C-61/19

Opinia rzecznika generalnegoTSUE2020-03-04CELEX: 62019CC0061ECLI:EU:C:2020:158

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy zgoda na przetwarzanie danych osobowych, w szczególności na kopiowanie i przechowywanie dokumentów tożsamości przez dostawcę usług telekomunikacyjnych, jest „konkretna i świadoma” oraz „dobrowolna” w rozumieniu dyrektywy 95/46/WE i rozporządzenia (UE) 2016/679, gdy konsument musi oświadczyć pismem odręcznym, że odmawia zgody, a ciężar dowodu spoczywa na administratorze danych?
Ratio decidendi
Rzecznik Generalny uznał, że zgoda na przetwarzanie danych osobowych nie jest ważna, jeśli nie jest dobrowolna, konkretna i świadoma. Wymóg aktywnego odmawiania zgody pismem odręcznym na standardowej umowie nie spełnia kryterium dobrowolności, ponieważ konsument jest stawiany w sytuacji odstępstwa od zwykłej procedury i nie jest to aktywne działanie w celu wyrażenia zgody. Zgoda nie jest również świadoma, jeśli konsument nie jest jasno poinformowany, że odmowa zgody na kopiowanie dokumentu tożsamości nie uniemożliwi zawarcia umowy. Ponadto, zgodnie z art. 7 ust. 1 rozporządzenia 2016/679 (i pośrednio dyrektywy 95/46/WE), ciężar dowodu, że zgoda została wyrażona w sposób ważny, spoczywa na administratorze danych.
Stan faktyczny
Orange România SA, dostawca usług telekomunikacyjnych, zawierała umowy z klientami, dołączając do nich kopie dokumentów tożsamości. Rumuński organ ochrony danych (ANSPDCP) nałożył na Orange România karę za gromadzenie i przechowywanie tych kopii bez wyraźnej zgody konsumentów. Umowy zawierały klauzule, w których konsumenci mieli zaznaczyć zgodę, jednak ANSPDCP stwierdził brak dowodów na świadomy wybór. Sąd odsyłający ustalił, że w przypadku odmowy zgody na kopiowanie dokumentu tożsamości, konsument musiał to udokumentować pismem odręcznym na umowie, co wynikało z wewnętrznych procedur Orange România, mimo że odmowa nie uniemożliwiała zawarcia umowy.
Rozstrzygnięcie
Rzecznik Generalny proponuje, aby Trybunał odpowiedział, że osoba, której dane dotyczą, zamierzająca nawiązać z przedsiębiorcą stosunek umowny dotyczący świadczenia usług telekomunikacyjnych, nie wyraża „zgody” to znaczy nie wyraża „konkretnego i świadomego” i „dobrowolnego” przyzwolenia, w rozumieniu art. 2 lit. h) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art. 4 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), dla potrzeb tego przedsiębiorcy, gdy wymaga się od niej oświadczenia pismem odręcznym, na standardowej w pozostałym zakresie umowie, że odmawia udzielenia zgody na kopiowanie i przechowywanie jej dokumentów tożsamości.

Pełny tekst orzeczenia

OPINIA RZECZNIKA GENERALNEGO MACIEJA SZPUNARA przedstawiona w dniu 4 marca 2020 r. ( ) Sprawa C‑61/19 Orange România SA przeciwko Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) [wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Tribunalul Bucureşti (sąd okręgowy w Bukareszcie, Rumunia)] Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Rozporządzenie (UE) 2016/679 – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych – Usługi telekomunikacji ruchomej – Pojęcie zgody osoby, której dane dotyczą – Wskazanie konkretnej i świadomej woli – Wyrażenie zgody poprzez zaznaczenie okienka wyboru – Ciężar dowodu 1.  Rozpatrywany wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Tribunalul Bucureşti (sąd okręgowy w Bukareszcie, Rumunia) wywodzi się ze sporu między dostawcą usług telekomunikacyjnych a krajowym organem ochrony danych dotyczącego obowiązków tego pierwszego w ramach negocjacji umownych z konsumentem w odniesieniu do kopiowania i przechowywania kopii dokumentu tożsamości. 2.  Będzie on stanowić dla Trybunału okazję do doprecyzowania pojęcia „zgody” osoby, której dane dotyczą, będącego główną cechą unijnego prawa ochrony danych, które ostatecznie jest zakorzenione w podstawowym prawie do ochrony danych. W związku z tym Trybunał powinien również odnieść się do kwestii ciężaru dowodu, czy osoba, której dane dotyczą, wyraziła zgodę, czy też jej nie wyraziła. Ramy prawne Prawo Unii Dyrektywa 95/46 3. Zgodnie z art. 2 lit. h) dyrektywy 95/46/WE ( ) dla celów tej dyrektywy „»zgoda osoby, której dane dotyczą« oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”. 4. Rozdział II tej dyrektywy dotyczy ogólnych zasad legalności przetwarzania danych osobowych. 5. Artykuł 6 owej dyrektywy, mający za przedmiot „[z]asady dotyczące jakości danych” ( ), ma następujące brzmienie: „1.   Państwa członkowskie zapewniają, aby dane osobowe były: a) przetwarzane rzetelnie i legalnie; b) gromadzone do określonych, jednoznacznych i legalnych celów oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem. Dalsze przetwarzanie danych w celach historycznych, statystycznych lub naukowych nie jest uważane za niezgodne z przepisami, pod warunkiem ustanowienia przez państwa członkowskie odpowiednich środków zabezpieczających; c) prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone; […] 2.   Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1”. 6. Artykuł 7 dyrektywy 95/46 dotyczy „[k]ryteri[ów] legalności przetwarzania danych” ( ). Zgodnie z tym przepisem: „Państwa członkowskie zapewniają, że [by] dane osobowe mogą [mogły] być przetwarzane tylko wówczas gdy: a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub b) przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy; […]”. Rozporządzenie (UE) 2016/679 7. Zgodnie z art. 4 pkt 11 rozporządzenia (UE) 2016/679 ( ) dla celów tego rozporządzenia „»zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. 8. Artykuł 6 ust. 1 lit. a) i b) tego rozporządzenia ma następujące brzmienie: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. 9. Artykuł 7 ust. 1 tego rozporządzenia stanowi, że „[j]eżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych”. Prawo rumuńskie 10. Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (ustawa nr 677/2001 o ochronie osób w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zwana dalej „ustawą nr 677/2001”) ( ) ma na celu transpozycję przepisów dyrektywy 95/46 do krajowego porządku prawnego. 11. Artykuł 32 tej ustawy stanowi, co następuje: „Przetwarzanie danych osobowych przez operatora lub wyznaczoną przez niego osobę z naruszeniem przepisów art. 4–10 lub bez należytego uwzględnienia praw przewidzianych w art. 12–15 lub w art. 17 stanowi wykroczenie administracyjne, chyba że jest dokonywane w warunkach, w których stanowi przestępstwo, i podlega karze pieniężnej w wysokości od 10000000 starych lejów [1000 RON] do 250000000 starych lejów [25000 RON]”. Okoliczności faktyczne, postępowanie i pytania prejudycjalne 12. Orange România SA jest dostawcą usług telefonii ruchomej na rynku rumuńskim, oferującym usługi zarówno w ramach systemu „PrePay” ( ), jak i na podstawie zawartych umów o świadczenie usług ( ). 13. W dniu 28 marca 2018 r. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (krajowy organ nadzoru nad przetwarzaniem danych osobowych, Rumunia, zwany dalej „ANSPDCP”), na podstawie art. 32 ustawy nr 677/2001 w związku z art. 8 tej ustawy, sporządził protokół, w którym na Orange România nałożono karę administracyjną ze względu na to, że kopie dokumentów tożsamości konsumentów były gromadzone i przechowywane bez wyraźnej zgody tych konsumentów. 14. W tym względzie ANSPDCP zauważył, że Orange România zawierała w lokalu przedsiębiorstwa, w formie papierowej, umowy o świadczenie usług telefonii ruchomej z klientami będącymi osobami fizycznymi, a do umów tych dołączano kopie dokumentów tożsamości tych klientów. Treść tych umów zawierała między innymi stwierdzenie, iż konsumenci zostali poinformowani, że kopie te będą gromadzone i przechowywane (przez Orange România) i wyrazili na to zgodę oraz że fakt wyrażenia zgody przez konsumentów jest odnotowywany poprzez umieszczenie znaku krzyżyka w polach znajdujących się w pisemnej dokumentacji potwierdzającej umowę. 15. Odnośne postanowienia rzeczonych umów stanowią, co następuje: – „Konsument oświadcza, że: (i) został poinformowany, przed zawarciem umowy, o wybranym planie taryfowym, obowiązujących taryfach, minimalnym okresie obowiązywania umowy, warunkach rozwiązania [umowy] oraz o warunkach dotyczących otrzymania usług i korzystania z nich, w tym o zakresie usług, zgodnie z postanowieniami art. 11 Decizia ANCOM nr. 158/2015 [decyzji ANCOM nr 158/2015] oraz przepisami O.U.G. [nr.] 34/2014 (dekretu z mocą ustawy nr 34/2014), a także o prawie do jednostronnego rozwiązania umowy, z którego może skorzystać zgodnie z art. 1 ust. 17 ogólnych warunków umowy; (ii) Orange România przekazała konsumentowi wszystkie niezbędne informacje, aby mógł on wyrazić zgodę w sposób nieobarczony wadami, wyraźny, dobrowolny i konkretny, w odniesieniu do zawarcia i wyraźnego przyjęcia umowy, w tym całej dokumentacji umowy – ogólnych warunków umowy i dokumentu informującego o taryfach i usługach; (iii) został poinformowany i wyraził zgodę w odniesieniu do: przetwarzania danych osobowych do celów określonych w art. 1 ust. 15 ogólnych warunków umowy; okoliczności, że kopie dokumentów zawierających dane osobowe służące jego identyfikacji będą przechowywane [przez Orange]; przetwarzania danych osobowych (numeru telefonu, adresu poczty elektronicznej) do celów marketingu bezpośredniego; przetwarzania danych osobowych (numeru telefonu, adresu poczty elektronicznej) w celu przeprowadzania badań rynku; następującego oświadczenia: »Przeczytałem(-am) i wyrażam zgodę na przechowywanie kopii dokumentów zawierających dane osobowe dotyczące zdrowia«; nieuwzględnienia danych, o których mowa w art. 1 ust. 15 pkt 10 ogólnych warunków umowy, w usługach dotyczących informacji o abonentach i rejestrach abonentów”. 