CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA

JEANA RICHARDA DE LA TOURA,

predstavljeni 2. decembra 2021(1)

Zadeva C‑319/20

Facebook Ireland Limited

proti

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija))

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 80(2) – Pravica do učinkovitega pravnega sredstva – Zastopanje posameznikov, na katere se nanašajo osebni podatki, s strani nepridobitnega združenja – Procesno upravičenje združenja za varstvo interesov potrošnikov“

I. Uvod

1. V sodobnem gospodarstvu, ki ga zaznamuje rast digitalnega gospodarstva, obdelava osebnih podatkov lahko vpliva na posameznike ne le kot na fizične osebe, upravičene do pravic, ki jih podeljuje Uredba (EU) 2016/679(2), temveč tudi nanje kot na potrošnike.

2. Zato so združenja za varstvo interesov potrošnikov vedno pogosteje tista, ki vlagajo tožbe, katerih cilj je zagotoviti prenehanje ravnanja nekaterih upravljavcev, s katerim se hkrati kršijo pravice, varovane s to uredbo in drugimi pravili, ki izhajajo iz prava Unije in nacionalnega prava, med drugim na področju varstva pravic potrošnikov in boja proti nepoštenim poslovnim praksam.

3. Ta predlog za sprejetje predhodne odločbe je bil vložen v okviru spora med Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (zvezno združenje organizacij in združenj za varstvo potrošnikov, Nemčija, v nadaljevanju: zvezno združenje) in družbo Facebook Ireland Limited s sedežem na Irskem. Zvezno združenje tej družbi očita kršitev nemške zakonodaje o varstvu osebnih podatkov, ki hkrati pomeni nepošteno poslovno prakso, ter kršitev zakona o varstvu potrošnikov in kršitev prepovedi uporabe neveljavnih splošnih pogojev.

4. S tem predlogom je Sodišče v bistvu pozvano, naj razloži člen 80(2) Uredbe 2016/679, da bi ugotovilo, ali ta določba nasprotuje temu, da združenja za varstvo interesov potrošnikov po začetku veljavnosti te uredbe ohranijo procesno upravičenje, ki jim ga podeljuje nacionalno pravo, da bi zagotovila prenehanje ravnanj, ki hkrati pomenijo kršitev pravic, podeljenih z navedeno uredbo, in kršitev pravil, katerih namen sta varstvo pravic potrošnikov in boj proti nepoštenim poslovnim praksam. Ker je Sodišče(3) odločilo, da je tako procesno upravičenje združljivo z Direktivo 95/46/ES(4), bo moralo Sodišče odločiti, ali je Uredba 2016/679 v zvezi s tem spremenila stanje prava ali ne.

II. Pravni okvir

A. Uredba 2016/679

5. Člen 80 Uredbe 2016/679, naslovljen „Zastopanje posameznikov, na katere se nanašajo osebni podatki“, določa(5):

„1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.

2. Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.“

B. Nemško pravo

6. Člen 3(1) Gesetz gegen den unlauteren Wettbewerb (zakon o preprečevanju nelojalne konkurence)(6) z dne 3. julija 2004 v različici, ki se uporablja za spor o glavni stvari, določa:

„Nelojalna poslovna ravnanja so prepovedana.“

7. Člen 3a UWG določa:

„Nelojalno ravna, kdor krši zakonsko določbo, s katero se med drugim v interesu udeležencev na trgu ureja ravnanje na trgu, če lahko kršitev občutno poseže v interese potrošnikov, drugih udeležencev na trgu ali konkurentov.“

8. Člen 8(1) in (3) UWG določa:

„(1) Zoper vsakogar, čigar poslovno ravnanje je prepovedano v smislu člena 3 ali člena 7, je mogoče vložiti tožbo za odpravo posledic prepovedanega ravnanja ali – v primeru ponovitvene nevarnosti – opustitveno tožbo. Upravičenje za vložitev opustitvene tožbe je podano že v primeru nevarnosti kršitve členov 3 ali 7.

[…]

(3) Tožbi iz odstavka 1 lahko vložijo:

[…]

3. kvalificirani subjekti, ki dokažejo, da so vneseni v seznam kvalificiranih subjektov v skladu s členom 4 [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (zakon o opustitvenih tožbah zaradi kršitev potrošniškega prava in drugih kršitev(7)) z dne 26. novembra 2001, v različici, ki se uporablja v sporu o glavni stvari] ali v seznam Evropske komisije iz člena 4(3) Direktive 2009/22/ES Evropskega parlamenta in Sveta z dne 23. aprila 2009 o opustitvenih tožbah zaradi varstva interesov potrošnikov [(8)];

[…]“.

9. Člen 2 UKlaG določa:

„(1) Zoper vsakogar, ki kako drugače kot z uporabo ali priporočanjem splošnih poslovnih pogojev krši določbe za varstvo potrošnikov (zakoni o varstvu potrošnikov), je v interesu varstva potrošnikov mogoče vložiti opustitveno tožbo in tožbo za odpravo posledic te kršitve. […]

(2) Zakoni o varstvu potrošnikov v smislu tega člena so zlasti:

[…]

11. določbe o dopustnosti

a) zbiranja osebnih podatkov potrošnika s strani podjetnika ali

b) obdelave ali uporabe osebnih podatkov, ki so bili zbrani v zvezi s potrošnikom, s strani podjetnika,

če so podatki zbrani, obdelani ali uporabljeni za oglaševanje, tržne in mnenjske raziskave, izvajanje dejavnosti zbiranja informacij, izdelavo osebnostnih in uporabniških profilov, trgovanje z naslovi, druge vrste trgovanja s podatki ali za primerljive poslovne namene.

[…]“.

10. Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija) navaja, da lahko v skladu s členom 3(1), prvi stavek, točka 1, UKlaG organi, ki imajo procesno upravičenje v smislu te določbe, vložijo opustitveno tožbo zoper kršitve zakonodaje o varstvu potrošnikov, ki v skladu s členom 2(2), prvi stavek, točka 11, tega zakona vsebuje tudi določbe o zakonitosti zbiranja, obdelave in uporabe osebnih podatkov potrošnika za oglaševalske namene s strani podjetnika. Poleg tega lahko v skladu s členom 3(1), prvi stavek, točka 1, UKlaG organi, ki imajo procesno upravičenje, v skladu s členom 1 UKlaG zahtevajo prenehanje uporabe neveljavnih splošnih pogojev na podlagi člena 307 Bürgerliches Gesetzbuch (civilni zakonik), če menijo, da ti splošni pogoji kršijo določbo o varstvu podatkov.

11. Člen 13(1) Telemediengesetz (zakon o elektronskih medijih)(9) z dne 26. februarja 2007 določa:

„Ponudnik storitev mora uporabnika na začetku uporabe na splošno razumljiv način obvestiti o načinu, obsegu in namenu zbiranja in uporabe osebnih podatkov ter o obdelavi njegovih podatkov v državah zunaj področja uporabe [Direktive 95/46], če taka obvestitev ni bila že opravljena. V primeru avtomatiziranega procesa, ki omogoča poznejšo identifikacijo uporabnika in s katerim se ustvarijo pogoji za zbiranje ali uporabo osebnih podatkov, mora biti uporabnik obveščen na začetku tega procesa. Uporabnik mora vselej imeti možnost znova prikazati vsebino obvestitve.“

III. Dejansko stanje v sporu o glavni stvari in vprašanje za predhodno odločanje

12. V Nemčiji je zvezno združenje uvrščeno na seznam subjektov, ki imajo procesno upravičenje na podlagi člena 4 UKlaG. Družba Facebook Ireland na naslovu www.facebook.de upravlja spletno platformo Facebook, ki je namenjena izmenjavi osebnih in drugih podatkov.

13. Na spletni platformi Facebook je tako imenovani „App-Zentrum“ (center za aplikacije), v katerem družba Facebook Ireland svojim uporabnikom med drugim zagotavlja dostop do brezplačnih iger tretjih ponudnikov. Ob priklicu nekaterih iger v okviru centra za aplikacije 26. novembra 2012 so se uporabniku pod gumbom „Igraj“ prikazale nekatere informacije. Iz teh informacij v bistvu izhaja, da je uporaba zadevne aplikacije družbi, ki je zagotovila igre, omogočila pridobitev nekaterih osebnih podatkov in ji dovolila, da v imenu uporabnika objavi nekatere informacije, kot na primer število točk. Ta uporaba je pomenila, da je uporabnik sprejel splošne pogoje uporabe aplikacije in njeno politiko varstva podatkov. Poleg tega je bilo pri igri Scrabble navedeno, da lahko aplikacija v imenu uporabnika objavlja statusna sporočila, fotografije in drugo.

