usługi drogą elektroniczną do przypadków wymienionych w art. 18 i 19 u.ś.u.d.e. należy zmodyfikować w ten sposób, że mimo brzmienia art. 17 u.ś.u.d.e., pozostanie otwarta możliwość korzystania przez usługodawcę z przesłanek legalizacyjnych określonych w ustawie o ochronie danych osobowych, w tym przesłanki prawnie usprawiedliwionego celu administratora z art. 23 ust. 1 pkt 5 u.o.d.o. Walor przepisów rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną należy w tym kontekście odczytywać jedynie jako uszczegółowienie przesłanek legalności zgodnie z art. 5 dyrektywy 95/46/WE.

Na marginesie warto jednak przypomnieć, że Naczelny Sąd Administracyjny np. w sprawach I OSK 2496/13 – Wyrok NSA, I OSK 685/14 – Wyrok NSA, I OSK 1666/12 – wyrok NSA, dopuszczał już zastosowanie poza przepisami ustawy o świadczeniu usług drogą elektroniczną w związku z interpretacją art. 18 ust. 6 u.ś.u.d.e., również przepisów art. 23 ust. 1 pkt 5 u.o.d.o. Pisaliśmy o tym w naszych postach (dostępnych tutaj, a także tu).

Post Views: 3 741

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

DominikLubasz

dr Dominik Lubasz
Wspólnik, Radca prawny

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.