16. Według ANSPDCP Orange România nie wykazała, że konsumenci dokonali świadomego wyboru co do gromadzenia i przechowywania kopii swoich dokumentów tożsamości. 17. Orange România wniosła do sądu odsyłającego skargę na grzywnę z dnia 28 marca 2018 r. 18. Zgodnie z ustaleniami sądu odsyłającego istnieją umowy, w których swobodnie wyrażony przez konsumenta wybór dotyczący zachowania kopii jego dokumentu tożsamości jest wskazany poprzez umieszczenie krzyżyka w polu wyboru, jak również przypadki przeciwne, w których konsumenci odmówili wyrażenia takiej zgody. Z „wewnętrznych procedur” sprzedaży Orange România wynika, że w tym ostatnim przypadku Orange România wprowadzała niezbędną informację dotyczącą odmówienia przez konsumenta zgody na przechowywanie kopii dokumentu tożsamości, poprzez wypełnienie w tym celu specjalnego formularza, a następnie zawierała umowę. Tym samym, pomimo wskazań zawartych w ogólnych warunkach umowy Orange România, nie odmawiała ona zawarcia z konsumentami umów abonamentu, nawet gdy odmówili oni wyrażenia zgody na zatrzymanie kopii dowodu tożsamości. 19. Sąd odsyłający uważa, że w tych okolicznościach szczególnie ważne jest, aby Trybunał wypowiedział się na temat kryteriów pozwalających na ustalenie, czy zgoda jest „konkretna” i „świadoma”, oraz, w stosownych przypadkach, na temat mocy dowodowej podpisania umów takich jak te będące przedmiotem postępowania głównego. 20. W tych okolicznościach postanowieniem z dnia 14 listopada 2018 r., które wpłynęło do Trybunału w dniu 29 stycznia 2019 r., Tribunalul Bucureşti (sąd okręgowy w Bukareszcie) skierował do Trybunału następujące pytania prejudycjalne: „1) Jakie warunki zgodnie z art. 2 lit. h) [dyrektywy 95/46] muszą zostać spełnione, aby dane wskazanie można było uznać za konkretne i świadome? 2) Jakie warunki zgodnie z art. 2 lit. h) [dyrektywy 95/46] muszą zostać spełnione, aby dane wskazanie można było uznać za dobrowolnie wyrażone?”. 21. Uwagi na piśmie przedłożyły strony postępowania głównego, rządy rumuński, włoski, austriacki i portugalski oraz Komisja Europejska. Orange România, rząd rumuński i Komisja Europejska były reprezentowane na rozprawie, która odbyła się w dniu 11 grudnia 2019 r. Ocena 22. W niniejszej sprawie Trybunał ma określić warunki, pod którymi zgoda na przetwarzanie danych osobowych może zostać uznana za ważną. Uwagi wstępne W przedmiocie mających zastosowanie instrumentów prawnych 23. Rozporządzenie 2016/679, obowiązujące od dnia 25 maja 2018 r. ( ), uchyliło dyrektywę 95/46 ze skutkiem od tego dnia ( ). 24. Decyzję ANSPDCP będącą przedmiotem sporu w postępowaniu głównym wydano w dniu 28 marca 2018 r., a więc przed datą wejścia w życie rozporządzenia 2016/679. Niemniej ANSPDCP nie tylko nałożył na Orange România karę pieniężną, lecz także zobowiązał ją do zniszczenia kopii spornych dokumentów tożsamości. Spór w postępowaniu głównym dotyczy również tego ostatniego nakazu. Rodzi on skutki na przyszłość, dlatego wydaje się, że wspomniane rozporządzenie ma zastosowanie ratione temporis. 25. W związku z tym konieczne jest udzielenie odpowiedzi na pytania prejudycjalne zarówno na podstawie dyrektywy 95/46, jak i na podstawie rozporządzenia 2016/679 ( ). Ponadto rozporządzenie to należy uwzględnić w analizie przepisów dyrektywy 95/46 ( ). Co do sformułowania pytań prejudycjalnych 26. Dwa pytania skierowane przez sąd odsyłający są sformułowane w sposób zbyt ogólny i abstrakcyjny i zakres ich powinien zostać nieco ograniczony, aby dopasować je do okoliczności faktycznych w postępowaniu głównym, w celu ukierunkowania sądu odsyłającego i dostarczenia użytecznej odpowiedzi na te pytania. W tym celu uważam za niezbędne zwięzłe wskazanie wynikających z postanowienia sądu odsyłającego okoliczności faktycznych w postępowaniu głównym oraz informacji dostarczonych przez strony postępowania, w szczególności podczas rozprawy przed Trybunałem. 27. Krajowy organ ochrony danych w Rumunii, ANSPDCP, nałożył na Orange România karę za gromadzenie i zatrzymywanie kopii dokumentów tożsamości konsumentów bez ich zgody. Organ ten stwierdził, że spółka zawierała umowy o świadczenie usług telekomunikacji ruchomej i że kopie dokumentów tożsamości zostały załączone do tych umów. Umowy te stwierdzały, że konsumenci zostali poinformowani o gromadzeniu i przechowywaniu tych kopii i wyrazili na to zgodę, czego dowodem jest zaznaczenie krzyżykiem pól w klauzulach umownych. Jednakże, zgodnie z ustaleniami ANSPDCP, Orange România nie przedstawiła dowodów na to, że w momencie zawierania umów zainteresowani konsumenci dokonali świadomego wyboru co do gromadzenia i przechowywania tych kopii. 