TIESAS SPRIEDUMS (trešā palāta)
2022. gada 28. aprīlī (*)
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 80. pants – Datu subjektu pārstāvība, ko veic bezpeļņas apvienība – Pārstāvības prasība, kuru patērētāju interešu aizstāvības apvienība ceļ bez pilnvarojuma un nesaistīti ar kādu konkrētu datu subjekta tiesību pārkāpumu – Prasība, kas pamatota ar negodīgas komercprakses aizliegumu, patērētāju tiesību aizsardzības likuma pārkāpumu vai spēkā neesošu tipveida darījuma nosacījumu izmantošanas aizliegumu
Lietā C‑319/20
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Bundesgerichtshof (Federālā augstākā tiesa, Vācija) iesniedza ar 2020. gada 28. maija lēmumu un kas Tiesā reģistrēts 2020. gada 15. jūlijā, tiesvedībā
Meta Platforms Ireland Limited, iepriekš – Facebook Ireland Limited,
pret
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
TIESA (trešā palāta)
šādā sastāvā: otrās palātas priekšsēdētāja A. Prehala [A. Prechal], kas pilda trešās palātas priekšsēdētāja pienākumus, tiesneši J. Pasers [J. Passer], F. Biltšens [F. Biltgen], L. S. Rosi [L. S. Rossi] (referente) un N. Vāls [N. Wahl],
ģenerāladvokāts: Ž. Rišārs Delatūrs [J. Richard de la Tour],
sekretāre: M. Krauzenbeka [M. Krausenböck], administratore,
ņemot vērā rakstveida procesu un 2021. gada 23. septembra tiesas sēdi,
ņemot vērā apsvērumus, ko sniedza:
– Meta Platforms Ireland Limited vārdā – H.‑G. Kamann, M. Braun un H. Frey, Rechtsanwälte, kā arī V. Wettner, Rechtsanwältin,
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. vārdā – P. Wassermann, Rechtsanwalt,
– Vācijas valdības vārdā – D. Klebs un J. Möller, pārstāvji,
– Austrijas valdības vārdā – A. Posch un G. Kunnert, kā arī J. Schmoll, pārstāvji,
– Portugāles valdības vārdā – L. Inez Fernandes, kā arī C. Vieira Guerra, P. Barros da Costa un L. Medeiros, pārstāvji,
– Eiropas Komisijas vārdā – sākotnēji F. Erlbacher, H. Kranenborg un D. Nardi, vēlāk – F. Erlbacher un H. Kranenborg, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2021. gada 2. decembra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., turpmāk tekstā – “VDAR”) 80. panta 1. un 2. punktu un 84. panta 1. punktu.
2 Šis lūgums ir iesniegts tiesvedībā starp Meta Platforms Ireland Limited, iepriekš – Facebook Ireland Limited, kuras juridiskā adrese ir Īrijā, un Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Federālā patērētāju tiesību organizāciju un asociāciju apvienība; turpmāk tekstā – “Federālā apvienība”) par Meta Platforms Ireland Limited izdarītu personas datu aizsardzību reglamentējošo Vācijas tiesību aktu pārkāpumu, kas vienlaikus ir arī negodīga komercprakse, patērētāju tiesību aizsardzības likuma pārkāpums un aizlieguma izmantot spēkā neesošus tipveida darījuma nosacījumus neievērošana.
Atbilstošās tiesību normas
Savienības tiesības
VDAR
3 VDAR 9., 10., 13. un 142. apsvērumā ir teikts:
“(9) [Eiropas Parlamenta un Padomes] Direktīvas 95/46/EK [(1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.)] mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā, juridisko nenoteiktību vai tāda uzskata plašu izplatību sabiedrībā, ka pastāv ievērojams risks fizisku personu aizsardzībai, jo īpaši attiecībā uz tiešsaistes aktivitātēm. Fizisku personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši tiesību uz personas datu aizsardzību atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā. Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences izkropļojumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šāda atšķirība aizsardzības līmeņos ir radusies tāpēc, ka Direktīva [95/46] tiek īstenota un piemērota dažādi.
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]
[..]
(13) Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu sadarbību starp uzraudzības iestādēm dažādās dalībvalstīs. [..]
[..]
(142) Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību viņa vārdā uzraudzības iestādē, īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai – ja to paredz dalībvalsts tiesību akti – īstenot tiesības saņemt kompensāciju datu subjektu vārdā. Dalībvalsts var paredzēt, ka šādai struktūrai, organizācijai vai apvienībai ir tiesības neatkarīgi no datu subjekta pilnvarojuma minētajā dalībvalstī iesniegt sūdzību un tiesības uz efektīvu tiesību aizsardzību tiesā, ja tai ir iemesls uzskatīt, ka datu subjekta tiesības ir pārkāptas tādas personas datu apstrādes rezultātā, kas pārkāpj šo regulu. Minētajai struktūrai, organizācijai vai apvienībai var nebūt tiesību prasīt kompensāciju datu subjekta vārdā bez datu subjekta pilnvarojuma.”
4 Šīs regulas 1. panta “Priekšmets un mērķi” 1. punktā ir noteikts:
“Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.”
5 Saskaņā ar VDAR 4. panta 1. punktu:
“Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.”
6 VDAR 12.–23. pantu ietverošās III nodaļas virsraksts ir “Datu subjekta tiesības”.
7 Šīs regulas 12. panta “Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība” 1. punktā ir noteikts:
“Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.”
8 VDAR 13. panta “Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta” 1. punkta c) un e) apakšpunktā ir paredzēts:
“Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:
[..]
c) apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;
[..]
e) personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir [..].”
9 Minētās regulas 77.–84. pantu ietverošās VIII nodaļas virsraksts ir “Tiesību aizsardzības līdzekļi, atbildība un sankcijas”.
10 VDAR 77. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā ir noteikts:
“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.”
11 VDAR 78. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” 1. punktā ir noteikts:
“Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.”
12 VDAR 79. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” 1. punktā ir paredzēts:
“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.”
13 VDAR 80. pants “Datu subjektu pārstāvība” ir formulēts šādi:
“1. Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.
2. Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.”
14 Šīs regulas 82. panta “Tiesības uz kompensāciju un atbildība” 1. punktā ir noteikts:
“Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.”
15 VDAR 84. panta “Sankcijas” 1. punktā ir noteikts:
“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.”
Direktīva 2005/29/EK
16 Eiropas Parlamenta un Padomes Direktīvas 2005/29/EK (2005. gada 11. maijs), kas attiecas uz uzņēmēju negodīgu komercpraksi iekšējā tirgū attiecībā pret patērētājiem un ar ko groza Padomes Direktīvu 84/450/EEK un Eiropas Parlamenta un Padomes Direktīvas 97/7/EK, 98/27/EK un 2002/65/EK un Eiropas Parlamenta un Padomes Regulu (EK) Nr. 2006/2004 (“Negodīgas komercprakses direktīva”) (OV 2005, L 149, 22. lpp.), mērķis – saskaņā ar tās 1. pantā noteikto – ir dot ieguldījumu iekšējā tirgus pareizā darbībā un sasniegt augsta līmeņa patērētāju tiesību aizsardzību, tuvinot dalībvalstu normatīvos un administratīvos aktus, kas attiecas uz negodīgu komercpraksi, kura rada kaitējumu patērētāju ekonomiskajām interesēm.
17 Direktīvas 2005/29 5. pantā “Negodīgas komercprakses aizliegums” ir noteikts:
“1. Negodīga komercprakse ir aizliegta.
2. Komercprakse ir negodīga, ja:
a) tā ir pretrunā profesionālās rūpības prasībām
un
b) tā attiecībā uz produktu būtiski kropļo vai var būtiski kropļot tā vidusmēra patērētāja saimniecisko rīcību, kuru produkts sasniedz vai kuram tas adresēts, vai vidusmēra grupas pārstāvja saimniecisko rīcību attiecībā uz produktu, ja komercprakse ir vērsta uz īpašu patērētāju grupu.
[..]
5. Šīs direktīvas I pielikumā dotajā sarakstā ietverti komercprakses veidi, kas visos apstākļos uzskatāmi par negodīgiem. [..]”
18 Šīs direktīvas 11. panta “Izpilde” 1. punktā ir paredzēts:
“1. Dalībvalstis nodrošina piemērotus un efektīvus līdzekļus, lai apkarotu negodīgu komercpraksi nolūkā nodrošināt šīs direktīvas prasību ievērošanu patērētāju interesēs.
Tādi līdzekļi ietver tiesību normas, saskaņā ar ko tādas personas vai organizācijas, kurām saskaņā ar attiecīgo valstu tiesību aktiem ir likumīgas intereses apkarot negodīgu komercpraksi, tostarp konkurenti, var:
a) celt prasību tiesā pret šādu negodīgu komercpraksi
un/vai
b) ierosināt šādas negodīgas komercprakses izskatīšanu administratīvā iestādē, kas ir kompetenta vai nu pieņemt lēmumus par sūdzībām, vai ierosināt attiecīgu tiesvedību.
Katra dalībvalsts nosaka, kuru no šīm iespējām izmantot, kā arī to, vai dot iespēju tiesām vai administratīvām iestādēm pieprasīt, lai pirms lietas ierosināšanas būtu izmantoti citi noteikti līdzekļi sūdzību izskatīšanai, tostarp 10. pantā minētie līdzekļi. Šīs iespējas ir pieejamas neatkarīgi no tā, vai ietekmētie patērētāji atrodas dalībvalsts teritorijā, kur atrodas tirgotājs, vai citā dalībvalstī.
[..]”
19 Visos apstākļos par negodīgiem uzskatāmo komercprakses veidu uzskaitījumu ietverošā Direktīvas 2005/29 I pielikuma 26. punktā ir noteikts:
“Ja nāk klajā ar uzstājīgiem un nevēlamiem piedāvājumiem ar telefona, faksa, e‑pasta vai cita saziņas līdzekļa starpniecību, izņemot gadījumos, ciktāl tas pamatots attiecīgo valstu tiesību aktos, lai piespiestu pildīt līgumiskus pienākumus. Tas neskar [..] Direktīvu 95/46/EK [..].”
Direktīva 2009/22/EK
20 Eiropas Parlamenta un Padomes Direktīvas 2009/22/EK (2009. gada 23. aprīlis) par aizliegumiem saistībā ar patērētāju interešu aizsardzību (OV 2009, L 110, 30. lpp.) 1. pantā “Darbības joma” ir noteikts:
“1. Lai nodrošinātu iekšējā tirgus sekmīgu darbību, šīs direktīvas mērķis ir tuvināt dalībvalstu normatīvos un administratīvos aktus, kas attiecas uz lietas ierosināšanu par aizliegumu, kas minēts 2. pantā un kā mērķis ir aizsargāt patērētāju kopējās intereses, kuras iekļautas I pielikumā uzskaitītajās direktīvās.
2. Šajā direktīvā pārkāpums nozīmē jebkādu rīcību, kas ir pretrunā I pielikumā uzskaitītajām direktīvām, kā tās transponētas dalībvalstu iekšējā tiesību sistēmā, un kas kaitē 1. punktā minētajām kopējām interesēm.”
21 Direktīvas 2009/22 7. pants “Noteikumi plašākām prasībām” ir formulēts šādi:
“Šī direktīva neliedz dalībvalstīm pieņemt vai paturēt spēkā noteikumus, kuru mērķis ir valsts līmenī piešķirt tiesīgajām iestādēm un jebkurai citai attiecīgai personai plašākas rīcības tiesības.”
22 Direktīvas 2009/22 I pielikumā ir uzskaitītas Savienības direktīvas, par kurām ir runa tās 1. pantā. Šā pielikuma 11. punktā ir minēta Direktīva 2005/29.
Direktīva (ES) 2020/1828
23 Eiropas Parlamenta un Padomes Direktīvas (ES) 2020/1828 (2020. gada 25. novembris) par pārstāvības prasībām patērētāju kolektīvo interešu aizsardzībai un ar ko atceļ Direktīvu 2009/22/EK (OV 2020, L 409, 1. lpp.) 11., 13. un 15. apsvērumā ir teikts:
“(11) Šai direktīvai nebūtu jāaizstāj esošie valstu procesuālie mehānismi kolektīvo vai individuālo patērētāju interešu aizsardzībai. Atkarībā no to juridiskajām tradīcijām tai vajadzētu atstāt dalībvalstu ziņā to, vai šajā direktīvā prasīto procesuālo mehānismu pārstāvības prasībām izstrādāt kā daļu no jau esoša vai kā daļu no jauna procesuālā mehānisma kolektīviem aizlieguma pasākumiem vai tiesiskās aizsardzības pasākumiem vai kā atsevišķu procesuālo mehānismu, ar noteikumu, ka vismaz viens valsts procesuālais mehānisms pārstāvības prasībām atbilst šai direktīvai. [..] Ja papildus šajā direktīvā prasītajam procesuālajam mehānismam valsts līmenī ir ieviesti citi procesuālie mehānismi, tiesīgajai iestādei būtu jāspēj izvēlēties, kuru procesuālo mehānismu izmantot.
[..]
(13) Šīs direktīvas darbības jomai būtu jāatspoguļo jaunākās tendences patērētāju tiesību aizsardzības jomā. Tā kā patērētāji pašlaik darbojas plašākā un arvien vairāk digitalizētā tirgū, augsta patērētāju tiesību aizsardzības līmeņa sasniegšanai šajā direktīvā papildus vispārējām patērētāju aizsardzības tiesībām ir jāiekļauj tādas jomas kā datu aizsardzība, finanšu pakalpojumi, ceļošana un tūrisms, enerģētika un telesakari. [..]
[..]
(15) Šai direktīvai nebūtu jāskar I pielikumā uzskaitītie tiesību akti, un tādēļ tai nebūtu jāgroza vai jāpaplašina minētajos tiesību aktos noteiktās definīcijas vai jāaizstāj jebkāds izpildes mehānisms, ko varētu ietvert minētie tiesību akti. Piemēram, izpildes mehānismus, kas paredzēti [VDAR] vai kas balstās uz to, attiecīgā gadījumā joprojām varētu izmantot patērētāju kolektīvo interešu aizsardzībai.”
24 Šīs direktīvas 2. panta “Darbības joma” 1. punktā ir paredzēts:
“Šo direktīvu piemēro pārstāvības prasībām, ko ceļ saistībā ar tirgotāju izdarītiem I pielikumā minēto Savienības tiesību aktu noteikumu, tostarp valsts tiesību aktos transponētu noteikumu, pārkāpumiem, kas kaitē vai var kaitēt patērētāju kolektīvajām interesēm. Šī direktīva neskar I pielikumā minēto Savienības tiesību aktu noteikumus. [..]”
25 Minētās direktīvas 24. panta “Transponēšana” 1. punktā ir noteikts:
“Dalībvalstis līdz 2022. gada 25. decembrim pieņem un publicē normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Tās par to tūlīt informē Komisiju.
Tās piemēro minētos noteikumus no 2023. gada 25. jūnija.
[..]”
26 Direktīvas 2020/1828 2. panta 1. punktā minētās Savienības tiesību normas uzskaitošā šīs direktīvas I pielikuma 56. punktā ir minēta VDAR.
Vācijas tiesības
Likums par prasībām noteikt aizliegumu
27 2001. gada 26. novembra Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Likums par prasībām noteikt aizliegumu patērētāju tiesību pārkāpumu un citu pārkāpumu gadījumā; BGBl. 2001 I, 3138. lpp.), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Likums par prasībām noteikt aizliegumu”), 2. pantā ir noteikts:
“(1) Pret ikvienu personu, kas pārkāpj patērētāju tiesību aizsardzībai paredzētās normas (patērētāju tiesību aizsardzības likumus) kā citādi, nevis piemērojot vai iesakot tipveida darījuma nosacījumus, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un rīkojumu par turpmāku tās aizliegumu patērētāju tiesību aizsardzības interesēs. [..]
(2) Šajā normā patērētāju tiesību aizsardzības likumi it īpaši ir:
[..]
11. normas, kurās ir reglamentēts šādu darbību tiesiskums:
a) patērētāja personas datu iegūšana, ko veic komersants, vai
b) par patērētāju iegūtu personas datu apstrāde vai izmantošana, ko veic komersants,
ja šie dati tiek iegūti, apstrādāti vai izmantoti tādiem mērķiem kā reklāma, tirgus izpēte un sabiedriskās domas aptauja, kredītreitinga aģentūras darbība, personīgo un lietotāja profilu izveide, adrešu tirdzniecība, citāda datu tirdzniecība vai līdzīgiem komerciāliem mērķiem.”
28 Bundesgerichtshof (Federālā augstākā tiesa, Vācija) norāda, ka saskaņā ar Likuma par prasībām noteikt aizliegumu 3. panta 1. punkta pirmā teikuma 1. apakšpunktu struktūras, kas ir apveltītas ar locus standi šā likuma 4. panta izpratnē, var, pirmkārt, pamatojoties uz šā likuma 1. pantu, prasīt izbeigt tādu tipveida darījuma nosacījumu izmantošanu, kuri nav spēkā saskaņā ar Bürgerliches Gesetzbuch (Civilkodekss) 307. pantu, un, otrkārt, prasīt izbeigt patērētāju tiesību aizsardzības jomu reglamentējošo tiesību aktu pārkāpumus šā paša likuma 2. panta 2. punkta izpratnē.
Likums par negodīgas konkurences novēršanu
29 2004. gada 3. jūlija Gesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu; BGBl. 2004 I, 1414. lpp.), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Likums par negodīgas konkurences novēršanu”), 3. panta 1. punktā ir paredzēts:
“Negodīga komercprakse ir prettiesiska.”
30 Likuma par negodīgas konkurences novēršanu 3.a pants ir formulēts šādi:
“Negodīgi rīkojas persona, kas pārkāpj likuma normu, ar kuru īpaši ir paredzēts regulēt uzvedību tirgū tirgus dalībnieku interesēs, ja pārkāpums var iespējami jūtami kaitēt patērētāju un citu tirgus dalībnieku vai konkurentu interesēm.”
31 Likuma par negodīgas konkurences novēršanu 8. pantā ir noteikts:
“(1) Pret ikvienu personu, kas piekopj nelikumīgu komercpraksi saskaņā ar 3. vai 7. pantu, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un recidīva draudu gadījumā – rīkojumu par turpmāku tās aizliegumu. [..]
[..]
(3) Šā panta 1. punktā piešķirto tiesību īpašnieki ir:
[..]
3. tiesīgās iestādes, kas pierāda, ka ir ierakstītas [Likuma par prasībām noteikt aizliegumu] 4. pantā esošajā tiesīgo personu sarakstā [..].”
Elektronisko mediju likums
32 Bundesgerichtshof (Federālā augstākā tiesa) norāda, ka 2007. gada 26. februāra Telemediengesetz (Elektronisko mediju likums; BGBl. 2007 I, 179. lpp.) 13. panta 1. punkts bija piemērojams līdz VDAR spēkā stāšanās brīdim Pēc tam šī norma tika aizstāta ar VDAR 12.–14. pantu.
33 Elektronisko mediju likuma 13. panta 1. punkta pirmais teikums ir formulēts šādi:
“Jau no pakalpojuma izmantošanas paša sākuma pakalpojumu sniedzējam vispārēji saprotami ir jāinformē lietotājs par personas datu iegūšanas un izmantošanas veidu, apjomu un mērķiem, kā arī par viņa datu apstrādi valstīs, kurās [Direktīva 95/46] nav piemērojama, ja vien šāda informēšana nav veikta jau agrāk.”
Pamatlieta un prejudiciālais jautājums
34 Meta Platforms Ireland, kas pārvalda tiešsaistes sociālā tīkla Facebook pakalpojumu piedāvājumu Savienībā, ir šā sociālā tīkla lietotāju datu pārzinis Savienībā. Vācijā reģistrētā Facebook Germany GmbH vietnē www.facebook.de reklamē reklāmas laukumus. Interneta platformā Facebook, konkrēti – tīmekļvietnē www.facebook.de, atrodas tā sauktais App‑Zentrum (lietotņu centrs), kurā Meta Platforms Ireland saviem lietotājiem dara pieejamas trešo pakalpojumu sniedzēju piedāvātās bezmaksas spēles. Lietotņu centrā atverot kādas no šīm spēlēm, lietotājam parādās norāde, ka attiecīgās lietotnes izmantošanas gadījumā konkrēto spēli piedāvājošā sabiedrība var iegūt vairākus personas datus un šā lietotāja vārdā publicēt, piemēram, viņa iegūto punktu skaitu un citu informāciju. Šīs izmantošanas rezultātā minētais lietotājs piekrīt lietotnes tipveida darījuma nosacījumiem un politikai datu aizsardzības jomā. Kādas konkrētas spēles gadījumā tiek arī norādīts, ka lietotne drīkst šā lietotāja vārdā publicēt statusa ziņojumus, fotoattēlus un citu informāciju.
35 Federālā apvienība, kas ir apveltīta ar locus standi saskaņā ar Likuma par prasībām noteikt aizliegumu 4. pantu, uzskata, ka lietotņu centrā attiecīgo spēļu sniegtās norādes esot negodīgas – tostarp tāpēc, ka neesot ievēroti likumiskie nosacījumi par lietotāja derīgas piekrišanas iegūšanu saskaņā ar datu aizsardzības tiesību normām. Turklāt tā uzskata, ka norāde par to, ka lietotne drīkst publicēt lietotāja vārdā kādu šā lietotāja personīgo informāciju, esot tipveida darījuma nosacījums, kas nepamatoti rada lietotājam nelabvēlīgāku situāciju.
36 Tāpēc Federālā apvienība, pamatojoties uz Likuma par negodīgas konkurences novēršanu 3.a pantu un Likuma par prasībām noteikt aizliegumu 2. panta 2. punkta pirmā teikuma 11. apakšpunktu, kā arī Civilkodeksu, pret Meta Platforms Ireland cēla Landgericht Berlin (Berlīnes apgabaltiesa, Vācija) prasību noteikt aizliegumu. Šī prasība tika celta nesaistīti ne ar vienu konkrētu datu subjekta datu aizsardzības tiesību pārkāpumu un bez šāda subjekta pilnvarojuma.
37 Landgericht Berlin (Berlīnes apgabaltiesa) apmierināja Federālās apvienības prasījumus pret Meta Platforms Ireland. Apelācijas sūdzība, ko Meta Platforms Ireland iesniedza Kammergericht Berlin (Berlīnes Augstākā tiesa, Vācija), tika noraidīta. Tad Meta Platforms Ireland par apelācijas instances tiesas noraidošo nolēmumu iesniedza revīzijas sūdzību iesniedzējtiesā.
38 Iesniedzējtiesa uzskata, ka Federālās apvienības prasība ir pamatota, jo Meta Platforms Ireland ir pārkāpusi Likuma par negodīgas konkurences novēršanu 3.a pantu, kā arī Likuma par prasībām noteikt aizliegumu 2. panta 2. punkta pirmā teikuma 11. apakšpunktu un ir izmantojusi spēkā neesošu tipveida darījuma nosacījumu Likuma par prasībām noteikt aizliegumu 1. panta izpratnē.
39 Tomēr iesniedzējtiesa šaubās par Federālās apvienības prasības pieņemamību. Proti, tā uzskata: nav izslēgts, ka Federālā apvienība, kurai – pamatojoties uz Likuma par negodīgas konkurences novēršanu 8. panta 3. punktu un Likuma par prasībām noteikt aizliegumu 3. panta 1. punkta pirmā teikuma 1. apakšpunktu – locus standi ir bijis prasības celšanas brīdī, tiesvedības gaitā šo locus standi ir zaudējusi tāpēc, ka ir stājušās spēkā VDAR tiesību normas, konkrēti, tās 80. panta 1. un 2. punkts, kā arī 84. panta 1. punkts. Ja tas tā būtu, iesniedzējtiesai būtu jāapmierina Meta Platforms Ireland celtā revīzijas sūdzība un jānoraida Federālās apvienības prasība, jo saskaņā ar piemērojamām Vācijas procesuālajām tiesību normām locus standi jāsaglabājas līdz brīdim, kad ir pabeigta tiesvedība pēdējā instancē.
40 Iesniedzējtiesa uzskata, ka atbilde uz šo jautājumu nav skaidri izsecināma no VDAR normu formulējuma, sistēmas, kā arī mērķa.
41 Par VDAR normu formulējumu iesniedzējtiesa norāda, ka priekšnosacījums tam, lai bezpeļņas struktūras, organizācijas vai apvienības, kuras ir pienācīgi izveidotas saskaņā ar kādas dalībvalsts tiesību aktiem, būtu apveltītas ar locus standi saskaņā ar VDAR 80. panta 1. punktu, ir tāds, ka datu subjekts ir pilnvarojis struktūru, organizāciju vai apvienību viņa vārdā īstenot VDAR 77.–79. pantā minētās tiesības un viņa vārdā īsteno VDAR 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.
42 Taču iesniedzējtiesa uzsver, ka locus standi saskaņā ar Likuma par negodīgas konkurences novēršanu 8. panta 3. punkta 3. apakšpunktu neparedz šādu prasības celšanu datu subjekta pilnvarojumā un vārdā, lai aizstāvētu viņa personiskās tiesības. Drīzāk apvienībai pašai par sevi no Likuma par negodīgas konkurences novēršanu 3. panta 1. punkta un 3.a panta izrietot locus standi rīkoties pret VDAR normu pārkāpumiem uz objektīva pamata un nesaistīti nedz ar datu subjektu konkrētu tiesību pārkāpumu, nedz šo subjektu pilnvarojumu.
43 Iesniedzējtiesa arī norāda, ka VDAR 80. panta 2. punkts neparedz apvienībai locus standi, lai uz objektīva pamata nodrošinātu personas datu aizsardzības piemērošanu, jo šajā tiesību normā tiek prasīts, lai VDAR paredzētās datu subjekta tiesības būtu faktiski pārkāptas konkrētas datu apstrādes rezultātā.
44 Turklāt tāds apvienības locus standi kā Likuma par negodīgas konkurences novēršanu 8. panta 3. punktā paredzētais nevar izrietēt no VDAR 84. panta 1. punkta, kurā ir noteikts, ka dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par regulas pārkāpumiem, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno, proti, tāds apvienības locus standi kā Likuma par negodīgas konkurences novēršanu 8. panta 3. punktā paredzētais nav uzskatāms par “sankciju” šīs VDAR normas izpratnē.
45 Jautājumā par VDAR normu sistēmu iesniedzējtiesa uzskata – no apstākļa, ka ar šo regulu ir saskaņotas tostarp arī uzraudzības iestāžu pilnvaras, ir secināms, ka šīs regulas normu piemērošanu pārraudzīt ir galvenokārt šo iestāžu ziņā. Tomēr VDAR 77. panta 1. punktā, 78. panta 1. un 2. punktā, kā arī 79. panta 1. punktā rodamais iestarpinājums “neskarot jebkādus citus [..] tiesību aizsardzības līdzekļus” varētu atspēkot tēzi, ka tiesību piemērošanas kontrole šajā regulā tiek reglamentēta izsmeļoši.
46 Jautājumā par VDAR normu mērķi iesniedzējtiesa norāda, ka tās lietderīgās iedarbības interesēs varētu būt vajadzība pēc tā, ka apvienībām saskaņā ar Likuma par negodīgas konkurences novēršanu 8. panta 3. punkta 3. apakšpunktu konkurences tiesību kontekstā ir locus standi nesaistīti ar datu subjektu konkrētu tiesību pārkāpumu, jo tas pavērtu papildu iespēju uzraudzīt tiesību aktu piemērošanu, lai atbilstoši VDAR 10. apsvērumam nodrošinātu cik vien iespējams augstu personas datu aizsardzības līmeni. Tomēr locus standi atzīšana apvienībām konkurences tiesību jomā varētu tikt uzskatīta par nesaderīgu ar VDAR izvirzīto saskaņošanas mērķi.
47 Šajos apstākļos Bundesgerichtshof (Federālā augstākā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādu prejudiciālu jautājumu:
“Vai tiesību normas, kas ietvertas [VDAR] VIII nodaļā, it īpaši 80. panta 1. un 2. punktā, kā arī 84. panta 1. punktā, nepieļauj tādu valsts tiesisko regulējumu, kurš – līdztekus iejaukšanās pilnvarām, kas piemīt uzraudzības iestādēm, kuru kompetencē ir regulas piemērošanas uzraudzība un izpilde, un datu subjektu tiesību aizsardzības līdzekļiem – neatkarīgi no individuālu datu subjektu konkrētu tiesību pārkāpumiem un bez datu subjekta pilnvarojuma par [VDAR] pārkāpumiem piešķir konkurentiem, no vienas puses, un atbilstoši valsts tiesībām pilnvarotām apvienībām, struktūrām un kamerām, no otras puses, tiesības vērsties pret pārkāpēju ar civilprasību tiesā jautājumos, kas skar negodīgas komercprakses aizlieguma neievērošanu vai tiesību aktu patērētāju tiesību aizsardzības jomā pārkāpumu, vai aizliegumu izmantot spēkā neesošus vispārējos darījumu nosacījumus?”
Par prejudiciālo jautājumu
48 Ievadā jānorāda – kā izriet tostarp no šā sprieduma 36. punkta, kā arī 41.–44. punkta –, ka pamatlietā ir strīds starp patērētāju interešu aizstāvības organizāciju, proti, Federālo apvienību, un Meta Platforms Ireland par to, vai šāda apvienība var celt prasību pret šo sabiedrību bez tai tālab piešķirta pilnvarojuma un nesaistīti ar kādu datu subjektu konkrētu tiesību pārkāpumu.
49 Šajos apstākļos, kā rakstveida apsvērumos pareizi norāda Komisija, atbilde uz prejudiciālo jautājumu ir atkarīga tikai no VDAR 80. panta 2. punkta interpretācijas, savukārt VDAR 80. panta 1. punkta un 84. panta normas šajā lietā nav piemērojamas. Proti, pirmkārt, lai varētu piemērot VDAR 80. panta 1. punktu, ir vajadzīgs, lai datu subjekts būtu pilnvarojis šajā normā minēto bezpeļņas struktūru, organizāciju vai apvienību savā vārdā veikt VDAR 77.–79. pantā paredzētās juridiskās darbības. Taču netiek apstrīdēts, ka pamatlietā tā tas nav, jo Federālā apvienība rīkojas bez datu subjekta dotā pilnvarojuma. Otrkārt, netiek apstrīdēts, ka VDAR 84. pants attiecas uz administratīvām un krimināltiesiskām sankcijām, kas piemērojamas par šīs regulas pārkāpumiem, taču par tiem pamatlietā arī nav runas.
50 Jānorāda arī, ka pamatlietā nav jautājuma par konkurenta locus standi. Tātad jāatbild ir tikai uz to jautājuma daļu, kas attiecas uz locus standi, ar kuru ir apveltītas VDAR 80. panta 2. punktā minētās tiesīgās apvienības, struktūras un kameras.
51 No tā izriet, ka iesniedzējtiesas uzdotais jautājums ir jāsaprot kā tāds, ar kuru tiek gribēts noskaidrot būtībā to, vai VDAR 80. panta 2. punkts ir jāinterpretē tādējādi, ka tam ir pretrunā valsts tiesiskais regulējums, kas ļauj patērētāju interešu aizstāvības organizācijai – nesaņēmušai tālab piešķirtu pilnvarojumu un nesaistīti ar kāda datu subjekta konkrētu tiesību pārkāpumu – celt prasību pret aizdomās turēto personas datu aizsardzības pārkāpuma izdarītāju, apgalvojot, ka tas ir pārkāpis negodīgas komercprakses aizliegumu, patērētāju tiesību aizsardzības likumu vai aizliegumu izmantot spēkā neesošus tipveida darījuma nosacījumus.
52 Lai atbildētu uz šo jautājumu, jāatgādina no VDAR 10. apsvēruma izrietošais šīs regulas mērķis – tostarp nodrošināt, lai noteikumi par fizisko personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi tiktu piemēroti konsekventi un vienveidīgi visā Savienībā, un novērst šķēršļus personu datu apritei tajā.
53 Tālab šīs regulas VIII nodaļā ir reglamentēti tostarp tiesību aizsardzības līdzekļi, kas ļauj aizsargāt datu subjekta tiesības gadījumā, ja ir aizdomas, ka viņa personas dati ir apstrādāti pretēji minētās regulas noteikumiem. Tādējādi šo tiesību aizsardzību var pieprasīt vai nu tieši pats datu subjekts, vai saskaņā ar VDAR 80. pantu – tiesīgā struktūra neatkarīgi no tā, vai tai ir pilnvarojums šādi rīkoties vai arī šāda pilnvarojuma nav.
54 Tādējādi, pirmkārt, datu subjektam ir tiesības pašam iesniegt sūdzību dalībvalsts uzraudzības iestādei vai celt prasību valsts civillietu tiesās. Proti, šim subjektam ir attiecīgi tiesības iesniegt sūdzību uzraudzības iestādei saskaņā ar VDAR 77. pantu, tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi saskaņā ar VDAR 78. pantu, tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju, kuras paredzētas VDAR 79. pantā, un tiesības saņemt no pārziņa vai apstrādātāja atlīdzinājumu par nodarīto kaitējumu saskaņā ar VDAR 82. pantu.
55 Otrkārt, atbilstoši VDAR 80. panta 1. punktam datu subjektam ir tiesības ar īpašiem nosacījumiem pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, lai tā viņa vārdā iesniegtu sūdzību vai īstenotu iepriekš nosauktajos pantos minētās tiesības.
56 Visbeidzot, atbilstoši VDAR 80. panta 2. punktam dalībvalstis var paredzēt, ka jebkurai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību kompetentajai uzraudzības iestādei saskaņā ar 77. pantu un īstenot 78. un 79. pantā minētās tiesības, ja tā uzskata, ka datu subjekta personas datu apstrādes rezultātā ir pārkāptas šajā regulā paredzētās šā datu subjekta tiesības.
57 Šajā ziņā jānorāda, ka no VDAR 1. panta 1. punkta, lasot to konkrēti šīs regulas 9., 10. un 13. apsvēruma gaismā, izriet, ka šīs regulas mērķis ir nodrošināt valstu tiesību aktu saskaņošanu personas datu aizsardzības jomā, kas principā ir pilnīga. Tomēr minētās regulas normas paver iespēju dalībvalstīm papildus paredzēt stingrākus vai atkāpes paredzošus noteikumus, kas dod tām rīcības brīvību, lemjot par to, kādā veidā šīs tiesību normas var tikt īstenotas (“atvērējklauzulas”).
58 Proti, jāatgādina, ka – saskaņā ar Tiesas iedibināto judikatūru atbilstoši LESD 288. pantam un ņemot vērā pašu regulu raksturu un to funkciju Savienības tiesību avotu sistēmā – regulu normas vispārīgi ir nepastarpināti piemērojamas valstu tiesību sistēmās un valstu iestādēm nav jāpieņem piemērošanas pasākumi. Taču dažu šo normu īstenošanai dalībvalstīm tomēr var būt jānosaka piemērošanas pasākumi (spriedums, 2021. gada 15. jūnijs, Facebook Ireland u.c., C‑645/19, EU:C:2021:483, 110. punkts, kā arī tajā minētā judikatūra).
59 Tā tas ir konkrēti gadījumā ar VDAR 80. panta 2. punktu, kura īstenošanā dalībvalstis ir apveltītas ar rīcības brīvību. Tādējādi, lai personas datu aizsardzības jomā bez pilnvarojuma varētu celt šajā tiesību normā paredzēto pārstāvības prasību, dalībvalstīm ir jāizmanto šajā normā piedāvātā iespēja paredzēt savos tiesību aktos šo datu subjektu pārstāvības veidu.
60 Tomēr, kā secinājumu 51. un 52. punktā norāda ģenerāladvokāts, kad dalībvalstis izmanto iespēju, ko tām dod šāda atvērējklauzula, tām savā rīcības brīvības izmantošanā jāievēro VDAR tiesību normās paredzētie nosacījumi un ierobežojumi un tādējādi likumdošanas darbībā jārīkojas tā, lai neapdraudētu šīs regulas saturu un mērķus.
61 Šajā gadījumā, kā šajā lietā rīkotajā tiesas sēdē mutvārdu paskaidrojumu uzklausīšanai apstiprināja Vācijas valdība, Vācijas likumdevējs pēc VDAR spēkā stāšanās nav pieņēmis īpašus noteikumus, lai konkrēti savās valsts tiesībās īstenotu šīs regulas 80. panta 2. punktu. Proti, pamatlietā aplūkotais valsts tiesiskais regulējums, kas pieņemts, lai transponētu Direktīvu 2009/22, jau ļauj patērētāju interešu aizstāvības apvienībām celt prasību pret personu, kas tiek turēta aizdomās par personas datu aizsardzības pārkāpumu. Šī valdība turklāt uzsver, ka 2019. gada 29. jūlija spriedumā Fashion ID (C‑40/17, EU:C:2019:629) par Direktīvas 95/46 normu interpretāciju Tiesa ir nospriedusi, ka tām šis valsts tiesiskais regulējums nav pretrunā.
62 Tāpēc, kā secinājumu 60. punktā norāda ģenerāladvokāts, būtībā ir jāpārbauda, vai pamatlietā aplūkotie valsts noteikumi ir pieņemti, īstenojot katrai dalībvalstij VDAR 80. panta 2. punktā atzīto rīcības brīvību, un šī norma jāinterpretē, ņemot vērā tostarp tās formulējumu, kā arī šīs regulas sistēmu un mērķus.
63 Šajā ziņā jānorāda, ka VDAR 80. panta 2. punkts paver dalībvalstīm iespēju paredzēt mehānismu pārstāvības prasībai pret personas datu aizsardzības iespējamo pārkāpēju, nosakot vairākus nosacījumus jautājumā par piemērojamību personām un materiālo piemērojamību, kas tālab ir jāievēro.
64 Runājot, pirmām kārtām, par šāda mehānisma piemērojamību personām, jāteic, ka locus standi ir atzīts struktūrai, organizācijai vai apvienībai, kas atbilst VDAR 80. panta 1. punktā uzskaitītajiem kritērijiem. Konkrēti, šajā normā ir norādīts uz “bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā”.
65 Jākonstatē, ka tāda patērētāju interešu aizstāvības apvienība kā Federālā apvienība iespējami atbilst šim jēdzienam, jo tā darbojas, lai sasniegtu sabiedrības interešu mērķi nodrošināt tiesības un brīvības, ko datu subjekti bauda kā patērētāji, jo šāda mērķa sasniegšana ir iespējami saistīta ar šo subjektu personas datu aizsardzību.
66 Proti, uz patērētāju tiesību aizsardzību vai negodīgas komercprakses apkarošanu vērstu noteikumu pārkāpums – kuru tāda patērētāju interešu aizstāvības apvienība kā Federālā apvienība vēlas novērst un par kuru tā vēlas sodīt, konkrēti – ceļot prasības noteikt aizliegumu, kas paredzētas piemērojamā valsts tiesiskajā regulējumā, – var būt saistīts, kā šajā gadījumā, ar šo patērētāju personas datu aizsardzības noteikumu pārkāpumu.
67 Otrām kārtām, runājot par minētā mehānisma materiālo piemērojamību, VDAR 80. panta 2. punktā paredzēto pārstāvības prasību šā paša panta 1. punktā minētajiem nosacījumiem atbilstošā struktūra var celt tad, ja šī struktūra neatkarīgi no dotā pilnvarojuma “uzskata, ka” datu subjekta personas datu “apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu”.
68 Šajā ziņā jāprecizē, pirmkārt, – lai šāda struktūra varētu celt pārstāvības prasību VDAR 80. panta 2. punkta izpratnē, tai nevar prasīt iepriekš individuāli identificēt personu, kuru ir konkrēti skārusi VDAR noteikumiem iespējami pretrunā esošā apstrāde.
69 Proti, pietiek vien norādīt, ka jēdziens “datu subjekts” šīs regulas 4. panta 1. punkta izpratnē aptver ne tikai “identificētu [..] fizisku personu”, bet arī “identificējamu fizisku personu”, t.i., fizisku personu, “kuru var” tieši vai netieši “identificēt” ar atsauci uz kādu identifikatoru, piemēram, tostarp personvārdu, identifikācijas numuru, atrašanās vietas datiem vai tiešsaistes identifikatoru. Tāpēc šādas pārstāvības prasības celšanai var būt pietiekami arī ar norādi uz šādas apstrādes skarto personu kategoriju vai kopumu.
70 Otrkārt, saskaņā ar VDAR 80. panta 2. punktu pārstāvības prasības celšanas iespēja nav pakārtota arī nosacījumam par to, ka ir jābūt konkrēti pārkāptām tiesībām, kas personai rodas no noteikumiem datu aizsardzības jomā.
71 Proti, kā izriet no šā sprieduma 67. punktā atgādinātā paša šīs normas formulējuma, pārstāvības prasības celšanas iespēja ir pakārtota vienīgi tam, ka attiecīgā struktūra “uzskata”, ka kāda datu subjekta personas datu apstrādes rezultātā ir pārkāptas šajā regulā paredzētās šā subjekta tiesības, un tātad apgalvo šīs regulas normām pretrunā esošas datu apstrādes esamību.
72 No tā izriet – lai varētu atzīt šādas struktūras locus standi saskaņā ar minēto tiesību normu, pietiek vien apgalvot, ka attiecīgā datu apstrāde var iespējami skart tiesības, kas identificētām vai identificējamām fiziskām personām rodas no minētās regulas, bez vajadzības pierādīt datu subjekta tiesību aizskāruma rezultātā tam konkrētā situācijā faktiski nodarīto kaitējumu.
73 Šāda interpretācija ir atbilstīga no LESD 16. panta un Eiropas Savienības Pamattiesību hartas 8. panta izrietošajām prasībām un tādējādi arī VDAR mērķim nodrošināt fizisku personu brīvību un pamattiesību efektīvu aizsardzību, kā arī konkrēti nodrošināt, ka ikvienas personas tiesības uz tās personas datu aizsardzību tiktu aizsargātas augstā līmenī (šajā nozīmē skat. spriedumu, 2021. gada 15. jūnijs, Facebook Ireland u.c., C‑645/19, EU:C:2021:483, 44., 45., kā arī 91. punkts).
