BREAKING: Austriacki Sąd Najwyższy pyta TSUE, czy Facebook "podważa" GDPR, myląc "zgodę" z rzekomą "umową".
W długotrwałej sprawie cywilnej pomiędzy Maxem Schremsem a Facebookiem, austriacki Sąd Najwyższy (Oberster Gerichtshof, lub "OGH") zaakceptował wniosek pana Schremsa o skierowanie szeregu pytań do Trybunału Sprawiedliwości Unii Europejskiej (TSUE, najwyższy sąd w UE). Cztery pytania budzą zasadnicze wątpliwości co do legalności wykorzystywania przez Facebooka danych wszystkich klientów z UE
Równolegle austriacki Sąd Najwyższy w wyroku częściowym orzekł, że p. Schrems otrzyma 500 euro symbolicznego odszkodowania emocjonalnego, ponieważ Facebook nie udzielił pełnego dostępu do danych p. Schremsa, lecz urządził "polowanie na jajka" w poszukiwaniu danych użytkowników.
- Odesłanie do TSUE wraz z pytaniami prejudycjalnymi (niemiecki oryginał)
- Odesłanie do TSUE wraz z pytaniami (tłumaczenie na j. angielski)
(1) Odesłanie do TSUE:
Pytanie zasadnicze: "Zgoda" czy "umowa"? Austriacki Sąd Najwyższy ma wątpliwości co do podstawy prawnej, którą Facebook wykorzystuje do prawie wszystkich procesów przetwarzania danych użytkowników. GDPR wymienia sześć możliwości legalnego przetwarzania danych osobowych, wśród nich "zgodę" i "umowę". Na "umowę" można powołać się tylko wtedy, gdy przetwarzanie jest niezbędne do wykonania umowy.
Przed wprowadzeniem GDPR Facebook twierdził, że użytkownicy "wyrazili zgodę" na przetwarzanie przez niego spersonalizowanych reklam. GDPR podniosło jednak wymagania, aby zgoda była ważna, a także dało użytkownikom prawo do wycofania zgody w dowolnym momencie.
Tak więc w dniu 25 maja 2018 r., kiedy GDPR zaczęło obowiązywać, Facebook nie twierdził już, że opiera się na zgodzie. Zamiast tego Facebook powiedział, że klauzule zgody muszą być postrzegane jako "umowa", w której użytkownicy "zamówili" spersonalizowane reklamy. Zdaniem Facebooka to obejście pozwala im pozbawić użytkowników wszystkich praw związanych ze zgodą na mocy GDPR. Wymogi "dobrowolnie wyrażonej" lub "świadomej" zgody nie miałyby już zastosowania, gdyby była ona interpretowana jako "umowa".
Max Schrems, przewodniczący noyb.eu:"Facebook próbuje pozbawić użytkowników wielu praw wynikających z GDPR, po prostu 'reinterpretując' zgodę tak, aby była umową cywilnoprawną. To było nic innego jak tania próba ominięcia GDPR."
OGH: Facebook może nielegalnie "podważyć" GDPR. Austriacki Sąd Najwyższy wydaje się podzielać te obawy. W swoim wniosku do TSUE austriacki Sąd Najwyższy podsumowuje swój pogląd w pkt 54 wniosku:
"Zasadniczą kwestią niniejszego postępowania jest to, czy oświadczenie o zamiarze przetwarzania może zostać przesunięte przez pozwanego w ramach koncepcji prawnej zgodnie z art. 6 ust. 1 lit. b) GDPR, aby w ten sposób "podważyć" znacznie wyższą ochronę, jaką oferuje powodowi podstawa prawna "zgoda"."
Max Schrems:"W zasadzie wszystkie przypadki wykorzystania danych, które generują zyski dla Facebooka w UE, opierają się na tym argumencie prawnym. Jeśli Facebook przegra w TSUE, będzie musiał nie tylko zaprzestać tego procederu i usunąć wszystkie nielegalnie wygenerowane dane, ale także wypłacić milionom użytkowników odszkodowania. Bardzo się cieszę z tego odniesienia"
Kolejne pytania dotyczące minimalizacji danych i danych wrażliwych. Austriacki Sąd Najwyższy skierował do Trybunału Sprawiedliwości kolejne trzy pytania dotyczące legalności wykorzystywania danych osobowych przez Facebooka. TSUE będzie musiał rozstrzygnąć, czy wykorzystywanie w jakimkolwiek celu wszystkich danych znajdujących się na stronie facebook.com oraz pochodzących z niezliczonych innych źródeł, takich jak strony internetowe wykorzystujące przyciski "Lubię to" Facebooka lub reklamy, jest zgodne z zasadą "minimalizacji danych" GDPR. Dwa inne pytania dotyczą wykorzystywania przez Facebooka wrażliwych danych (takich jak poglądy polityczne lub orientacja seksualna) do spersonalizowanych reklam.
