ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ
JEAN RICHARD DE LA TOUR
της 2ας Δεκεμβρίου 2021 (1)
Υπόθεση C-319/20
Facebook Ireland Limited
κατά
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[αίτηση του Bundesgerichtshof
(Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 80, παράγραφος 2 – Δικαίωμα αποτελεσματικής δικαστικής προστασίας – Εκπροσώπηση των υποκειμένων των δεδομένων από μη κερδοσκοπική ένωση – Ενεργητική νομιμοποίηση ένωσης προστασίας καταναλωτών»
I. Εισαγωγή
1. Στη σύγχρονη εποχή, η οποία χαρακτηρίζεται από την ακμή της ψηφιακής οικονομίας, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να επηρεάζει τα άτομα όχι μόνον υπό την ιδιότητά τους ως φυσικών προσώπων στα οποία παρέχει δικαιώματα ο κανονισμός (ΕΕ) 2016/679 (2), αλλά και υπό την ιδιότητά τους ως καταναλωτών.
2. Λόγω της ιδιότητας αυτής, συμβαίνει ολοένα και συχνότερα οι ενώσεις προστασίας καταναλωτών να ασκούν αγωγές ζητώντας να παύσουν οι συμπεριφορές ορισμένων υπεύθυνων διαχείρισης δεδομένων οι οποίες προσβάλλουν τα δικαιώματα που προστατεύει όχι μόνον ο συγκεκριμένος κανονισμός, αλλά και άλλοι κανόνες οι οποίοι έχουν θεσπιστεί τόσο στο δίκαιο της Ένωσης όσο και στις εθνικές νομοθεσίες, μεταξύ άλλων, για την προστασία των δικαιωμάτων των καταναλωτών και την καταπολέμηση των αθέμιτων εμπορικών πρακτικών.
3. Η υπό κρίση αίτηση προδικαστικής αποφάσεως υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ της Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Ομοσπονδίας των οργανώσεων και των ενώσεων καταναλωτών, στο εξής: Ομοσπονδιακή ένωση) και της Facebook Ireland Limited, η οποία εδρεύει στην Ιρλανδία. Η Ομοσπονδιακή ένωση καταλογίζει στην εν λόγω εταιρία ότι παραβίασε τη γερμανική νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, προσάπτοντάς της, ταυτόχρονα, αθέμιτη εμπορική πρακτική, παράβαση νόμου περί προστασίας των καταναλωτών και παραβίαση της απαγόρευσης χρήσης ανίσχυρων γενικών όρων συναλλαγών.
4. Με την υπό κρίση αίτηση το Δικαστήριο καλείται κατ’ ουσίαν να ερμηνεύσει το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 προκειμένου να αποφανθεί αν η διάταξη αυτή δεν επιτρέπει να διατηρούν, μετά την έναρξη ισχύος του ως άνω κανονισμού, οι ενώσεις προστασίας καταναλωτών την ενεργητική νομιμοποίηση την οποία τους παρέχει η εθνική νομοθεσία προκειμένου να στρέφονται δικαστικώς κατά συμπεριφορών που αποτελούν ταυτόχρονα προσβολή των δικαιωμάτων τα οποία απονέμει ο κανονισμός και παράβαση κανόνων που έχουν ως αντικείμενο την προστασία των δικαιωμάτων των καταναλωτών και την καταπολέμηση των αθέμιτων εμπορικών πρακτικών. Στον βαθμό που τέτοια ενεργητική νομιμοποίηση κρίθηκε συμβατή με την οδηγία 95/46/ΕΚ (3) από το Δικαστήριο (4), απόκειται σε αυτό να κρίνει αν ο κανονισμός 2016/679 τροποποίησε ή όχι το δίκαιο ως προς το συγκεκριμένο ζήτημα.
II. Το νομικό πλαίσιο
Α. Ο κανονισμός 2016/679
5. Το άρθρο 80 του κανονισμού 2016/679, το οποίο φέρει τον τίτλο «Εκπροσώπηση των υποκειμένων των δεδομένων», έχει ως εξής (5):
«1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.
2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.»
Β. Το γερμανικό δίκαιο
6. Το άρθρο 3, παράγραφος 1, του Gesetz gegen den unlauteren Wettbewerb (νόμου για τον αθέμιτο ανταγωνισμό) (6), της 3ης Ιουλίου 2004, όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης, ορίζει τα εξής:
«Απαγορεύονται οι αθέμιτες εμπορικές πρακτικές.»
7. Το άρθρο 3a του UWG έχει ως εξής:
«Αθέμιτα ενεργεί όποιος παραβαίνει διάταξη του νόμου η οποία έχει ως σκοπό, μεταξύ άλλων, να ρυθμίσει τη συμπεριφορά στις συναλλαγές προς το συμφέρον των συναλλασσόμενων στη σχετική αγορά και η παράβαση είναι ικανή να βλάψει σημαντικά τα συμφέροντα των καταναλωτών, άλλων συναλλασσόμενων ή των ανταγωνιστών.»
8. Το άρθρο 8, παράγραφοι 1 και 3, του UWG ορίζει τα εξής:
«(1) Όποιος προβαίνει σε αθέμιτη εμπορική πράξη κατά την έννοια των άρθρων 3 και 7 δύναται να εναχθεί προς άρση ή, σε περίπτωση κινδύνου επανάληψης της προσβολής στο μέλλον, προς παράλειψη προσβολής. Η αξίωση προς παράλειψη γεννάται και στην περίπτωση που υπάρχει απειλή προσβολής κατά την έννοια των άρθρων 3 ή 7.
[…]
(3) Την αγωγή της παραγράφου 1 μπορούν να ασκούν:
[…]
3. νομιμοποιούμενοι φορείς οι οποίοι αποδεικνύουν ότι είναι καταχωρισμένοι στον κατάλογο νομιμοποιούμενων φορέων του άρθρου 4 του [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (νόμου της 26ης Νοεμβρίου 2001 για τις αγωγές παραλείψεως σε περιπτώσεις παραβάσεων των διατάξεων του δικαίου προστασίας του καταναλωτή και άλλων παραβάσεων (7)), ως είχε κατά τον κρίσιμο χρόνο για την κύρια δίκη] ή στον κατάλογο που καταρτίζει η Ευρωπαϊκή Επιτροπή κατά το άρθρο 4, παράγραφος 3, της οδηγίας 2009/22/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Απριλίου 2009, περί των αγωγών παραλείψεως στον τομέα της προστασίας των συμφερόντων των καταναλωτών [(8)]·
[…]».
9. Το άρθρο 2 του UKlaG προβλέπει τα εξής:
«(1) Όποιος παραβαίνει τις διατάξεις για την προστασία των καταναλωτών (νόμοι για την προστασία των καταναλωτών), εξαιρουμένης της εφαρμογής ή της διατύπωσης γενικών όρων συναλλαγών, μπορεί να διαταχθεί να άρει αμέσως την προσβολή και να την παραλείπει στο μέλλον, προς διασφάλιση της προστασίας των συμφερόντων των καταναλωτών […].
(2) Κατά την έννοια της παρούσας διατάξεως, ως “νόμοι περί προστασίας των καταναλωτών” νοούνται ειδικότερα:
[…]
11. οι διατάξεις που καθορίζουν τις νόμιμες προϋποθέσεις
α) για τη συλλογή δεδομένων προσωπικού χαρακτήρα των καταναλωτών από τους επιχειρηματίες ή
β) για την επεξεργασία ή τη χρήση δεδομένων προσωπικού χαρακτήρα καταναλωτών τα οποία έχουν συλλεγεί από επιχειρηματίες,
εφόσον τα δεδομένα υπήρξαν αντικείμενο συλλογής, επεξεργασίας ή χρήσης για σκοπούς διαφημιστικούς, έρευνας αγοράς και δημοσκοπήσεων, λειτουργίας εταιρίας επιχειρηματικής πληροφόρησης, σύνταξης εκθέσεων προσωπικών χαρακτηριστικών ή χαρακτηριστικών χρήστη, εμπορίας διευθύνσεων, λοιπών περιπτώσεων εμπορίας δεδομένων ή για παρόμοιους εμπορικούς σκοπούς.
[…]»
10. Το Bundesgerichsthof (Ανώτατο Ομοσπονδιακό Δικαστήριο, Γερμανία) επισημαίνει ότι, δυνάμει του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, οι φορείς που διαθέτουν, κατά την έννοια της διατάξεως αυτής, ενεργητική νομιμοποίηση, μπορούν να ασκούν αγωγές παραλείψεως λόγω παραβάσεως των νόμων περί προστασίας των καταναλωτών, μεταξύ των οποίων περιλαμβάνονται, βάσει του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του νόμου αυτού, και οι διατάξεις όσον αφορά τη νομιμότητα της συλλογής, της επεξεργασίας και της χρήσης, εκ μέρους επιχείρησης, δεδομένων προσωπικού χαρακτήρα των καταναλωτών για διαφημιστικούς σκοπούς. Επιπλέον, πάντοτε δυνάμει του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, οι φορείς που διαθέτουν ενεργητική νομιμοποίηση μπορούν, κατ’ εφαρμογήν του άρθρου 1 του UKlaG, να ζητήσουν την παράλειψη της χρήσης ανίσχυρων, βάσει του άρθρου 307 του Bürgerliches Gesetzbuch (Αστικού Κώδικα), γενικών όρων συναλλαγών, εφόσον θεωρούν ότι οι γενικοί αυτοί όροι συναλλαγών αντιβαίνουν σε διάταξη σχετική με την προστασία δεδομένων.