14. Zvezno združenje graja predstavitev informacij pod gumbom „Igraj“ v centru za aplikacije, ker so nepoštene, zlasti zaradi neizpolnjevanja zakonskih pogojev, ki veljajo za pridobitev veljavnega soglasja uporabnika na podlagi določb o varstvu podatkov. Med drugim meni, da je končna navedba pri igri Scrabble splošni pogoj, ki uporabnika neupravičeno postavlja v neugoden položaj.

15. V tem okviru je zvezno združenje pri Landgericht Berlin (deželno sodišče v Berlinu, Nemčija) vložilo opustitveno tožbo zoper družbo Facebook Ireland. Predložitveno sodišče navaja, da je bila ta tožba vložena neodvisno od kršitve konkretnih pravic do varstva podatkov posameznika, na katerega se nanašajo osebni podatki, in ne da bi jo tak posameznik za to pooblastil.

16. Zvezno združenje je predlagalo, naj se družbi Facebook Ireland pod grožnjo periodičnih denarnih kazni prepove, da „v okviru poslovnih dejavnosti za potrošnike s stalnim prebivališčem v […] Nemčiji na spletni strani www.facebook.com v centru za aplikacije ponuja igre, pri katerih potrošnik s klikom na gumb ,[Igraj]‘ potrdi, da ponudnik igre prek družbenega omrežja, ki ga upravlja [Facebook Ireland], pridobi informacije o osebnih podatkih, ki so tam navedene, in je pooblaščen, da posreduje (objavi) informacije v imenu potrošnika […]“.

17. Zvezno združenje je tudi zahtevalo, naj se družbi Facebook Ireland prepove „v sporazume s potrošniki z običajnim prebivališčem v […] Nemčiji vključevati naslednjo določbo oziroma določbe enake vsebine glede uporabe aplikacij v okviru družbenega omrežja ter se sklicevati na določbe o prenosu podatkov na ponudnike iger: ,Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten‘ [Ta aplikacija lahko v tvojem imenu objavlja statusna sporočila, fotografije in drugo]“.

18. Landgericht Berlin (deželno sodišče v Berlinu) je družbo Facebook Ireland obsodilo v skladu s predlogi zveznega združenja. Pritožba družbe Facebook Ireland pri Kammergericht Berlin (višje deželno sodišče v Berlinu, Nemčija) je bila zavrnjena.

19. Družba Facebook Ireland je zoper odločbo pritožbenega sodišča pri predložitvenem sodišču vložila revizijo.

20. V zvezi z vsebino, predložitveno sodišče meni, da je pritožbeno sodišče pravilno ugotovilo, da so predlogi zveznega združenja utemeljeni. Družba Facebook Ireland je namreč s tem, da ni izpolnila obveznosti obveščanja iz člena 13(1), prvi stavek, prvi del stavka, TMG, kršila člen 3a UWG in člen 2(2), prvi stavek, točka 11, UKlaG. Pritožbeno sodišče je pravilno ugotovilo, da so določbe člena 13 TMG, ki so predmet obravnavane zadeve, zakonske določbe, ki urejajo ravnanje gospodarskih subjektov na trgu v smislu člena 3a UWG. Poleg tega gre za določbe, ki v skladu s členom 2(2), prvi stavek, točka 11(a), UKlaG urejajo zakonitost zbiranja, obdelave ali uporabe osebnih podatkov potrošnika, ki so bili zbrani, obdelani ali uporabljeni za oglaševanje, s strani podjetnika. Poleg tega predložitveno sodišče meni, da je družba Facebook Ireland s tem, da ni spoštovala obveznosti obveščanja s področja varstva podatkov, ki se uporabljajo v obravnavani zadevi, uporabila neveljaven splošni pogoj v smislu člena 1 UKlaG.

21. Vendar se predložitveno sodišče sprašuje, ali je pritožbeno sodišče pravilno presodilo, da je tožba, ki jo je vložilo zvezno združenje, dopustna. Sprašuje se namreč, ali je združenje za varstvo interesov potrošnikov, kakršno je zvezno združenje, od začetka veljavnosti Uredbe 2016/679 še vedno pristojno za vložitev tožbe pri civilnih sodiščih zaradi kršitev te uredbe, in to neodvisno od kršitve konkretnih pravic posameznika, na katerega se nanašajo osebni podatki, in ne da bi ga tak posameznik za to pooblastil, tako da uveljavlja kršitev pravice v smislu člena 3a UWG, kršitev zakonodaje o varstvu potrošnikov v smislu člena 2(2), prvi stavek, točka 11, UKlaG, ali celo uporabo neveljavnega splošnega pogoja na podlagi člena 1 UKlaG.

22. Predložitveno sodišče ugotavlja, da dopustnost tožbe ni bila vprašljiva pred začetkom veljavnosti Uredbe 2016/679. Zvezno združenje je bilo pooblaščeno za vložitev opustitvene tožbe pri civilnih sodiščih v skladu s členom 8(3), točka 3, UWG in členom 3(1), prvi stavek, točka 1, UKlaG.

23. Po mnenju istega sodišča je mogoče, da je bila ta pravna ureditev spremenjena zaradi začetka veljavnosti Uredbe 2016/679.

24. Glede vsebine ugotavlja, da se določbe člena 13(1) TMG od tega začetka veljavnosti ne uporabljajo več, saj so upoštevne obveznosti obveščanja zdaj tiste, ki izhajajo iz členov od 12 do 14 Uredbe 2016/679. Tako po mnenju predložitvenega sodišča družba Facebook Ireland ni izpolnila obveznosti iz člena 12(1), prvi stavek, te uredbe, v skladu s katero se posamezniku, na katerega se nanašajo osebni podatki, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku zagotovijo informacije iz člena 13(1)(c) in (e) te uredbe, ki se nanašajo na namen obdelave podatkov in na uporabnika osebnih podatkov.

25. V zvezi z dopustnostjo tožbe po mnenju predložitvenega sodišča obstaja razprava o tem, ali imajo organi, ki imajo procesno upravičenje v smislu člena 4 UKlaG, od začetka veljavnosti Uredbe 2016/679 in v skladu s členom 8(3), točka 3, UWG pravico do vložitve tožbe zaradi kršitev določb te uredbe, ki se neposredno uporabljajo na podlagi člena 288, drugi odstavek, PDEU, tako da uveljavljajo kršitev pravice v smislu člena 3a UWG.

26. V zvezi s tem se predložitveno sodišče sklicuje na obstoj različnih stališč glede tega, ali Uredba 2016/679 sama izčrpno ureja nadzor nad uporabo njenih določb.

27. To sodišče v zvezi z besedilom Uredbe 2016/679 ugotavlja, da procesno upravičenje subjekta, kot je zvezno združenje, v skladu s členom 8(3), točka 3, UWG ni zajeto s členom 80(1) te uredbe, ker opustitvena tožba iz postopka v glavni stvari ni bila vložena na podlagi pooblastila in v imenu posameznika, na katerega se nanašajo osebni podatki, za uveljavljanje njegovih osebnih pravic. Nasprotno, zvezno združenje naj bi imelo procesno upravičenje na podlagi lastne pravice, ki naj bi mu omogočala, da v primeru kršitve pravice v smislu člena 3a UWG objektivno vloži tožbo zaradi kršitev določb navedene uredbe, neodvisno od kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, in njihovega pooblastila.

28. Predložitveno sodišče ugotavlja, da procesno upravičenje zveznega združenja, da predlaga objektivno izvrševanje prava o varstvu osebnih podatkov, ni določeno v členu 80(2) Uredbe 2016/679. Tudi če bi ta določba res določala možnost, da tak subjekt ukrepa neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, bi morale biti namreč pravice posameznika, na katerega se nanašajo osebni podatki, kot so določene v tej uredbi, kršene zaradi obdelave. Zato naj določbe člena 80(2) navedene uredbe glede na njihovo besedilo tudi ne bi dopuščale procesnega upravičenja združenj, ki uveljavljajo objektivne kršitve zakona o varstvu osebnih podatkov, neodvisno od kršitve subjektivnih pravic določenega posameznika, na katerega se nanašajo osebni podatki, tako da se, kot v obravnavani zadevi, opirajo na člen 3a in člen 8(3), točka 3, UWG. Enako ugotovitev naj bi bilo mogoče izpeljati iz uvodne izjave 142, drugi stavek, Uredbe 2016/679, v kateri je navedena tudi kršitev pravic posameznika, na katerega se nanašajo osebni podatki, kot pogoj za procesno upravičenje združenja neodvisno od pooblastila zadevnega posameznika.

29. Poleg tega procesno upravičenje združenja, kot je določeno v členu 8(3) UWG, po mnenju predložitvenega sodišča ne more izhajati iz člena 84(1) Uredbe 2016/679, v skladu s katerim države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Procesnega upravičenja združenja, kakršno je to iz člena 8(3) UWG, ni mogoče šteti za „kazen“ v smislu te določbe navedene uredbe.

30. Predložitveno sodišče poleg tega ugotavlja, da sistematika Uredbe 2016/679 ne omogoča zanesljive ugotovitve, ali se procesno upravičenje organa na podlagi člena 8(3), točka 3, UWG, torej na podlagi določbe, namenjene boju proti nelojalni konkurenci, po začetku veljavnosti te uredbe še vedno lahko prizna. To sodišče meni, da je iz dejstva, da ta uredba nadzornim organom podeljuje široka nadzorna, preiskovalna in popravljalna pooblastila, mogoče sklepati, da morajo ti organi predvsem nadzorovati uporabo določb navedene uredbe. To bi bilo v nasprotju s široko razlago člena 80(2) Uredbe 2016/679. Predložitveno sodišče ugotavlja tudi, da je sprejetje nacionalnih ukrepov za izvajanje uredbe načeloma dopustno le, če je izrecno dovoljeno. Vendar bi lahko izraz „[b]rez poseganja v katero koli drugo […] sredstvo“, ki je naveden v členu 77(1), členu 78(1) in (2) ter členu 79(1) te uredbe, ovrgel tezo izčrpne ureditve nadzora nad uporabo prava z navedeno uredbo.

31. Glede cilja Uredbe 2016/679, polni učinek te uredbe bi lahko govoril v prid obstoju procesnega upravičenja združenj na podlagi konkurenčnega prava v skladu s členom 8(3)(3) UWG neodvisno od kršitev konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, ker bi se s tem ohranila dodatna možnost spremljanja izvajanja prava, da bi se zagotovila čim višja raven varstva osebnih podatkov v skladu z uvodno izjavo 10 te uredbe. Kljub temu bi bilo mogoče šteti, da je dopustitev procesnega upravičenja združenj na podlagi konkurenčnega prava v nasprotju s ciljem harmonizacije, ki mu sledi navedena uredba.

32. Predložitveno sodišče prav tako dvomi, ali imajo organi iz člena 3(1), prvi stavek, točka 1, UKlaG po začetku veljavnosti Uredbe 2016/679 še vedno procesno upravičenje za vložitev tožbe v primeru kršitve določb te uredbe na podlagi tožb, vloženih zaradi nespoštovanja zakona o varstvu potrošnikov v smislu člena 2(2), prvi stavek, točka 11, UKlaG. Enako velja za procesno upravičenje združenja za varstvo interesov potrošnikov v skladu s členom 1 UKlaG z namenom zahtevati prenehanje uporabe neveljavnih splošnih pogojev v smislu člena 307 civilnega zakonika.

33. Ob predpostavki, da je različne nacionalne določbe, na katerih je pred začetkom veljavnosti Uredbe 2016/679 temeljilo procesno upravičenje organov, mogoče šteti za vnaprejšnje izvajanje člena 80(2) te uredbe, bi po mnenju predložitvenega sodišča priznanje procesnega upravičenja zveznega združenja v obravnavani zadevi zahtevalo, da to združenje trdi, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, določene v tej uredbi, kršene zaradi obdelave. Ta pogoj pa naj ne bi bil izpolnjen.

34. To sodišče poudarja, da se ugotovitve zveznega združenja nanašajo na abstraktni nadzor družbe Facebook Ireland nad predstavitvijo v centru za aplikacije z vidika objektivnega prava o varstvu podatkov, ne da bi zvezno združenje zatrjevalo kršitev pravic določenega ali določljivega posameznika v smislu člena 4(1) Uredbe 2016/679.

35. Če bi se ugotovilo, da je zvezno združenje po začetku veljavnosti Uredbe 2016/679 izgubilo procesno upravičenje na podlagi zgoraj navedenih določb nemškega prava, predložitveno sodišče navaja, da bi moralo ugoditi reviziji, ki jo je vložila družba Facebook Ireland, in zavrniti tožbo zveznega združenja, saj mora v skladu z nemškim procesnim pravom procesno upravičenje trajati do konca zadnje stopnje.

36. Glede na te preudarke je Bundesgerichtshof (zvezno vrhovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:

„Ali določbe iz poglavja VIII, zlasti iz člena 80(1) in (2) in člena 84(1) Uredbe (EU) 2016/679, nasprotujejo nacionalni ureditvi, ki – poleg pooblastil za poseganje, ki jih priznava nadzornim organom, pristojnim za spremljanje in izvajanje Uredbe, in možnosti pravnega varstva, ki jih priznava posameznikom, na katere se nanašajo osebni podatki – konkurentom, na eni strani, ter združenjem, telesom in zbornicam, ki so do tega upravičeni na podlagi nacionalnega prava, na drugi strani, priznava pravico, da zaradi kršitev Uredbe 2016/679 neodvisno od kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, in ne da bi jih za to pooblastil posameznik, na katerega se nanašajo osebni podatki, na podlagi prepovedi izvajanja nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev poslovanja proti kršitelju vložijo tožbo pred civilnimi sodišči?“

37. Pisna stališča so predložili zvezno združenje, družba Facebook Ireland, avstrijska in portugalska vlada ter Komisija. Na obravnavi 23. septembra 2021 so te stranke, razen portugalske vlade, in nemška vlada predstavile ustna stališča.

IV. Analiza

38. Predložitveno sodišče želi z vprašanjem v bistvu izvedeti, ali je treba Uredbo 2016/679, zlasti njen člen 80(2), razlagati tako, da nasprotuje nacionalni ureditvi, ki združenjem za varstvo interesov potrošnikov omogoča, da vložijo tožbo zoper domnevnega kršitelja varstva osebnih podatkov na podlagi prepovedi izvajanja nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev poslovanja.

39. V skladu s členom 4(1) Uredbe 2016/679 je „posameznik, na katerega se nanašajo osebni podatki“ v smislu te uredbe „določen ali določljiv posameznik“. Kadar tak posameznik meni, da so bili njegovi osebni podatki obdelani v nasprotju z določbami navedene uredbe, ima na voljo več možnosti za ukrepanje.

40. Posameznik, na katerega se nanašajo osebni podatki, ima v skladu s členom 77 iste uredbe pravico do vložitve pritožbe pri nadzornem organu. Poleg tega ima v skladu s členom 78 Uredbe 2016/679 pravico do učinkovitega pravnega sredstva zoper nadzorni organ. Člen 79(1) te uredbe daje vsakemu posamezniku, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.

41. Posamezniki, na katere se nanašajo osebni podatki, lahko seveda sami vložijo pritožbo pri nadzornem organu ali uporabijo zgoraj opisana pravna sredstva. Vendar člen 80 Uredbe 2016/679 pod določenimi pogoji določa, da lahko te posameznike zastopa neprofitno telo, organizacija ali združenje. Pravo Unije tako poleg individualnih tožb določa različne možnosti za zastopniške tožbe, ki se izvajajo prek subjektov, odgovornih za zastopanje posameznikov, na katere se nanašajo osebni podatki.(10) Člen 80 Uredbe 2016/679 je torej del trenda razvoja zastopniških tožb, ki jih taki subjekti vložijo za zaščito splošnih ali kolektivnih interesov kot sredstvo za krepitev dostopa do pravnega varstva za osebe, v zvezi s katerimi so bila kršena zadevna pravila.(11)

42. Člen 80 Uredbe 2016/679, naslovljen „Zastopanje posameznikov, na katere se nanašajo osebni podatki“, ima dva odstavka. Prvi se nanaša na položaj, v katerem posameznik, na katerega se nanašajo osebni podatki, pooblasti telo, organizacijo ali združenje, da ga zastopa. Drugi zadeva zastopniško tožbo, ki jo subjekt vloži neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki.

43. Ker tožba, ki jo je vložilo zvezno združenje, ne temelji na pooblastilu posameznika, na katerega se nanašajo osebni podatki, je za ta predlog za sprejetje predhodne odločbe upošteven člen 80(2) Uredbe 2016/679.

A. Sodba Fashion ID

44. Sodišče je v sodbi Fashion ID glede Direktive 95/46 odločilo o podobnem vprašanju, kakršno je to v tem predlogu za sprejetje predhodne odločbe. Tako je razsodilo, da „je treba člene od 22 do 24 [te direktive] razlagati tako, da ne nasprotujejo nacionalni ureditvi, na podlagi katere je združenjem za varstvo interesov potrošnikov dovoljeno vložiti tožbo zoper domnevnega kršitelja varstva osebnih podatkov“.(12)

45. Sodišče je do tega sklepa prišlo tako, da je izhajalo iz ugotovitve, da nobena določba Direktive 95/46 ne nalaga državam članicam obveznosti, niti jim tega izrecno ne dovoljuje, da v svoji nacionalni zakonodaji določijo, da lahko združenje takega posameznika zastopa na sodišču ali da na lastno pobudo vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov.(13) Vendar po mnenju Sodišča to ne pomeni, da ta direktiva nasprotuje nacionalni ureditvi, na podlagi katere je združenjem za varstvo interesov potrošnikov dovoljeno vložiti tožbo zoper domnevnega kršitelja varstva osebnih podatkov.(14) V zvezi s tem je Sodišče poudarilo posebne značilnosti direktive in obveznost vsake od držav članic, na katere je direktiva naslovljena, da sprejme vse ukrepe, ki so potrebni za zagotovitev polnega učinka zadevne direktive v skladu z njenim ciljem.(15)

46. Sodišče je nato opozorilo, da sta cilja Direktive 95/46 „zagotoviti učinkovito in popolno varstvo temeljnih svoboščin in pravic fizičnih oseb ter predvsem pravice do zasebnosti pri obdelavi osebnih podatkov“ ter „zagotovit[i] visok[o] rav[en] varstva v [Evropski u]niji“.(16) Po mnenju Sodišča dejstvo, da država članica v svoji nacionalni ureditvi določa možnost, da združenje za varstvo interesov potrošnikov vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov, prispeva k uresničevanju teh ciljev.(17) Sodišče je tudi poudarilo, da „imajo države članice v mnogo pogledih manevrski prostor za prenos [Direktive 95/46]“,(18) zlasti njenih členov od 22 do 24, ki „so […] oblikovani na splošno in s katerimi se ne izvaja izčrpna harmonizacija nacionalnih določb o pravnih sredstvih, ki se lahko pri sodiščih vložijo zoper domnevnega kršitelja varstva osebnih podatkov“.(19) Tako je lahko „[d]oločitev možnosti, da združenje za varstvo interesov potrošnikov vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov […] ustrezen ukrep v smislu [člena 24 te direktive], ki pripomore […] k doseganju ciljev navedene direktive v skladu s sodno prakso Sodišča“.(20)

47. S tem predlogom za sprejetje predhodne odločbe je Sodišče pozvano, naj odloči, ali bi bilo treba zdaj to, kar je lahko bilo dopuščeno na podlagi Direktive 95/46, prepovedati po začetku veljavnosti Uredbe 2016/679. Povedano drugače, ali je pravni učinek člena 80(2) te uredbe, da odpravlja procesno upravičenje združenja za varstvo interesov potrošnikov v okviru tožbe, kakršna je ta v postopku v glavni stvari?

48. O tem je mogoče dvomiti že ob branju točke 62 sodbe Fashion ID, v kateri je Sodišče navedlo, da dejstvo, da člen 80(2) Uredbe 2016/679 „državam članicam izrecno dopušča, da združenjem za varstvo interesov potrošnikov omogočijo, da vložijo tožbo proti domnevnemu kršitelju varstva osebnih podatkov, nikakor ne pomeni, da jim države članice ne bi smele podeliti te pravice na podlagi Direktive 95/46, ampak potrjuje, nasprotno, da razlaga te direktive, ki je uporabljena v tej sodbi, odraža voljo zakonodajalca Unije.“(21)

49. Iz razlogov, ki jih bom navedel, menim, da niti nadomestitev Direktive 95/46 z uredbo niti dejstvo, da je zdaj v Uredbi 2016/679 en člen namenjen zastopanju posameznikov, na katere se nanašajo osebni podatki, v okviru tožb, ne moreta omajati tega, kar je Sodišče odločilo v sodbi Fashion ID, in sicer, da lahko države članice v svojih nacionalnih ureditvah določijo možnost, da združenja za varstvo interesov potrošnikov vložijo tožbo zoper domnevnega kršitelja varstva osebnih podatkov.

B. Posebne značilnosti Uredbe 2016/679

50. Glede nadomestitve Direktive 95/46 z normo drugačne narave, in sicer z Uredbo 2016/679, je treba poudariti, da je odločitev zakonodajalca Unije, da uporabi pravno obliko uredbe, ki je v skladu s členom 288 PDEU v celoti zavezujoča in se neposredno uporablja v vseh državah članicah, pojasnjena z njegovim namenom, izraženim v uvodni izjavi 13 Uredbe 2016/679, da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu. Zato se zdi, da je cilj te uredbe na prvi pogled doseči popolno harmonizacijo, tako da se torej ne omejuje na določitev minimalnih standardov, ki bi jih države članice lahko povzele, in tem državam ne daje na izbiro, da odstopajo od njenih določb, jih dopolnijo ali izvajajo, da ne bi bila ogrožena hkratna in enotna uporaba določb navedene uredbe v Uniji.

51. Resničnost se je izkazala za bolj zapleteno. Pravna podlaga Uredbe 2016/679, in sicer člen 16 PDEU,(22) namreč onemogoča sklepanje, da bi Unija s sprejetjem te uredbe prehitela vse posledice, ki bi jih lahko imelo varstvo osebnih podatkov na drugih področjih, zlasti na področju delovnega, konkurenčnega ali potrošniškega prava, s tem, da bi državam članicam odvzela možnost sprejetja posebnih pravil na teh področjih, in to bolj ali manj avtonomno glede na to, ali gre za področje, ki ga ureja pravo Unije, ali ne.(23) Čeprav ima varstvo osebnih podatkov horizontalen značaj, je v tem smislu harmonizacija, ki se izvaja z Uredbo 2016/679, omejena na vidike, ki so na tem področju posebej zajeti s to uredbo. Razen teh lahko države članice še naprej sprejemajo zakonodajo, če ne posegajo v vsebino in cilje navedene uredbe.

52. Poleg tega je treba pri preučitvi podrobnosti določb Uredbe 2016/679 ugotoviti, da se obseg harmonizacije, izvedene s to uredbo, glede na zadevne določbe razlikuje. Za določitev normativnega obsega navedene uredbe je torej treba preučiti vsak primer posebej.(24) Čeprav je v skladu s sodno prakso glede Direktive 95/46(25) mogoče šteti, da se z Uredbo 2016/679 izvaja harmonizacija, ki je „načeloma […] celovit[a]“, pa imajo države članice kljub temu na podlagi več določb te uredbe manevrski prostor, ki ga po potrebi morajo ali smejo uporabiti pod pogoji in v mejah, določenih v teh določbah.(26)

53. Spomniti je treba, da imajo v skladu z ustaljeno sodno prakso Sodišča „na podlagi člena 288 PDEU ter zaradi same narave uredb in njihove vloge v sistemu virov prava Unije določbe uredb na splošno takojšen učinek v nacionalnih pravnih redih, ne da bi morali nacionalni organi sprejeti izvedbene ukrepe. Vendar je mogoče, da morajo države članice za izvajanje nekaterih določb izvedbene ukrepe vseeno sprejeti.“(27) Uporaba uredbe ne pomeni nujno, da določbe te uredbe pravnim subjektom ne puščajo nobenega manevrskega prostora.(28) Poleg tega zavezujoča narava in neposredna uporaba uredbe ne preprečujeta, da bi tak akt vseboval neobvezna pravila.(29)

54. Člen 80(2) Uredbe 2016/679 je zaradi uporabe besede „lahko“ primer neobvezne določbe, ki državam članicam daje polje proste presoje pri njenem izvajanju.

55. Ta določba je ena od številnih „pomensko odprtih določb“ v tej uredbi, ki jo delajo edinstveno v primerjavi s tradicionalno uredbo in jo približujejo direktivi.(30) Sklicevanja na nacionalno pravo v teh določbah so lahko obvezna,(31) vendar so najpogosteje možnost, ki je dana državam članicam.(32) Ugotoviti je bilo mogoče, da ta številna sklicevanja na nacionalno pravo pomenijo tveganje nadaljnje razdrobljenosti ureditve varstva osebnih podatkov v Uniji, kar je v nasprotju z namenom zakonodajalca Unije, da doseže temeljitejše poenotenje te ureditve, ter lahko negativno vplivajo na učinkovitost tega varstva in na to, kako upravljavci in obdelovalci razumejo svoje obveznosti.(33) Obseg harmonizacije, ki je bila dosežena z Uredbo 2016/679, je tako omejen s številnimi „pomensko odprtimi določbami“, ki jih vsebuje ta uredba.

