Wprowadzenie do upomnienia dotyczącego ochrony danych
Upomnienie dotyczące ochrony danych to centralne narzędzie w prawie ochrony danych, mające na celu egzekwowanie przestrzegania ogólnego rozporządzenia o ochronie danych (RODO). Od wejścia w życie RODO w 2018 roku, przedsiębiorstwa i organizacje są zobowiązane do najwyższej staranności w przetwarzaniu danych osobowych. Jeśli dojdzie do naruszenia tych przepisów – na przykład przez niedostateczne informowanie użytkowników lub niedozwolone przetwarzanie danych – można wystąpić z upomnieniem. Mogą je inicjować nie tylko organy ochrony danych, ale także konkurenci, związki konsumenckie, a nawet sami poszkodowani. Celem upomnienia dotyczącego ochrony danych jest skłonienie przedsiębiorstw do zaprzestania naruszania ochrony danych i przestrzegania praw ochrony danych. Oznacza to, że przedsiębiorstwa muszą regularnie sprawdzać i dostosowywać swoje procesy oraz sposób postępowania z danymi osobowymi, aby uniknąć upomnień i możliwych pozwów.
Podstawy prawne
Podstawy prawne dla upomnień w zakresie ochrony danych znajdują się głównie w RODO oraz w ustawie o zwalczaniu nieuczciwej konkurencji (UWG). RODO szczegółowo reguluje, jak mogą być zbierane, przechowywane i przetwarzane dane osobowe. Naruszenia tych przepisów – na przykład przez nieuprawnione przetwarzanie lub brak przejrzystości – mogą być ścigane nie tylko przez organy ochrony danych, ale również w ramach prawa konkurencji. UWG chroni konkurencję przed nieuczciwymi praktykami biznesowymi i przewiduje, że naruszenie ochrony danych może być traktowane jako naruszenie UWG, jeśli przedsiębiorstwo uzyskało nieuczciwą przewagę. W konsekwencji upomnienia związane z naruszeniami ochrony danych mogą być wystosowane na podstawie RODO i UWG. Przedsiębiorstwa powinny zatem zapewnić ścisłe przestrzeganie przepisów dotyczących przetwarzania danych osobowych, aby uniknąć upomnień i dalszych konsekwencji prawnych.
Konkurenci mogą upominać – Orzeczenia BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurenci i związki ochrony konsumentów mogą upominać przedsiębiorstwa za naruszenia ochrony danych; sąd odgrywa centralną rolę w rozstrzyganiu upomnień związanych z naruszeniami ochrony danych. Tak orzekł Federalny Trybunał Sprawiedliwości w kilku wyrokach z 27 marca 2025 roku (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19). W przeszłości różne sądy różnie decydowały o uprawnieniach do upominania za naruszenia ochrony danych. Różnorodność przypadków naruszeń ochrony danych pokazuje praktyczne znaczenie tego tematu. Aktuálne orzeczenie BGH wyraźnie stwierdza, że również konkurenci i związki konsumentów mogą podejmować działania. Orzeczenia BGH z marca 2025 roku mają duże znaczenie dla praktyki upominania, ponieważ umożliwiają ściganie naruszeń ochrony danych przez związki konsumenckie i konkurentów przed sądami cywilnymi. Upomnienie na podstawie RODO to specjalna forma upomnienia, dotycząca naruszeń ogólnego rozporządzenia o ochronie danych, odróżniająca się swoim odniesieniem do prawa ochrony danych od innych form upomnień. Związek konsumencki odgrywa ważną rolę w egzekwowaniu praw ochrony danych. Związki konsumenckie są w dużej mierze zaangażowane w upominanie za naruszenia ochrony danych. Także konkurenci mogą ścigać naruszenia ochrony danych, chroniąc w ten sposób konkurencję. Orzeczenie BGH ma znaczny wpływ na praktykę i ocenę prawną naruszeń ochrony danych.
Naruszenia ochrony danych mogą być sankcjonowane nie tylko przez organy nadzorcze. Kompetencja sądów w zakresie naruszeń ochrony danych jest przy tym kluczowa. Jak pokazują orzeczenia BGH, również konkurenci i związki konsumenckie mogą wprowadzać środki przeciwko naruszeniom. W ramach takich postępowań strona pozwana odgrywa ważną rolę. Dla firm, szczególnie w handlu internetowym i przy przetwarzaniu danych wrażliwych, może to mieć istotne konsekwencje, jak zauważa kancelaria prawna MTR Legal Rechtsanwälte, doradzająca m.in. w prawie IT i ochrony danych. Naruszenia RODO mogą prowadzić do znacznych konsekwencji prawnych, zwłaszcza gdy dochodzi się roszczeń o zaniechanie. Przy powtarzającym się naruszeniu RODO grożą zaostrzone sankcje i dodatkowe środki. Ściganie naruszeń ochrony danych odbywa się zarówno przez sądy, jak i związki. Znaczenie pierwszego zdania i punktu pierwszego w odpowiednich paragrafach jest kluczowe dla prawnej kwalifikacji. Sprawa ma duże znaczenie dla rozwoju prawa ochrony danych i egzekwowania praw konsumentów.
Aplikacja do gier publikuje dane
W sprawie o numerze akt I ZR 186/17 chodziło o tzw. „App-Center” w sieci społecznościowej, gdzie dostawcy zewnętrzni udostępniali gry. App-Centrum działa jako centralna platforma, na której oferowane są różne aplikacje zewnętrznych dostawców. W App-Centrum gry online odgrywają istotną rolę, ponieważ stanowią znaczną część oferty. Podczas korzystania z aplikacji mogą być także przetwarzane dane osobowe, takie jak adres e-mail. Zanim użytkownik mógł rozpocząć grę, wyświetlano mu komunikat, że aplikacja uzyskała pewne uprawnienia, np. do publikowania statusów. Jednak te informacje były niejasne i nie informowały o tym, które konkretne dane są przetwarzane, kto jest ich odbiorcą i w jakim celu. Przeciwko temu z powodzeniem wystąpił związek konsumencki krajów związkowych.
BGH wyjaśnił, że takie niejasne i ogólne informacje nie spełniają wymagań ogólnego rozporządzenia o ochronie danych (RODO). Już przy zbieraniu danych przez aplikację użytkownicy muszą być kompleksowo informowani. Zakres zbieranych i przetwarzanych danych musi być także przejrzysty. Prawomocne sformułowanie celów wykorzystania w polityce prywatności ma tu szczególne znaczenie. Obowiązki informacyjne zgodnie z art. 12 i 13 RODO wymagają jasnego, precyzyjnego i zrozumiałego poinformowania osób, których dane dotyczą. Ponieważ te wymagania RODO równocześnie regulują zachowanie na rynku w rozumieniu prawa konkurencji (§ 3a UWG), ich naruszenie stanowi naruszenie prawa konkurencji. Dlatego konkurenci lub uprawnione związki konsumenckie mogą cywilnie podejmować działania przeciwko takim naruszeniom ochrony danych, jak wskazał BGH. Jest to niezależnie od tego, czy użytkownik złożył skargę.
Aptekarze sprzedają leki w internecie
Podobne kwestie były przedmiotem postępowań o numerach akt I ZR 222/19 i I ZR 223/19. W tych sprawach dwie apteki sprzedawały leki za pośrednictwem platformy Amazon. Przetwarzane były dane osobowe klientów, w tym dane zdrowotne, takie jak imię, adres czy zamówione leki wraz z informacjami o ich indywidualizacji. Zbieranie tych danych zdrowotnych przez apteki było centralnym tematem postępowań. Pojawiło się wiele przypadków naruszeń ochrony danych w aptekach, które były istotne w tym kontekście. Przeciwko temu złożyli skargę inni aptekarze. Także te skargi odniosły sukces: BGH jasno określił, że dane zamówienia w rozumieniu art. 9 ust. 1 RODO stanowią dane zdrowotne. Dotyczy to także sytuacji, gdy leki nie są na receptę. Dane mogą być przetwarzane tylko wtedy, gdy istnieje wyraźna zgoda klientów, której aptekarze jednak nie uzyskali.
BGH potwierdził ocenę Trybunału Sprawiedliwości Unii Europejskiej, że dane zdrowotne występują już wtedy, gdy z zamówienia można wyciągnąć wnioski dotyczące stanu zdrowia lub medykacji. W postępowaniach pozwana strona odgrywała centralną rolę, ponieważ była odpowiedzialna za przetwarzanie danych. Szczególnie podkreślono znaczenie ochrony osoby, której dane dotyczą, przy przetwarzaniu danych zdrowotnych. Także tutaj BGH zobaczył naruszenie prawa konkurencji. Art. 9 ust. 1 RODO jest regulacją zachowania na rynku w rozumieniu § 3a UWG, w związku z tym naruszenie tej przepisu może być ścigane przez konkurenta w drodze powództwa z zakresu prawa konkurencji przed sądami cywilnymi, jak stwierdzili karsruhescy sędziowie. Znaczenie pierwszego zdania i punktu pierwszego w odpowiednich paragrafach zostało wyraźnie podkreślone.
RODO również w kontekście prawa konkurencji
Wyroki wskazują, że przepisy RODO – a szczególnie obowiązki informacyjne i przepisy dotyczące zgody – są również istotne z punktu widzenia prawa konkurencji. W określonych okolicznościach zyski osiągnięte dzięki naruszeniom ochrony danych mogą być odebrane; jest to związane z grzywnami i innymi środkami karnymi, które mogą być nałożone zgodnie z RODO i przepisami prawa. Przedsiębiorstwa, które przetwarzają dane osobowe lub wrażliwe bez wystarczających informacji lub skutecznej zgody, działają niezgodnie z zasadami konkurencji. Nie tylko organy ochrony danych, ale także konkurenci lub uprawnione związki interesu mogą podejmować działania przeciwko takim naruszeniom. W ten sposób BGH znacznie rozszerzył zakres stosowania prawa konkurencji. Przedsiębiorstwa naruszające przepisy ochrony danych mogą obok grzywien nałożonych przez organy ochrony danych napotykać kosztowne upomnienia i pozwy o zaniechanie przez konkurentów i związki konsumenckie.
Firmy są dobrze radzone
Firmom dobrze jest doradzić, by dokładnie sprawdziły i wypełniły swoje obowiązki informacyjne. Obejmuje to, że użytkownicy są transparentnie, jasno i wyczerpująco informowani, jakie dane są przetwarzane w jakim celu, na jakiej podstawie prawnej się to dzieje, kto jest odbiorcą i jakie prawa przysługują osobom, których dane dotyczą. Również przed przetwarzaniem danych wrażliwych – takich jak dane zdrowotne – konieczne jest uzyskanie i udokumentowanie wyraźnej zgody. Ogólne lub ukryte klauzule nie są wystarczające.
Rynki online i ochrona danych
Rynki online, takie jak Amazon Marketplace, są nieodłączną częścią nowoczesnego e-commerce. Jednak przestrzeganie ochrony danych jest tutaj szczególnie istotne. Dostawcy działający na takich platformach muszą przy przetwarzaniu danych klientów – takich jak imię, adresy czy dane zamówień – przestrzegać rygorystycznych wymagań RODO. Orzeczenia BGH w sprawach I ZR 186/17, I ZR 222/19 i I ZR 223/19 wykazały, że naruszenia RODO – takie jak przetwarzanie danych zdrowotnych bez wyraźnej zgody klientów – mogą mieć nie tylko skutki prawne związane z ochroną danych, ale także skutki prawne związane z konkurencją. W takich przypadkach możliwe są upomnienia przez konkurentów lub związki konsumenckie, które mogą mieć istotne konsekwencje dla przedsiębiorstw. Orzeczenia Federalnego Trybunału Sprawiedliwości podkreślają, że przestrzeganie ochrony danych na rynkach online jest nie tylko kwestią zgodności, ale również konkurencji.
Konsekwencje upomnienia
Upomnienie dotyczące ochrony danych może mieć dla przedsiębiorstw daleko idące konsekwencje. Oprócz obowiązku natychmiastowego zaprzestania kwestionowanego przetwarzania danych osobowych, w przypadku dalszego naruszenia grożą surowe kary pieniężne lub grzywny. RODO przewiduje grzywny w wysokości do 20 milionów euro lub 4% światowego rocznego obrotu – w zależności od tego, która kwota jest wyższa. Ponadto upomnienie może trwale zaszkodzić reputacji firmy, ponieważ naruszenie ochrony danych jest postrzegane przez klientów i opinię publiczną jako poważne naruszenie zaufania. Dlatego też przedsiębiorstwa powinny przywiązywać najwyższą wagę do przestrzegania przepisów o ochronie danych nie tylko z powodów prawnych, ale także z powodów reputacyjnych.
Obrona przed upomnieniami
Aby skutecznie bronić się przed upomnieniami w zakresie ochrony danych, przedsiębiorstwa powinny regularnie przeglądać swoje praktyki ochrony danych i dostosowywać je do aktualnych wymagań RODO. Dotyczy to zwłaszcza tworzenia przejrzystej i pełnej polityki prywatności, uzyskiwania wyraźnych zgód na przetwarzanie danych wrażliwych oraz wdrażania technicznych i organizacyjnych środków ochrony danych. W przypadku upomnienia zaleca się szybką reakcję i zasięgnięcie porady prawnej, aby jak najlepiej chronić swoje interesy. Działając proaktywnie i konsekwentnie przestrzegając wymogów ochrony danych, przedsiębiorstwa mogą znacznie ograniczyć ryzyko upomnienia i dalszych kroków prawnych.
MTR Legal Rechtsanwälte doradza w zakresie ochrony danych, RODO i innych tematów związanych z prawem IT.
Skontaktuj się z nami Kontakt !