11. Το άρθρο 13, παράγραφος 1, του Telemediengesetz (νόμου για τα ηλεκτρονικά μέσα) (9), της 26ης Φεβρουαρίου 2007, έχει ως εξής:
«O φορέας παροχής των υπηρεσιών οφείλει, κατά την έναρξη της χρήσης, να ενημερώνει τον χρήστη, με κατανοητό για αυτόν τρόπο, για το είδος, την έκταση και τους σκοπούς της συλλογής και της χρήσης δεδομένων προσωπικού χαρακτήρα, καθώς και για την επεξεργασία των δεδομένων του σε χώρες που δεν εμπίπτουν στο πεδίο εφαρμογής της [οδηγίας 95/46], εφόσον δεν έχει ήδη προηγηθεί τέτοια ενημέρωση. Στις περιπτώσεις αυτοματοποιημένων διαδικασιών, οι οποίες καθιστούν δυνατή τη μεταγενέστερη εξακρίβωση της ταυτότητας του χρήστη και οι οποίες αποτελούν προπαρασκευαστικό στάδιο για τη συλλογή ή τη χρήση δεδομένων προσωπικού χαρακτήρα, ο χρήστης πρέπει να ενημερώνεται κατά την έναρξη της διαδικασίας αυτής. Ο χρήστης πρέπει να έχει ανά πάσα στιγμή δυνατότητα πρόσβασης στο περιεχόμενο της ενημέρωσης.»
III. Τα πραγματικά περιστατικά της διαφοράς της κύριας δίκης και το προδικαστικό ερώτημα
12. Στη Γερμανία, η Ομοσπονδιακή ένωση περιλαμβάνεται στον κατάλογο των φορέων που διαθέτουν ενεργητική νομιμοποίηση βάσει του άρθρου 4 του UKlaG. Η Facebook Ireland διαχειρίζεται, μέσω της διεύθυνσης www.facebook.de, τη διαδικτυακή πλατφόρμα Internet Facebook, η οποία χρησιμοποιείται για ανταλλαγή προσωπικών και άλλων δεδομένων.
13. Στη διαδικτυακή πλατφόρμα Internet Facebook περιλαμβάνεται το λεγόμενο «App-Zentrum» (Κέντρο Εφαρμογών), με το οποίο η Facebook Ireland παρέχει στους χρήστες της, μεταξύ άλλων, δωρεάν παιχνίδια από τρίτους παρόχους υπηρεσιών. Κατά την είσοδο στο Κέντρο Εφαρμογών στις 26 Νοεμβρίου 2012, όταν ο χρήστης πατούσε το πλήκτρο «Sofort spielen» («Παίξε τώρα») εμφανίζονταν διάφορες πληροφορίες. Από τις πληροφορίες αυτές προκύπτει, κατ’ ουσίαν, ότι η χρησιμοποίηση της συγκεκριμένης εφαρμογής παρείχε στην εταιρία που προσέφερε τα παιχνίδια τη δυνατότητα να συλλέγει ορισμένα δεδομένα προσωπικού χαρακτήρα και της επέτρεπε να δημοσιεύει, εξ ονόματος του χρήστη, ορισμένες πληροφορίες, όπως η βαθμολογία του. Η χρήση αυτή προϋπέθετε την αποδοχή από τον χρήστη των γενικών όρων συναλλαγών της εφαρμογής και της πολιτικής της εφαρμογής σχετικά με την προστασία των δεδομένων. Προσέτι, στην περίπτωση του παιχνιδιού Scrabble, η σχετική εφαρμογή μπορεί να δημοσιεύει ειδοποιήσεις προσωπικής κατάστασης, φωτογραφίες και άλλα στοιχεία εξ ονόματος του χρήστη.
14. Η Ομοσπονδιακή ένωση επικρίνει ως αθέμιτη την παρουσίαση των ενδείξεων που παρέχονταν με το πάτημα του πλήκτρου «Παίξε τώρα» στο Κέντρο Εφαρμογών, ιδίως λόγω μη τήρησης των νόμιμων προϋποθέσεων στις οποίες υπόκειται η λήψη πραγματικής συγκατάθεσης του χρήστη, βάσει των διατάξεων που διέπουν την προστασία των προσωπικών δεδομένων. Επιπλέον, θεωρεί ότι η τελική ένδειξη στο παιχνίδι Scrabble συνιστά γενικό όρο συναλλαγών που περιάγει τον χρήστη σε αδικαιολόγητα μειονεκτική θέση.
15. Υπό τις συνθήκες αυτές, η Ομοσπονδιακή ένωση άσκησε κατά της Facebook Ireland αγωγή παραλείψεως ενώπιον του Landgericht Berlin (πρωτοδικείου Βερολίνου, Γερμανία). Το αιτούν δικαστήριο διευκρινίζει ότι η αγωγή αυτή ασκήθηκε ανεξαρτήτως της ύπαρξης συγκεκριμένης προσβολής των δικαιωμάτων προστασίας μεμονωμένου υποκειμένου δεδομένων και χωρίς σχετική εντολή από τέτοιο φυσικό πρόσωπο.
16. Η Ομοσπονδιακή ένωση ζήτησε να απαγορευθεί, επ’ απειλή κυρώσεων, στη Facebook Ireland να «παρουσιάζει, στο πλαίσιο εμπορικών δραστηριοτήτων με αποδέκτες καταναλωτές με μόνιμη διαμονή στη […] Γερμανία, στον ιστότοπο με διεύθυνση www.facebook.com και, ειδικότερα, στο “Κέντρο Εφαρμογών”, παιχνίδια με τέτοιον τρόπο ώστε ο καταναλωτής, πατώντας σε πλήκτρο όπως το “[Παίξε τώρα]”, να δηλώνει ότι η εταιρία η οποία παρέχει τα παιχνίδια λαμβάνει, μέσω του κοινωνικού δικτύου που εκμεταλλεύεται η [Facebook Ireland], πληροφορίες για τα δεδομένα προσωπικού χαρακτήρα τα οποία περιλαμβάνονται σε αυτό και εξουσιοδοτείται να μεταδίδει (δημοσιεύει) πληροφορίες εξ ονόματος του καταναλωτή […]».
17. Η Ομοσπονδιακή ένωση ζήτησε επίσης να απαγορευθεί στη Facebook Ireland «να περιλαμβάνει στις συμβάσεις της με καταναλωτές που έχουν τη συνήθη διαμονή τους στη […] Γερμανία την ακόλουθη ρήτρα, ή άλλες ρήτρες με ταυτόσημο περιεχόμενο, αναφορικά με τη χρήση εφαρμογών στο πλαίσιο μέσου κοινωνικής δικτύωσης, καθώς και να επικαλείται τις ρήτρες σχετικά με τη μετάδοση δεδομένων στους παρόχους των παιχνιδιών: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [Η εφαρμογή αυτή μπορεί να δημοσιεύει ειδοποιήσεις προσωπικής κατάστασης, φωτογραφίες και άλλα στοιχεία εξ ονόματός σας]».
18. Το Landgericht Berlin (πρωτοδικείο Βερολίνου) έκανε δεκτά τα αιτήματα της Ομοσπονδιακής ένωσης εις βάρος της Facebook. Η έφεση που άσκησε η Facebook Ireland ενώπιον του Kammergericht Berlin (εφετείου Βερολίνου, Γερμανία) απορρίφθηκε.
19. Η Facebook Ireland άσκησε ενώπιον του αιτούντος δικαστηρίου αίτηση αναιρέσεως κατά της αποφάσεως του δευτεροβάθμιου δικαστηρίου.
20. Επί της ουσίας, το αιτούν δικαστήριο εκτιμά ότι το εφετείο ορθώς έκρινε ότι τα αιτήματα της Ομοσπονδιακής ένωσης ήταν βάσιμα. Πράγματι, κατά την εκτίμησή του, η Facebook Ireland, αθετώντας τις υποχρεώσεις ενημέρωσης οι οποίες απορρέουν από το άρθρο 13, παράγραφος 1, πρώτο εδάφιο, πρώτη περίοδος, του TMG, παρέβη το άρθρο 3a του UWG και το άρθρο 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG. Το δευτεροβάθμιο δικαστήριο ορθώς έκρινε ότι οι επίμαχες εν προκειμένω διατάξεις του άρθρου 13 του TMG είναι νομικές διατάξεις που ρυθμίζουν τη συμπεριφορά στις συναλλαγές κατά την έννοια του άρθρου 3a του UWG. Πρόκειται, προσέτι, για διατάξεις οι οποίες, όπως ορίζει το άρθρο 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, στοιχείο a, του UKlaG, ρυθμίζουν με ποιον τρόπο μια επιχείρηση μπορεί νομίμως να συλλέγει, να επεξεργάζεται ή να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί, υποστεί επεξεργασία ή χρησιμοποιηθεί για διαφημιστικούς σκοπούς. Εξάλλου, κατά το αιτούν δικαστήριο, η Facebook Ireland, αθετώντας τις εφαρμοστέες εν προκειμένω υποχρεώσεις ενημέρωσης σχετικά με την προστασία των δεδομένων, χρησιμοποίησε ανίσχυρο γενικό όρο συναλλαγών κατά την έννοια του άρθρου 1 του UKlaG.
21. Το αιτούν δικαστήριο διερωτάται ωστόσο αν ορθώς το δευτεροβάθμιο δικαστήριο αποφάνθηκε ότι η αγωγή της Ομοσπονδιακής ένωσης ήταν παραδεκτή. Ειδικότερα, διερωτάται αν ένωση προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, εξακολουθεί να διαθέτει, μετά την έναρξη ισχύος του κανονισμού 2016/679, ενεργητική νομιμοποίηση να ασκήσει αγωγή ενώπιον των πολιτικών δικαστηρίων για παραβάσεις του κανονισμού αυτού, ανεξαρτήτως της ύπαρξης προσβολής των δικαιωμάτων συγκεκριμένων υποκειμένων δεδομένων προσώπων και χωρίς εντολή εκ μέρους τους, επικαλούμενη παραβίαση του δικαίου κατά την έννοια του άρθρου 3a του UWG, παράβαση νόμου περί προστασίας των καταναλωτών κατά την έννοια του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG ή ακόμη χρήση ανίσχυρου γενικού όρου συναλλαγών, κατ’ εφαρμογήν του άρθρου 1 του UKlaG.
