person-apple-laptop-notebook

Co dalej z przepisami uśude dotyczącymi ochrony danych osobowych? Omówienie wyroku TSUE w sprawie Breyer Część II

Jak pisaliśmy w poście pt. „Adres IP jako dane osobowe – co wynika z wyroku w sprawie Breyer ? Część I”  Trybunał Sprawiedliwości Unii Europejskiej wydał 19 października 2016 r. wyrok w sprawie Patrick Breyer vs Republika Federalna Niemiec (C-582/14).

Wyrok ten porusza dwie bardzo istotne kwestie z punktu widzenia regulacji ochrony danych osobowych. Pierwsza, to opisane już we wspomnianym poście zagadnienie dotyczące definicji danych osobowych, a w istocie poszerzenie zakresu informacji, które mogą być uznane za dane osobowe, z uwagi na pośrednią możliwość określenia tożsamości konkretnej osoby, nawet biorąc pod uwagę ograniczenia wynikające z nadmierności kosztów, czasu lub działań. A druga, która stanie się przedmiotem poniższej analizy, to konkluzja Trybunału, w której wykluczył on możliwość istnienia regulacji krajowej, prowadzącej do ograniczania zakresu zastosowania przesłanki legalizacyjnej przetwarzania danych osobowych zwykłych wymienionej w art. 7 lit. f dyrektywy 95/46/WE, implementowanego przez art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (dalej: u.o.d.o.), tj. przesłanki usprawiedliwionego celu administratora.

Drugie pytanie prejudycjalne

W ramach drugiego z pytań prejudycjalnych, Trybunał rozważał, czy  art. 7 dyrektywy 95/46/WE uniemożliwia wprowadzenie przepisu prawa krajowego, zgodnie z którym dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika bez jego zgody tylko wtedy, gdy jest to konieczne do umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika, i zgodnie z którym cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie może uzasadniać korzystania z tych danych po zakończeniu danej sesji.

W czym tkwił problem?

Trybunał Sprawiedliwości UE, w związku z zadanym przez sąd krajowy pytaniem, poddał analizie regulację § 12 oraz § 15  niemieckiej Telemediengesetz [ustawy o usługach medialnych online (telemediach)] z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179, zwanej dalej „TMG”). Powołane przepisy stanowią między innymi, że:
  • § 12:
  1.  Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania telemediów, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów lub gdy użytkownik wyraził na to zgodę.
  2. Usługodawca może wykorzystywać dane osobowe, które zostały zgromadzone w celu udostępniania telemediów, do innych celów tylko wtedy, jeżeli zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów lub jeżeli użytkownik wyraził na to zgodę.
  3. O ile prawo nie stanowi inaczej, należy stosować przepisy obowiązujące w odniesieniu do ochrony danych osobowych, nawet jeżeli dane nie są przetwarzane w zautomatyzowany sposób”.
  •  §15:
  1. usługodawca może gromadzić i wykorzystywać dane osobowe użytkownika tylko wtedy, jeżeli jest to konieczne do umożliwienia korzystania z telemediów i zafakturowania kosztów takiego korzystania (dane o korzystaniu). Danymi o korzystaniu są w szczególności: 1) kryteria umożliwiające identyfikację użytkownika, 2) dane na temat rozpoczęcia i zakończenia oraz zakresu danego korzystania, 3) dane na temat telemediów, z których korzystał użytkownik.
  2. Usługodawca może łączyć dane użytkownika o korzystaniu z różnych telemediów, o ile jest to konieczne w celu zafakturowania w stosunku do użytkownika.
  3. […]
  4. Usługodawca może wykorzystywać dane o korzystaniu po zakończeniu danej sesji, jeżeli są one konieczne do celów wystawienia faktury użytkownikowi (dane do faktury). Usługodawca może zablokować dane w celu dochowania istniejących ustawowych, statutowych lub umownych terminów przechowywania. […]”.

Powyższe przepisy, zwłaszcza § 15 ust. 1 TMG, Trybunał zestawił z celami i regulacją dyrektywy 95/45/WE, której – co istotne – implementacją nie są powyższe przepisy. Wychodząc od, jak się okazało ostatecznie, rozstrzygającej konstatacji, że art. 7 dyrektywy 95/46/WE przewiduje zamknięty i wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za legalne oraz iż państwa członkowskie nie mogą dodawać nowych kryteriów legalności przetwarzania danych osobowych względem kryteriów ustanowionych w tym artykule, ani też ustanawiać dodatkowych wymogów, które doprowadziłyby do modyfikacji zakresu jednego z sześciu kryteriów przewidzianych w tymże artykule. Trybunał wskazał w tym miejscu swych rozważań także na analogicznie rozstrzygający tą kwestie inny wyrok z dnia 24 listopada 2011 r., ASNEF i FECEMD, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30, 32).