28. Kiedy osoba chcąca nawiązać stosunek umowny z Orange România jest informowana przez przedstawiciela tego przedsiębiorstwa o postanowieniach konkretnej umowy, przedstawiciel ten pracuje, zazwyczaj na komputerze, z formularzem umowy, który zawiera pole wyboru dotyczące przechowywania dokumentu tożsamości. Jak się wydaje, konsument jest informowany, że nie ma obowiązku zaznaczenia tego pola wyboru. Jeśli konsument nie zgadza się, aby jego dokument tożsamości był kopiowany i zachowywany, musi to udokumentować na umowie pismem odręcznym. Ten ostatni wymóg dotyczący pisma odręcznego wydaje się wynikać z wewnętrznych zasad sprzedaży obowiązujących w Orange România. Ponadto konsument jest informowany o prawie do odmowy, ale tylko ustnie, a nie w formie pisemnej. 29. W tym kontekście wspomniane dwa pytania, które należy rozpatrywać łącznie, rozumiem w ten sposób, że sąd odsyłający zmierza do ustalenia, czy osoba, której dane dotyczą, zamierzająca nawiązać z przedsiębiorcą stosunek umowny dotyczący świadczenia usług telekomunikacyjnych, wyraża swoją „konkretną i świadomą” oraz „dobrowolną” zgodę w rozumieniu art. 2 lit. h) dyrektywy 95/46 i art. 4 ust. 11 rozporządzenia nr 2016/679, gdy musi oświadczyć, pismem odręcznym, na standardowej w pozostałym zakresie umowie, że odmawia udzielenia zgody na kopiowanie i przechowywanie swoich dokumentów tożsamości. 30. W związku z tym wydaje się, że sąd odsyłający potrzebuje wskazówek w przedmiocie ciężaru i standardu dowodu w odniesieniu do tego przedsiębiorcy. Zgoda jako warunek wstępny przetwarzania danych osobowych 31. Niniejsza sprawa dotyczy przetwarzania danych osobowych przy zawieraniu umowy o świadczenie usług telekomunikacyjnych. 32. Każda operacja przetwarzania danych osobowych musi być zgodna ( ) z jednej strony z wyrażonymi w art. 6 dyrektywy 95/46 lub art. 5 rozporządzenia 2016/679 zasadami odnoszącymi się do jakości danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych, wymienionych w art. 7 tej dyrektywy lub w art. 6 tego rozporządzenia ( ). Jak wskazuje Komisja, sześć kryteriów określonych w art. 7 dyrektywy 95/46 stanowi w istocie wyraz szerszej zasady ustanowionej w art. 6 ust. 1 lit. a) tej dyrektywy, która stanowi, że dane osobowe muszą być przetwarzane rzetelnie i legalnie. 33. Artykuł 7 dyrektywy 95/46 zawiera wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za legalne ( ). Przetwarzanie danych osobowych może mieć miejsce wyłącznie wtedy, gdy zastosowanie ma co najmniej jedno z sześciu kryteriów odnoszących się do legalności przetwarzania danych. Istnienie jednoznacznej zgody osoby, której dane dotyczą, jest jednym z tych kryteriów. W przedmiocie pojęcia zgody 34. Z kolei zgodę osoby, której dane dotyczą, zdefiniowano w art. 2 lit. h) dyrektywy 95/46 jako konkretne i świadome dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych. 35. Brzmienie to w dużej mierze odpowiada ( ) art. 4 pkt 11 rozporządzenia 2016/679, zgodnie z którym zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych ( ). 36. Wymóg uzyskania zgody osoby, której dane dotyczą, jest główną cechą leżącą u podstaw unijnego prawa o ochronie danych ( ). Występuje on w Karcie praw podstawowych Unii Europejskiej, gdzie w art. 8 określono, że dane muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. W szerszym kontekście pojęcie zgody pozwala zainteresowanej osobie, której dane dotyczą, na samodzielne decydowanie o zasadności ograniczeń jej prawa do ochrony danych osobowych ( ). 37. Zasadą przewodnią, na której opiera się unijne prawo o ochronie danych, jest zasada samodzielnej decyzji jednostki będącej w stanie dokonywać wyborów dotyczących wykorzystania i przetwarzania swoich danych ( ). To właśnie wymóg zgody umożliwia jej dokonanie tego wyboru i jednocześnie chroni ją w sytuacjach, które z natury rzeczy są asymetryczne ( ). Tylko wówczas, gdy zgoda jest udzielana w sposób dobrowolny, konkretny i świadomy, spełnia ona wymogi dyrektywy 95/46 i rozporządzenia 2016/679. 38. Na tym etapie należy poczynić trzy kolejne zwięzłe uwagi na temat oczywistej różnicy w brzmieniu tych przepisów. 39. Po pierwsze, art. 4 pkt 11 rozporządzenia 2016/679, w przeciwieństwie do art. 2 lit. h) dyrektywy 95/46, odnosi się do „jednoznacznego” okazania [woli]. Uważam, że przyczyna tego jest dość prosta: art. 7 lit. a) owej dyrektywy dotyczący kryteriów legalności przetwarzania danych, wspomniany już wyżej, wymaga od osoby, której dane dotyczą, by „jednoznacznie” wyraziła zgodę, podczas gdy odpowiedni przepis rozporządzenia 2016/679 – art. 6 ust. 1 lit. a) – nie zawiera takiego doprecyzowania. Innymi słowy rzeczone kryterium jednoznacznego okazania zostało zwyczajnie przeniesione do bardziej ogólnego przepisu w rozporządzeniu 2016/679. 40. Po drugie, art. 4 pkt 11 rozporządzenia 2016/679 stanowi, że osoba, której dane dotyczą, okazuje swoją wolę „w formie oświadczenia lub wyraźnego działania potwierdzającego”. To wyjaśnienie jest rzeczywiście nowe w rozporządzeniu i nie ma semantycznego odzwierciedlenia w dyrektywie 95/46. 