22. Το αιτούν δικαστήριο επισημαίνει ότι δεν ετίθετο αμφιβολία περί του παραδεκτού της αγωγής πριν από την έναρξη ισχύος του κανονισμού 2016/679. Πράγματι, η Ομοσπονδιακή ένωση είχε δικαίωμα να ασκήσει αγωγή παραλείψεως ενώπιον των πολιτικών δικαστηρίων, βάσει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG και του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG.
23. Κατά το ίδιο δικαστήριο, είναι πιθανόν το νομικό αυτό καθεστώς να έχει μεταβληθεί λόγω της έναρξης ισχύος του κανονισμού 2016/679.
24. Επί της ουσίας, παρατηρεί ότι οι διατάξεις του άρθρου 13, παράγραφος 1, του TMG δεν έχουν πλέον εφαρμογή μετά την προαναφερθείσα έναρξη ισχύος, καθώς καθοριστική σημασία έχουν πλέον οι υποχρεώσεις ενημέρωσης οι οποίες απορρέουν από τα άρθρα 12 έως 14 του κανονισμού 2016/679. Συνακόλουθα, κατά το αιτούν δικαστήριο, η Facebook Ireland παρέβη την υποχρέωση που υπείχε από το άρθρο 12, παράγραφος 1, πρώτο εδάφιο, του κανονισμού αυτού, το οποίο επιβάλλει να γνωστοποιούνται στο υποκείμενο των δεδομένων, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, οι πληροφορίες που μνημονεύονται στο άρθρο 13, παράγραφος 1, στοιχεία γʹ και εʹ, του εν λόγω κανονισμού και αφορούν τον σκοπό της επεξεργασίας των δεδομένων και τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα.
25. Επί του παραδεκτού της αγωγής, είναι αμφίβολο, κατά το αιτούν δικαστήριο, κατά πόσον, μετά την έναρξη ισχύος του κανονισμού 2016/679, οι ενεργητικώς νομιμοποιούμενοι φορείς κατά την έννοια του άρθρου 4 του UKlaG μπορούν, κατ’ εφαρμογήν του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, να κινηθούν δικαστικώς σε περιπτώσεις παραβάσεων των διατάξεων του ως άνω κανονισμού, οι οποίες έχουν άμεση εφαρμογή δυνάμει του άρθρου 288, δεύτερο εδάφιο, ΣΛΕΕ, προβάλλοντας παραβίαση του δικαίου κατά την έννοια του άρθρου 3a του UWG.
26. Το αιτούν δικαστήριο σημειώνει επ’ αυτού ότι υφίσταται διχογνωμία ως προς το ζήτημα αν ο κανονισμός 2016/679 ρυθμίζει ο ίδιος εξαντλητικώς τον έλεγχο της εφαρμογής των διατάξεών του.
27. Το δικαστήριο αυτό παρατηρεί, αναφορικά με το γράμμα του κανονισμού 2016/679, ότι η ενεργητική νομιμοποίηση φορέα όπως η Ομοσπονδιακή ένωση, βάσει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, δεν καλύπτεται από το άρθρο 80, παράγραφος 1, του κανονισμού αυτού, στον βαθμό που η επίδικη στην κύρια δίκη αγωγή παραλείψεως δεν ασκήθηκε κατόπιν εντολής και εξ ονόματος ενός υποκειμένου δεδομένων για την προάσπιση των δικαιωμάτων του. Πρόκειται, αντιθέτως, για ενεργητική νομιμοποίηση της Ομοσπονδιακής ένωσης δυνάμει ιδίου δικαιώματος, η οποία της παρέχει τη δυνατότητα, σε περίπτωση παραβίασης του δικαίου κατά την έννοια του άρθρου 3a του UWG, να κινείται δικαστικώς κατά παραβάσεων των διατάξεων του εν λόγω κανονισμού, ανεξαρτήτως της ύπαρξης προσβολής συγκεκριμένων δικαιωμάτων μεμονωμένων υποκειμένων δεδομένων και σχετικής εντολής εκ μέρους τους.
28. Εντούτοις, το αιτούν δικαστήριο τονίζει ότι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 δεν παρέχει στην Ομοσπονδιακή ένωση ενεργητική νομιμοποίηση να ασκεί γενικώς αγωγή με αντικείμενο την εξασφάλιση της εφαρμογής του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα. Τούτο διότι, αν και η διάταξη αυτή προβλέπει τη δυνατότητα μιας τέτοιας ένωσης να ασκήσει αγωγή ανεξαρτήτως της ύπαρξης σχετικής εντολής από υποκείμενο των δεδομένων, απαιτείται επίσης να έχουν προσβληθεί λόγω επεξεργασίας τα δικαιώματα ενός υποκειμένου δεδομένων, όπως κατοχυρώνονται στον κανονισμό. Ως εκ τούτου, κατά το γράμμα τους, οι διατάξεις του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 δεν παρέχουν ενεργητική νομιμοποίηση σε ενώσεις οι οποίες στηριζόμενες, όπως εν προκειμένω, στα άρθρα 3a και 8, παράγραφος 3, σημείο 3, του UWG, επικαλούνται γενικώς παραβάσεις της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως της ύπαρξης προσβολής των δικαιωμάτων συγκεκριμένου υποκειμένου δεδομένων. Το ίδιο συμπέρασμα θα μπορούσε να συναχθεί και από τη δεύτερη περίοδο της αιτιολογικής σκέψης 142 του κανονισμού 2016/679, όπου αναφέρεται επίσης ότι η προσβολή των δικαιωμάτων ενός υποκειμένου δεδομένων συνιστά προϋπόθεση για την αναγνώριση ενεργητικής νομιμοποίησης σε ένωση, ανεξαρτήτως της ύπαρξης εντολής εκ μέρους του υποκειμένου των δεδομένων.
29. Εξάλλου, η ενεργητική νομιμοποίηση ένωσης, όπως αυτή που προβλέπεται στο άρθρο 8, παράγραφος 3, του UWG, δεν μπορεί, κατά το αιτούν δικαστήριο, να θεμελιωθεί στο άρθρο 84, παράγραφος 1, του κανονισμού 2016/679, το οποίο ορίζει ότι τα κράτη μέλη θεσπίζουν κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του κανονισμού και λαμβάνουν όλα τα αναγκαία μέτρα προς διασφάλιση της εφαρμογής τους. Ο λόγος είναι ότι η ενεργητική νομιμοποίηση ένωσης, όπως οι ενώσεις στις οποίες αναφέρεται το άρθρο 8, παράγραφος 3, του UWG, δεν είναι δυνατόν να θεωρηθεί ως «κύρωση» κατά την έννοια της προαναφερθείσας διατάξεως του ως άνω κανονισμού.
30. Το αιτούν δικαστήριο επισημαίνει, επιπλέον, ότι από την όλη οικονομία του κανονισμού 2016/679 δεν καθίσταται σαφές αν η ενεργητική νομιμοποίηση φορέα δυνάμει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, ήτοι δυνάμει διατάξεως που αποσκοπεί στην καταπολέμηση του αθέμιτου ανταγωνισμού, μπορεί ακόμη να αναγνωρίζεται μετά την έναρξη ισχύος του κανονισμού αυτού. Το εν λόγω δικαστήριο εκτιμά ότι από το γεγονός ότι ο κανονισμός αυτός αναθέτει στις εποπτικές αρχές σημαντικές εξουσίες παρακολούθησης, έρευνας και λήψης διορθωτικών μέτρων θα μπορούσε να συναχθεί το συμπέρασμα ότι ο έλεγχος της εφαρμογής των διατάξεων του κανονισμού εναπόκειται κυρίως σε αυτές τις αρχές. Τούτο θα αντέβαινε σε τυχόν διασταλτική ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679. Το αιτούν δικαστήριο σημειώνει επίσης ότι η λήψη εθνικών μέτρων προς εφαρμογή των διατάξεων κανονισμού επιτρέπεται κατ’ αρχήν μόνον εφόσον υπάρχει ρητή εξουσιοδότηση προς τούτο. Εντούτοις, η φράση «με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής», η οποία χρησιμοποιείται στο άρθρο 77, παράγραφος 1, στο άρθρο 78, παράγραφοι 1 και 2, καθώς και στο άρθρο 79, παράγραφος 1, του κανονισμού αυτού θα μπορούσε να αποτελεί στοιχείο υπέρ της απόψεως ότι ο κανονισμός δεν ρυθμίζει εξαντλητικώς το ζήτημα του ελέγχου της εφαρμογής του δικαίου.
31. Όσον αφορά τον σκοπό του κανονισμού 2016/679, η αρχή της αποτελεσματικότητας θα μπορούσε να συνηγορεί υπέρ της ύπαρξης ενεργητικής νομιμοποίησης των ενώσεων δυνάμει του δικαίου του ανταγωνισμού, όπως προβλέπει το άρθρο 8, παράγραφος 3, σημείο 3, του UWG, ανεξαρτήτως της προσβολής συγκεκριμένων δικαιωμάτων προστασίας των υποκειμένων των δεδομένων, στον βαθμό που μέσω αυτής διατηρείται μια επιπλέον δυνατότητα ελέγχου της εφαρμογής του δικαίου, προκειμένου να διασφαλίζεται το υψηλότερο δυνατό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τη διατύπωση της αιτιολογικής σκέψης 10 του κανονισμού αυτού. Εντούτοις, η κατάφαση της ενεργητικής νομιμοποίησης των ενώσεων δυνάμει του δικαίου του ανταγωνισμού θα μπορούσε να θεωρηθεί ότι αντιβαίνει στον σκοπό της εναρμόνισης τον οποίο επιδιώκει ο κανονισμός.
32. Το αιτούν δικαστήριο εκφράζει επίσης τις αμφιβολίες του ως προς τη διατήρηση, μετά την έναρξη ισχύος του κανονισμού 2016/679, της ενεργητικής νομιμοποίησης των φορέων που μνημονεύονται στο άρθρο 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, να κινούνται δικαστικώς σε περιπτώσεις παραβάσεων των διατάξεων του κανονισμού αυτού, ασκώντας αγωγές για μη τήρηση νόμου περί προστασίας των καταναλωτών, κατά την έννοια του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG. Το ίδιο ισχύει όσον αφορά την ενδεχόμενη ενεργητική νομιμοποίηση, δυνάμει του άρθρου 1 του UKlaG, μιας ένωσης προστασίας καταναλωτών να ζητήσει την παύση της χρήσης ανίσχυρων γενικών όρων συναλλαγών, κατά την έννοια του άρθρου 307 του Αστικού Κώδικα.
33. Αν υποτεθεί ότι οι διάφορες εθνικές ρυθμίσεις στις οποίες βασιζόταν, πριν από την έναρξη ισχύος του κανονισμού 2016/679, η ενεργητική νομιμοποίηση των σχετικών φορέων μπορούν να θεωρηθούν ως πρόωρη εφαρμογή του άρθρου 80, παράγραφος 2, του κανονισμού αυτού στην εθνική έννομη τάξη, τότε, κατά το αιτούν δικαστήριο, θα ήταν εν προκειμένω δυνατόν να αναγνωριστεί ενεργητική νομιμοποίηση στην Ομοσπονδιακή ένωση μόνον εφόσον αυτή ισχυριζόταν ότι προσβλήθηκαν, λόγω επεξεργασίας δεδομένων, τα κατοχυρωμένα στον κανονισμό δικαιώματα του υποκειμένου των αντίστοιχων δεδομένων. Δεν πληρούται, ωστόσο, η προϋπόθεση αυτή.
34. Συγκεκριμένα, το αιτούν δικαστήριο τονίζει ότι τα αιτήματα της Ομοσπονδιακής ένωσης αφορούν μια in abstracto εξέταση του τρόπου με τον οποίο η Facebook Ireland παρουσιάζει το Κέντρο Εφαρμογών, υπό το πρίσμα του αντικειμενικού δικαιώματος στην προστασία των δεδομένων, χωρίς η Ομοσπονδιακή ένωση να προβάλλει προσβολή δικαιωμάτων ταυτοποιημένου ή ταυτοποιήσιμου φυσικού προσώπου, κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού 2016/679.
35. Αν διαπιστωθεί ότι η Ομοσπονδιακή ένωση απώλεσε, κατόπιν της έναρξης ισχύος του κανονισμού 2016/679, την ενεργητική της νομιμοποίηση βάσει των διατάξεων του γερμανικού δικαίου που μνημονεύθηκαν ανωτέρω, το αιτούν δικαστήριο επισημαίνει ότι πρέπει να κάνει δεκτή την αίτηση αναιρέσεως της Facebook Ireland και να απορρίψει την αγωγή της Ομοσπονδιακής ένωσης δεδομένου ότι η ενεργητική νομιμοποίηση πρέπει να διατηρείται, σύμφωνα με το γερμανικό δικονομικό δίκαιο, έως τον τελευταίο βαθμό δικαιοδοσίας.
36. Υπό το πρίσμα των ανωτέρω, το Bundesgerichthof (Ανώτατο Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:
«Αντιτίθενται οι διατάξεις του κεφαλαίου VIII, ειδικότερα αυτές του άρθρου 80, παράγραφοι 1 και 2, και του άρθρου 84, παράγραφος 1, του κανονισμού 2016/679, σε εθνικές ρυθμίσεις οι οποίες, πέραν των εξουσιών παρεμβάσεως των εποπτικών αρχών που είναι αρμόδιες για την παρακολούθηση και τη διασφάλιση της εφαρμογής του κανονισμού και πέραν των δυνατοτήτων έννομης προστασίας των υποκειμένων των δεδομένων, επιτρέπουν, αφενός, στους ανταγωνιστές και, αφετέρου, σε ενώσεις, φορείς και επιμελητήρια που αναγνωρίζει το εθνικό δίκαιο να κινούνται δικαστικώς, σε περιπτώσεις παραβάσεως του κανονισμού 2016/679, κατά του παραβάτη, ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων μεμονωμένων υποκειμένων δεδομένων και χωρίς σχετική εντολή από τέτοιο φυσικό πρόσωπο, στο πλαίσιο αγωγής ενώπιον των πολιτικών δικαστηρίων, προβάλλοντας την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών;»
37. Η Ομοσπονδιακή ένωση, η Facebook Ireland, η Αυστριακή και η Πορτογαλική Κυβέρνηση καθώς και η Επιτροπή υπέβαλαν γραπτές παρατηρήσεις. Πλην της Πορτογαλικής Κυβερνήσεως, όλοι οι ανωτέρω μετέχοντες στη διαδικασία, καθώς και η Γερμανική Κυβέρνηση, ανέπτυξαν και προφορικώς τις παρατηρήσεις τους κατά την επ’ ακροατηρίου συζήτηση η οποία διεξήχθη στις 23 Σεπτεμβρίου 2021.
IV. Ανάλυση
38. Με το προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν ο κανονισμός 2016/679, και ειδικότερα το άρθρο του 80, παράγραφος 2, έχει την έννοια ότι δεν επιτρέπει εθνική νομοθεσία η οποία παρέχει στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα, επικαλούμενες την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών.
39. Κατά το άρθρο 4, σημείο 1, του κανονισμού 2016/679, «υποκείμενο των δεδομένων», κατά την έννοια του κανονισμού αυτού, είναι «ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Εφόσον ένα τέτοιο πρόσωπο θεωρεί ότι τα δεδομένα προσωπικού χαρακτήρα του αποτέλεσαν αντικείμενο επεξεργασίας αντίθετης προς τις διατάξεις του εν λόγω κανονισμού, έχει στη διάθεσή του πολλά μέσα δράσης.
40. Συγκεκριμένα, το υποκείμενο των δεδομένων έχει, δυνάμει του άρθρου 77 του ίδιου κανονισμού, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή. Εξάλλου, βάσει του άρθρου 78 του κανονισμού 2016/679, έχει και δικαίωμα πραγματικής δικαστικής προσφυγής κατά εποπτικής αρχής. Προσέτι, το άρθρο 79, παράγραφος 1, του κανονισμού αυτού παρέχει σε κάθε υποκείμενο των δεδομένων δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματα που αντλεί από τον κανονισμό προσβλήθηκαν ως αποτέλεσμα επεξεργασίας των προσωπικών του δεδομένων η οποία έγινε κατά παράβαση του ίδιου κανονισμού.
41. Τα υποκείμενα των δεδομένων δύνανται, βεβαίως, να υποβάλουν τα ίδια καταγγελία ενώπιον εποπτικής αρχής ή να ασκήσουν τις προαναφερθείσες δικαστικές προσφυγές. Το άρθρο 80 του κανονισμού 2016/679 προβλέπει ωστόσο και τη δυνατότητα να εκπροσωπούνται, υπό ορισμένες προϋποθέσεις, τα υποκείμενα των δεδομένων από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση. Ειδικότερα, πέραν των ατομικών προσφυγών, το δίκαιο της Ένωσης προβλέπει διάφορες μορφές αντιπροσωπευτικών αγωγών που μπορούν να ασκηθούν μέσω φορέων αρμόδιων για την εκπροσώπηση των υποκειμένων των δεδομένων (10). Το άρθρο 80 του κανονισμού 2016/679 αποτελεί επομένως εκδήλωση της όλης τάσης να ευνοούνται οι αντιπροσωπευτικές αγωγές οι οποίες ασκούνται από παρόμοιους φορείς με σκοπό την προάσπιση των γενικών ή συλλογικών συμφερόντων ως μέσο ενίσχυσης της πρόσβασης στη δικαιοσύνη των προσώπων που θίγονται από την παράβαση των επίμαχων κανόνων (11).
42. Το άρθρο 80 του κανονισμού 2016/679 επιγράφεται «Εκπροσώπηση των υποκειμένων των δεδομένων» και περιλαμβάνει δύο παραγράφους. Η πρώτη αφορά την περίπτωση στην οποία υποκείμενο των δεδομένων αναθέτει σε φορέα, οργάνωση ή ένωση να το εκπροσωπήσει. Η δεύτερη αφορά την αντιπροσωπευτική αγωγή που ασκείται από φορέα ανεξαρτήτως της ύπαρξης εντολής από υποκείμενο των δεδομένων.
43. Εφόσον η αγωγή η οποία ασκήθηκε από την Ομοσπονδιακή ένωση δεν βασίζεται σε εντολή υποκειμένου δεδομένων, κρίσιμο στο πλαίσιο της υπό κρίση προδικαστικής παραπομπής είναι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679.
Α. Η απόφαση Fashion ID
44. Στην υπόθεση Fashion ID, το Δικαστήριο αποφάνθηκε, σε σχέση με την οδηγία 95/46, επί προδικαστικού ερωτήματος παρόμοιου με το υποβληθέν στο πλαίσιο της υπό κρίση αιτήσεως προδικαστικής αποφάσεως. Έκρινε δε ότι «τα άρθρα 22 έως 24 της [οδηγίας αυτής] έχουν την έννοια ότι δεν αντιτίθενται σε εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα» (12).
45. Για να καταλήξει στο συμπέρασμα αυτό, το Δικαστήριο ξεκίνησε από τη διαπίστωση ότι καμία διάταξη της οδηγίας 95/46 δεν επέβαλλε στα κράτη μέλη την υποχρέωση, ούτε και τα εξουσιοδοτούσε ρητώς, να προβλέπουν στο εθνικό τους δίκαιο ότι οι ενώσεις δύνανται να εκπροσωπούν ενώπιον των δικαστηρίων ή να στρέφονται δικαστικώς με δική τους πρωτοβουλία κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα (13). Κατά το Δικαστήριο, τούτο δεν σήμαινε όμως ότι εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα (14) αντιβαίνει στην οδηγία. Το Δικαστήριο υπογράμμισε συναφώς τα ιδιαίτερα χαρακτηριστικά της οδηγίας, καθώς και την υποχρέωση των κρατών μελών αποδεκτών της οδηγίας να λάβουν όλα τα αναγκαία μέτρα για να διασφαλίσουν την πλήρη αποτελεσματικότητά της, σύμφωνα με τον επιδιωκόμενο από αυτήν σκοπό (15).
46. Στο πλαίσιο αυτό, το Δικαστήριο υπενθύμισε ότι η οδηγία 95/46 αποσκοπούσε στη «διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» και στην «κατοχύρωση υψηλού επιπέδου προστασίας στην [Ευρωπαϊκή] Ένωση» (16). Το δε γεγονός ότι ένα κράτος μέλος παρέχει με την εθνική του νομοθεσία στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα συνέβαλλε, κατά το Δικαστήριο, στην επίτευξη των προαναφερθέντων σκοπών (17). Το Δικαστήριο τόνισε, εξάλλου, ότι «τα κράτη μέλη διαθέτουν από πολλές απόψεις περιθώριο ελιγμών για τη μεταφορά της [οδηγίας 95/46]» (18), ειδικότερα όσον αφορά τα άρθρα 22 έως 24, τα οποία «είναι διατυπωμένα με πολύ γενικούς όρους και δεν εναρμονίζουν εξαντλητικά τις εθνικές διατάξεις σχετικά με τα ένδικα βοηθήματα που μπορούν να ασκηθούν κατά του προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα» (19). Συνεπώς, «η δυνατότητα των ενώσεων προστασίας να ασκήσουν αγωγή κατά προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα παρίσταται ως κατάλληλο μέτρο, κατά την έννοια του [άρθρου 24 της οδηγίας αυτής], το οποίο συμβάλλει […] στην επίτευξη των σκοπών της εν λόγω οδηγίας, σύμφωνα με τη νομολογία του Δικαστηρίου» (20).
47. Με την παρούσα προδικαστική παραπομπή το Δικαστήριο καλείται να αποφανθεί εάν εκείνο που επιτρεπόταν υπό το καθεστώς της οδηγίας 95/46 απαγορεύεται πλέον, κατόπιν της έναρξης ισχύος του κανονισμού 2016/679. Με άλλα λόγια, έχει το άρθρο 80, παράγραφος 2, του κανονισμού αυτού ως έννομο αποτέλεσμα την κατάργηση της ενεργητικής νομιμοποίησης ένωσης προστασίας καταναλωτών στο πλαίσιο αγωγής όπως η επίδικη στην κύρια δίκη;
48. Το ενδεχόμενο αυτό φαίνεται αμφίβολο ήδη και μόνον αν ληφθεί υπόψη η σκέψη 62 της αποφάσεως Fashion ID, στην οποία το Δικαστήριο έκρινε ότι από το γεγονός ότι ο κανονισμός 2016/679 «επιτρέπει ρητώς, στο άρθρο 80, παράγραφος 2, στα κράτη μέλη να παρέχουν με την εθνική τους νομοθεσία στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία δεδομένων προσωπικού χαρακτήρα ουδόλως μπορεί να συναχθεί ότι τα κράτη μέλη δεν μπορούσαν να προβλέψουν τέτοιο δικαίωμα των ενώσεων αυτών υπό την ισχύ της οδηγίας 95/46, αλλά, αντιθέτως, επιβεβαιώνει ότι η ερμηνεία που δίνεται στην οδηγία αυτή με την παρούσα απόφαση αντικατοπτρίζει τη βούληση του νομοθέτη της Ένωσης» (21).
49. Για τους λόγους που θα αναπτύξω κάτωθι, θεωρώ ότι ούτε η αντικατάσταση της οδηγίας 95/46 από κανονισμό ούτε το γεγονός ότι ο κανονισμός 2016/679 περιέχει άρθρο σχετικό με την εκπροσώπηση των υποκειμένων των δεδομένων στο πλαίσιο ένδικων διαδικασιών είναι ικανά να θέσουν υπό αμφισβήτηση την κρίση του Δικαστηρίου στην υπόθεση Fashion ID, ότι δηλαδή τα κράτη μέλη μπορούν να προβλέπουν στην εθνική τους νομοθεσία τη δυνατότητα των ενώσεων προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπου που φέρεται ότι έχει παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα.
Β. Τα ιδιαίτερα χαρακτηριστικά του κανονισμού 2016/679
50. Όσον αφορά την αντικατάσταση της οδηγίας 95/46 από κανόνα διαφορετικής φύσεως, ήτοι τον κανονισμό 2016/679, επισημαίνεται ότι η επιλογή του νομοθέτη της Ένωσης να καταφύγει στη νομική μορφή του κανονισμού, ο οποίος είναι, βάσει του άρθρου 288 ΣΛΕΕ, δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος, εξηγείται από τη βούλησή του, η οποία διατυπώνεται στην αιτιολογική σκέψη 13 του κανονισμού 2016/679, να διασφαλίσει συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση, προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Ως εκ τούτου, ο εν λόγω κανονισμός, εκ πρώτης όψεως, τείνει φαινομενικά προς πλήρη εναρμόνιση, όπερ θα σήμαινε επομένως ότι δεν περιορίζεται στη θέσπιση ελάχιστων απαιτήσεων που θα μπορούσαν να ενισχυθούν περαιτέρω από τα κράτη μέλη και ότι δεν αφήνει στα κράτη μέλη την επιλογή να παρεκκλίνουν, να συμπληρώσουν ή να εξειδικεύσουν τις διατάξεις του, προκειμένου να μην υπονομευθεί η ταυτόχρονη και ομοιόμορφη εφαρμογή των διατάξεών του στην Ένωση.
51. Η πραγματικότητα αποδεικνύεται πιο περίπλοκη. Συγκεκριμένα, αν ληφθεί υπόψη η νομική βάση του κανονισμού 2016/679, ήτοι το άρθρο 16 ΣΛΕΕ (22), δεν είναι δυνατόν να γίνει δεκτό ότι η Ένωση είχε προκαταλάβει, εκδίδοντας τον κανονισμό αυτόν, όλες τις συνέπειες τις οποίες μπορεί να έχει η προστασία δεδομένων προσωπικού χαρακτήρα σε άλλους συναφείς τομείς, όπως στο εργατικό δίκαιο, στο δίκαιο του ανταγωνισμού ή ακόμη και στο δίκαιο του καταναλωτή, αποκλείοντας τη δυνατότητα των κρατών μελών να θεσπίσουν ειδικούς κανόνες στους τομείς αυτούς, και μάλιστα κατά τρόπο κατά το μάλλον ή ήσσον αυτοτελή, ανάλογα με το αν πρόκειται για πεδίο που ρυθμίζεται από το δίκαιο της Ένωσης ή όχι (23). Υπό την έννοια αυτή, μολονότι η προστασία των δεδομένων προσωπικού χαρακτήρα είναι εκ φύσεως οριζόντια, η εναρμόνιση στην οποία προβαίνει ο κανονισμός 2016/679 αφορά μόνον τις πτυχές που καλύπτονται ειδικώς από τον συγκεκριμένο κανονισμό στον συγκεκριμένο τομέα. Πέραν των ορίων αυτών, τα κράτη μέλη παραμένουν ελεύθερα να νομοθετούν, εφόσον δεν θίγουν το περιεχόμενο και τους σκοπούς του κανονισμού.
52. Επιπλέον, αν υπεισέλθει κανείς στις λεπτομέρειες των διατάξεων του κανονισμού 2016/679, διαπιστώνει ότι η έκταση της εναρμόνισης στην οποία προβαίνει ο κανονισμός αυτός ποικίλλει ανάλογα με τις εξεταζόμενες διατάξεις. O καθορισμός της ρυθμιστικής ισχύος του εν λόγω κανονισμού απαιτεί, συνεπώς, κατά περίπτωση εξέταση (24). Μολονότι μπορεί να θεωρηθεί, στο πνεύμα και σε συνέχεια της νομολογίας αναφορικά με την οδηγία 95/46 (25), ότι ο κανονισμός 2016/679 προβαίνει σε «κατ’ αρχήν πλήρη» εναρμόνιση, εντούτοις πολλές διατάξεις του κανονισμού αυτού αναγνωρίζουν στα κράτη μέλη πεδίο χειρισμών το οποίο μπορεί ή πρέπει, ανάλογα με την περίπτωση, να χρησιμοποιηθεί από αυτά υπό τις προϋποθέσεις και εντός των ορίων που προβλέπονται από τις ίδιες διατάξεις (26).
53. Υπενθυμίζεται ότι, κατά πάγια νομολογία του Δικαστηρίου, «δυνάμει του άρθρου 288 ΣΛΕΕ και λόγω της φύσεως των κανονισμών και της λειτουργίας τους στο σύστημα των πηγών του δικαίου της Ένωσης, οι διατάξεις των κανονισμών έχουν, εν γένει, άμεσο αποτέλεσμα στις εθνικές έννομες τάξεις, χωρίς να απαιτείται από τις εθνικές αρχές να λαμβάνουν μέτρα εφαρμογής. Εντούτοις, για την εφαρμογή ορισμένων από τις διατάξεις αυτές ενδέχεται να απαιτείται η λήψη μέτρων εφαρμογής από τα κράτη μέλη» (27). Η επιλογή του νομοθέτη να εκδώσει κανονισμό δεν σημαίνει κατ’ ανάγκην ότι οι διατάξεις του κανονισμού αυτού δεν θα αφήνουν κανένα περιθώριο δράσης στα υποκείμενα του δικαίου (28). Εξάλλου, οι κανονισμοί, παρά τον υποχρεωτικό τους χαρακτήρα και την άμεση εφαρμογή τους, μπορούν κάλλιστα να περιλαμβάνουν και προαιρετικούς κανόνες (29).
54. Το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 συνιστά, λόγω της χρησιμοποίησης της λέξης «μπορούν», παράδειγμα προαιρετικής διατάξεως που παρέχει στα κράτη μέλη περιθώριο εκτιμήσεως κατά την εφαρμογή της.
55. Η διάταξη αυτή ανήκει στις πολλές «ρήτρες παρεκκλίσεως» οι οποίες περιέχονται στον κανονισμό και του προσδίδουν ιδιαίτερο χαρακτήρα σε σχέση με έναν συνήθη κανονισμό, καθιστώντας τον παρόμοιο με οδηγία (30). Ορισμένες από τις παραπομπές στην εθνική νομοθεσία οι οποίες περιλαμβάνονται στις ρήτρες αυτές είναι υποχρεωτικές (31), συνηθέστερα όμως πρόκειται για περιπτώσεις που αφήνεται ευχέρεια στα κράτη μέλη (32). Έχει επισημανθεί ότι οι πολλές αυτές παραπομπές στην εθνική νομοθεσία ενέχουν τον κίνδυνο νέου κατακερματισμού του καθεστώτος προστασίας των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, καθώς αντιβαίνουν στην εκπεφρασμένη βούληση του νομοθέτη της Ένωσης να επιτύχει πιο ολοκληρωμένη εναρμόνιση του καθεστώτος προστασίας και ενδέχεται να υπονομεύουν την αποτελεσματικότητα της προστασίας αυτής, όπως και τη δυνατότητα των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία των δεδομένων να αντιληφθούν επακριβώς τις υποχρεώσεις τις οποίες υπέχουν (33). Το εύρος της εναρμόνισης που πραγματοποιείται με τον κανονισμό 2016/679 περιορίζεται συνεπώς από τις πολλές «ρήτρες παρεκκλίσεως» οι οποίες περιλαμβάνονται σε αυτόν.
56. Είναι σαφές ότι, σε σύγκριση με τα ισχύοντα υπό την οδηγία 95/46, ο νομοθέτης της Ένωσης θέλησε, με τον κανονισμό 2016/679, να ρυθμίσει με τρόπο πιο εκτεταμένο και ακριβή, σε επίπεδο Ένωσης, τα ζητήματα σχετικά με την εκπροσώπηση των υποκειμένων των δεδομένων στο πλαίσιο της υποβολής καταγγελίας ενώπιον εποπτικής αρχής ή της κίνησης ένδικης διαδικασίας (34). Οι παράγραφοι 1 και 2 του άρθρου 80 δεν έχουν ωστόσο την ίδια ρυθμιστική ισχύ. Συγκεκριμένα, ενώ η παράγραφος 1 του άρθρου αυτού είναι υποχρεωτική για τα κράτη μέλη (35), η παράγραφος 2 τους παρέχει απλώς μια ευχέρεια. Επομένως, προκειμένου να μπορεί να ασκηθεί η άνευ εντολής αντιπροσωπευτική αγωγή την οποία προβλέπει το άρθρο 80, παράγραφος 2, του εν λόγω κανονισμού, τα κράτη μέλη πρέπει να κάνουν χρήση της ευχέρειας που τους παρέχει η διάταξη αυτή, προβλέποντας στην εθνική τους νομοθεσία τον τρόπο εκπροσωπήσεως των υποκειμένων των δεδομένων.
57. Το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, λόγω, αν μη τι άλλο, του προαιρετικού χαρακτήρα του και των συνακόλουθων διαφορών που ενδέχεται να ανακύψουν μεταξύ των εθνικών νομοθεσιών, δεν μπορεί να θεωρηθεί ότι προέβη σε πλήρη εναρμόνιση όσον αφορά τις άνευ εντολής αντιπροσωπευτικές αγωγές οι οποίες ασκούνται σε υποθέσεις προστασίας των δεδομένων προσωπικού χαρακτήρα. Εντούτοις, τα κράτη μέλη οφείλουν, κατά την εφαρμογή της διάταξης αυτής στην εθνική τους νομοθεσία, να τηρούν τους όρους και τα όρια με τα οποία ο νομοθέτης της Ένωσης θέλησε να πλαισιώσει την άσκηση της δυνατότητας που προβλέπεται στην ως άνω διάταξη.
58. Μολονότι, σε σύγκριση με τα ισχύοντα υπό την οδηγία 95/46, η ρύθμιση είναι ακριβέστερη, τα κράτη μέλη διατηρούν ωστόσο περιθώριο εκτιμήσεως κατά την εφαρμογή του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679.
59. Από τα στοιχεία που διαθέτει το Δικαστήριο προκύπτει ότι ο Γερμανός νομοθέτης δεν θέσπισε, μετά την έναρξη ισχύος του κανονισμού αυτού, διάταξη που να αποσκοπεί ειδικώς στην εφαρμογή του άρθρου 80, παράγραφος 2, του εν λόγω κανονισμού στην εθνική έννομη τάξη. Θα πρέπει πάντως, όπως ζητεί το αιτούν δικαστήριο από το Δικαστήριο, να εξεταστεί αν συμβιβάζονται με τη συγκεκριμένη διάταξη οι προϋφιστάμενοι κανόνες της γερμανικής νομοθεσίας, οι οποίοι παρέχουν σε ένωση προστασίας καταναλωτών ενεργητική νομιμοποίηση για την άσκηση αγωγής παραλείψεως συμπεριφοράς που συνιστά παράβαση τόσο των διατάξεων του κανονισμού 2016/679 όσο και των κανόνων με αντικείμενο, μεταξύ άλλων, την προστασία των καταναλωτών. Με άλλα λόγια, συνάδει η εθνική νομοθεσία η οποία ίσχυε ήδη πριν από την έναρξη ισχύος του κανονισμού αυτού με το περιεχόμενο του άρθρου 80, παράγραφος 2, του κανονισμού;
60. Όπως διευκρίνισε η Γερμανική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, οι εθνικές διατάξεις οι οποίες εξουσιοδοτούν ενώσεις, όπως η Ομοσπονδιακή ένωση, να ασκούν αντιπροσωπευτική αγωγή, όπως η επίδικη στην κύρια δίκη, αποτελούν μέτρα μεταφοράς της οδηγίας 2009/22. Για να δοθεί απάντηση στο ζήτημα αν το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 επιτρέπει επίσης μια τέτοια αγωγή, και επομένως αν οι ίδιες εθνικές διατάξεις καλύπτονται από το περιθώριο εκτιμήσεως το οποίο αναγνωρίζεται σε κάθε κράτος μέλος (36), πρέπει το άρθρο αυτό να ερμηνευθεί λαμβανομένων υπόψη, ιδίως, του γράμματός του καθώς και της όλης οικονομίας και των σκοπών του κανονισμού.
Γ. Η γραμματική, συστηματική και τελολογική ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679
61. Κατά το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, οι εκεί προβλεπόμενες αντιπροσωπευτικές αγωγές μπορούν να ασκηθούν από «κάθε φορέα, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1» του άρθρου αυτού. Το άρθρο 80, παράγραφος 1, του κανονισμού κάνει λόγο για «μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα». Ένας τέτοιος ορισμός δεν μπορεί, κατά τη γνώμη μου, να αφορά μόνον τους φορείς που έχουν ως μοναδικό και αποκλειστικό σκοπό την προστασία των δεδομένων προσωπικού χαρακτήρα, αλλά καλύπτει και όλους εκείνους που επιδιώκουν σκοπό δημοσίου συμφέροντος ο οποίος συνδέεται με την προστασία των δεδομένων προσωπικού χαρακτήρα. Τούτο ισχύει στην περίπτωση των ενώσεων προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, που οδηγούνται στην άσκηση αγωγών παραλείψεως συμπεριφορών οι οποίες, καθώς αντιβαίνουν στις διατάξεις του κανονισμού, παραβιάζουν επίσης τους κανόνες σχετικά με την προστασία των καταναλωτών ή την καταπολέμηση του αθέμιτου ανταγωνισμού (37).
62. Κατά το γράμμα του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679, η αντιπροσωπευτική αγωγή μπορεί να ασκηθεί από φορέα που πληροί τις προϋποθέσεις της παραγράφου 1 του άρθρου αυτού «εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του [παρόντος κανονισμού] παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας». Σε αντίθεση με όσα αφήνει μάλλον να εννοηθούν το αιτούν δικαστήριο, δεν είμαι της γνώμης ότι η τελευταία αυτή φράση πρέπει να ερμηνευθεί περιοριστικά, δηλαδή υπό την έννοια ότι, προκειμένου να νομιμοποιείται ενεργητικώς σύμφωνα με τα όσα προβλέπει το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, ένας φορέας θα πρέπει εκ των προτέρων να εξατομικεύσει ένα ή περισσότερα πρόσωπα που να θίγονται συγκεκριμένα από την επίμαχη επεξεργασία. Οι προπαρασκευαστικές εργασίες για την έκδοση του κανονισμού αυτού ουδόλως στηρίζουν τέτοια ερμηνεία. Επιπλέον, φρονώ ότι ο ίδιος ο ορισμός του «υποκειμένου των δεδομένων», κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού, το οποίο αναφέρεται σε «ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» (38), δεν συνάδει με την απαίτηση να είναι τα πρόσωπα που αποτελούν αντικείμενο αντίθετης προς τις διατάξεις του κανονισμού 2016/679 επεξεργασίας δεδομένων ήδη ταυτοποιημένα κατά τον χρόνο άσκησης αντιπροσωπευτικής αγωγής δυνάμει του άρθρου 80, παράγραφος 2, του κανονισμού αυτού. Κατά λογική ακολουθία, δεν είναι δυνατόν να απαιτείται, βάσει της διατάξεως αυτής, από έναν φορέα να προβάλλει συγκεκριμένες περιπτώσεις σχετικά με ατομικώς προσδιορισμένα πρόσωπα προκειμένου να νομιμοποιείται να κινηθεί σύμφωνα με τα προβλεπόμενα από την εν λόγω διάταξη.
63. Φρονώ ότι η άσκηση αντιπροσωπευτικής αγωγής δυνάμει του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 προϋποθέτει μόνον την επίκληση της ύπαρξης επεξεργασίας δεδομένων προσωπικού χαρακτήρα αντίθετης προς τις διατάξεις του κανονισμού οι οποίες προστατεύουν ατομικά δικαιώματα, και άρα ικανής να θίξει τα δικαιώματα ταυτοποιημένων ή ταυτοποιήσιμων προσώπων, χωρίς η ενεργητική νομιμοποίηση του οικείου φορέα να υπόκειται στην κατά περίπτωση εξέταση του ζητήματος αν έχουν προσβληθεί τα δικαιώματα ενός ή περισσοτέρων συγκεκριμένων προσώπων (39). Εν συνόψει, μια τέτοια αγωγή πρέπει να θεμελιώνεται στην προσβολή των δικαιωμάτων που δύναται να αντλήσει ένα φυσικό πρόσωπο από τον κανονισμό συνεπεία επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Η αγωγή αυτή δεν έχει ως αντικείμενο την προστασία αντικειμενικού δικαιώματος, αλλά των υποκειμενικών δικαιωμάτων που αντλούν ευθέως από τον κανονισμό 2016/679 τα υποκείμενα των δεδομένων (40). Με άλλα λόγια, σκοπός της ρήτρας παρεκκλίσεως που περιλαμβάνεται στο άρθρο 80, παράγραφος 2, του κανονισμού αυτού είναι να δοθεί στους νομιμοποιούμενους φορείς η δυνατότητα να ζητούν είτε από εποπτική είτε και από δικαστική αρχή να ελέγξει την τήρηση, από τους υπεύθυνους επεξεργασίας, των προβλεπόμενων στον κανονισμό κανόνων προστασίας των υποκειμένων των δεδομένων (41). Υπό την οπτική αυτή, προκειμένου ένας φορέας να έχει ενεργητική νομιμοποίηση βάσει της διατάξεως αυτής, αρκεί να επικαλεστεί παράβαση διατάξεων του κανονισμού 2016/679 που έχουν ως αντικείμενο την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
64. Όπως επισημαίνει κατ’ ουσίαν η Επιτροπή, το πεδίο εφαρμογής του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 θα περιοριζόταν σημαντικά αν η διάταξη αυτή ερμηνευόταν υπό την έννοια ότι ένας φορέας οφείλει, προκειμένου να μπορεί να ασκήσει αντιπροσωπευτική αγωγή χωρίς εντολή, να αποδείξει ή να ισχυριστεί ότι προσβλήθηκαν σε δεδομένη κατάσταση τα δικαιώματα συγκεκριμένου προσώπου. Συμφωνώ με την Πορτογαλική Κυβέρνηση και με την Επιτροπή ότι το άρθρο 80, παράγραφος 2, του κανονισμού αυτού πρέπει να ερμηνεύεται κατά τέτοιον τρόπο ώστε να διατηρεί την πρακτική αποτελεσματικότητά του σε σχέση με την παράγραφο 1 του ίδιου άρθρου. Ως εκ τούτου, το άρθρο 80, παράγραφος 2, του εν λόγω κανονισμού έχει, κατά τη γνώμη μου, την έννοια ότι υπερβαίνει την εκπροσώπηση ατομικών περιπτώσεων, η οποία αποτελεί το αντικείμενο της παραγράφου 1 του άρθρου αυτού, διανοίγοντας τη δυνατότητα εκπροσωπήσεως, με πρωτοβουλία των νομιμοποιούμενων ενώσεων και αυτοτελώς, των συλλογικών συμφερόντων των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία αντίθετη προς τον κανονισμό 2016/679. Η αποτελεσματικότητα του άρθρου 80, παράγραφος 2, του κανονισμού αυτού θα περιοριζόταν σε μεγάλο βαθμό αν γινόταν δεκτό ότι, όπως απαιτείται και από την παράγραφο 1 του άρθρου αυτού, σε αμφότερες τις περιπτώσεις ο οικείος φορέας ασκεί αγωγή προς εκπροσώπηση προσώπων ρητώς και ατομικώς κατονομαζόμενων.
65. Η ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 την οποία προκρίνω είναι άλλωστε συμβατή με τον προληπτικό χαρακτήρα και τον αποτρεπτικό σκοπό των αγωγών παραλείψεως, καθώς και με την αυτοτέλειά τους έναντι κάθε είδους ατομικής διαφοράς (42).
66. Για να αποφευχθεί ο κίνδυνος δημιουργίας δύο διαφορετικών καθεστώτων όσον αφορά την ενεργητική νομιμοποίηση των φορέων που νομιμοποιούνται να ασκήσουν αγωγή παραλείψεως, ανάλογα με το αν μια τέτοια αγωγή θεμελιώνεται σε εθνικό μέτρο που εμπίπτει στο πεδίο εφαρμογής του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 ή σε εκείνο της οδηγίας 2020/1828, θεωρώ ότι ενδείκνυται, μολονότι η οδηγία αυτή δεν έχει εφαρμογή στο πλαίσιο της διαφοράς της κύριας δίκης, να ληφθεί υπόψη ότι η τελευταία δεν απαιτεί από παρόμοιους φορείς να επικαλεστούν την ύπαρξη μεμονωμένων κατονομαζόμενων καταναλωτών που εθίγησαν από την επίδικη παράβαση (43), αλλά να επικαλεστούν ότι επαγγελματίες παρέβησαν τις διατάξεις του δικαίου της Ένωσης που απαριθμούνται στο παράρτημα Ι της εν λόγω οδηγίας (44), στο σημείο 56 του οποίου μνημονεύεται, εξάλλου, ο κανονισμός 2016/679.
67. Η άποψη υπέρ μιας περιοριστικής ερμηνείας του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 αντιπαραβάλλει, εσφαλμένως κατά τη γνώμη μου, την προστασία των συλλογικών συμφερόντων των καταναλωτών (45) προς την προστασία των δικαιωμάτων κάθε προσώπου του οποίου τα δικαιώματα υποβάλλονται σε επεξεργασία φερόμενη ως αντίθετη προς τον κανονισμό. Ειδικότερα, η προστασία των συλλογικών συμφερόντων των καταναλωτών δεν αποκλείει, κατά τη γνώμη μου, την προστασία των δικαιωμάτων που αντλούν ευθέως από τον κανονισμό 2016/679 τα υποκείμενα των δεδομένων, αλλά ενσωματώνει, αντιθέτως, μια τέτοια προστασία.
68. Άλλωστε η αιτιολογική σκέψη 15 της οδηγίας 2020/1828, και πιο συγκεκριμένα η φράση «οι μηχανισμοί επιβολής που προβλέπονται ή βασίζονται […] στον κανονισμό 2016/679 […] θα μπορούν, κατά περίπτωση, να εξακολουθούν να χρησιμοποιούνται για την προστασία των συλλογικών συμφερόντων των καταναλωτών» (46), επιβεβαιώνει ότι η αντιπροσωπευτική αγωγή που προβλέπεται στο άρθρο 80, παράγραφος 2, του κανονισμού αυτού μπορεί πράγματι να αποσκοπεί στην προστασία τέτοιων συμφερόντων.
69. Από τα προεκτεθέντα στοιχεία συνάγω ότι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 εξουσιοδοτεί τα κράτη μέλη να προβλέπουν τη δυνατότητα των νομιμοποιούμενων φορέων να ασκούν, χωρίς εντολή από τα υποκείμενα των δεδομένων, αντιπροσωπευτικές αγωγές για την προστασία των συλλογικών συμφερόντων των καταναλωτών, εφόσον προβάλλεται παράβαση των διατάξεων του κανονισμού αυτού οι οποίες έχουν ως αντικείμενο την παροχή δικαιωμάτων στα υποκείμενα των δεδομένων.
70. Εν προκειμένω, αυτό ακριβώς ισχύει για την αγωγή παραλείψεως την οποία άσκησε η Ομοσπονδιακή ένωση κατά της Facebook Ireland.
71. Πράγματι, υπενθυμίζω ότι, κατά το αιτούν δικαστήριο και σύμφωνα με τα αιτήματα της Ομοσπονδιακής ένωσης, η Facebook Ireland παρέβη την υποχρέωση την οποία υπέχει από το άρθρο 12, παράγραφος 1, πρώτο εδάφιο, του κανονισμού 2016/679, να γνωστοποιεί στο υποκείμενο των δεδομένων, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, τις πληροφορίες που μνημονεύονται στο άρθρο 13, παράγραφος 1, στοιχεία γʹ και εʹ, του κανονισμού αυτού, όσον αφορά τον σκοπό επεξεργασίας των δεδομένων και τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα. Οι διατάξεις αυτές ανήκουν μετά βεβαιότητας στην κατηγορία εκείνων που παρέχουν δικαιώματα στα υποκείμενα των δεδομένων, όπερ επιβεβαιώνεται ιδίως από τη διαπίστωση ότι περιλαμβάνονται στο Κεφάλαιο ΙΙΙ του κανονισμού, το οποίο τιτλοφορείται «Δικαιώματα του υποκειμένου των δεδομένων». Επομένως, η προστασία των δικαιωμάτων αυτών μπορεί να ζητηθεί είτε ευθέως από τα υποκείμενα των δεδομένων είτε από φορέα που έχει εξουσιοδοτηθεί προς τούτο δυνάμει του άρθρου 80, παράγραφος 1, του κανονισμού 2016/679 ή ακόμη και εθνικών διατάξεων με τις οποίες εφαρμόζεται το άρθρο 80, παράγραφος 2, του κανονισμού.
72. Εκτιμώ επίσης ότι δεν προσκρούουν στο άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 εθνικές διατάξεις οι οποίες εξουσιοδοτούν ένωση προστασίας καταναλωτών να ασκήσει αγωγή παραλείψεως προκειμένου να διασφαλίσει την προστασία των δικαιωμάτων που παρέχει ο κανονισμός αυτός, μέσω της εφαρμογής κανόνων οι οποίοι έχουν ως αντικείμενο την προστασία των καταναλωτών ή την καταπολέμηση των αθέμιτων εμπορικών πρακτικών. Πράγματι, τέτοιοι κανόνες είναι πιθανόν να περιλαμβάνουν διατάξεις παρόμοιες με εκείνες που περιέχονται στον κανονισμό, ιδίως όσον αφορά την ενημέρωση των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των προσωπικών τους δεδομένων (47), όπερ σημαίνει ότι η παράβαση κανόνα σχετικού με την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να συνεπάγεται ταυτόχρονα την παράβαση κανόνων σχετικών με την προστασία των καταναλωτών ή τις αθέμιτες εμπορικές πρακτικές. Από πλευράς του γράμματος του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679, τίποτε δεν εμποδίζει να τεθεί η εκεί προβλεπόμενη ρήτρα παρεκκλίσεως σε μερική εφαρμογή, υπό την έννοια ότι σκοπός της αντιπροσωπευτικής αγωγής είναι να προστατευθούν τα δικαιώματα τα οποία αντλούν τα υποκείμενα των δεδομένων, ως καταναλωτές, από τον ως άνω κανονισμό (48).
73. H προτεινόμενη ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 είναι, κατ’ εμέ, η καταλληλότερη για την επίτευξη των σκοπών που επιδιώκει ο κανονισμός.
74. Το Δικαστήριο έχει κρίνει ειδικότερα ότι, «όπως προκύπτει από το άρθρο 1, παράγραφος 2, του κανονισμού 2016/679, σε συνδυασμό με τις αιτιολογικές σκέψεις 10, 11 και 13 του κανονισμού αυτού, ο εν λόγω κανονισμός επιβάλλει στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και στις αρμόδιες αρχές των κρατών μελών, την υποχρέωση να διασφαλίζουν υψηλό επίπεδο προστασίας των δικαιωμάτων που κατοχυρώνονται στο άρθρο 16 ΣΛΕΕ και στο άρθρο 8 του Χάρτη [των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης]» (49). Εξάλλου, ο κανονισμός επιδιώκει «τη διασφάλιση της αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως του δικαιώματός τους στην προστασία της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα» (50).
75. Θα ήταν αντίθετο προς τον σκοπό της διασφάλισης υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα να εμποδίζονται τα κράτη μέλη να θέτουν σε εφαρμογή πολιτικές οι οποίες, ενώ επιδιώκουν τον σκοπό της προστασίας των καταναλωτών, συμβάλλουν επίσης στην επίτευξη του σκοπού της προστασίας των δεδομένων προσωπικού χαρακτήρα. Όπως και στην περίπτωση της οδηγίας 95/46, μπορεί ακόμη να υποστηριχθεί, και μετά την έναρξη ισχύος του κανονισμού 2016/679, ότι η αναγνώριση ενεργητικής νομιμοποίησης σε ενώσεις προστασίας καταναλωτών για την άσκηση αγωγών με αίτημα την παύση επεξεργασίας δεδομένων αντίθετης προς τον κανονισμό αυτό συμβάλλει στην ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων διά των μέσων συλλογικής έννομης προστασίας (51).
76. Συνεπώς, η προάσπιση των συλλογικών συμφερόντων των καταναλωτών από ενώσεις αποτελεί ιδιαιτέρως πρόσφορο μέσο για την επίτευξη του σκοπού της διασφάλισης υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα. Από την άποψη αυτή, ο προληπτικός χαρακτήρας των αγωγών που ασκούν οι ενώσεις αυτές δεν θα ήταν δυνατόν να διασφαλιστεί αν, στο πλαίσιο της προβλεπόμενης από το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 αντιπροσωπευτικής αγωγής, επιτρεπόταν μόνον η επίκληση της προσβολής των δικαιωμάτων προσώπου το οποίο θίγεται ατομικά και συγκεκριμένα από την προσβολή.
77. Ως εκ τούτου, αγωγή παραλείψεως η οποία ασκείται από ένωση προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, συμβάλλει αναμφίβολα στη διασφάλιση της αποτελεσματικής εφαρμογής των δικαιωμάτων που προστατεύονται από τον κανονισμό 2016/679 (52).
78. Θα ήταν άλλωστε τουλάχιστον παράδοξο η ενίσχυση των μέσων εποπτείας των κανόνων που διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα την οποία επιδιώκει ο νομοθέτης της Ένωσης με την έκδοση του κανονισμού 2016/679 να καταλήγει εν τέλει σε πτώση του επιπέδου της προστασίας αυτής, σε σχέση με εκείνη που ήταν σε θέση να διασφαλίζουν τα κράτη μέλη υπό το καθεστώς της οδηγίας 95/46.
79. Είναι αληθές ότι, σε αντίθεση με τις Ηνωμένες Πολιτείες Αμερικής, στο δίκαιο της Ένωσης, οι ρυθμίσεις οι οποίες αφορούν, αφενός, τις αθέμιτες εμπορικές πρακτικές και, αφετέρου, την προστασία των δεδομένων προσωπικού χαρακτήρα αναπτύχθηκαν χωριστά. Οι δύο τομείς υπόκεινται συνεπώς σε διαφορετικά κανονιστικά πλαίσια.
80. Υφίστανται ωστόσο αλληλεπιδράσεις μεταξύ των δύο αυτών τομέων, με αποτέλεσμα οι αγωγές που εντάσσονται στο πλαίσιο της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα να δύνανται, ταυτόχρονα και έμμεσα, να συμβάλλουν στην παύση αθέμιτης εμπορικής πρακτικής. Το αντίστροφο ισχύει επίσης (53). Επίσης, η συνάφεια μεταξύ της προστασίας των δεδομένων προσωπικού χαρακτήρα, υπό το πρίσμα της συναίνεσης στην επεξεργασία των δεδομένων αυτών, και της προστασίας των καταναλωτών βρίσκει έκφραση στον ίδιο τον κανονισμό 2016/679, ιδιαίτερα στην αιτιολογική σκέψη 42. Η Επιτροπή, εξάλλου, έχει αναφερθεί στις αλληλεπιδράσεις ανάμεσα στη νομοθεσία της Ένωσης περί προστασίας των δεδομένων προσωπικού χαρακτήρα και στην οδηγία 2005/29/ΕΚ (54).
81. Οι αλληλεπιδράσεις μεταξύ του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα, του δικαίου του καταναλωτή και του δικαίου του ανταγωνισμού είναι πολλές και συχνές, στον βαθμό που η ίδια συμπεριφορά δύναται να εμπίπτει ταυτόχρονα σε κανόνες δικαίου που ανήκουν στους διαφορετικούς αυτούς τομείς. Τέτοιες αλληλεπιδράσεις συμβάλλουν στην αποτελεσματικότερη προστασία των δεδομένων προσωπικού χαρακτήρα (55).
82. Βεβαίως, οι δικαιούχοι των προβλεπόμενων από τον κανονισμό 2016/679 δικαιωμάτων δεν είναι απλώς και μόνον οι καταναλωτές, καθώς ο κανονισμός δεν στηρίζεται στην αντίληψη ότι η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (56) αποτελεί απλώς πτυχή του καταναλωτικού φαινομένου, αλλά ότι η προστασία αυτή συνιστά, σύμφωνα με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων και όπως τονίζεται ιδίως στην αιτιολογική σκέψη 1 και στο άρθρο 1, παράγραφος 2, του εν λόγω κανονισμού, θεμελιώδες δικαίωμα (57).
83. Εντούτοις, στην εποχή της ψηφιακής οικονομίας, τα υποκείμενα των δεδομένων έχουν συχνά την ιδιότητα των καταναλωτών. Για τον λόγο αυτό, οι κανόνες που αποσκοπούν στην προστασία των καταναλωτών αξιοποιούνται συχνά προς διασφάλιση της προστασίας τους και σε περιπτώσεις επεξεργασίας των προσωπικών τους δεδομένων αντίθετης προς τις διατάξεις του κανονισμού 2016/679.
84. Κατόπιν της αναλύσεως αυτής, διαπιστώνεται ότι ενδέχεται να υφίσταται αλληλεπικάλυψη μεταξύ της αντιπροσωπευτικής αγωγής που προβλέπεται στο άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 και εκείνης που προβλέπεται στην οδηγία 2020/1828 για τη λήψη μέτρων παραλείψεως, εφόσον τα «υποκείμενα των δεδομένων», κατά την έννοια του κανονισμού, έχουν επίσης την ιδιότητα του «καταναλωτή», κατά την έννοια του άρθρου 3, σημείο 1, της οδηγίας (58). Αυτό αποτελεί, κατά τη γνώμη μου, δείγμα της ύπαρξης συμπληρωματικότητας και της σύγκλισης του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα με άλλους τομείς του δικαίου, όπως το δίκαιο του καταναλωτή και το δίκαιο του ανταγωνισμού. Με την έκδοση της προαναφερθείσας οδηγίας, ο νομοθέτης της Ένωσης πήγε ένα βήμα παραπέρα, συνδέοντας ρητώς την προστασία των συλλογικών συμφερόντων των καταναλωτών με την τήρηση του κανονισμού 2016/679. Ως εκ τούτου, η αποτελεσματική εφαρμογή των κανόνων του ενισχύεται ακόμη περισσότερο.
V. Πρόταση
85. Κατόπιν των ανωτέρω, προτείνω στο Δικαστήριο να απαντήσει στο προδικαστικό ερώτημα του Bundesgerichtshof (Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία) ως εξής:
Το άρθρο 80, παράγραφος 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι επιτρέπει εθνική νομοθεσία η οποία παρέχει στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα, επικαλούμενες την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών, εφόσον η αντιπροσωπευτική αγωγή η οποία ασκείται συναφώς αποσκοπεί στην εξασφάλιση της τήρησης των δικαιωμάτων που αντλούν ευθέως από τον κανονισμό τα πρόσωπα των οποίων τα δεδομένα υποβάλλονται στην αμφισβητούμενη επεξεργασία.