56. Jasno je, da je zakonodajalec Unije v primerjavi s tem, kar je veljalo za Direktivo 95/46, z Uredbo 2016/679 želel na ravni Unije celoviteje in natančneje urediti vidike zastopanja posameznikov, na katere se nanašajo osebni podatki, pri vložitvi pritožbe pri nadzornem organu ali celo tožbe.(34) Vendar odstavka 1 in 2 člena 80 te uredbe nimata enakega normativnega obsega. Čeprav je namreč odstavek 1 tega člena za države članice zavezujoč,(35) odstavek 2 tem državam članicam ponuja le možnost. Tako morajo države članice za vložitev zastopniške tožbe brez pooblastila iz člena 80(2) te uredbe uporabiti možnost, ki jim jo daje ta določba, da v svojem nacionalnem pravu določijo tak način zastopanja posameznikov, na katere se nanašajo osebni podatki.

57. Za člen 80(2) Uredbe 2016/679 ni mogoče, pa čeprav le zaradi njegove neobvezne narave in morebitnih razlik med nacionalnimi zakonodajami, ki jih to lahko povzroči, šteti, da je bila z njim izvedena popolna harmonizacija glede zastopniških tožb brez pooblastila na področju varstva osebnih podatkov. Vendar morajo države članice pri prenosu te določbe v svoje nacionalno pravo spoštovati pogoje in meje, v okviru katerih je zakonodajalec Unije želel urediti izvajanje možnosti iz te določbe.

58. Čeprav je v primerjavi z Direktivo 95/46 zakonska ureditev natančnejša, imajo države članice kljub vsemu polje proste presoje pri izvajanju člena 80(2) Uredbe 2016/679.

59. Iz elementov, s katerimi razpolaga Sodišče, je razvidno, da nemški zakonodajalec po začetku veljavnosti te uredbe ni sprejel določbe posebej zato, da bi se v nacionalnem pravu izvajal člen 80(2) navedene uredbe. Glede na to je treba, kot Sodišče poziva predložitveno sodišče, preučiti, ali so s to določbo združljiva prej obstoječa pravila nemškega prava, ki združenju za varstvo interesov potrošnikov priznavajo procesno upravičenje za zagotovitev prenehanja ravnanja, ki pomeni kršitev določb Uredbe 2016/679 in pravil, ki so namenjena zlasti varstvu potrošnikov. Z drugimi besedami, ali je nacionalno pravo, ki je obstajalo pred začetkom veljavnosti te uredbe, skladno s tem, kar dovoljuje člen 80(2) navedene uredbe?

60. Kot je nemška vlada pojasnila na obravnavi, so nacionalne določbe, ki združenje, kot je zvezno združenje, pooblaščajo za vložitev zastopniške tožbe, kakršna je ta iz postopka v glavni stvari, ukrepi za prenos Direktive 2009/22. Za odgovor na vprašanje, ali člen 80(2) Uredbe 2016/679 dovoljuje tudi tako tožbo in ali torej te iste nacionalne določbe spadajo v okvir diskrecijske pravice, priznane vsaki državi članici(36), je treba ta člen razlagati zlasti ob upoštevanju njegovega besedila ter sistematike in ciljev te uredbe.

C. Jezikovna, sistematična in teleološka razlaga člena 80(2) Uredbe 2016/679

61. V skladu s členom 80(2) Uredbe 2016/679 lahko zastopniške tožbe, določene v tem členu, vloži „katero koli telo, organizacija ali združenje iz odstavka 1“ tega člena. Člen 80(1) te uredbe se nanaša na „neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov“. Take opredelitve po mojem mnenju ni mogoče omejiti na subjekte, katerih edini in izključni cilj je varstvo osebnih podatkov, ampak vključuje vse, ki si prizadevajo za cilj v javnem interesu, povezan z varstvom osebnih podatkov. To velja za združenja za varstvo interesov potrošnikov, kot je zvezno združenje, ki morajo vložiti tožbe za opustitev ravnanj, ki s tem, da kršijo določbe te uredbe, kršijo tudi pravila o varstvu potrošnikov oziroma boju proti nelojalni konkurenci.(37)

62. V skladu z besedilom člena 80(2) Uredbe 2016/679 lahko zastopniško tožbo vloži subjekt, ki izpolnjuje pogoje iz odstavka 1 tega člena, če „meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave“. V nasprotju s tem, kar, kot se zdi, namiguje predložitveno sodišče, ne verjamem, da bi se ta zadnji del stavka moral razlagati ozko, kot da pomeni, da bi moral subjekt, da bi bil pooblaščen za to, da bi ukrepal v skladu s tem, kar je določeno v členu 80(2) Uredbe 2016/679, predhodno posamično izpostaviti enega ali več konkretnih posameznikov, na katere se nanašajo osebni podatki, na katere vpliva zadevna obdelava. Pripravljalni dokumenti za sprejetje te uredbe nikakor ne grejo v to smer. Poleg tega se mi zdi sama opredelitev pojma „posameznik, na katerega se nanašajo osebni podatki“, v smislu člena 4(1) navedene uredbe, to je „določen ali določljiv posameznik“(38), v nasprotju z zahtevo, da je treba posameznike, katerih osebni podatki se obdelujejo v nasprotju z določbami Uredbe 2016/679, določiti že ob vložitvi zastopniške tožbe na podlagi člena 80(2) te uredbe. Iz tega logično izhaja, da v skladu s to določbo od subjekta ni mogoče zahtevati, da se sklicuje na obstoj konkretnih primerov v zvezi s poimensko določenimi posamezniki, da bi lahko bil pooblaščen za ukrepanje v skladu s to določbo.

63. Menim, da se za vložitev zastopniške tožbe na podlagi člena 80(2) Uredbe 2016/679 zahteva le, da se zatrjuje obstoj obdelave osebnih podatkov v nasprotju z določbami te uredbe, ki varujejo pravice posameznikov, ki torej lahko vpliva na pravice določenih ali določljivih posameznikov, ne da bi bilo treba preveriti procesno upravičenje subjekta za vsak primer posebej glede na to, ali so bile kršene pravice enega ali več določenih posameznikov.(39) Taka tožba mora temeljiti na kršitvi pravic, ki jih posameznik lahko ima na podlagi navedene uredbe, zaradi obdelave njegovih osebnih podatkov. Namen te tožbe ni varstvo objektivne pravice, ampak le subjektivnih pravic, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, neposredno na podlagi Uredbe 2016/679.(40) Z drugimi besedami, namen pomensko odprte določbe iz člena 80(2) te uredbe je omogočiti pooblaščenim subjektom, da od nadzornih organov ali sodišč zahtevajo, da preverijo, ali upravljavci spoštujejo pravila o varstvu posameznikov, na katere se nanašajo osebni podatki, iz navedene uredbe.(41) S tega vidika za procesno upravičenje subjekta na podlagi te določbe zadostuje, da se sklicuje na kršitev določb Uredbe 2016/679, katerih namen je varstvo subjektivnih pravic posameznikov, na katere se nanašajo osebni podatki.

64. Kot v bistvu navaja Komisija, bi se z razlago člena 80(2) Uredbe 2016/679, v skladu s katero bi moral subjekt, da bi lahko vložil zastopniško tožbo brez pooblastila, dokazati ali trditi, da so bile v danem položaju kršene pravice določenemu posamezniku, preveč omejilo področje uporabe te določbe. Tako kot portugalska vlada in Komisija menim, da bi bilo treba člen 80(2) te uredbe razlagati tako, da se ohrani njegov polni učinek glede na odstavek 1 tega člena. Zato bi bilo treba po mojem mnenju člen 80(2) navedene uredbe razumeti tako, da presega zastopanje posameznih primerov, ki je predmet odstavka 1 tega člena, s tem, da omogoča, da se na pobudo pooblaščenih subjektov in neodvisno zastopajo kolektivni interesi posameznikov, katerih osebni podatki se obdelujejo v nasprotju z Uredbo 2016/679. Polni učinek člena 80(2) te uredbe bi bil precej zmanjšan, če bi bilo treba šteti, da je subjekt, kot se zahteva v odstavku 1 tega člena, v obeh primerih omejen na zastopanje poimensko in posamično opredeljenih posameznikov.

65. Poleg tega je moja razlaga člena 80(2) Uredbe 2016/679 skladna s preventivnostjo in odvračilnim namenom opustitvenih tožb ter njihovo samostojnostjo glede na vse posamezne konkretne spore.(42)

66. Ne da bi bilo izključeno tveganje oblikovanja dveh različnih standardov v zvezi s procesnim upravičenjem subjektov, pooblaščenih za vložitev opustitvene tožbe, glede na to, ali taka tožba temelji na nacionalnem ukrepu, ki spada na področje uporabe člena 80(2) Uredbe 2016/679 ali pa Direktive 2020/1828, se mi zdi primerno – čeprav se ta direktiva v okviru spora o glavni stvari ne uporablja – upoštevati dejstvo, da zadnjenavedena direktiva od takih subjektov ne zahteva, da se sklicujejo na obstoj posameznih poimensko navedenih potrošnikov, kot da so bili prizadeti zaradi zadevne kršitve,(43) temveč da se sklicujejo na obstoj kršitev določb prava Unije, ki so navedene v Prilogi I k tej direktivi(44) – ki poleg tega v točki 56 navaja Uredbo 2016/679 – ki so jih storili prodajalci ali ponudniki.

67. Teza v prid ozki razlagi člena 80(2) Uredbe 2016/679 po mojem mnenju napačno postavlja nasproti varstvo kolektivnih interesov potrošnikov(45) in varstvo pravic vsakega posameznika, katerega osebni podatki se domnevno obdelujejo v nasprotju s to uredbo. Varstvo kolektivnih interesov potrošnikov po mojem mnenju namreč ne izključuje varstva subjektivnih pravic, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, neposredno na podlagi Uredbe 2016/679, temveč, nasprotno, vključuje tako varstvo.

68. Poleg tega v uvodni izjavi 15 Direktive 2020/1828, v skladu s katero bi se „[m]ehanizmi izvrševanja, določeni v Uredbi […] 2016/679 […] ali izhajajoči iz nje, […] na primer še vedno lahko uporabljali za varstvo kolektivnih interesov potrošnikov, kadar je to primerno“,(46) vidim potrditev, da je zastopniška tožba iz člena 80(2) te uredbe res lahko namenjena varstvu takih interesov.

69. Iz navedenega sklepam, da člen 80(2) Uredbe 2016/679 po mojem mnenju državam članicam dovoljuje, da določijo možnost, da pooblaščeni subjekti brez pooblastila posameznikov, na katere se nanašajo osebni podatki, vložijo zastopniške tožbe za varstvo kolektivnih interesov potrošnikov, če se zatrjuje kršitev določb te uredbe, katerih namen je zadevnim posameznikom podeliti subjektivne pravice.

70. Tako je tudi v primeru opustitvene tožbe, ki jo je zvezno združenje vložilo proti družbi Facebook Ireland.

71. Naj namreč spomnim, da po mnenju predložitvenega sodišča in v skladu z ugotovitvami zveznega združenja družba Facebook Ireland ni izpolnila obveznosti iz člena 12(1), prvi stavek, Uredbe 2016/679, v skladu s katero se posamezniku, na katerega se nanašajo osebni podatki, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku zagotovijo informacije iz člena 13(1)(c) in (e) te uredbe, ki se nanašajo na namen obdelave podatkov in na uporabnika osebnih podatkov. Te določbe vsekakor spadajo v kategorijo tistih, ki posameznikom, na katere se nanašajo osebni podatki, podeljujejo subjektivne pravice, kar potrjuje zlasti ugotovitev, da so navedene v poglavju III navedene uredbe, naslovljenem „Pravice posameznika, na katerega se nanašajo osebni podatki“. Zato lahko varstvo teh pravic na podlagi člena 80(1) Uredbe 2016/679 ali nacionalnih določb za izvajanje člena 80(2) te uredbe zahtevajo neposredno posamezniki, na katere se nanašajo osebni podatki, ali pooblaščeni subjekt.

72. Menim tudi, da člen 80(2) Uredbe 2016/679 ne nasprotuje nacionalnim določbam, ki združenje za varstvo interesov potrošnikov pooblaščajo, da vloži opustitveno tožbo za zagotovitev spoštovanja pravic, ki jih ta uredba podeljuje s pravili, katerih namen je varstvo potrošnikov ali boj proti nepoštenim poslovnim praksam. Taka pravila namreč lahko vsebujejo določbe, podobne tistim iz navedene uredbe, zlasti glede obveščanja posameznikov, na katere se nanašajo osebni podatki, o obdelavi njihovih osebnih podatkov,(47) kar pomeni, da lahko kršitev pravila o varstvu osebnih podatkov hkrati vodi do kršitve pravil o varstvu potrošnikov ali do nepoštenih poslovnih praks. V besedilu člena 80(2) Uredbe 2016/679 nič ne nasprotuje delnemu izvajanju te pomensko odprte določbe v smislu, da je namen zastopniške tožbe varstvo pravic, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, kot potrošniki na podlagi te uredbe.(48)

73. Tako predlagana razlaga člena 80(2) Uredbe 2016/679 je po mojem mnenju najprimernejša za dosego ciljev, ki jih uresničuje ta uredba.

74. V zvezi s tem je Sodišče ugotovilo, da „Uredba 2016/679, kot izhaja iz njenega člena 1(2) v povezavi z uvodnimi izjavami 10, 11 in 13 te uredbe, institucijam, organom, uradom in agencijam Unije ter pristojnim organom držav članic nalaga, da zagotovijo visoko raven varstva pravic, zagotovljenih s členom 16 PDEU in členom 8 [Listine o temeljnih pravicah Evropske unije]“.(49) Poleg tega je cilj navedene uredbe, „da se zagotovi učinkovito varstvo svoboščin in temeljnih pravic posameznikov, zlasti njihove pravice do varstva zasebnosti in do varstva osebnih podatkov“.(50)

75. Bilo bi v nasprotju s ciljem zagotovitve visoke ravni varstva osebnih podatkov, če bi se državam članicam preprečilo, da uvedejo ukrepe, ki ob uresničevanju cilja varstva potrošnikov prispevajo tudi k doseganju cilja varstva osebnih podatkov. Tako kot je veljalo za Direktivo 95/46, je po začetku veljavnosti Uredbe 2016/679 še vedno mogoče trditi, da se s tem, da se združenja za varstvo interesov potrošnikov pooblastijo, da zahtevajo prenehanje obdelave, ki je v nasprotju z določbami te uredbe, prek kolektivne tožbe prispeva h krepitvi pravic posameznikov, na katere se nanašajo osebni podatki.(51)

76. Tako je varstvo kolektivnih interesov potrošnikov s strani združenj zlasti prilagojeno cilju vzpostavitve visoke ravni varstva osebnih podatkov. S tega vidika preventivne funkcije tožb teh združenj ne bi bilo mogoče zagotoviti, če bi bilo v zastopniški tožbi iz člena 80(2) Uredbe 2016/679 mogoče uveljavljati le kršitve pravic posameznika, ki je zaradi te kršitve dejansko in posamično prizadet.

77. Opustitvena tožba, ki jo vloži združenje za varstvo interesov potrošnikov, kot je zvezno združenje, torej nedvomno prispeva k zagotavljanju učinkovitega uveljavljanja pravic, varovanih z Uredbo 2016/679.(52)

78. Poleg tega bi bilo vsaj paradoksalno, če bi okrepitev sredstev za nadzor pravil o varstvu osebnih podatkov, ki jo je zakonodajalec Unije želel doseči s sprejetjem Uredbe 2016/679, nazadnje vodila v znižanje ravni tega varstva v primerjavi s tistim, ki bi ga države članice lahko zagotovile na podlagi Direktive 95/46.

79. Res je, da so se v nasprotju z Združenimi državami Amerike v pravu Unije predpisi o nepoštenih poslovnih praksah na eni strani in o varstvu osebnih podatkov na drugi strani razvijali ločeno. Za obe področji torej veljata različna zakonodajna okvira.

80. Vendar obstajajo interakcije med tema področjema, tako da lahko ukrepi, ki spadajo v okvir predpisov o varstvu osebnih podatkov, hkrati in posredno prispevajo k odpravi nepoštene poslovne prakse. Velja tudi obratno.(53) Sploh pa je povezava med varstvom osebnih podatkov z vidika privolitve v obdelavo takih podatkov in varstvom potrošnikov izražena v sami Uredbi 2016/679, zlasti v uvodni izjavi 42 te uredbe. Poleg tega je Komisija poudarila interakcije med predpisi Unije o varstvu osebnih podatkov in Direktivo 2005/29/ES(54).