41. Po trzecie, jeśli chodzi o „świadomy” charakter zgody osoby, której dane dotyczą, francuska wersja językowa dyrektywy 95/46 różni się od wersji rozporządzenia 2016/679. O ile art. 2 lit h) tej dyrektywy odnosi się do „manifestation de volonté […] informé”, o tyle art. 4 pkt 11 tego rozporządzenia mówi o „manifestation de volonté […] eclairée”. 42. Uważam, że ta zmiana w brzmieniu bardziej dezorientuje niż wyjaśnia, ponieważ na tyle, na ile mogę to stwierdzić, francuska wersja językowa jest jedyną lub co najmniej jedną z bardzo niewielu wersji językowych, w których dokonuje się takiego rozróżnienia. Wiele wersji językowych, a wśród nich, nawiasem mówiąc, inne języki romańskie, po prostu używa w tym kontekście dokładnie tych samych terminów ( ), podczas gdy inne wersje językowe mogą się nieznacznie różnić w tej kwestii, ale nadal brak tu takiej rozbieżności, jak we francuskiej wersji językowej ( ). 43. Poniżej powrócę do pojęcia „świadomej” zgody. Dobrowolna zgoda 44. Wymóg „okazania” woli przez osobę, której dane dotyczą, wyraźnie sugeruje zachowanie czynne, a nie bierne ( ), z zatem oznacza, że osoba, której dane dotyczą, ma duzą swobodę przy dokonywaniu wyboru, czy wyrazi zgodę, czy też nie ( ). W konkretnych okolicznościach loterii online na stronie internetowej Trybunał ustalił, że zgoda udzielona za pomocą zaznaczonego domyślnie okienka wyboru nie oznacza czynnego zachowania użytkownika strony internetowej ( ). 45. Twierdzę, że takie ustalenie ma zastosowanie również do świata analogowego: zgoda w postaci zaznaczonego domyślnie okienka wyboru nie może oznaczać czynnej zgody osoby mającej do czynienia z fizycznym dokumentem, który ostatecznie podpisuje. W tym ostatnim przypadku nie wiadomo bowiem, czy taki z góry sformułowany tekst został przeczytany i przemyślany. Sytuacja nie jest jednoznaczna. Tekst mógł zostać przeczytany albo nie. „Czytelnik” mógł tego nie zrobić z czystego zaniedbania, czyniąc niemożliwym ustalenie, czy zgoda została udzielona dobrowolnie ( ). Świadoma zgoda 46. Nie może być żadnej wątpliwości co do tego, czy osoba, której dane dotyczą, została dostatecznie poinformowana ( ). 47. Osoba, której dane dotyczą, musi zostać poinformowana o wszystkich okolicznościach związanych z przetwarzaniem danych i jego skutkach. W szczególności musi ona wiedzieć, które dane mają być przetwarzane, jaki jest czas trwania takiego przetwarzania, w jaki sposób i w jakim konkretnym celu. Musi również wiedzieć, kto przetwarza dane i czy dane te mają być przekazane osobom trzecim. Przede wszystkim musi zostać poinformowana o konsekwencjach odmowy wyrażenia zgody: czy zgoda na przetwarzanie danych jest warunkiem zawarcia umowy, czy też nie ( ). W przedmiocie ciężaru dowodu 48. Pozostaje nam zatem do omówienia kwestia ustalenia, kto jest zobowiązny wykazać, że osoba, której dane dotyczą, znajdowała się w sytuacji, w której mogła wyrazić zgodę w oparciu o wyżej określone kryteria. 49. Artykuł 7 ust. 1 rozporządzenia 2016/679 jest jasny i nie pozostawia żadnych wątpliwości: jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych ( ). Przepis ten stanowi doprecyzowanie zasady rozliczalności, zapisanej w art. 5 ust. 2 rozporządzenia 2016/679. Jestem skłonny twierdzić, że cel tego przepisu wymaga szerokiej wykładni, w tym sensie, że administrator musi nie tylko udowodnić, że osoba, której dane dotyczą, wyraziła zgodę, lecz także musi udowodnić, że wszystkie przesłanki skuteczności zostały spełnione ( ). 50. Niektórzy autorzy maja watpliwości, czy art. 7 ust. 1 rozporządzenia 2016/679 dotyczy ciężaru dowodu, wskazując na historię ustawodawczą tego rozporządzenia ( ). Twierdzi się, że choć zarówno Komisja, jak i Parlament zaproponowały sformułowanie, które wyraźnie odnosiło się do „ciężaru dowodu”, takie sformułowanie nie zostało odzwierciedlone w przyjętym tekście, a zatem w obecnym prawie. 51. To twierdzenie zasługuje na bliższą analizę. 52. Pierwotny wniosek Komisji ( ) rzeczywiście odnosi się do „ciężaru udowodnienia”, który spoczywa na administratorze danych. W podobnym duchu Parlament w pierwszym czytaniu ( ) nie zakwestionował tego sformułowania. To Rada ( ) zastąpiła określenie „ciężar udowodnienia” wyrażeniem, odnoszącym się do administratora, „musi być w stanie wykazać”. Ostateczny tekst został następnie przyjęty w tej formie. 53. Nie przypisywałbym zbyt wielkiej wagi tej zmianie brzmienia ( ). W żadnym punkcie motywów swojego stanowiska Rada nie uzasadnia proponowanej zmiany brzmienia ( ). Świadczy to o tym, że instytucja ta starała się jedynie zmienić brzmienie przedmiotowego przepisu, nie zmieniając jego znaczenia. W tym świetle określenie „musi być w stanie wykazać” faktycznie opisuje w bardziej przystępny sposób, co rozumie się przez „ciężar dowodu” ( ). 54. Możemy zatem bezpiecznie założyć, że art. 7 ust. 1 rozporządzenia 2016/679 nakłada na administratora ciężar udowodnienia zgody osoby, której dane dotyczą, na przetwarzanie danych osobowych ( ). Wszelkie wątpliwości dotyczące wyrażenia zgody przez osobę, której dane dotyczą, powinny zostać rozwiane na podstawie dowodów przedstawionych przez administratora ( ). Ciężar udowodnienia, że osobę, której dane dotyczą, postawiono w sytuacji umożliwiającej jej dobrowolne, konkretne i świadome wyrażenie zgody, niezaprzeczalnie spoczywa na podmiocie dokonującym przetwarzania. 55. Sytuacja prawna na mocy dyrektywy 95/46 jest w tym względzie taka sama. 56. Nawet jeśli dyrektywa 95/46 nie zawierała odrębnego przepisu porównywalnego z art. 7 rozporządzenia 2016/679, dotyczącym warunków udzielania zgody, większość przesłanek przewidzianych w tym artykule można było znaleźć również w rzeczonej dyrektywie. Chociaż zasada dotycząca ciężaru dowodu nie została wyraźnie ustanowiona w tej dyrektywie, wynika ona, przynajmniej pośrednio, z brzmienia z jej przepisu ( ), zgodnie z którym „osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę” ( ). W przedmiocie sytuacji Orange România 57. Chciałbym teraz zastosować te kryteria do rozpatrywanej sprawy. 58. Tytułem uwagi wstępnej pragnę wskazać, że to, czy Orange România może wymagać od konsumentów zgody na kopiowanie i przechowywanie ich dokumentów tożsamości, jest poza zakresem niniejszej sprawy, biorąc pod uwagę, że dla tego przedsiębiorstwa nie jest to warunkiem wstępnym zawarcia umowy. Innymi słowy – w niniejszej sprawie nie chodzi o wykładnię art. 7 lit. b) dyrektywy 95/46 i art. 6 ust. 1 lit. b) rozporządzenia 2016/679. Niemniej jednak wydaje mi się, że przedsiębiorstwo ma prawo zwrócić się do konsumentów o podanie pewnych danych osobowych, a w szczególności o potwierdzenie ich tożsamości do celów zawarcia umowy. Wymaganie od konsumenta zgody na kopiowanie i przechowywanie dokumentów tożsamości wydaje się jednak wykraczać poza to, co jest konieczne do wykonania umowy. 59. Na bazie dostępnych informacji wydaje mi się, że w okolicznościach opisanych przez sąd odsyłający konsumenci Orange România nie wyrażają dobrowolnej, konkretnej i świadomej zgody. 60. Po pierwsze, brak jest dobrowolnie wyrażonej zgody. Zobowiązanie konsumenta do oświadczenia pismem odręcznym, że nie zgadza się na kopiowanie i przechowywanie jego dokumentu tożsamości, nie umożliwia wyrażenia dobrowolnej zgody, w tym znaczeniu, że konsument znajduje się w sytuacji, w której wyraźnie odstępuje od zwykłej procedury prowadzącej do zawarcia umowy. Konsumenci nie powinni w tym kontekście mieć poczucia, że odmowa wyrażenia przez nich zgody na kopiowanie i przechowywanie ich dokumentów tożsamości nie jest zgodna z obowiązującymi procedurami. Chciałbym przypomnieć w tym względzie, że Trybunał położył nacisk na czynne zachowanie osoby, której dane dotyczą, podjęte w celu wyrażenia zgody ( ). Zatem do wyrażenia zgody wymagane jest podjęcie działania przez osobę, której dane dotyczą. Niemniej jednak w omawianym przypadku wydaje się, że sytuacja jest odwrotna: podjęcie działania jest konieczne, aby odmówić wyrażenia zgody. Wracając raz jeszcze do wyroku Planet49 ( ): jeśli odznaczenie domyślnie zaznaczonego okienka wyboru na stronie internetowej zostanie uznane za zbyt duże obciążenie dla konsumenta, a fortiori nie można rozsądnie oczekiwać, że konsument odmówi zgody pismem odręcznym. 61. Po drugie, brak jest świadomej zgody. Nie jest dla konsumenta zupełnie jasne, że odmowa skopiowania i przechowywania jego dokumentu tożsamości nie uniemożliwia zawarcia umowy. Konsument nie dokonuje świadomego wyboru, jeśli nie jest świadomy konsekwencji. 62. Po trzecie – wyłącznie hipotetycznie – brak jest jakiegokolwiek wskazania, że Orange România zdołała wykazać, że konsumenci wyrazili zgodę na przetwarzanie swoich danych osobowych. W tym względzie oczywisty brak jasności w procedurach wewnętrznych z pewnością nie sprzyja dostarczeniu dowodu, że zgoda została przez konsumenta udzielona. Taki brak jasności i sprzeczne instrukcje dla pracowników sprzedaży nie mogą oczywiście szkodzić konsumentowi, w tym przypadku osobie, której dane dotyczą. Wnioski 63. W świetle powyższych rozważań proponuję, aby na pytania prejudycjalne przedstawione przez Tribunalul Bucureşti (sąd okręgowy w Bukareszcie, Rumunia) Trybunał odpowiedział w sposób następujący: Osoba, której dane dotyczą, zamierzająca nawiązać z przedsiębiorcą stosunek umowny dotyczący świadczenia usług telekomunikacyjnych, nie wyraża „zgody” to znaczy nie wyraża „konkretnego i świadomego” i „dobrowolnego” przyzwolenia, w rozumieniu art. 2 lit. h) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art. 4 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), dla potrzeb tego przedsiębiorcy, gdy wymaga się od niej oświadczenia