Najważniejsze wyroki TSUE w kwestii prywatności w 2025 r.
Odpowiedzialność platform cyfrowych, minimalizacja danych, zakaz podejmowania zautomatyzowanych decyzji ws. kredytu oraz zagadnienie przekazywania danych osobowych do USA – to główne problemy z zakresu ochrony prywatności, którymi Trybunał w Luksemburgu zajął się w minionym roku.
W pierwszym kwartale 2026 r. Trybunał Sprawiedliwości Unii Europejskiej przedstawił sprawozdanie za rok 2025, w którym wskazał m.in. najważniejsze wyroki dotyczące prawa do prywatności. Dwa z nich zapadły jeszcze w styczniu 2025 r.
Bezpodstawne przekazanie adresu IP firmie Meta Platforms
8 stycznia TSUE przyznał obywatelowi Niemiec 400 euro odszkodowania od Komisji Europejskiej. Odwiedził on stronę organizowanej przez KE debaty na temat przyszłości Europy, korzystając z przycisku „Zaloguj przez Facebook”. Jego adres IP został przekazany właścicielowi tej platformy. Zainteresowany wskazał, że USA nie gwarantują wystarczającego poziomu ochrony danych osobowych i przede wszystkim dlatego dostęp do nich łatwo mogą zyskać służby wywiadowcze tego kraju. Ponadto KE nie wykazała gwarancji, które mogłyby uzasadniać takie przekazanie.
Przed wniesieniem sprawy do Sądu UE obywatel żądał od KE informacji o przyczynach przekazania jego danych. Prócz 400 euro odszkodowania za samo przekazanie domagał się dwa razy wyższej kwoty za naruszenie jego prawa dostępu do informacji. Sąd w pierwszej instancji oddalił to drugie roszczenie, wyjaśniając, że nie wystąpiła faktyczna krzywda.
Zdaniem Sądu Komisja odpowiada jednak za stworzenie systemu przekazującego dane osobowe (adres IP) firmie Meta. Przekazanie to nastąpiło jeszcze w 2022 r. (30 marca), a w tamtym czasie nie obowiązywała żadna decyzja KE stwierdzająca, że USA zapewniają odpowiedni stopień ochrony danych osobowych obywateli UE. Komisja nie zapewniła też odpowiedniego zabezpieczenia tych danych poprzez klauzule umowne z firmą. Wyświetlane łącze działało na ogólnych warunkach Facebooka. Warunki przekazania danych do państwa trzeciego nie zostały więc spełnione.
Dlatego, zdaniem Sądu, Komisja dopuściła się istotnego naruszenia norm prawnych, a krzywda, której doznał zainteresowany, pozostawała w bezpośrednim związku z tym naruszeniem. Rodzi to zatem odpowiedzialność pozaumowną po stronie Unii – dlatego Sąd przyznał 400 euro zadośćuczynienia.
Wyrok z 8 stycznia 2025 r. w sprawie Bindl/Komisja (T‑354/22)
Formy grzecznościowe w komunikacji marketingowej nie są konieczne
Następnego dnia, tj. 9 stycznia 2025 r., TSUE rozstrzygnął sprawę zainicjowaną przez francuskie stowarzyszenie broniące praw obywatelskich. Wniosło ono skargę do organu nadzorczego w tym kraju na platformę SNCF Connect, sprzedającą bilety kolejowe. Zobowiązywała ona klientów do zaznaczania opcji „Pan” lub „Pani” przy zakupie, co zdradzało także informacje na temat tożsamości płciowej. Zdaniem stowarzyszenia taka praktyka narusza przewidzianą w RODO zasadę minimalizacji danych, która przewiduje, że zbierać można tylko takie informacje, jakie są niezbędne do osiągnięcia celu. CNIL (francuski organ ochrony danych) odrzucił jednak tę skargę, zaznaczając, że firma nie naruszyła RODO.
Stowarzyszenie zwróciło się więc do francuskiej Rady Stanu o stwierdzenie nieważności tej decyzji. Instytucja ta z kolei wystąpiła z pytaniem prejudycjalnym do TSUE. Podkreśliła w nim, że informacje o stosowanej formie grzecznościowej były zbierane w celu personalizacji komunikacji marketingowej. Było to zgodne z powszechną praktyką w tej branży.
Luksemburski Trybunał w odpowiedzi zwrócił przede wszystkim uwagę, że zgodnie ze wskazaną zasadą minimalizacji danych pobierane informacje powinny być adekwatne i stosowne do celu, jak również ograniczone do tego, co niezbędne, by go osiągnąć. RODO przewiduje też zamknięty katalog podstaw zgodnego z prawem zbierania danych, m.in. gdy są niezbędne do wykonania umowy albo do realizacji prawnie uzasadnionego interesu administratora danych.
Jednak w przypadku pierwszej z tych podstaw musi istnieć obiektywna konieczność przetwarzania do wykonania umowy – tj. bez tego jej wykonanie będzie niemożliwe. Jednakże personalizacja komunikacji handlowej z klientem przez użycie formy grzecznościowej zdradzającej tożsamość płciową nie jest obiektywnie konieczna do wykonania usługi przewozu koleją. Firma może bowiem używać ogólnych, inkluzywnych zwrotów grzecznościowych, bez korelacji z płcią.
W odniesieniu do drugiej podstawy, tj. prawnie uzasadnionego interesu, TSUE uznał, na bazie swojego wcześniejszego orzecznictwa, że takiej formy personalizacji nie można traktować jako uzasadnionej, jeśli nie poinformowano klientów o tym interesie w momencie zbierania danych. Inne przesłanki zakładają, że przetwarzanie danych na tej podstawie również musi być ograniczone do tego, co ściśle niezbędne, a ponadto należy wyważyć, czy prawa i wolności osób, których dane dotyczą, nie mają nadrzędnego charakteru wobec tego interesu administratora, np. z racji ryzyka dyskryminacji ze względu na tożsamość płciową.
Z tych powodów Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że zbieranie informacji o stosowanej formie grzecznościowej (pan/pani) na potrzeby personalizacji komunikacji z klientem przez platformę sprzedającą bilety kolejowe narusza przepisy RODO.
Wyrok z 9 stycznia 2025 r. w sprawie Mousse (C‑394/23)
Obywatel ma prawo wiedzieć, dlaczego odmówiono mu kredytu
Obywatelce Austrii odmówiono zawarcia umowy na telefon komórkowy, wymagającej opłaty 10 euro miesięcznie, gdyż stwierdzono, że kobieta nie ma zdolności kredytowej. Decyzja ta została podjęta w sposób zautomatyzowany. Obywatelka wniosła sprawę do sądu krajowego, a ten orzekł, iż firma naruszyła RODO. Nie udzieliła bowiem klientce informacji o zasadach podejmowania zautomatyzowanych decyzji ani odpowiednio nie uzasadniła braku takiej informacji.
Sąd austriacki nie miał jednak pewności, jakie działania firma powinna podjąć, by było to też zgodne z dyrektywą ws. ochrony tajemnic przedsiębiorstwa. Zwrócił się więc do TSUE o wykładnię prawa unijnego. Zdaniem Trybunału (który wydał rozstrzygnięcie 27 lutego 2025 r.) administrator powinien konkretnie opisać procedurę i zasady, które zastosował, w taki sposób, aby osoba, której dane dotyczą, mogła zrozumieć, które z jej danych osobowych i w jaki sposób zostały wykorzystane w kontekście zautomatyzowanego podejmowania decyzji.
W szczególności spełnieniem wymogu przejrzystości byłaby informacja o tym, w jaki sposób zmiana przekazanych danych osobowych wpłynęłaby na rezultat decyzji. Samo przekazanie algorytmu decyzyjnego nie jest natomiast ani wystarczająco zwięzłe, ani zrozumiałe. Jeśli zaś firma stwierdzi, że informacje które musi przekazać, zawierają chronione tajemnice lub dane osób trzecich, powinna przekazać je organowi nadzorczemu lub sądowi, które wyważą tę ochronę z prawami osoby, której dane dotyczą – i podejmą decyzję ws. zakresu dostępu do informacji. RODO stoi ponadto na przeszkodzie przepisom krajowym, które co do zasady wykluczają przekazanie takich informacji ze względu na tajemnicę przedsiębiorstwa.
Wyrok z 27 lutego 2025 r. w sprawie Dun & Bradstreet Austria (C‑203/22)
Przekazanie danych służbom może być kontrolowane ex post
3 września z kolei Sąd UE rozstrzygnął sprawę obywatela francuskiego, który domagał się stwierdzenia nieważności decyzji Komisji Europejskiej pozwalającej na przekazanie danych osobowych z UE do USA. Zgodnie z prawem Unii jeśli KE stwierdzi, że państwo trzecie zapewnia odpowiedni stopień ochrony, można przekazywać do niego dane osobowe bez potrzeby uzyskania dodatkowego zezwolenia. W przypadku Stanów Zjednoczonych taką decyzję Komisja podjęła w lipcu 2023 r. Poprzednie dwie zostały uchylone przez TSUE w głośnych wyrokach Schrems I i Schrems II, gdyż nie gwarantowały one wystarczającego poziomu ochrony.