81. Interakcije med pravom o varstvu osebnih podatkov, potrošniškim pravom in konkurenčnim pravom so pogoste in številne, ker lahko isto ravnanje hkrati spada v okvir pravnih pravil s teh različnih področij. Take interakcije prispevajo k učinkovitejšemu varstvu osebnih podatkov.(55)

82. Res je, da upravičenci do pravic iz Uredbe 2016/679 niso omejeni na kategorijo potrošnikov, saj ta uredba ne temelji na potrošniškem razumevanju varstva posameznikov pri obdelavi osebnih podatkov,(56) temveč na razumevanju, da je to varstvo v skladu s členom 8 Listine o temeljnih pravicah ter zlasti uvodno izjavo 1 in členom 1(2) navedene uredbe temeljna pravica.(57)

83. Dejstvo ostaja, da so v dobi digitalnega gospodarstva posamezniki, na katere se nanašajo osebni podatki, pogosto potrošniki. Zato se pravila o varstvu potrošnikov pogosto uporabljajo, da se zagotovi varstvo potrošnikov pred obdelavo njihovih osebnih podatkov v nasprotju z določbami Uredbe 2016/679.

84. Na koncu te analize je treba ugotoviti, da se zastopniška tožba iz člena 80(2) Uredbe 2016/679 in zastopniška tožba iz Direktive 2020/1828 za sprejetje opustitvenih ukrepov lahko prekrivata, če imajo „posamezniki, na katere se nanašajo osebni podatki“, v smislu te uredbe tudi status „potrošnika“ v smislu člena 3(1) te direktive.(58) Menim, da je to znak dopolnjevanja in zbliževanja zakonodaje o varstvu osebnih podatkov z drugimi pravnimi področji, kot sta potrošniško pravo in konkurenčno pravo. S sprejetjem navedene direktive je zakonodajalec Unije to gibanje še bolj spodbudil s tem, da je varstvo kolektivnih interesov potrošnikov izrecno povezal s spoštovanjem Uredbe 2016/679. Učinkovito uporabo pravil, ki jih vsebuje ta uredba, bo s tem mogoče le okrepiti.

V. Predlog

85. Glede na vse zgornje preudarke predlagam, naj se na vprašanje za predhodno odločanje, ki ga je postavilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija), odgovori:

Člen 80(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da ne nasprotuje nacionalni ureditvi, ki združenjem za varstvo interesov potrošnikov omogoča, da vložijo tožbo zoper domnevnega kršitelja varstva osebnih podatkov na podlagi prepovedi izvajanja nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev poslovanja, če je namen zadevne zastopniške tožbe zagotoviti spoštovanje pravic, ki jih imajo osebe, katerih podatki so predmet sporne obravnave, neposredno na podlagi te uredbe.

1 Jezik izvirnika: francoščina.

2 Uredba Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2016, L 127, str. 2).

3 Glej sodbo z dne 29. julija 2019, Fashion ID (C‑40/17, v nadaljevanju: sodba Fashion ID, EU:C:2019:629).

4 Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

5 Glej tudi uvodno izjavo 142 te uredbe.

6 BGBl. 2004 I, str. 1414, v nadaljevanju: UWG.

7 BGBl. 2001 I, str. 3138, 3173, v nadaljevanju: UKlaG.

8 UL 2009, L 110, str. 30.

9 BGBl. 2007 I, str. 179, v nadaljevanju: TMG.

10 Zastopanje posameznikov, na katere se nanašajo osebni podatki, je določeno tudi v členu 67 Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL 2018, L 295, str. 39) ter v členu 55 Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL 2016, L 119, str. 89). V obeh primerih gre za zastopanje s pooblastilom.

11 Ta trend, ki se uresničuje zlasti v Direktivi 2009/22/ES, je privedel do nedavnega sprejetja Direktive (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL 2020, L 409, str. 1). Rok za prenos zadnjenavedene direktive je 25. december 2022. Glej v zvezi s tem Pato, A., „Collective Redress Mechanisms in the EU“, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London, 2019, str. od 45 do 117. Glej tudi Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward“, Common Market Law Review, zv. 58, peta izdaja, Kluwer Law International, Alphen-sur-le-Rhin, 2021, str. od 1365 do 1400.

12 Glej sodbo Fashion ID (točka 63 in izrek).

13 Glej sodbo Fashion ID (točka 47).

14 Glej sodbo Fashion ID (točka 48).

15 Glej sodbo Fashion ID (točka 49).

16 Glej sodbo Fashion ID (točka 50).

17 Glej sodbo Fashion ID (točka 51).

18 Glej sodbo Fashion ID (točka 56 in navedena sodna praksa).

19 Glej sodbo Fashion ID (točka 57 in navedena sodna praksa).

20 Glej sodbo Fashion ID (točka 59).

21 Moj poudarek.

22 Kot je poudarilo Sodišče v sodbi z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 44).

23 Iz preambule Uredbe 2016/679 je razvidno, da je bila ta uredba sprejeta na podlagi člena 16 PDEU, ki v odstavku 2 zlasti dovoljuje, da lahko Evropski parlament in Svet Evropske unije po rednem zakonodajnem postopku določita pravila, ki se po eni strani nanašajo na varstvo fizičnih oseb pri obdelavi osebnih podatkov s strani institucij, organov, uradov in agencij Unije ter držav članic v okviru dejavnosti s področja uporabe prava Unije, in po drugi strani na prosti pretok podatkov.

24 Za določitev obsega harmonizacije, ki se uvaja z normo, kot je Uredba 2016/679, je zato treba izvesti „drobnogledn[o] analiz[o], tako da se preuči specifično pravilo ali v najboljšem primeru specifičen in dobro opredeljen vidik prava Unije“: glej sklepne predloge generalnega pravobranilca M. Bobka v zadevi Dzivev in drugi (C‑310/16, EU:C:2018:623, točka 74). Glej tudi Mišćenić, E., in Hoffmann, A.-L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)“, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, četrta izdaja, str. od 44 do 61, kjer je navedeno, da „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them“ (str. 49).

25 Glej sodbo z dne 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, točka 96).

26 V zvezi z Direktivo 95/46 glej sodbo z dne 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, točka 97). V nasprotju z nekaterimi prepričanji izbira zakonodajalca Unije, da namesto direktive uporabi uredbo, ne pomeni nujno popolne harmonizacije zadevnega področja. Glej Mišćenić, E., in Hoffmann, A.-L., op. cit., ki navajata, da „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules“ (str. 48).

27 Glej zlasti sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 110 in navedena sodna praksa). Glede področja, ki je bilo prej urejeno z direktivo, glej tudi sodbo z dne 21. decembra 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, točka 42), v kateri je Sodišče navedlo, da „dejstvo, da je zakonodaja Unije na področju zaščite živali med prevozom zdaj sprejeta v obliki uredbe, ne pomeni nujno, da so vsi nacionalni ukrepi za izvajanje te uredbe zdaj prepovedani“.

28 Glej sodbo z dne 27. oktobra 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Sodišče je tako priznalo, da država članica, ki se je odločila, da ne bo uporabila možnosti, ki jo ponuja uredba, ne krši člena 288 PDEU: glej sodbo z dne 17. decembra 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, točke od 27 do 31). Glede uredbe o uvedbi izvoznih nadomestil, ki jih države članice lahko odobrijo ali zavrnejo, glej tudi sodbo z dne 27. oktobra 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 V zvezi s temi pomensko odprtimi določbami glej Wagner, J., in Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law“, European Data Protection Law Review, Lexxion, Berlin, zv. 2, 3. izdaja, 2016, str. od 353 do 361.

31 Glej zlasti člena 51 in 84 Uredbe 2016/679.

32 Glej zlasti člen 6(2) in (3), člen 8(1), drugi pododstavek, ter člene od 85 do 89 Uredbe 2016/679.

33 Glej v zvezi s tem Mišćenić, E., in Hoffmann, A.-L., op. cit., ki ugotavljata, da „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation“ (str. 50 in 51).

34 Direktiva 95/46 je v členu 28(4) določala samo možnost, da združenje poskrbi za vložitev pritožbe pri nadzornem organu v imenu osebe, ki se pritožuje zaradi kršitve njegovih pravic v okviru obdelave osebnih podatkov.

35 Z izjemo zastopniške tožbe s pooblastilom za pridobitev odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki, ki za države članice ostaja neobvezna.

36 Glej po analogiji sodbo z dne 21. decembra 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, točka 43).

37 Glej Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luksemburg, 2019, str. od 98 do 106. Po mnenju te avtorice „[t]he number of actors who potentially have standing to sue is broad“ in „[c]onsumer associations will usually meet those requirements easily“ (str. 99).

38 Moj poudarek. Na podlagi iste določbe je „[d]oločljiv posameznik […] tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“. Kot navaja Martial-Braz, N., v „Le champ d’application du RGPD“, Bensamoun, A., in Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Pariz, 2020, str. od 19 do 33, se „določljivost […] razume zelo široko, saj merilo za identifikacijo osebe obsega vsa sredstva, ki bi se razumno lahko uporabila za identifikacijo osebe“ (str. 24). Glede pojma „določljiva oseba“ v smislu člena 2(a) Direktive 95/46 glej zlasti sodbo z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779).

39 Glej Boehm, F., „Artikel 80 Vertretung von betroffenen Personen“, v Simitis, S., Hornung, G., in Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, zlasti točka 13.

40 Glej Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen“, v Paal, B. P., in Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. izdaja, C.H. Beck, München, 2021, zlasti točka 11, ter Kreße, B., „Artikel 80 Vertretung von betroffenen Personen“, v Sydow, G., Europäische Datenschutzverordnung, 2. izdaja, Nomos, Baden-Baden, 2018, zlasti točka 13.

41 Glej Moos, F., in Schefzig, J., „Art. 80 Vertretung von betroffenen Personen“, v Taeger, J., in Gabel, D., Kommentar DSGVO – BDSG, 3. izdaja, Deutscher Fachverlag, Frankfurt na Majni, 2019, zlasti točka 22.

42 Glede nepoštenih pogojev v pogodbah, sklenjenih med prodajalci ali ponudniki in potrošniki, glej zlasti sodbo z dne 14. aprila 2016, Sales Sinués in Drame Ba (C‑381/14 in C‑385/14, EU:C:2016:252, točka 29).

43 Glej uvodno izjavo 33 in člen 8(3)(a) Direktive 2020/1828, v skladu s katerim „[k]valificiranemu subjektu ni treba dokazati […] dejanske izgube ali škode, ki so jo utrpeli posamezni potrošniki, prizadeti zaradi kršitve, kot je določena v členu 2(1)“. Dalje, čeprav člen 7(2) te direktive kvalificiranemu subjektu nalaga, da sodišču ali upravnemu organu predloži „zadostne informacije o potrošnikih, ki jih zastopniška tožba zadeva“, iz uvodne izjave 34 te direktive izhaja, da te informacije, za katere so zahteve glede podrobnosti lahko različne, odvisno od ukrepa, ki ga zahteva kvalificirani subjekt, ne pomenijo določitve posameznih potrošnikov, prizadetih zaradi zadevne kršitve, temveč bolj informacije, kot sta kraj oškodovanja potrošnikov ali navedba skupine potrošnikov, ki jih zadeva zastopniška tožba (glej tudi uvodno izjavo 65 Direktive 2020/1828). Poleg tega ugotavljam, da je v uvodni izjavi 49 Direktive 2020/1828, tudi če je namen zastopniške tožbe doseči ukrepe za povrnitev škode, navedeno, da se „[o]d kvalificiranega subjekta […] ne bi smelo zahtevati, da za sprožitev zastopniške tožbe poimensko navede vse potrošnike, ki jih zastopniška tožba zadeva“. Glej v zvezi s tem Gsell, B., op. cit., zlasti str. 1370.

44 Glej člen 2(1) Direktive 2020/1828.

45 Glej uvodno izjavo 3 Direktive 2009/22, v kateri je navedeno, da so opustitvene tožbe, ki spadajo na področje uporabe te direktive, namenjene varstvu „kolektivnih interesov potrošnikov“, ki so opredeljeni kot „interes[i], ki ne vključujejo preprostega kopičenja interesov posameznikov, oškodovanih zaradi kršitve“. V členu 3(3) Direktive 2020/1828 je pojem „kolektivni interesi potrošnikov“ opredeljen kot „splošni interes potrošnikov in – zlasti za namene ukrepov za povrnitev škode – interese skupine potrošnikov“.

46 Moj poudarek.

47 Glej Helberger, N., Zuiderveen Borgesius, F., in Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law“, Common Market Law Review, zv. 54, 5. izdaja, Kluwer Law International, Alphen-sur-le-Rhin, 2017, str. od 1427 do 1465, ki navajata: „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual“ (str. 1437).

48 Glej Neun, A., in Lubitzsch, K., „Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz“, Betriebs-Berater, Deutscher Fachverlag, Frankfurt na Majni, 2017, str. od 2563 do 2569, zlasti str. 2567.

49 Glej sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 45).

50 Glej sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 91).

51 Glej sklepne predloge generalnega pravobranilca M. Bobka v zadevi Fashion ID (C‑40/17, EU:C:2018:1039, točka 33).

52 Za primere tožb, ki so jih vložila združenja za varstvo interesov potrošnikov, glej Helberger, N., Zuiderveen Borgesius, F., in Reyna, A., op. cit., zlasti str. 1452 in 1453.

53 O dopolnjevanju med ukrepi v zvezi z varstvom osebnih podatkov in ukrepi za odpravo nepoštenih poslovnih praks glej van Eijk, N., Hoofnagle, C. J., in Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection“, European Data Protection Law Review, Lexxion, Berlin, zv. 3, 3. izdaja, 2017, str. od 325 do 337, kjer je navedeno: „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective“ (str. 336).

54 Direktiva Evropskega parlamenta in Sveta z dne 11. maja 2005 o nepoštenih poslovnih praksah podjetij v razmerju do potrošnikov na notranjem trgu ter o spremembi Direktive Sveta 84/450/EGS, direktiv Evropskega parlamenta in Sveta 97/7/ES, 98/27/ES in 2002/65/ES ter Uredbe (ES) št. 2006/2004 Evropskega parlamenta in Sveta (Direktiva o nepoštenih poslovnih praksah) (UL 2005, L 149, str. 22). Glej delovni dokument služb Komisije – Smernice za izvajanje/uporabo Direktive 2005/29/ES o nepoštenih poslovnih praksah, ki je priložen dokumentu: Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij. Celostni pristop za spodbujanje čezmejnega e-poslovanja za evropske državljane in podjetja (SWD(2016) 163 final), zlasti točko 1.4.10, str. od 26 do 31. Komisija v njem poudarja potrebo po pošteni obdelavi podatkov, kar pomeni, da se posamezniku, na katerega se nanašajo osebni podatki, zagotovijo številne ustrezne informacije, zlasti glede namenov obdelave zadevnih osebnih podatkov (str. 28). Komisija prav tako navaja, da „[k]ršitev [Direktive 95/46] ali [Direktive Evropskega parlamenta in Sveta 2002/58/ES z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL 2002, L 201, str. 37)] s strani trgovca ne bo sama po sebi vedno pomenila, da je ta praksa tudi v nasprotju z [Direktivo 2005/29].“ Vendar Komisija meni, da „bi bilo treba take kršitve varstva podatkov upoštevati pri oceni splošne nepoštenosti poslovnih praks na podlagi [Direktive 2005/29], zlasti kadar trgovec podatke o potrošnikih obdeluje v nasprotju z zahtevami glede varstva podatkov, tj. za namene neposrednega trženja ali kakršne koli druge komercialne namene, kot so oblikovanje profila, prilagajanje cen profilu posameznika ali aplikacije za masovne podatke“ (str. 27).

55 V zvezi s tem glej zlasti Helberger, N., Zuiderveen Borgesius, F., in Reyna, A., op. cit., kjer je navedeno: „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets“ (str. 1429). Glej tudi van Eijk, N., Hoofnagle, C. J., in Kannekens, E., op. cit., zlasti str. 336. Za ponazoritev komplementarnosti med pravili o varstvu osebnih podatkov v sektorju elektronskih komunikacij in pravili, ki prepovedujejo nepoštene poslovne prakse podjetij v razmerju do potrošnikov, glej moje sklepne predloge v zadevi StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Glej Martial-Braz, N., op. cit., zlasti str. 23.

57 Glej sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 44).

58 Glej uvodno izjavo 14 Direktive 2020/1828, v skladu s katero „bi morala ta direktiva varovati samo interese fizičnih oseb, ki so bile ali so lahko oškodovane zaradi [kršitev določb prava Unije, navedenih v Prilogi I], če se na podlagi te direktive te osebe štejejo za potrošnike“.