pismem odręcznym, na standardowej w pozostałym zakresie umowie, że odmawia udzielenia zgody na kopiowanie i przechowywanie jej dokumentów tożsamości. ( ) Język oryginału: angielski. ( ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). ( ) Artykuł 6 jest jedynym artykułem sekcji I w rozdziale II dyrektywy 95/46. ( ) Artykuł 7 jest jedynym artykułem sekcji II w rozdziale II dyrektywy 95/46. ( ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1). ( ) Monitorul Oficial al României, Partea I, nr 790 z dnia 12 grudnia 2001 r. ( ) W takim przypadku odbiorca usług płaci z góry cenę za usługi, które mają być świadczone. ( ) W takim przypadku cena usług świadczonych przez przedsiębiorstwo jest płacona przez odbiorcę usług po ich wykonaniu na podstawie wystawionych faktur. ( ) Zgodnie z art. 99 ust. 2 rozporządzenia 2016/679. ( ) Zobacz art. 94 ust. 1 rozporządzenia 2016/679. ( ) Zobacz: wyrok z dnia 1 października 2019 r., Planet49 (C‑673/17, EU:C:2019:801, pkt 38–43), aby zapoznać się z podobnym podejściem w porównywalnej sytuacji; oraz moja opinia w tej samej sprawie (C‑673/17, EU:C:2019:246, pkt 44–49). Zobacz także wyrok z dnia 11 grudnia 2018 r., Weiss i in. (C‑493/17, EU:C:2018:1000, pkt 39). ( ) Zobacz wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie danych wrażliwych) (C‑136/17, EU:C:2019:773, pkt 33). ( ) Oczywiście z zastrzeżeniem wyłączeń i ograniczeń przewidzianych w art. 13 dyrektywy 95/46 i art. 23 rozporządzenia 2016/679. ( ) Zobacz wyrok z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 57). Zobacz także wyroki: z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 71 i przytoczone tam orzecznictwo); z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, pkt 36). ( ) Zobacz wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30); z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779, pkt 57); z dnia 1 października 2019 r., Planet49 (C‑673/17, EU:C:2019:801, pkt 53). ( ) Zobacz także L.A. Bygrave, L. Tosoni, w: Ch. Kuner, L.A. Bygrave, Ch. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, nt. art. 4 ust. 11 ogólnego rozporządzenia o ochronie danych, C.1., na s. 181. ( ) Kryteria te mają oczywiscie charakter łączny, co oznacza, że istnieje wysoki próg dla ważności zgody; zob. L.A. Bygrave, L. Tosoni, w: Ch. Kuner, L.A. Bygrave, Ch. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, nt. art. 4 ust. 11 ogólnego rozporządzenia o ochronie danych, C.1., na s. 181. ( ) Zobacz moja opinia w sprawie Planet49 (C‑673/17, EU:C:2019:246, pkt 57 i nast.). Zobacz także D. Heckmann, A. Paschke, w: E. Ehmann, M. Selmayr (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2 Aufl., Munich, C.H. Beck, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 9: „fundament ochrony danych”. ( ) Zobacz podobnie B. Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen, Mohr Siebeck, 2006, s. 232, który odwołuje się do prawa do decydowania o wykorzystywaniu własnych danych w tym kontekście (wypracowanego przez niemiecki trybunał konstytucyjny od czasu wyroku z dnia 15 grudnia 1983 r., 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65,1). ( ) Zobacz także J.H. Klement, w: S. Simitis, G. Hornung, I. Spieker gen. Döhmann (Hrsg.), Datenschutzrecht, Baden-Baden, Nomos, 2019, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 1, który podkreśla, że w porządku prawnym opartym na godności, wolności osobistej i odpowiedzialności i dążącym do ich wspierania przetwarzanie danych osobowych musi być uzasadnione samodzielną decyzją osoby, której dane dotyczą. ( ) Zobacz ponadto motyw 43 rozporzadzenia 2016/679, dotyczący sytuacji, w których może istnieć „wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem”. ( ) Zobacz na przykład wersje językowe hiszpańska („manifestación de voluntad […] informada”), portugalska („manifestação de vontade […] informada”), rumuńska („manifestare de voință […] informată”), duńska („informeret viljetilkendegivelse”), szwedzka („informerad viljeyttring”) i maltańska („infurmata”). ( ) Zobacz na przykład wersje językowe niderlandzka („op informatie berustende wilsuiting” w dyrektywie i „geïnformeerde wilsuiting” w rozporządzeniu), polska („świadome […] wskazanie” w dyrektywie i „świadome […] okazanie woli” w rozporządzeniu) i niemiecka („Willensbekundung, die […] in Kenntnis der Sachlage erfolgt” w dyrektywie i „in informierter Weise […] abgegebene Willensbekundung” w rozporządzeniu). ( ) Zobacz wyrok z dnia 1 października 2019 r., Planet49 (C‑673/17, EU:C:2019:801, pkt 52). ( ) Zobacz L.A. Bygrave, L. Tosoni, w: Ch. Kuner, L.A. Bygrave, Ch. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, nt. art. 4 ust. 11 ogólnego rozporządzenia o ochronie danych, C.1., na s. 182. ( ) Ibidem. ( ) Zobacz analogicznie moja opinia w sprawie Planet49 (C‑673/17, EU:C:2019:246, pkt 62). Zobacz także wyrok z dnia 1 października 2019 r., Planet49 (C‑673/17, EU:C:2019:801, pkt 55). ( ) Oststecznie świadoma zgoda jest oparta na zasadzie przejrzystości, zawartej w art. 5 ust. 1 lit. a) rozporzadzenia nr 2016/679; zob. L.A. Bygrave, L. Tosoni, w: Ch. Kuner, L.A. Bygrave, Ch. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, nt. art. 4 ust. 11 ogólnego rozporządzenia o ochronie danych, C.4., na s. 184. ( ) Znadniem niektórych autorów katalog informacji wskazanych w art. 10 i 11 dyrektywy 95/46 nie jest wyczerpujący, wobec czego administrator może przedstaewić osobie, której dane dotyczą, inne istotne informacje o warunkach przetwarzania danych osobowych. Zobacz na przykład A. Mednis, Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46, Monitor Prawniczy (dodatek) 2012, nr 7, s. 27. ( ) Zgodnie z tym przepisem administrator jest odpowiedzialny za to, by dane osobowe były przetwarzane legalnie, rzetelnie i w sposób przejrzysty w stosunku do osoby, której dotyczą, oraz by był w stanie wykazać zgodność z tym wymogiem. ( ) Zobacz podobnie także B. Stemmer, w: St. Brink, H.A. Wolff, Beck’scher Onlinekommentar Datenschutzrecht, 30. Aufl., Munich, C.H. Beck, według stanu na dzień 1 listopada 2019 r., nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 87; J. Buchner, B. Kühling, w: J. Buchner, B. Kühling (Hrsg.), Datenschutz Grundverordnung/BDSG, Kommentar, 2. Aufl., Munich, C.H. Beck, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 22. ( ) Zobacz J.H. Klement w: S. Simitis, G. Hornung, I. Spieker gen. Döhmann (Hrsg.), Datenschutzrecht, Baden-Baden, Nomos, 2019, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 46. ( ) W pierwotnym wniosku Komisji art. 7 ust. 1 miał następujące brzmienie: „Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze”. Zobacz wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólnego rozporządzenia o ochronie danych), COM(2012) 11 final, s. 45. ( ) Parlament w pierwszym czytaniu nie zaproponował zmiany brzmienia art. 7 ust. 1 w odniesieniu do określenia „ciężar udowodnienia”. Zgodził się jedynie na doprecyzowanie, że art. 7 ust. 1 dotyczy sytuacji, w której przetwarzanie opiera się na zgodzie. Zobacz rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólnego rozporządzenia o ochronie danych) COM(2012) 11 (Dz.U. 2017, C 378, s. 399, na s. 428). ( ) „Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych”. Zobacz stanowisko Rady (UE) nr 6/2016 w pierwszym czytaniu w sprawie przyjęcia rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), przyjęte przez Radę w dniu 8 kwietnia 2016 r. (Dz.U. 2016, C 159, s. 1, na s. 36). ( ) Zobacz podobnie także E. Kosta, w: Ch. Kuner, L.A. Bygrave, Ch. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, nt. art. 7 ogólnego rozporządzenia o ochronie danych, C.2., s. 349–350. ( ) Zobacz w szczególności motywy 42 i 43 uzasadniające art. 7. ( ) Interesujące koncepcyjne wyjaśnienie, dlaczego ciężar dowodu spoczywa na administratorze, przedstawił B. Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen, Mohr Siebeck, 2006, s. 243–245, który przywołuje analogię do sytuacji odpowiedzialności lekarzy, w świetle prawa krajowego, gdzie ciężar dowodu spoczywa również na tych, którzy dokonują ograniczenia danego prawa. ( ) Ponadto jest to pogląd w dużej mierze dominujący w literaturze prawniczej, zob. A. Klabunde, w: E. Ehmann, M. Selmayr (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2. Aufl., Munich, C.H. Beck, 2018, nt. art. 4 ogólnego rozporządzenia o ochronie danych, pkt 52; B. Stemmer, w: St. Brink, H.A. Wolff (Hrsg.), Beck’scher Onlinekommentar Datenschutzrecht, 30. Aufl., Munich, C.H. Beck, według stanu na dzień 1 listopada 2019 r., nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 87; J. Buchner, B. Kühling, w: J. Buchner, B. Kühling (Hrsg.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. Aufl., Munich, C.H. Beck, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 22; P. Barta, M. Kawecki, w: P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warszawa, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 1. ( ) Zobacz również podobnie D. Heckmann, A. Paschke w: E. Ehmann, M. Selmayr (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2. Aufl., Munich, C.H. Beck, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 72. ( ) Zobacz art. 7 lit. a) dyrektywy 95/46. Podkreślenie moje. ( ) Zobacz podobnie również m.in. J. Buchner, B. Kühling, w: J. Buchner, B. Kühling (Hrsg.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. Aufl., Munich, C.H. Beck, 2018, nt. art. 7 ogólnego rozporządzenia o ochronie danych, pkt 5, 22. ( ) Zobacz wyrok z dnia 1 października 2019 r., Planet49 (C‑673/17, EU:C:2019:801, pkt 54). ( ) Wyrok z dnia 1 października 2019 r. (C‑673/17, EU:C:2019:801).

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło