CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:322

Byla C‑319/20

Meta Platforms Ireland Limited, anksčiau – Facebook Ireland Limited

prieš

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(Bundesgerichtshof prašymas priimti prejudicinį sprendimą)

2022 m. balandžio 28 d. Teisingumo Teismo (trečioji kolegija) sprendimas

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 80 straipsnis – Atvejis, kai duomenų subjektams atstovauja ne pelno asociacija – Atstovaujamasis ieškinys, pareikštas vartotojų teisių gynimo asociacijos neturint įgaliojimo ir neatsižvelgiant į tai, ar buvo pažeistos konkrečios duomenų subjekto teisės – Ieškinys, grindžiamas nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos srities teisės akto pažeidimu arba draudimu taikyti negaliojančias bendrąsias sąlygas“

Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Atstovavimas duomenų subjektams – Locus standi – Vartotojų teisių gynimo asociacija – Atstovaujamasis ieškinys, pareikštas šios asociacijos neturint įgaliojimo ir neatsižvelgiant į tai, ar buvo pažeistos konkrečios duomenų subjekto teisės – Ieškinys, grindžiamas vartotojų teisių apsaugos nuostatų pažeidimu arba kova su nesąžininga komercine veikla – Leistinumas – Sąlyga

(Europos Parlamento ir Tarybos reglamento 2016/679 80 straipsnio 2 dalis)

(žr. 57–60, 63–79, 83 punktus ir rezoliucinę dalį)

Santrauka

Meta Platforms Ireland valdo socialinio tinklo Facebook paslaugų pasiūlą ir yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Interneto platformoje Facebook, be kita ko, interneto adresu www.facebook.de, yra vadinamasis programėlių centras „App-Zentrum“, kuriame Meta Platforms Ireland naudotojams teikia prieigą prie trečiųjų asmenų siūlomų nemokamų žaidimų. Atvėręs kai kuriuos žaidimus, naudotojas perspėjamas, kad naudojant atitinkamą programėlę žaidimus siūlančiai bendrovei leidžiama gauti tam tikrus asmeninius duomenis ir naudotojo vardu skelbti tam tikrą informaciją. Naudodamas šią programėlę jis sutinka su bendrosiomis komercinėmis sąlygomis ir duomenų apsaugos politika. Be to, tam tikro žaidimo atveju naudotojas informuojamas, kad programėlė gali jo vardu skelbti nuotraukas ir kitą informaciją.

Vokietijos federalinės vartotojų centrų ir asociacijų sąjungos(1) vertinimu, nuorodos, kurios rodomos atitinkamuose programėlių centre siūlomuose žaidimuose, yra nesąžiningos. Todėl kaip įstaiga, turinti teisę imtis veiksmų siekiant, kad būtų nutraukti Vartotojų teisių apsaugos įstatymo(2) pažeidimai, Federalinė sąjunga pareiškė ieškinį Meta Platforms Ireland. Šis ieškinys buvo pareikštas nesant konkretaus duomenų subjekto duomenų apsaugos teisių pažeidimo ir neturint tokio subjekto įgaliojimo. Sprendimą patenkinti ieškinį Meta Platforms Ireland apskundė apeliacine tvarka, o atmetus apeliacinį skundą – pateikė kasacinį skundą Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija). Kilus abejonių dėl Federalinės sąjungos ieškinio priimtinumo, ypač dėl jos teisės pareikšti ieškinį Meta Platforms Ireland, Bundesgerichtshof kreipėsi į Teisingumo Teismą.

Teisingumo Teismo sprendime buvo nuspręsta, kad Duomenų apsaugos reglamento(3) 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti vartotojų teisių gynimo asociacijai tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas. Toks ieškinys galimas, jeigu atitinkamai tvarkant duomenis gali būti daroma įtaka iš BDAR kildinamoms asmens, kurio tapatybė nustatyta arba gali būti nustatyta, teisėms.

Teisingumo Teismo vertinimas

Pirmiausia Teisingumo Teismas priminė, kad nors BDAR(4) siekiama užtikrinti iš esmės visišką nacionalinės teisės aktų, reglamentuojančių asmens duomenų apsaugą, suderinimą, jo 80 straipsnio 2 dalis priskiriama prie nuostatų, paliekančių valstybėms narėms diskreciją dėl jo įgyvendinimo(5). Tam, kad galėtų būti pareikštas šioje nuostatoje numatytas atstovaujamasis ieškinys neturint įgaliojimo asmens duomenų apsaugos srityje valstybės narės turi pasinaudoti šioje nuostatoje joms suteikta galimybe savo nacionalinėje teisėje numatyti tokį duomenų subjektų atstovavimo būdą. Vis dėlto, tais atvejais, kai valstybės narės pasinaudoja tokia galimybe, jos turi įgyvendinti savo diskreciją laikydamosi BDAR nuostatose numatytų sąlygų ir apribojimų ir priimti teisės aktus taip, kad nepakenktų šio reglamento turiniui ir tikslams.

