Tak uważa Michal Bobek, rzecznik generalny przy Trybunale Sprawiedliwości Unii Europejskiej. Wkrótce TSUE wyda wyrok w sprawie sporu między Facebookiem a organem ochrony danych osobowych w Belgii, odpowiednikiem polskiego Prezesa Urzędu Ochrony Danych Osobowych (sprawa C-645/19).

Jeśli TSUE orzeknie zgodnie z rekomendacją swego rzecznika generalnego, organy takie polski PUODO będą mogły wszczynać sprawy za nieprzestrzeganie unijnego ogólnego rozporządzenia o ochronie danych (RODO) przeciwko Facebookowi i innym gigantom technologicznym zza Oceanu, takim jak Google, Twitter i Apple, które również mają swoje siedziby w Irlandii. Giganci zaś będą musieli stawić czoła nakazom zapłaty grzywien opiewającym na miliardy euro.

Czytaj też: TSUE: sądy w UE mogą nakazać Facebookowi usuwanie nielegalnych komentarzy na całym świecie

Niechciane ciasteczka

Spór rozpoczął się we wrześniu 2015 r. Organ ochrony danych  osobowych w Belgii wszczął przed  tamtejszymi sądami postępowania przeciwko spółkom należących do grupy Facebook: Facebook Inc, Facebook Ireland Ltd, która jest główną jednostką organizacyjną grupy w Unii Europejskiej, oraz Facebook Belgium BVBA.  Domagał się nakazania Facebookowi, by ten zaprzestał umieszczania plików cookie bez zgody użytkowników Internetu na terytorium Belgii, a także nadmiernego gromadzenia danych za pomocą wtyczek społecznościowych i pikseli na stronach innych podmiotów. Ponadto organ nadzorczy żądał zniszczenia wszystkich danych użytkowników Internetu w Belgii zgromadzonych przez Facebooka z wykorzystaniem plików cookie i wtyczek społecznościowych.

Postępowania w tej sprawie toczą się obecnie przed sądem apelacyjnym w Brukseli. Ich zakres został jednak ograniczony do Facebook Belgium, gdyż sąd uznał, że nie jest właściwy do rozpoznania powództw wniesionych przeciwko Facebook Inc i Facebook Ireland Ltd., które siedzibę mają poza Belgią.

FB: tylko Irlandia może nam przeszkodzić

Facebook Belgia stoi na stanowisku, że wraz z rozpoczęciem stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO), belgijski organ ochrony danych utracił prawo do kontynuowania jakichkolwiek postępowań sądowych przeciwko Facebookowi. Dlaczego? Gdyż pod rządami RODO jedynie organ ochrony danych państwa, w którym Facebook ma swą główną jednostkę organizacyjną w Unii Europejskiej  jest uprawniony do wszczęcia przeciwko Facebookowi postępowań sądowych o naruszenie RODO w związku z transgranicznym przetwarzaniem danych. W przypadku UE główną siedzibę Facebook ma Dublinie w Irlandii, bo tam mieści się Facebook Ireland Ltd., czyli regionalny oddział imperium Marka Zuckerberga. A to oznacza - według Facebooka - że tylko irlandzki organ ochrony danych mógł wysuwać żądania związane z RODO na terenie UE.

Belgijski sąd postanowił zapytać o tę kwestię unijny Trybunał, a ten poprosił o przeanalizowanie problemu swojego rzecznika generalnego.

Organ wiodący może więcej

Michal Bobek przyznał, że zgodnie z RODO, wiodącemu organowi ochrony danych przysługuje, w odniesieniu do transgranicznego przetwarzania danych, ogólna właściwość do wszczynania postępowań sądowych w sprawie naruszenia przepisów RODO. Wynika z tego, że inne organy ochrony danych mają bardziej ograniczone uprawnienia w tym zakresie.

- RODO przyznaje każdemu z organów ochrony danych prawo do wszczęcia postępowania sądowego w sprawie ewentualnych naruszeń, które dotyczą ich terytoriów. Uprawnienie to jest wyraźnie ograniczone w przypadku transgranicznego przetwarzania danych, właśnie ze względu na to, aby dać wiodącemu organowi ochrony danych możliwość wykonywania powierzonych mu w tym zakresie zadań - wskazał rzecznik.

Michal Bobek podkreślił, że osoby, których dane dotyczą, mogą same wszcząć postępowanie sądowe przeciwko administratorom i podmiotom przetwarzającym przed m.in. sądami państwa członkowskiego, w tym kraju, w którym osoby te zwykle przebywają lub mają siedzibę. Natomiast skargi przeciwko organowi ochrony danych muszą być wnoszone  w tym  państwie członkowskim, w którym organ ów ma siedzibę, nawet wówczas, gdy organ wiodący mieści się w  innym państwie członkowskim. Jeżeli taka skarga zostaje odrzucona lub oddalona, organ nadzorczy przyjmuje decyzję w tej sprawie i powiadamia o niej skarżącego. To umożliwia mu wszczęcie postępowania w państwie członkowskim jego zwykłego pobytu lub siedziby.

Są szczególne przypadki

Rzecznik generalny wskazał, że wiodący organ ochrony danych nie może być uznawany za pełniący funkcję jedynego podmiotu egzekwującego przepisy RODO w przypadku transgranicznego przetwarzania danych. Zgodnie z przewidzianymi w RODO zasadami i w określonych tam  ramach czasowych,  powinien ściśle współpracować z innymi organami ochrony danych, których sprawa dotyczy, i nie może ignorować ich uwag.

- Krajowe organy ochrony danych, nawet jeśli nie działają jako organ wiodący, mogą jednak w określonych sytuacjach wszcząć w przypadku transgranicznego przetwarzania danych postępowania przed sądami ich odpowiedniego państwa członkowskiego. Rzecznik generalny podaje, że są to w szczególności takie sytuacje, gdy krajowe organy ochrony danych:

1) podejmują działania niemieszczące się w zakresie przedmiotowego stosowania RODO;

2) badają te same lub podobne czynności transgranicznego przetwarzania danych dokonywane przez organy publiczne w interesie publicznym czy też przez administratorów spoza Unii;

3) podejmują działania w trybie pilnym;

4) wkraczają do sprawy w efekcie podjęcia przez organ wiodący decyzji, że nie będzie się on zajmować danym przypadkiem.

- Przepisy RODO zezwalają zatem organowi ochrony danych funkcjonującym w danym państwie członkowskim na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia RODO w sprawie transgranicznego przetwarzania danych, nawet jeśli ów organ nie jest organem wiodącym. Warunkiem jest jednak, że takie działanie podejmowane jest w sytuacjach wskazanych w RODO i zgodnie określonymi w nim procedurami - wyjaśnił Michal Bobek.