74 Savukārt tādas patērētāju interešu aizstāvības apvienības kā Federālā apvienība apveltīšana ar tiesībām pārstāvības prasības mehānisma izmantošanas ceļā celt prasības, lai panāktu, ka tiek izbeigta šīs regulas noteikumiem pretrunā esoša apstrāde – neatkarīgi no tā, vai ir pārkāptas kādas no šā pārkāpuma individuāli un konkrēti cietušas personas tiesības –, neapstrīdami palīdz stiprināt datu subjektu tiesības un nodrošināt tiem augstu aizsardzības līmeni.
75 Jānorāda arī, ka šādas pārstāvības prasības celšana – ciktāl tā ļauj novērst lielu skaitu datu subjektu tiesību pārkāpumu to personas datu apstrādē – varētu izrādīties efektīvāka par prasību, ko viena pati persona, kas ir individuāli un konkrēti cietusi no tās tiesību uz savu personas datu aizsardzību pārkāpuma, ceļ pret šā pārkāpuma izdarītāju.
76 Proti, kā secinājumu 76. punktā norāda ģenerāladvokāts, prasību, kuras ceļ tādas patērētāju interešu aizstāvības apvienības kā Federālā apvienība, preventīvo funkciju nebūtu iespējams nodrošināt, ja, ceļot VDAR 80. panta 2. punktā paredzēto pārstāvības prasību, drīkstētu atsaukties tikai uz tādas personas tiesību pārkāpumu, kuru šis pārkāpums ir skāris individuāli un konkrēti.
77 Trešām kārtām, – kā to lūdz iesniedzējtiesa – vēl ir jāpārbauda, vai VDAR 80. panta 2. punkts liedz izmantot šādu pārstāvības prasību nesaistīti ar kāda datu subjekta tiesību pārkāpumu un bez šā subjekta dota pilnvarojuma, ja datu aizsardzības noteikumu pārkāpums tiek apgalvots tādā prasībā, kuras mērķis ir uzraudzīt citu, uz patērētāju tiesību aizsardzību vērstu tiesību normu piemērošanu.
78 Šajā ziņā uzreiz jānorāda – kā būtībā konstatēts šā sprieduma 66. punktā –, ka personas datu aizsardzības noteikuma pārkāpums var vienlaikus izraisīt arī patērētāju tiesību aizsardzības vai negodīgas komercprakses noteikumu pārkāpumu.
79 Tāpēc, kā secinājumu 72. punktā norāda ģenerāladvokāts, šai tiesību normai nav pretrunā, ka dalībvalstis izmanto tām šajā normā piedāvāto iespēju tādējādi, ka patērētāju interešu aizstāvības apvienības tiek apveltītas ar tiesībām rīkoties pret VDAR paredzēto tiesību pārkāpumiem, vajadzības gadījumā ņemot talkā tādus uz patērētāju tiesību aizsardzību vai negodīgas komercprakses apkarošanu vērstus noteikumus kā Direktīvā 2005/29 un Direktīvā 2009/22 paredzētie.
80 Apstiprinājums šai VDAR 80. panta 2. punkta interpretācijai rodams arī Direktīvā 2020/1828, ar kuru Direktīva 2009/22 no 2023. gada 25. jūnija tiek atcelta un aizstāta. Šajā kontekstā jāņem vērā, ka Direktīvu 2020/1828 – saskaņā ar tās 2. panta 1. punktā noteikto – piemēro pārstāvības prasībām, ko ceļ gadījumā, ja tirgotāji pārkāpj kādas no Savienības tiesību normām, kas minētas šīs direktīvas I pielikumā, kura 56. punktā savukārt minēta VDAR.
81 Protams, ka Direktīva 2020/1828 nav piemērojama pamatlietā un termiņš tās transponēšanai vēl nav beidzies. Tomēr tajā ir vairāki elementi, kas apstiprina, ka VDAR 80. pants neliedz izmantot papildu pārstāvības prasības patērētāju tiesību aizsardzības jomā.
82 Proti, lai arī – kā izriet no šīs direktīvas 11. apsvēruma – joprojām ir iespējams paredzēt papildu procesuālu mehānismu pārstāvības prasībām patērētāju tiesību aizsardzības jomā, izpildes mehānismi, kas vai nu ir paredzēti VDAR, vai uz to balstīti – kā, piemēram, šīs regulas 80. pantā paredzētais mehānisms –, nav, kā teikts minētās direktīvas 15. apsvērumā, nedz aizstājami, nedz grozāmi un tādējādi var tikt izmantoti patērētāju kolektīvo interešu aizsardzībai.
83 Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz uzdoto jautājumu ir atbildams, ka VDAR 80. panta 2. punkts ir jāinterpretē tādējādi, ka tam nav pretrunā valsts tiesiskais regulējums, kas ļauj patērētāju interešu aizstāvības organizācijai – nesaņēmušai tālab piešķirtu pilnvarojumu un nesaistīti ar kādu datu subjektu konkrētu tiesību pārkāpumu – celt prasību pret aizdomās turēto personas datu aizsardzības pārkāpuma izdarītāju, atsaucoties uz to, ka ir pārkāpts negodīgas komercprakses aizliegums, patērētāju tiesību aizsardzības likums vai aizliegums izmantot spēkā neesošus tipveida darījuma nosacījumus, ja vien attiecīgā datu apstrāde iespējami var skart tiesības, kas identificētām vai identificējamām personām rodas no šīs regulas.
Par tiesāšanās izdevumiem
84 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (trešā palāta) nospriež:
Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 80. panta 2. punkts ir jāinterpretē tādējādi, ka tam nav pretrunā valsts tiesiskais regulējums, kas ļauj patērētāju interešu aizstāvības organizācijai – nesaņēmušai tālab piešķirtu pilnvarojumu un nesaistīti ar kādu datu subjektu konkrētu tiesību pārkāpumu – celt prasību pret aizdomās turēto personas datu aizsardzības pārkāpuma izdarītāju, atsaucoties uz to, ka ir pārkāpts negodīgas komercprakses aizliegums, patērētāju tiesību aizsardzības likums vai aizliegums izmantot spēkā neesošus tipveida darījuma nosacījumus, ja vien attiecīgā datu apstrāde iespējami var skart tiesības, kas identificētām vai identificējamām personām rodas no šīs regulas.
[Paraksti]