Toliau Teisingumo Teismas pabrėžė, kad valstybėms narėms atvėrus galimybę numatyti atstovaujamųjų ieškinių prieš tariamą asmens duomenų apsaugos pažeidėją mechanizmą, BDAR 80 straipsnio 2 dalyje nustatyta tam tikrų reikalavimų, kurių turi būti laikomasi. Pirma, teisė pareikšti ieškinį pripažįstama įstaigai, organizacijai ar asociacijai, kuri atitinka BDAR 80 straipsnio 1 dalyje išvardytus kriterijus(6). Į šią sąvoką gali patekti vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, kuri siekia viešojo intereso tikslo užtikrinti duomenų subjektų, kaip vartotojų, teises ir laisves, nes tokio tikslo įgyvendinimas gali būti siejamas su šių asmenų asmens duomenų apsauga. Antra, atstovaujamojo ieškinio pareiškimui keliama sąlyga, kad atitinkamas subjektas, nepriklausomai nuo jam suteikto įgaliojimo, turi manyti, jog tvarkant asmens duomenis buvo pažeistos duomenų subjekto teisės, kurias jis kildina iš BDAR.

Todėl, viena vertus, atstovaujamojo ieškinio(7) pareiškimo tikslais negalima reikalauti, kad atitinkamas subjektas prieš tai individualiai nustatytų konkretų asmenį, kurio duomenys tariamai buvo tvarkomi pažeidžiant BDAR nuostatas. Tam taip pat gali pakakti nustatyti asmenų, kuriems toks tvarkymas turi įtakos, kategoriją ar grupę(8).

Kita vertus, atstovaujamojo ieškinio pareiškimas nesiejamas su konkrečiu teisių, kurias asmuo kildina iš BDAR, pažeidimu. Tam, kad būtų pripažinta subjekto teisė pareikšti ieškinį, pakanka nurodyti, kad atitinkamas duomenų tvarkymas gali daryti poveikį teisėms, kurias fiziniai asmenys, kurių tapatybė yra nustatyta arba gali būti nustatyta, kildina iš šio reglamento, nesant būtinybės įrodyti realią žalą, duomenų subjekto patirtą konkrečioje situacijoje dėl jo teisių pažeidimo. Taigi, atsižvelgiant į BDAR siekiamą tikslą, tai, kad vartotojų teisių gynimo asociacijos, kaip antai Federalinė sąjunga, įgaliojamos taikant atstovaujamojo ieškinio mechanizmą pareikšti ieškinį siekiant, kad būtų nutrauktas šio reglamento nuostatoms prieštaraujantis duomenų tvarkymas, nepriklausomai nuo pažeidimo, nuo kurio individualiai ir konkrečiai nukenčia asmuo, neginčijamai padeda sustiprinti duomenų subjektų teises ir jiems užtikrinti aukštą apsaugos lygį.

Galiausiai Teisingumo Teismas nurodė, kad asmens duomenų apsaugos nuostatos pažeidimas kartu gali lemti vartotojų apsaugos ar nesąžiningos komercinės veiklos nuostatų pažeidimą. BDAR(9) iš esmės leidžiama valstybėms narėms pasinaudoti galimybe numatyti, kad vartotojų teisių gynimo asociacijos yra įgaliotos imtis veiksmų dėl BDAR numatytų teisių pažeidimų remdamosi nuostatomis, kuriomis siekiama apsaugoti vartotojus arba kovoti su nesąžininga komercine veikla.

1 Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V. (toliau – Federalinė sąjunga).

2 Pagal Vokietijos teisę vartotojų teisių apsaugos įstatymai taip pat apima nuostatas, reglamentuojančias verslininko atliekamo vartotojo asmens duomenų rinkimo ar tvarkymo arba jų naudojimo leistinumą.

3 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1 ir klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35). Pagal BDAR 80 straipsnio 2 dalį „[v]alstybės narės gali numatyti, kad bet kuri šio straipsnio 1 dalyje numatyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto suteiktų įgaliojimų, atitinkamoje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant [asmens] duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos“.

4 Kaip išplaukia iš šio reglamento 1 straipsnio 1 dalies, siejamos su jo 9, 10 ir 13 konstatuojamosiomis dalimis.

5 Taikant vadinamąją „leidžiančiąją nuostatą“.

6 Be kita ko, BDAR 80 straipsnio 1 dalyje. Šioje nuostatoje kalbama apie „ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų [jo] asmens duomenų apsauga“.

7 Pagal BDAR 80 straipsnio 2 dalį.

8 Visų pirma atsižvelgiant į BDAR 4 straipsnio 1 punkte numatytos sąvokos „duomenų subjektas“, aprėptį; ji apima tiek „fizinį asmenį, kurio tapatybė nustatyta“, tiek „fizinį asmenį, kurio <...> tapatybę galima nustatyti“.

9 Be kita ko, BDAR 80 straipsnio 2 dalyje.