Byla C‑319/20
Meta Platforms Ireland Limited, anksčiau – Facebook Ireland Limited
prieš
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(Bundesgerichtshof prašymas priimti prejudicinį sprendimą)
2022 m. balandžio 28 d. Teisingumo Teismo (trečioji kolegija) sprendimas
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 80 straipsnis – Atvejis, kai duomenų subjektams atstovauja ne pelno asociacija – Atstovaujamasis ieškinys, pareikštas vartotojų teisių gynimo asociacijos neturint įgaliojimo ir neatsižvelgiant į tai, ar buvo pažeistos konkrečios duomenų subjekto teisės – Ieškinys, grindžiamas nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos srities teisės akto pažeidimu arba draudimu taikyti negaliojančias bendrąsias sąlygas“
Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Atstovavimas duomenų subjektams – Locus standi – Vartotojų teisių gynimo asociacija – Atstovaujamasis ieškinys, pareikštas šios asociacijos neturint įgaliojimo ir neatsižvelgiant į tai, ar buvo pažeistos konkrečios duomenų subjekto teisės – Ieškinys, grindžiamas vartotojų teisių apsaugos nuostatų pažeidimu arba kova su nesąžininga komercine veikla – Leistinumas – Sąlyga
(Europos Parlamento ir Tarybos reglamento 2016/679 80 straipsnio 2 dalis)
(žr. 57–60, 63–79, 83 punktus ir rezoliucinę dalį)
Santrauka
Meta Platforms Ireland valdo socialinio tinklo Facebook paslaugų pasiūlą ir yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Interneto platformoje Facebook, be kita ko, interneto adresu www.facebook.de, yra vadinamasis programėlių centras „App-Zentrum“, kuriame Meta Platforms Ireland naudotojams teikia prieigą prie trečiųjų asmenų siūlomų nemokamų žaidimų. Atvėręs kai kuriuos žaidimus, naudotojas perspėjamas, kad naudojant atitinkamą programėlę žaidimus siūlančiai bendrovei leidžiama gauti tam tikrus asmeninius duomenis ir naudotojo vardu skelbti tam tikrą informaciją. Naudodamas šią programėlę jis sutinka su bendrosiomis komercinėmis sąlygomis ir duomenų apsaugos politika. Be to, tam tikro žaidimo atveju naudotojas informuojamas, kad programėlė gali jo vardu skelbti nuotraukas ir kitą informaciją.
Vokietijos federalinės vartotojų centrų ir asociacijų sąjungos(1) vertinimu, nuorodos, kurios rodomos atitinkamuose programėlių centre siūlomuose žaidimuose, yra nesąžiningos. Todėl kaip įstaiga, turinti teisę imtis veiksmų siekiant, kad būtų nutraukti Vartotojų teisių apsaugos įstatymo(2) pažeidimai, Federalinė sąjunga pareiškė ieškinį Meta Platforms Ireland. Šis ieškinys buvo pareikštas nesant konkretaus duomenų subjekto duomenų apsaugos teisių pažeidimo ir neturint tokio subjekto įgaliojimo. Sprendimą patenkinti ieškinį Meta Platforms Ireland apskundė apeliacine tvarka, o atmetus apeliacinį skundą – pateikė kasacinį skundą Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija). Kilus abejonių dėl Federalinės sąjungos ieškinio priimtinumo, ypač dėl jos teisės pareikšti ieškinį Meta Platforms Ireland, Bundesgerichtshof kreipėsi į Teisingumo Teismą.
Teisingumo Teismo sprendime buvo nuspręsta, kad Duomenų apsaugos reglamento(3) 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti vartotojų teisių gynimo asociacijai tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas. Toks ieškinys galimas, jeigu atitinkamai tvarkant duomenis gali būti daroma įtaka iš BDAR kildinamoms asmens, kurio tapatybė nustatyta arba gali būti nustatyta, teisėms.
Teisingumo Teismo vertinimas
Pirmiausia Teisingumo Teismas priminė, kad nors BDAR(4) siekiama užtikrinti iš esmės visišką nacionalinės teisės aktų, reglamentuojančių asmens duomenų apsaugą, suderinimą, jo 80 straipsnio 2 dalis priskiriama prie nuostatų, paliekančių valstybėms narėms diskreciją dėl jo įgyvendinimo(5). Tam, kad galėtų būti pareikštas šioje nuostatoje numatytas atstovaujamasis ieškinys neturint įgaliojimo asmens duomenų apsaugos srityje valstybės narės turi pasinaudoti šioje nuostatoje joms suteikta galimybe savo nacionalinėje teisėje numatyti tokį duomenų subjektų atstovavimo būdą. Vis dėlto, tais atvejais, kai valstybės narės pasinaudoja tokia galimybe, jos turi įgyvendinti savo diskreciją laikydamosi BDAR nuostatose numatytų sąlygų ir apribojimų ir priimti teisės aktus taip, kad nepakenktų šio reglamento turiniui ir tikslams.
Toliau Teisingumo Teismas pabrėžė, kad valstybėms narėms atvėrus galimybę numatyti atstovaujamųjų ieškinių prieš tariamą asmens duomenų apsaugos pažeidėją mechanizmą, BDAR 80 straipsnio 2 dalyje nustatyta tam tikrų reikalavimų, kurių turi būti laikomasi. Pirma, teisė pareikšti ieškinį pripažįstama įstaigai, organizacijai ar asociacijai, kuri atitinka BDAR 80 straipsnio 1 dalyje išvardytus kriterijus(6). Į šią sąvoką gali patekti vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, kuri siekia viešojo intereso tikslo užtikrinti duomenų subjektų, kaip vartotojų, teises ir laisves, nes tokio tikslo įgyvendinimas gali būti siejamas su šių asmenų asmens duomenų apsauga. Antra, atstovaujamojo ieškinio pareiškimui keliama sąlyga, kad atitinkamas subjektas, nepriklausomai nuo jam suteikto įgaliojimo, turi manyti, jog tvarkant asmens duomenis buvo pažeistos duomenų subjekto teisės, kurias jis kildina iš BDAR.
Todėl, viena vertus, atstovaujamojo ieškinio(7) pareiškimo tikslais negalima reikalauti, kad atitinkamas subjektas prieš tai individualiai nustatytų konkretų asmenį, kurio duomenys tariamai buvo tvarkomi pažeidžiant BDAR nuostatas. Tam taip pat gali pakakti nustatyti asmenų, kuriems toks tvarkymas turi įtakos, kategoriją ar grupę(8).
Kita vertus, atstovaujamojo ieškinio pareiškimas nesiejamas su konkrečiu teisių, kurias asmuo kildina iš BDAR, pažeidimu. Tam, kad būtų pripažinta subjekto teisė pareikšti ieškinį, pakanka nurodyti, kad atitinkamas duomenų tvarkymas gali daryti poveikį teisėms, kurias fiziniai asmenys, kurių tapatybė yra nustatyta arba gali būti nustatyta, kildina iš šio reglamento, nesant būtinybės įrodyti realią žalą, duomenų subjekto patirtą konkrečioje situacijoje dėl jo teisių pažeidimo. Taigi, atsižvelgiant į BDAR siekiamą tikslą, tai, kad vartotojų teisių gynimo asociacijos, kaip antai Federalinė sąjunga, įgaliojamos taikant atstovaujamojo ieškinio mechanizmą pareikšti ieškinį siekiant, kad būtų nutrauktas šio reglamento nuostatoms prieštaraujantis duomenų tvarkymas, nepriklausomai nuo pažeidimo, nuo kurio individualiai ir konkrečiai nukenčia asmuo, neginčijamai padeda sustiprinti duomenų subjektų teises ir jiems užtikrinti aukštą apsaugos lygį.
Galiausiai Teisingumo Teismas nurodė, kad asmens duomenų apsaugos nuostatos pažeidimas kartu gali lemti vartotojų apsaugos ar nesąžiningos komercinės veiklos nuostatų pažeidimą. BDAR(9) iš esmės leidžiama valstybėms narėms pasinaudoti galimybe numatyti, kad vartotojų teisių gynimo asociacijos yra įgaliotos imtis veiksmų dėl BDAR numatytų teisių pažeidimų remdamosi nuostatomis, kuriomis siekiama apsaugoti vartotojus arba kovoti su nesąžininga komercine veikla.