Jednak w październiku 2022 r. USA przyjęły rozporządzenie wykonawcze, które wzmocniło ochronę danych osobowych w tym państwie. Uzupełniło je rozporządzenie Prokuratora Generalnego, na mocy którego utworzono sąd ds. kontroli ochrony danych (DPRC). Z tego powodu KE przyjęła obecną decyzję określającą ramy prawne przekazywania danych do USA.
Philippe Latombe zaskarżył tę decyzję, kwestionując niezależność DPRC od władzy wykonawczej. Podnosił również, że służby wywiadowcze w USA zbierają dane przekazywane z UE w sposób „hurtowy” i bez należytej kontroli sądu lub innego niezależnego organu. Sąd Unii Europejskiej oddalił jednak tę skargę. Wskazał przede wszystkim, że DPRC objęty jest szeregiem gwarancji zapewniających niezawisłość jego członkom. Mogą oni zostać odwołani tylko przez prokuratora generalnego z ważnej przyczyny. Ani on, ani służby specjalne nie mogą też wpływać na pracę sądu lub jej utrudniać.
Ponadto zaskarżona decyzja przewiduje, że Komisja ma obowiązek stale monitorować ramy prawne ochrony danych w USA, i jeśli ulegną one pogorszeniu, zmieni lub uchyli zaskarżoną decyzję. Sąd podkreślił również, że wyrok ws. Schrems II nie wskazuje, by „hurtowe” pobieranie danych wymagało wcześniejszego zezwolenia niezależnego organu. Powinno podlegać jedynie kontroli następczej. Tymczasem w USA zbieranie danych przez służby specjalne jest kontrolowane właśnie ex post przez wspomniany DPRC. Zdaniem Sądu UE nie można zatem stwierdzić, że takie „hurtowe” zbieranie danych nie spełnia wymogów określonych w wyroku Schrems II.
Wyrok z 3 września 2025 r. w sprawie Latombe/Komisja (T‑553/23)
Operator platformy jest administratorem publikowanych na niej danych
Wreszcie pod koniec roku, 3 grudnia, TSUE rozstrzygnął sprawę kobiety, której zdjęcia i numer telefonu zostały bez jej wiedzy i zgody opublikowane na rumuńskiej stronie publi24. Była to platforma handlowa, na której niezidentyfikowana osoba umieściła ogłoszenie, iż kobieta ta świadczy usługi seksualne. Pozwała ona platformę o naruszenie dóbr osobistych i w sądzie pierwszej instancji wygrała – zasądzono na jej rzecz 7 tys. euro zadośćuczynienia.
Jednak sąd wyspecjalizowany rozpatrując odwołanie firmy, uwolnił ją od konieczności zapłaty. Wskazał bowiem, że jako dostawca usług hostingowych nie ponosi ona odpowiedzialności za treści publikowane przez użytkowników. Tym razem apelację złożyła pokrzywdzona, a sąd odwoławczy zadał TSUE pytanie prejudycjalne, czy przepisy dyrektywy o usługach społeczeństwa informatycznego mają zastosowanie także do obowiązków wynikających z RODO.
Trybunał uznał, że w rozumieniu RODO operator takiej platformy handlowej jest administratorem danych zawartych w ogłoszeniach. Choć bowiem ogłoszenia te tworzą użytkownicy, to ich publikacja jest udostępniana internautom jedynie dzięki działalności platformy. Co za tym idzie, jej operator powinien wprowadzić odpowiednie środki techniczne i organizacyjne w celu zidentyfikowania, czy ogłoszenie zawiera dane wrażliwe, a jeśli tak – zweryfikować, czy jego autorem jest faktycznie osoba, której dotyczą. Jeśli nim nie jest – administrator musi się upewnić, czy osoba ta wyraziła zgodę na publikację. Gdy jej nie wyraziła – operator winien odmówić umieszczenia ogłoszenia na platformie. Administrator nie może się też zwolnić z tej odpowiedzialności na podstawie wspomnianej dyrektywy o usługach społeczeństwa informacyjnego.
Wyrok z 2 grudnia 2025 r. w sprawie Russmedia Digital i Inform Media Press (C‑492/23)