Max Schrems:"Te kolejne pytania są kluczowe. Facebook może nie mieć już prawa do wykorzystywania wszystkich danych do reklam, nawet jeśli uzyskał na to ważną zgodę. Równie dobrze może być zmuszony do filtrowania danych wrażliwych, takich jak poglądy polityczne czy dane dotyczące orientacji seksualnej. Do tej pory Facebook twierdził, że nie rozróżnia tych rodzajów danych."
(2) Wyrok częściowy w sprawie odszkodowań, dostępu, ról i "Easter Eggs"
Ponadto austriacki Sąd Najwyższy wydał ostateczny wyrok w sprawie niektórych żądań, które mogą być rozstrzygnięte bez konieczności odwoływania się do TSUE.
- Niemiecki oryginał rozważań prawnych w ramach wyroku częściowego
- Angielskie tłumaczenie uzasadnienia wyroku częściowego
500 euro za "masowe dokuczanie", brak dostępu do danych oraz "easter eggs". Austriacki Sąd Najwyższy zdecydował, że p. Schrems otrzyma 500 euro odszkodowania pieniężnego, ponieważ Facebook nie zapewnił mu pełnego dostępu do jego danych. Sąd uznał, że nie otrzymał on ani wszystkich nieprzetworzonych danych, ani kluczowych informacji, takich jak podstawa prawna, na której jego dane były przetwarzane. Trybunał podkreślił, że dane, które Facebook oferował za pośrednictwem swojego narzędzia internetowego, były rozproszone w ponad 60 kategoriach danych z setkami, jeśli nie tysiącami punktów danych, których przekopanie zajęłoby kilka godzin.
Sąd orzekł w paragrafie 153: "Powód słusznie zauważył, że GDPR opiera się na jednorazowym wniosku o dostęp, a nie na 'polowaniu na wielkanocne jajka'".
Austriacki Sąd Najwyższy dość jasno odniósł się również do twierdzenia Facebooka, że przekazał on panu Schremsowi wszystkie dane, które uznał za "istotne" (pkt 152):
"Fakt, że obowiązek udzielenia informacji nie może zależeć od samej samooceny pozwanego ("istotne") nie wymaga dalszych wyjaśnień"
Ciężar dowodu na Facebooku. Sąd Najwyższy wielokrotnie podkreślał również, że to na Facebooku spoczywa ciężar dowodu w zakresie wykazania, że udzielił pełnego dostępu lub że przetwarzanie danych jest zgodne z prawem (np. w pkt 151). W trakcie postępowania Facebook stanął na stanowisku, że to do pana Schremsa należy wykazanie, że Facebook nie udostępnił wszystkich danych i po prostu odmówił odpowiedzi na pytania pana Schremsa.
Kto jest "właścicielem" danych na Facebooku? Sprawa kwestionowała rolę graczy na platformie Facebooka. Pan Schrems argumentował, że to on przede wszystkim odpowiada za swój profil lub dane wiadomości na Facebooku (zgodnie z prawem jako "administrator danych"), co oznacza, że Facebook musi wykonywać jego polecenia, np. przy usuwaniu danych (jako zwykły "procesor"). Facebook stanął na stanowisku, że jest "administratorem" wszystkich danych użytkowników na Facebooku - z pewnymi wyjątkami. Austriacki Sąd Najwyższy stwierdził, że kwestia ta jest nieistotna, ponieważ korzystanie z Facebooka podlega "wyjątkowi dotyczącemu gospodarstwa domowego" i w związku z tym sprawa nie ma miejsca.
Max Schrems:"W tym aspekcie technicznie "przegraliśmy", ale zdaniem sądu Facebook ponosiłby odpowiedzialność prawną za nielegalne przetwarzanie danych na facebook.com - nawet jeśli robią to inni. Zaproponowaliśmy bardziej zniuansowane rozstrzygnięcie, ale Trybunał nie zagłębił się w tę kwestię."