Zdaniem Trybunału, podstaw dla uelastycznienia kompetencji państw członkowskich, nie można również upatrywać w brzmieniu art. 5 dyrektywy 95/46/WE. Przepis ten wprawdzie pozwala państwom członkowskim doprecyzować warunki, w jakich przetwarzanie danych osobowych jest legalne, ale uprawnienie to może zostać wykorzystane jedynie zgodnie celem przyświecającym analizowanej dyrektywie, polegającym na zachowaniu równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego.

Państwa członkowskie nie mogą zatem na podstawie art. 5 dyrektywy 95/46/WE wprowadzać innych kryteriów legalności przetwarzania danych osobowych niż kryteria ustanowione w art. 7 dyrektywy, ani też modyfikować, za pomocą dodatkowych wymogów, zakresu sześciu kryteriów przewidzianych we wspomnianym art. 7.

Analizując powołaną regulację niemieckiej ustawy Trybunał, podzielając zdanie wyrażone przez rzecznika generalnego w pkt 100 i 101 opinii, doszedł do wniosku, że uregulowanie § 15 nie ogranicza się do uszczegółowienia pojęcia „uzasadnionego interesu” występującego w art. 7 lit. f) tej dyrektywy, a zatem biorąc pod uwagę powyższe argumenty, w szczególności argument zamkniętego katalogu przesłanek legalizacyjnych, taka regulacja niemiecka nie może się ostać!

Jakie to ma znaczenie dla prawa polskiego?

W pierwszej kolejności warto wskazać, że pierwowzorem analizowanej przez Trybunał regulacji § 15 TMG był § 6 Teledienstedatenschutzgesetz – TDDSG, będącej częścią (art. 2) szerszej regulacji Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste- Gesetz – IuKDG, BGBl. I S. 1870 vom 28. Juli 1997).  To właśnie przepisy art. 2 IuKDG, a precyzyjniej m.in. § 6 TDDSG, w istotnym stopniu inspirowały polskiego ustawodawcę przy tworzeniu regulacji art. 18 i 19 ustawy o świadczeniu usług drogą elektroniczną (dalej: u.ś.u.d.e).

Porównując brzmienie § 6 TDDSG, zastąpionego w zasadzie jednobrzmiąco przez § 15 TMG (które analizował w sprawie Trybunał), oraz przepisy art. 18 i 19 u.ś.u.d.e., można wysnuć wniosek, że rozstrzygnięcie Trybunału, biorąc pod uwagę dotychczasową interpretację zwłaszcza art. 18 ust. 1 i 2 oraz 19 ust. 1 i 2, powinno istotnie wpłynąć na zmianę dotychczasowej linii interpretacyjnej.

Kierunek wykładni przyjęty przez Trybunał prowadzi do wniosku, że dotychczasowe generalne podejście zawężające uprawnienie do przetwarzania danych przez usługodawcę świadczącego usługi drogą elektroniczną do przypadków wymienionych w art. 18 i 19 u.ś.u.d.e. należy zmodyfikować w ten sposób, że mimo brzmienia art. 17 u.ś.u.d.e., pozostanie otwarta możliwość korzystania przez usługodawcę z przesłanek legalizacyjnych określonych w ustawie o ochronie danych osobowych, w tym przesłanki prawnie usprawiedliwionego celu administratora z art. 23 ust. 1 pkt 5 u.o.d.o. Walor przepisów rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną należy w tym kontekście odczytywać jedynie jako uszczegółowienie przesłanek legalności zgodnie z art. 5 dyrektywy 95/46/WE.

Na marginesie warto jednak przypomnieć, że Naczelny Sąd Administracyjny np. w sprawach I OSK 2496/13 – Wyrok NSA, I OSK 685/14 – Wyrok NSA, I OSK 1666/12 – wyrok NSA, dopuszczał już zastosowanie poza przepisami ustawy o świadczeniu usług drogą elektroniczną w związku z interpretacją art. 18 ust. 6 u.ś.u.d.e., również przepisów art. 23 ust. 1 pkt 5 u.o.d.o. Pisaliśmy o tym w naszych postach (dostępnych tutaj, a także tu).

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

DominikLubasz

dr Dominik Lubasz
Wspólnik, Radca prawny
dominik.lubasz@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej