CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

MIŠLJENJE NEZAVISNOG ODVJETNIKA

JEANA RICHARDA DE LA TOURA

od 2. prosinca 2021.(1)

Predmet C‑319/20

Facebook Ireland Limited

protiv

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(zahtjev za prethodnu odluku koji je uputio Bundesgerichtshof (Savezni vrhovni sud, Njemačka))

„Zahtjev za prethodnu odluku – Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 80. stavak 2. – Pravo na djelotvoran pravni lijek – Zastupanje ispitanika od strane neprofitne udruge – Aktivna procesna legitimacija udruge za zaštitu interesa potrošača”

I. Uvod

1. U modernom gospodarstvu, koje obilježava razvoj digitalnog gospodarstva, obrada osobnih podataka može utjecati na osobe ne samo u svojstvu fizičkih osoba koje ostvaruju prava dodijeljena Uredbom (EU) 2016/679(2), nego i u svojstvu potrošača.

2. Posljedica tog svojstva jest ta da udruge za zaštitu interesa potrošača sve češće podnose tužbe radi prestanka postupanja nekih voditelja obrade kojima se istovremeno ugrožavaju prava zaštićena tom uredbom i drugim pravilima koja proizlaze iz prava Unije i nacionalnog prava, osobito u području zaštite prava potrošača i suzbijanja nepoštenih poslovnih praksi.

3. Predmetni zahtjev za prethodnu odluku upućen je u okviru spora između Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Savezna unija organizacija i udruga potrošača; u daljnjem tekstu: Savezna unija) i društva Facebook Ireland Limited, čije se sjedište nalazi u Irskoj. Savezna unija predbacuje tom društvu povredu njemačkog zakonodavstva o zaštiti osobnih podataka, koja istovremeno predstavlja nepoštenu poslovnu praksu, povredu zakona u području zaštite potrošača i povredu zabrane primjene ništetnih općih uvjeta poslovanja.

4. Tim se zahtjevom u osnovi poziva Sud da protumači članak 80. stavak 2. Uredbe 2016/679 kako bi se utvrdilo protivi li se toj odredbi to što udruge za zaštitu interesa potrošača zadržavaju, nakon stupanja na snagu te uredbe, aktivnu procesnu legitimaciju koju im nacionalno pravo priznaje kako bi ishodili prestanak postupanja koja istovremeno predstavljaju povredu prava dodijeljenih navedenom uredbom i povredu pravila čiji je cilj zaštita prava potrošača i suzbijanje nepoštenih poslovnih praksi. Budući da je za takvu aktivnu procesnu legitimaciju Sud presudio(3) da je spojiva s Direktivom 95/46/EZ(4), na njemu će biti da prosudi je li Uredba 2016/679 izmijenila pravno stanje s tim u vezi.

II. Pravni okvir

A. Uredba 2016/679

5. Članak 80. Uredbe 2016/679, naslovljen „Zastupanje ispitanika”, formuliran je kako slijedi(5):

„1. Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članaka 77., 78. i 79. u njegovo ime te da ostvaruju pravo na naknadu iz članka 82. u ime ispitanika ako je to predviđeno pravom države članice.

2. Države članice mogu predvidjeti da svako tijelo, organizacija ili udruženje iz stavka 1. ovog članka, neovisno o mandatu ispitanika, ima pravo u toj državi članici podnijeti pritužbu nadzornom tijelu nadležnom u skladu s člankom 77. i ostvarivati prava iz članaka 78. i 79. ako smatra da su uslijed obrade osobnih podataka prekršena prava ispitanika iz ove Uredbe.”

B. Njemačko pravo

6. Članak 3. stavak 1. Gesetza gegen den unlauteren Wettbewerb (Zakon o zaštiti od nepoštenog tržišnog natjecanja)(6) od 3. srpnja 2004., u verziji koja se primjenjuje u glavnom postupku, određuje:

„Nepoštena poslovna praksa je nezakonita.”

7. Članak 3.a UWG‑a glasi kako slijedi:

„Tko povrijedi zakonsku odredbu namijenjenu, među ostalim, uređenju djelovanja na tržištu u interesu njegovih sudionika, čini akt nepoštenog tržišnog natjecanja ako ta povreda može znatno utjecati na interese potrošača, drugih sudionika na tržištu ili konkurenata.”

8. Člankom 8. stavcima 1. i 3. UWG‑a određeno je:

„(1) U slučaju nezakonite poslovne prakse na temelju članka 3. ili članka 7., može se naložiti trenutačni prestanak povrede (zabrana) i, u slučaju da postoji opasnost od ponavljanja povrede, prestanak povrede ubuduće (suzdržavanje). Pravo na prestanak ubuduće (suzdržavanje) nastaje čim postoji opasnost od povrede članka 3. ili 7.

[…]

(3) Nositelji prava dodijeljenih stavkom 1. su sljedeći:

[…]

3. kvalificirani subjekti koji pokažu da su uvršteni na popis kvalificiranih subjekata iz članka 4. [Gesetza über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Zakon o tužbama za prestanak povrede potrošačkih i drugih prava)(7) od 26. studenoga 2001., u verziji koja se primjenjuje u sporu u glavnom postupku,] ili na popis Europske komisije iz članka 4. stavka 3. Direktive 2009/22/EZ Europskog parlamenta i Vijeća od 23. travnja 2009. o sudskim nalozima za zaštitu interesa potrošača[(8)];

[…]”

9. Članak 2. UKlaG‑a predviđa:

„(1) U slučaju povrede pravila o zaštiti potrošača (zakoni o zaštiti potrošača) na način koji ne uključuje primjenu ili preporuku općih uvjeta, može se naložiti prestanak povrede ubuduće i trenutačni prestanak povrede u interesu zaštite potrošača […]

(2) U smislu ove odredbe, ‚zakoni o zaštiti potrošača’ osobito znače:

[…]

11. pravila kojima se definira zakonitost

(a) prikupljanja osobnih podataka potrošača od strane poduzetnika ili

(b) obrade ili korištenja osobnih podataka koje je o potrošaču prikupio poduzetnik,

ako se podaci prikupljaju, obrađuju ili se njima koristi za potrebe oglašavanja, istraživanja tržišta i javnog mnijenja, vođenja obavještajne agencije, izrade osobnih i korisničkih profila, ostalog trgovanja podacima ili za slične komercijalne potrebe.

[…]”

10. Bundesgerichtshof (Savezni vrhovni sud, Njemačka) navodi da na temelju članka 3. stavka 1. prve rečenice točke 1. UKlaG‑a tijela koja imaju aktivnu procesnu legitimaciju, u smislu te odredbe, mogu pokretati postupke za prestanak kršenja zakonodavstva u području zaštite potrošača koje, u skladu s člankom 2. stavkom 2. prvom rečenicom točkom 11. tog zakona, obuhvaćaju također odredbe koje uređuju zakonitost prikupljanja, obrade i korištenja osobnih podataka potrošača od strane poduzetnika u svrhu oglašavanja. Osim toga, također na temelju članka 3. stavka 1. prve rečenice točke 1. UKlaG‑a, tijela koja imaju aktivnu procesnu legitimaciju mogu, u skladu s člankom 1. UKlaG‑a, zahtijevati prestanak primjene ništetnih općih uvjeta poslovanja na temelju članka 307. Bürgerliches Gesetzbucha (Građanski zakonik), kada smatraju da ti opći uvjeti poslovanja krše neku odredbu u području zaštite podataka.

11. Članak 13. stavak 1. Telemediengesetza (Zakon o elektroničkim medijima)(9) od 26. veljače 2007. glasi kako slijedi:

„Pružatelj usluga dužan je korisnika od samog početka uporabe obavijestiti, u općenito razumljivom obliku, o prirodi, opsegu i svrsi prikupljanja i uporabe osobnih podataka te o obradi njegovih podataka u državama na koje se ne primjenjuje [Direktiva 95/46] , ako korisnik o tome već nije bio obaviješten. Korisnika se u slučaju automatiziranog postupka koji omogućuje naknadnu identifikaciju korisnika te kojim se priprema prikupljanje ili korištenje osobnih podataka, mora obavijestiti na samom početku tog postupka. Sadržaj tih informacija mora u svakom trenutku biti dostupan korisniku.”

III. Činjenice u glavnom postupku i prethodno pitanje

12. U Njemačkoj je Savezna unija uvrštena na popis subjekata koji imaju aktivnu procesnu legitimaciju na temelju članka 4. UKlaG‑a. Društvo Facebook Ireland upravlja na adresi www.facebook.de internetskom platformom Facebook koja omogućava razmjenu osobnih i drugih podataka.

13. Internetska platforma Facebook sadržava prostor pod nazivom „App‑Zentrum” (Centar za aplikacije) na kojem društvo Facebook Ireland stavlja svojim korisnicima na raspolaganje, među ostalim, besplatne igre trećih osoba. Prilikom pregledavanja pojedinih igara u Centru za aplikacije 26. studenoga 2012., korisnik je mogao primijetiti određeni broj informacija pod tipkom „Sofort spielen” (Započni igru). Iz tih informacija u bitnome proizlazi da je korištenje dotičnom aplikacijom omogućilo društvu koje je isporučilo igre da dobije određeni broj osobnih podataka i ovlastilo ga da u ime korisnika objavi neke informacije, primjerice njegov rezultat. To korištenje podrazumijevalo je da je korisnik prihvatio opće uvjete korištenja i njegovu politiku u području zaštite podataka. Usto, u slučaju igre Scrabble navedeno je da se aplikaciji dopušta objaviti status, slike i druge informacije u korisnikovo ime.

14. Savezna unija prigovara prikazu informacija navedenih pod tipkom „Započni igru” u Centru za aplikacije iz razloga što su one nepoštene, osobito zbog nepoštovanja zakonskih uvjeta koji se primjenjuju na ishođenje valjane privole korisnika na temelju odredbi kojima je uređena zaštita podataka. Usto smatra da je konačna napomena u slučaju igre Scrabble opći uvjet kojim se korisnika na neprimjeren način stavlja u nepovoljan položaj.

15. U tom je kontekstu Savezna unija podnijela Landgerichtu Berlin (Zemaljski sud u Berlinu, Njemačka) tužbu za prestanak povrede protiv društva Facebook Ireland. Sud koji je uputio zahtjev pojašnjava da je ta tužba podnesena neovisno o konkretnoj povredi prava na zaštitu podataka ispitanika i bez ovlaštenja takve osobe.

16. Savezna unija zatražila je da se, pod prijetnjom izricanja mjera u vidu novčane kazne, društvu Facebook Ireland zabrani da „u okviru poslovnih aktivnosti prema potrošačima s trajnim boravištem u […] Njemačkoj, na internetskoj stranici pod adresom www.facebook.com prikazuje igre u „Centru za aplikacije” na način da pritiskom na tipku poput ,[Započni igru]’ potrošač izjavljuje da putem društvene mreže kojom upravlja [društvo Facebook Ireland] organizator igre može pribavljati informacije o osobnim podacima koji se tamo nalaze i da mu se dopušta prosljeđivati (objavljivati) podatke u ime potrošača […]”.

17. Savezna unija također je zahtijevala da se društvu Facebook Ireland zabrani da „u sporazume s potrošačima s uobičajenim boravištem u […] Njemačkoj uključuje sljedeću odredbu ili odredbe istovjetnog sadržaja o korištenju aplikacija u okviru društvene mreže, kao i da se poziva na odredbe o prosljeđivanju podataka organizatorima igara: ,Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten’ [Ovoj je aplikaciji dopušteno objavljivati tvoj status, slike i druge informacije u tvoje ime]”.

18. Landgericht Berlin (Zemaljski sud u Berlinu) izdao je društvu Facebook Ireland nalog u skladu sa zahtjevima Savezne unije. Žalba društva Facebook Ireland podnesena Kammergerichtu Berlin (Visoki zemaljski sud u Berlinu, Njemačka) bila je odbijena.

19. Protiv odluke žalbenog suda društvo Facebook Ireland podnijelo je reviziju sudu koji je uputio zahtjev.

20. Glede merituma, sud koji je uputio zahtjev smatra da je žalbeni sud pravilno ocijenio da su zahtjevi Savezne unije osnovani. Naime, time što nije poštovalo obveze obavještavanja koje proizlaze iz članka 13. stavka 1. prvog dijela prve rečenice TMG‑a, društvo Facebook Ireland povrijedilo je članak 3.a UWG‑a i članak 2. stavak 2. prvu rečenicu točku 11. UKlaG‑a. Žalbeni sud pravilno je ocijenio da su odredbe članka 13. TMG‑a o kojima je riječ u konkretnom slučaju, zakonske odredbe koje uređuju djelovanje operatera na tržištu u smislu članka 3.a UWG‑a. Radi se, usto, o odredbama koje, u skladu s člankom 2. stavkom 2. prvom rečenicom točkom 11. podtočkom (a) UKlaG‑a uređuju zakonitost prikupljanja, obrade ili korištenja osobnih podataka potrošača od strane poduzetnika, koji se prikupljaju, obrađuju ili koriste u svrhu oglašavanja. Osim toga, sud koji je uputio zahtjev smatra da je društvo Facebook Ireland primijenilo ništetan opći uvjet poslovanja u smislu članka 1. UKlaG‑a, time što nije poštovalo obveze obavještavanja u području zaštite podataka koje su primjenjive u konkretnom slučaju.

21. Sud koji je uputio zahtjev pita se, međutim, je li žalbeni sud pravilno smatrao da je tužba Savezne unije dopuštena. Naime, dvoji glede pitanja je li od stupanja na snagu Uredbe 2016/679 udruga za zaštitu interesa potrošača, poput Savezne unije, i dalje ovlaštena pokretati postupke podnošenjem tužbe građanskim sudovima protiv povreda te uredbe, i to neovisno o konkretnoj povredi prava pojedinačnih ispitanika i bez ovlaštenja ovih potonjih, pozivajući se na povredu prava u smislu članka 3.a UWG‑a, povredu zakona u području zaštite potrošača u smislu članka 2. stavka 2. prve rečenice točke 11. UKlaG‑a ili pak primjenu ništetnog općeg uvjeta poslovanja na temelju članka 1. UKlaG‑a.

22. Sud koji je uputio zahtjev ističe da dopuštenost tužbe nije bila dvojbena prije stupanja na snagu Uredbe 2016/679. Naime, Savezna unija bila je ovlaštena pokretati postupke radi prestanka povrede pred građanskim sudovima u skladu s člankom 8. stavkom 3. točkom 3. UWG‑a i člankom 3. stavkom 1. prvom rečenicom točkom 1. UKlaG‑a.

23. Prema stajalištu tog istog suda, moguće je da se taj pravni sustav izmijenio zbog stupanja na snagu Uredbe 2016/679.

24. Glede merituma primjećuje da se odredbe članka 13. stavka 1. TMG‑a više ne primjenjuju od tog stupanja na snagu, pri čemu su sada mjerodavne obveze obavještavanja koje proizlaze iz članaka 12. do 14. Uredbe 2016/679. Stoga sud koji je uputio zahtjev smatra da društvo Facebook Ireland nije poštovalo obvezu koju ima na temelju članka 12. stavka 1. prve rečenice te uredbe, a koja se sastoji od toga da se ispitaniku, u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, pruže informacije iz članka 13. stavka 1. točaka (c) i (e) navedene uredbe koje se odnose na svrhu obrade podataka i primatelja osobnih podataka.

25. Glede dopuštenosti tužbe postoji, prema stajalištu suda koji je uputio zahtjev, rasprava o pitanju jesu li subjekti koji imaju aktivnu procesnu legitimaciju u smislu članka 4. UKlaG‑a ovlašteni, od stupanja na snagu Uredbe 2016/679 i u skladu s člankom 8. stavkom 3. točkom 3. UWG‑a, pokretati sudske postupke zbog povreda odredaba te uredbe koje se izravno primjenjuju na temelju članka 288. drugog stavka UFEU‑a, pozivanjem na povredu prava u smislu članka 3.a UWG‑a.

26. U tom pogledu, sud koji je uputio zahtjev ističe postojanje oprečnih stajališta glede pitanja uređuje li sama Uredba 2016/679 iscrpno nadzor nad primjenom svojih odredbi.

27. Taj sud glede teksta Uredbe 2016/679 primjećuje da aktivna procesna legitimacija subjekta poput Savezne unije, na temelju članka 8. stavka 3. točke 3. UWG‑a, nije pokrivena člankom 80. stavkom 1. te uredbe, s obzirom na to da tužba radi prestanka povrede o kojoj je riječ u glavnom postupku nije podnesena na temelju ovlaštenja i u ime ispitanika radi ostvarivanja njegovih osobnih prava. Radi se, naprotiv, o aktivnoj procesnoj legitimaciji Savezne unije na temelju vlastitog prava koje joj u slučaju povrede prava u smislu članka 3.a UWG‑a omogućuje da objektivno djeluje protiv povreda odredaba navedene uredbe, neovisno o povredi konkretnih prava pojedinačnih ispitanika i ovlaštenja od strane ovih potonjih.

28. Sud koji je uputio zahtjev ističe da aktivna procesna legitimacija Savezne unije radi objektivne primjene prava koje se odnosi na zaštitu osobnih podataka nije predviđena člankom 80. stavkom 2. Uredbe 2016/679. Naime, iako ta odredba predviđa mogućnost tužbe od strane takvog subjekta neovisno o ovlaštenju ispitanika, potrebno je, međutim, da su prava ispitanika, kako su predviđena u toj uredbi, bila povrijeđena uslijed obrade osobnih podataka. Slijedom navedenog, odredbe članka 80. stavka 2. navedene uredbe ne dopuštaju, s obzirom na svoj tekst, niti aktivnu procesnu legitimaciju udruga koje ističu objektivne povrede prava glede zaštite osobnih podataka, neovisno o povredi subjektivnih prava konkretnog ispitanika, oslanjajući se, kao u ovom slučaju, na članak 3.a i članak 8. stavak 3. točku 3. UWG‑a. Istovjetan se zaključak može izvesti iz uvodne izjave 142. druge rečenice Uredbe 2016/679 koji također spominje povredu prava ispitanika kao pretpostavku za aktivnu procesnu legitimaciju udruge neovisno o ovlaštenju predmetne osobe.

29. Osim toga, aktivna procesna legitimacija udruge, poput one predviđene u članku 8. stavku 3. UWG‑a, ne može, prema stajalištu suda koji je uputio zahtjev, proizlaziti iz članka 84. stavka 1. Uredbe 2016/679, na temelju kojeg države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja te uredbe te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Naime, aktivna procesna legitimacija udruge, poput one iz članka 8. stavka 3. UWG‑a, ne može se smatrati „sankcijom” u smislu te odredbe navedene uredbe.

30. Sud koji je uputio zahtjev nadalje ističe da struktura Uredbe 2016/679 ne omogućuje da se sa sigurnošću utvrdi, može li se aktivna procesna legitimacija tijela na temelju članka 8. stavka 3. točke 3. UWG‑a, to jest na temelju odredbe namijenjene suzbijanju nepoštenog tržišnog natjecanja, još priznati nakon stupanja na snagu te uredbe. Taj sud smatra da se iz činjenice da ona dodjeljuje nadzornim tijelima široke ovlasti u području nadzora, istrage i radi donošenja korektivnih mjera može zaključiti da je uglavnom na tim tijelima da nadziru primjenu odredbi navedene uredbe. To se protivi širokom tumačenju članka 80. stavka 2. Uredbe 2016/679. Sud koji je uputio zahtjev također ističe da je donošenje nacionalnih mjera za provedbu uredbe moguće samo ako je to izrijekom dopušteno. Međutim, izraz „[n]e dovodeći u pitanje druga […] pravna sredstva” iz članka 77. stavka 1., članka 78. stavaka 1. i 2. te članka 79. stavka 1. te uredbe može opovrgnuti pretpostavku da navedena uredba iscrpno uređuje nadzor nad primjenom prava.

31. Glede cilja Uredbe 2016/679, njezin koristan učinak može također ići u prilog postojanju aktivne procesne legitimacije udruge na temelju prava tržišnog natjecanja, u skladu s člankom 8. stavkom 3. točkom 3. UWG‑a, neovisno o povredi konkretnih prava ispitanika, s obzirom na to da bi se time zadržala dodatna mogućnost nadzora nad primjenom prava, kako bi se osigurala što viša razina zaštite osobnih podataka, u skladu s uvodnom izjavom 10. te uredbe. No, prihvatiti aktivnu procesnu legitimaciju udruge na temelju prava tržišnog natjecanja moglo bi se smatrati suprotnim cilju usklađivanja koji je zadan navedenom uredbom.

32. Sud koji je uputio zahtjev također iznosi svoje dvojbe glede toga postoji li i nakon stupanja na snagu Uredbe 2016/679 aktivna procesna legitimacija tijela iz članka 3. stavka 1. prve rečenice točke 1. UKlaG‑a radi pokretanja postupaka u slučaju povrede odredaba te uredbe, po osnovi tužbi podnesenih zbog nepoštovanja zakona u području zaštite potrošača u smislu članka 2. stavka 2. prve rečenice točke 11. UKlaG‑a. Isto važi glede aktivne procesne legitimacije udruge za zaštitu interesa potrošača, u skladu s člankom 1. UKlaG‑a, radi zahtjeva za prestanak primjene ništetnih općih uvjeta poslovanja, u smislu članka 307. Građanskog zakonika.

33. Pod pretpostavkom da različite nacionalne odredbe na kojima se, prije stupanja na snagu Uredbe 2016/679, zasnivala aktivna procesna legitimacija tijela mogu smatrati preuranjenom provedbom članka 80. stavka 2. te uredbe, priznanje aktivne procesne legitimacije Savezne unije u ovom slučaju zahtijeva, prema stajalištu suda koji je uputio zahtjev, da ona istakne da su prava ispitanika, predviđena u navedenoj uredbi, bila povrijeđena zbog obrade. No, taj uvjet nije ispunjen.

34. Naime, taj sud naglašava da se zahtjevi Savezne unije odnose na apstraktni nadzor prikaza Centra za aplikacije od strane društva Facebook Ireland, s obzirom na objektivno pravo zaštite podataka, pri čemu Savezna unija nije navela povredu prava fizičkih osoba čiji je identitet utvrđen ili se može utvrditi, u smislu članka 4. točke 1. Uredbe 2016/679.

35. Ako se utvrdi da je nakon stupanja na snagu Uredbe 2016/679 Savezna unija izgubila aktivnu procesnu legitimaciju koja počiva na prethodno navedenim odredbama njemačkog prava, sud koji je uputio zahtjev navodi da on treba prihvatiti reviziju koju je podnijelo društvo Facebook Ireland i odbaciti tužbu Savezne unije, s obzirom na to da na temelju njemačkog postupovnog prava aktivna procesna legitimacija mora postojati do kraja postupka u zadnjem stupnju.

36. S obzirom na te okolnosti, Bundesgerichtshof (Savezni vrhovni sud) odlučio je prekinuti postupak i uputiti Sudu sljedeće prethodno pitanje:

„Protive li se odredbama iz poglavlja VIII., osobito članku 80. stavcima 1. i 2. te članku 84. stavku 1. Uredbe 2016/679 nacionalni propisi koji, pored ovlasti intervencije koje imaju nadzorna tijela nadležna za praćenje i provedbu te uredbe i mogućnosti pružanja pravne zaštite ispitanicima, priznaju ovlast s jedne strane konkurentima, a s druge strane udrugama, tijelima i vijećima ovlaštenima u skladu s nacionalnim pravom da zbog povreda Uredbe 2016/679, neovisno o tome jesu li povrijeđena konkretna prava pojedinačnih ispitanika i bez ispitanikova davanja ovlaštenja za postupanje protiv osobe koja je počinila povredu, podnesu tužbu pred građanskim sudovima u pogledu zabrane nepoštenih poslovnih praksi, povrede određenog zakona o zaštiti potrošača ili zabrane primjene ništetnih općih uvjeta poslovanja?”

37. Savezna unija, društvo Facebook Ireland, austrijska i portugalska vlada te Komisija podnijeli su pisana očitovanja. Te su stranke, izuzev portugalske vlade, podnijele zajedno s njemačkom vladom svoja usmena očitovanja na raspravi održanoj 23. rujna 2021.

IV. Analiza

38. Svojim pitanjem sud koji je uputio zahtjev pita, u biti, treba li Uredbu 2016/679, a osobito njezin članak 80. stavak 2., tumačiti na način da im se protivi nacionalni propis kojim se udrugama za zaštitu interesa potrošača dodjeljuje aktivna procesna legitimacija za pokretanje postupka pred sudom protiv navodnog počinitelja povrede zaštite osobnih podataka, u pogledu zabrane nepoštene poslovne prakse, povrede zakona u području zaštite potrošača ili zabrane primjene ništetnih općih uvjeta poslovanja.

39. U skladu s člankom 4. točkom 1. Uredbe 2016/679, „ispitanik” u smislu te uredbe je „pojedin[ac] čiji je identitet utvrđen ili se može utvrditi”. Kada takva osoba smatra da su se njezini osobni podaci obrađivali suprotno odredbama navedene uredbe, ona raspolaže većim brojem sredstava za djelovanje.

40. Tako ispitanik ima, na temelju članka 77. iste uredbe, pravo podnijeti pritužbu nadzornom tijelu. Osim toga, na temelju članka 78. Uredbe 2016/679 ta osoba ima pravo na učinkovit sudski pravni lijek protiv nadzornog tijela. Usto, članak 79. stavak 1. te uredbe dodjeljuje svakom ispitaniku pravo na učinkovit sudski pravni lijek, ako smatra da su mu zbog obrade njegovih osobnih podataka protivno navedenoj uredbi prekršena njegova prava iz iste uredbe.

41. Ispitanici mogu naravno sami podnijeti pritužbu nadzornom tijelu ili pak podnijeti prethodno opisane pravne lijekove. S obzirom na to, članak 80. Uredbe 2016/679 predviđa pod određenim uvjetima mogućnost tih osoba da ih zastupa neprofitno tijelo, organizacija ili udruženje. Povrh pojedinačnih pravnih lijekova, pravo Unije predviđa tako različite mogućnosti predstavničkih tužbi koje se podnose posredstvom subjekata zaduženih za zastupanje ispitanika(10). Stoga je članak 80. Uredbe dio nastojanja da se predstavničke tužbe koje takvi subjekti podnose s ciljem zaštite općih ili kolektivnih interesa razviju kao sredstvo za jačanje pristupa sudu osoba pogođenih povredom predmetnih pravila(11).

42. Članak 80. Uredbe 2016/679, naslovljen „Zastupanje ispitanika”, sadržava dva stavka. Prvi se odnosi na situaciju u kojoj ispitanik daje ovlaštenje neprofitnom tijelu, organizaciji ili udruženju da ga zastupaju. Drugi se tiče predstavničke tužbe koju subjekt podnese neovisno o bilo kakvom ovlaštenju ispitanika.

43. Budući da se tužba koju je Savezna unija podnijela ne zasniva na ovlaštenju ispitanika, u okviru ovog zahtjeva za prethodnu odluku relevantan je članak 80. stavak 2. Uredbe 2016/679.

A. Presuda Fashion ID

44. U svojoj presudi Fashion ID Sud se, glede Direktive 95/46, izjasnio o pitanju koje je slično onom postavljenom u okviru ovog zahtjeva za prethodnu odluku. On je tako odlučio da „članke 22. do 24. [te direktive] treba tumačiti na način da im se ne protivi nacionalni propis kojim se udrugama za zaštitu interesa potrošača dodjeljuje aktivna procesna legitimacija za pokretanje postupka pred sudom protiv navodnog počinitelja povrede zaštite osobnih podataka”(12).

45. Kako bi došao do tog zaključka Sud je pošao od utvrđenja da se nijednom odredbom Direktive 95/46 ne nalaže državama članicama obveza niti ih se izričito ovlašćuje da u svojem nacionalnom pravu predvide mogućnost da u sudskom postupku udruga zastupa ispitanika ili da na vlastitu inicijativu podnese tužbu protiv navodnog počinitelja povrede zaštite osobnih podataka(13). Sud smatra da to ipak ne znači da se toj direktivi protivi nacionalni propis kojim se udrugama za zaštitu potrošača dodjeljuje aktivna procesna legitimacija za pokretanje postupka pred sudom protiv navodnog počinitelja takve povrede(14). U tom je pogledu Sud istaknuo vlastita obilježja direktive kao i obvezu država članica kojima je direktiva upućena da poduzmu sve mjere potrebne za osiguravanje punog učinka predmetne direktive u skladu s njezinim ciljem(15).

46. Sud je tada podsjetio na to da su ciljevi Direktive 95/46 „osiguravanje učinkovite i potpune zaštite temeljnih prava i sloboda pojedinaca, osobito prava na privatan život, u vezi s obradom osobnih podataka” i „težiti tomu da osigura visoku razinu zaštite u [Europskoj] [u]niji”(16). Prema stajalištu Suda, činjenica da je država članica u svojem nacionalnom propisu predvidjela mogućnost da udruga za zaštitu interesa potrošača podnese tužbu protiv navodnog počinitelja povrede zaštite osobnih podataka doprinosi ostvarenju tih ciljeva(17). Sud je, osim toga, naglasio da „[države članice] u mnogim aspektima raspolažu manevarskim prostorom za prenošenje navedene [Direktive 95/46]”(18), osobito glede njezinih članaka 22. do 24. koji su „vrlo općenito sročeni i ne provode iscrpno usklađivanje nacionalnih odredbi koje se odnose na pravna sredstva koja se mogu podnijeti protiv navodnog počinitelja povrede zaštite osobnih podataka”(19). Tako je „očito […] da činjenica da se udruzi za zaštitu interesa potrošača dopušta da podnese tužbu protiv navodnog počinitelja povrede zaštite osobnih podataka može predstavljati odgovarajuću mjeru u smislu [članka 24. te direktive], koja […] doprinosi ostvarenju ciljeva navedene direktive, u skladu sa sudskom praksom Suda”(20).

47. Ovim se zahtjevom za prethodnu odluku poziva Sud da odluči, bi li ono što se moglo dopustiti prema režimu Direktive 95/46 trebalo od sada zabraniti nakon stupanja na snagu Uredbe 2016/679. Drukčije rečeno, je li pravni učinak članka 80. stavka 2. te uredbe otklanjanje aktivne procesne legitimacije udruge za zaštitu interesa potrošača u okviru tužbe poput one o kojoj je riječ u glavnom postupku?

48. U to je moguće sumnjati već samim tumačenjem točke 62. presude Fashion ID u kojoj je Sud istaknuo to da činjenica da Uredba 2016/679 „izričito ovlašćuje, u članku 80. stavku 2., države članice da udrugama za zaštitu interesa potrošača dodijele aktivnu procesnu legitimaciju da pokrenu postupak pred sudom protiv navodnog počinitelja povrede zaštite osobnih podataka nikako ne podrazumijeva da im države članice nisu mogle dodijeliti to pravo prema režimu Direktive 95/46, nego, naprotiv, potvrđuje da njezino tumačenje u ovoj presudi odražava volju zakonodavca Unije”(21).

49. Zbog razloga koje ću sada iznijeti smatram da niti zamjena Direktive 95/46 uredbom niti okolnost da Uredba 2016/679 sada posvećuje članak zastupanju ispitanika u okviru sudskih postupaka ne mogu dovesti u pitanje ono što je Sud presudio u svojoj presudi Fashion ID, to jest da u svojim nacionalnim propisima države članice predvide mogućnost da se udrugama za zaštitu interesa potrošača dodijeli aktivna procesna legitimacija za pokretanje sudskih postupka protiv navodnog počinitelja povrede zaštite osobnih podataka.

B. Posebna obilježja Uredbe 2016/679

50. Glede zamjene Direktive 95/46 normom drukčije naravi, to jest Uredbom 2016/679, valja istaknuti da se odluka zakonodavca Unije da se posluži pravnim oblikom uredbe koja je na temelju članka 288. UFEU‑a obvezujuća u cijelosti i izravno se primjenjuje u svim državama članicama, objašnjava namjerom, izraženom u uvodnoj izjavi 13. Uredbe 2016/679, da se osigura dosljedna razina zaštite pojedinaca širom Unije i spriječi razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu. Slijedom toga, izgleda da se tom uredbom, na prvi pogled, nastoji ići k potpunom usklađivanju ne ograničavajući se, dakle, na utvrđivanje minimalnih normi koje bi države članice mogle prihvatiti i ne prepuštajući tim državama odluku da odstupe, dopune ili provedu njezine odredbe, kako se ne bi ugrozila istovremena i ujednačena primjena odredaba navedene uredbe u Uniji.

51. Stvarnost se pokazuje složenijom. Naime, pravna osnova Uredbe 2016/679, to jest članak 16. UFEU‑a(22), ne dopušta zaključak da je donijevši tu uredbu Unija preduhitrila sve posljedice koje zaštita osobnih podataka može imati u drugim područjima koja se odnose, među ostalim, na radno pravo, pravo tržišnog natjecanja ili pak potrošačko pravo, time što je države članice lišila mogućnosti da donose posebna pravila u tim područjima i to više ili manje samostalno, ovisno o tome radi li se o području koje je uređeno pravom Unije(23). U tom smislu, iako je zaštita osobnih podataka po naravi međusektorska, usklađivanje izvršeno Uredbom 2016/679 ograničeno je na aspekte koji su posebno obuhvaćeni tom uredbom u tom području. Izvan njih, države članice su i dalje slobodne uređivati svoje zakonodavstvo, ako ne dovode u pitanje sadržaj i ciljeve navedene uredbe.

52. Usto, kada se zađe u detalje odredbi Uredbe 2016/679, mora se utvrditi da se opseg usklađivanja izvršenog tom uredbom razlikuje ovisno o razmatranim odredbama. Za određivanje normativnog dosega navedene uredbe potrebno je, dakle, ispitati svaki pojedinačni slučaj(24). Iako bi se u skladu sa sudskom praksom o Direktivi 95/46(25) moglo smatrati da se Uredbom 2016/679 provodi usklađivanje koje je „u načelu potpuno”, više odredaba te uredbe priznaje, međutim, državama članicama manevarski prostor kojim se ove potonje moraju ili mogu, ovisno o slučaju, koristiti u okolnostima i granicama predviđenima tim istim odredbama(26).

53. Valja podsjetiti na to da‚ prema ustaljenoj sudskoj praksi Suda‚ „na temelju članka 288. UFEU‑a i zbog same prirode uredbi i njihove uloge u sustavu izvora prava Unije‚ odredbe uredbi općenito imaju izravan učinak u nacionalnim pravnim porecima a da nacionalna tijela pritom nisu dužna poduzeti provedbene mjere. Međutim‚ za primjenu nekih od tih odredaba može biti potrebno da države članice usvoje provedbene mjere”(27). Korištenje uredbom ne podrazumijeva nužno to da ne postoje nikakve diskrecijske ovlasti prepuštene pravnim subjektima na temelju odredaba te uredbe(28). Osim toga, obvezatnost i izravna primjenjivost uredbe ne sprečava da akt te naravi da sadržava fakultativna pravila(29).

54. Zbog korištenja riječi „mogu” članak 80. stavak 2. Uredbe 2016/679 je primjer fakultativne odredbe koja državama članicama nudi marginu prosudbe prilikom njezine provedbe.

55. Ta je odredba dio brojnih „derogatornih klauzula” sadržanih u toj uredbi zbog kojih je ona posebna u odnosu na tradicionalnu uredbu i koje je približavaju direktivi(30). Upućivanja na nacionalno pravo u tim klauzulama mogu biti obvezujuća(31), ali su, međutim, najčešće mogućnost koja je prepuštena državama članicama(32). Moglo se primijetiti da ta brojna upućivanja na nacionalna prava predstavljaju opasnost od fragmentiranja sustava zaštite osobnih podataka u Uniji, što je suprotno namjeri zakonodavca Unije da se postigne snažnije ujednačavanje tog sustava i može imati negativne učinke na djelotvornost te zaštite, isto kao i na razumljivost obveza voditelja obrade i podugovaratelja(33). Doseg usklađivanja postignutog Uredbom 2016/679 ograničen je, dakle, brojnim „derogatornim klauzulama” koje se nalaze u toj uredbi.

56. Jasno je da je u usporedbi s onim što je bio slučaj s Direktivom 95/46, zakonodavac Unije želio Uredbom 2016/679 šire preciznije i odrediti na razini Unije aspekte glede zastupanja ispitanika radi podnošenja pritužbe nadzornom tijelu ili sudske tužbe(34). No, stavci 1. i 2. članka 80. te uredbe nemaju isti normativni doseg. Naime, dok je stavak 1. tog članka obvezujuć za države članice(35), njegov stavak 2. nudi samo mogućnost ovim potonjima. Stoga, kako bi se predstavnička tužba bez ovlaštenja predviđena u članku 80. stavku 2. navedene uredbe mogla podnijeti, države članice moraju se poslužiti mogućnošću koja im je ponuđena tom odredbom da u svojem nacionalnom pravu predvide taj način zastupanja ispitanika.

57. Za članak 80. stavak 2. Uredbe 2016/679, ako ništa drugo zbog njegove fakultativnosti i mogućih razlika među nacionalnim pravima koje to podrazumijeva, ne može se smatrati da je izvršio potpuno usklađivanje glede predstavničkih tužbi bez ovlaštenja u području zaštite osobnih podataka. Međutim, kada provode tu odredbu u svojem nacionalnom pravu, države članice moraju poštovati uvjete i granice kojima je zakonodavac Unije želio urediti korištenje mogućnošću predviđenom u navedenoj odredbi.

58. Iako u usporedbi s onim što je bio slučaj s Direktivom 95/46, uređivanje jest konkretnije, države članice zadržavaju unatoč svemu marginu prosudbe prilikom provedbe članka 80. stavka 2. Uredbe 2016/679.

59. Iz elemenata kojim Sud raspolaže proizlazi da nakon stupanja na snagu te uredbe njemački zakonodavac nije donio odredbu koja je posebno namijenjena provedbi članka 80. stavka 2. navedene uredbe u njegovu nacionalnom pravu. Glede toga i kao što sud koji je uputio zahtjev na to poziva Sud, valja ispitati jesu li s tom odredbom spojiva prethodno postojeća njemačka pravila koja udrugama za zaštitu interesa potrošača dodjeljuju aktivnu procesnu legitimaciju radi prestanka ponašanja koje čini istovremeno povredu odredaba Uredbe 2016/679 i pravila čiji je predmet, među ostalim, zaštita potrošača. Drukčije rečeno, je li nacionalno pravo koje je postojalo prije stupanja na snagu te uredbe u skladu s onim što dopušta članak 80. stavak 2. navedene uredbe?

60. Kao što je to njemačka vlada pojasnila na raspravi, nacionalne odredbe koje ovlašćuju udrugu poput Savezne unije da podnese predstavničku tužbu, kao što je ona o kojoj je riječ u glavnom postupku, su mjere za prenošenje Direktive 2009/22. Radi odgovora na pitanje dopušta li članak 80. stavak 2. Uredbe 2016/679 i takvu tužbu te, dakle, jesu li te iste nacionalne odredbe dio okvira margine prosudbe priznate svakoj državi članici(36), taj članak valja protumačiti uzimajući u obzir osobito njegov tekst kao i strukturu i ciljeve te uredbe.

C. Doslovno, sustavno i teleološko tumačenje članka 80. stavka 2. Uredbe 2016/679

61. U skladu s člankom 80. stavkom 2. Uredbe 2016/679, predstavničke tužbe koje su u njoj predviđene može podnijeti „svako tijelo, organizacija ili udruženje iz stavka 1.” tog članka. Članak 80. stavak 1. te uredbe odnosi se na „neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka”. Takva se definicija, prema mojem mišljenju, ne može ograničiti na subjekte čiji je jedini i isključivi predmet poslovanja zaštita osobnih podataka, nego se proteže na sve one koji nastoje postići cilj od javnog interesa povezan sa zaštitom osobnih podataka. To je slučaj s udrugama za zaštitu interesa potrošača, poput Savezne unije, koja su dužna pokretati postupke za prestanak ponašanja kojima se, kršeći odredbe navedene uredbe, također povređuju pravila u području zaštite potrošača ili suzbijanja nepoštenog tržišnog natjecanja(37).

62. Prema tekstu članka 80. stavka 2. Uredbe 2016/679, predstavničku tužbu može podnijeti subjekt koji ispunjava uvjete spomenute u stavku 1. tog članka, ako „smatra da su uslijed obrade osobnih podataka prekršena prava ispitanika iz [te uredbe]”. Suprotno onomu što izgleda da sud koji je uputio zahtjev sugerira, ne vjerujem da bi taj zadnji dio rečenice trebalo restriktivno tumačiti tako da znači da bi radi dobivanja ovlaštenja za postupanje u skladu s onim što predviđa članak 80. stavak 2. Uredbe 2016/679 subjekt morao prethodno pojedinačno odrediti jednu ili više osoba na koje predmetna obrada osobnih podataka konkretno utječe. Pripremni akti za donošenje te uredbe uopće se ne mogu iščitati u tom smislu. Štoviše, sama mi se definicija pojma „ispitanik” u smislu članka 4. točke 1. navedene uredbe, to jest „pojedin[ac] čiji je identitet utvrđen ili se može utvrditi”(38), čini proturječnom zahtjevu prema kojem bi se identitet osoba koje su predmet obrade podataka suprotne odredbama Uredbe 2016/679 trebao identificirati već prilikom podnošenja predstavničke tužbe na temelju članka 80. stavka 2. te uredbe. Iz toga logično slijedi da se na temelju te odredbe ne može zahtijevati da subjekt navede postojanje konkretnih slučajeva glede pojedinačno određenih osoba kako bi mogao biti ovlašten postupati u skladu s onim što navedena odredba predviđa.

63. Smatram da provedba postupka po predstavničkoj tužbi na temelju članka 80. stavka 2. Uredbe 2016/679 pretpostavlja samo to da se istakne postojanje obrade osobnih podataka koja je suprotna odredbama te uredbe o zaštiti pojedinačnih prava, i koja može, dakle, utjecati na prava osoba čiji je identitet utvrđen ili se može utvrditi, pri čemu aktivna procesna legitimacija subjekta ne podliježe provjeri u svakom pojedinačnom slučaju, jesu li prava jedne ili više određenih osoba bila povrijeđena(39). Ukratko, takav postupak mora se zasnivati na povredi prava koje fizička osoba može izvoditi iz navedene uredbe povodom obrade svojih osobnih podataka. Cilj tog postupka nije zaštita objektivnog prava, nego samo subjektivnih prava koje ispitanici izvode izravno iz Uredbe 2016/679(40). Drugim riječima, derogatornom klauzulom u članku 80. stavku 2. te uredbe želi se ovlaštenim subjektima omogućiti da od nadzornog tijela ili pak suda ishode provjeru, poštuju li voditelji obrade pravila o zaštiti ispitanika koja se nalaze u navedenoj uredbi(41). S tog je aspekta dovoljno, kako bi subjekt imao aktivnu procesnu legitimaciju na temelju te odredbe, da iznese povredu odredaba Uredbe 2016/679 čiji je cilj zaštita subjektivnih prava ispitanika.

64. Kao što to, u bitnome, Komisija navodi, tumačenje članka 80. stavka 2. Uredbe 2016/679, prema kojem subjekt, kako bi mogao podnijeti predstavničku tužbu bez ovlaštenja, mora dokazati ili tvrditi da su stanovitoj osobi povrijeđena prava u određenoj situaciji, previše bi ograničilo područje primjene te odredbe. Kao i portugalska vlada te Komisija, smatram da bi članak 80. stavak 2. te uredbe trebalo tumačiti na način da se očuva njegov koristan učinak u odnosu na stavak 1. tog članka. Slijedom navedenog, članak 80. stavak 2. navedene uredbe trebalo bi, prema mojem mišljenju, shvatiti na način da nadilazi zastupanje pojedinačnih slučajeva koje je predmet stavka 1. tog članka, čime se otvara mogućnost da se na inicijativu ovlaštenih subjekata i samostalno zastupaju kolektivni interesi osoba čiji se osobni podaci obrađuju suprotno Uredbi 2016/679. Koristan učinak članka 80. stavka 2. te uredbe uvelike bi se umanjio ako se zaključi da je, poput onoga što se zahtijeva u stavku 1. tog članka, djelovanje subjekta u obama slučajevima ograničeno na zastupanje osoba koje su određene poimence i pojedinačno.

65. Tumačenje članka 80. stavka 2. Uredbe 2016/679 koje prihvaćam jest, osim toga, u skladu s preventivnom naravi i odvraćajućim ciljem tužbi za prekid povrede kao i njihovom neovisnošću u pogledu bilo kojeg pojedinačnog spora(42).

66. Osim ako ne postoji opasnost od stvaranja dvaju različitih standarda u vezi s aktivnom procesnom legitimacijom subjekata ovlaštenih za podnošenje tužbe za prekid povrede, ovisno o tome zasniva li se takva tužba na nacionalnoj mjeri koja ulazi u područje primjene članka 80. stavka 2. Uredbe 2016/679 ili pak u područje primjene Direktive 2020/1828, čini mi se ispravnim da se, iako ta direktiva nije primjenjiva u okviru glavnog postupka, u obzir uzme činjenica da ova potonja od takvih subjekata ne zahtijeva da se pozovu na postojanje pojedinačnih i poimence određenih potrošača na koje je utjecala predmetna povreda(43), nego da se pozovu na postojanje povreda odredaba prava Unije iz Priloga I. navedenoj direktivi koje su trgovci počinili(44), a koji prilog spominje, osim toga, Uredbu 2016/679 u svojoj točki 56.

67. Smatram da pretpostavka u prilog restriktivnom tumačenju članka 80. stavka 2. Uredbe 2016/679 pogrešno suprotstavlja zaštitu kolektivnih interesa potrošača(45) i zaštitu prava svake osobe koja je predmet obrade podataka navodno suprotne toj uredbi. Naime, zaštita kolektivnih interesa potrošača ne isključuje, prema mojem mišljenju, zaštitu subjektivnih prava koje ispitanici izvode izravno iz Uredbe 2016/679, nego ona, naprotiv, uključuje takvu zaštitu.

68. Osim toga, u navodu u uvodnoj izjavi 15. Direktive 2020/1828, prema kojem bi se „provedbeni mehanizmi predviđeni u Uredbi […] 2016/679 […] ili koji se na toj uredbi temelje, mogli […] i dalje, ako je to primjenjivo, koristiti za zaštitu kolektivnih interesa potrošačâ”(46), nalazim potvrdu za to da se predstavnička tužba predviđena u članku 80. stavku 2. te uredbe može odnositi na zaštitu takvih interesa.

69. Iz prethodnih elemenata zaključujem da članak 80. stavak 2. Uredbe 2016/679 dopušta, prema mojem mišljenju, državama članicama da predvide mogućnost za ovlaštene subjekte da bez ovlaštenja ispitanika podnose predstavničke tužbe radi zaštite kolektivnih interesa potrošača, ako je povreda odredaba te uredbe, čiji je cilj dodjela subjektivnih prava ispitanicima, navedena.

70. To je upravo slučaj s tužbom za propuštanje koju je Savezna unija podnijela protiv društva Facebook Ireland.

71. Naime, podsjećam na to da, prema stajalištu suda koji je uputio zahtjev i u skladu sa zahtjevima Savezne unije, društvo Facebook Ireland nije poštovalo obvezu koju ima na temelju članka 12. stavka 1. prve rečenice Uredbe 2016/679 i koja se sastoji od toga da se ispitaniku, u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, pruže informacije iz članka 13. stavka 1. točaka (c) i (e) te uredbe koje se odnose na svrhu obrade podataka i primatelja osobnih podataka. Te odredbe zasigurno pripadaju kategoriji onih koje ispitanicima dodjeljuju subjektivna prava, što osobito potvrđuje zaključak prema kojem se one nalaze u poglavlju III. navedene uredbe, naslovljenom „Prava ispitanika”. Stoga zaštitu tih prava mogu tražiti ili izravno ispitanici ili ovlašteni subjekt na temelju članka 80. stavka 1. Uredbe 2016/679 ili pak nacionalnih odredbi za provedbu članka 80. stavka 2. te uredbe.

72. Smatram također da se članku 80. stavku 2. Uredbe 2016/679 ne protive nacionalne odredbe koje udrugu za zaštitu interesa potrošača ovlašćuju za podnošenje tužbe za propuštanje kako bi se poštovanje prava dodijeljenih tom uredbom zajamčilo putem pravila čiji je cilj zaštita potrošača ili suzbijanje nepoštene poslovne prakse. Naime, takva pravila mogu sadržavati odredbe slične onima sadržanima u navedenoj odredbi, osobito što se tiče obavještavanja ispitanika glede obrade njihovih osobnih podataka(47), a što podrazumijeva da povreda pravila o zaštiti osobnih podataka može istodobno dovesti do povrede pravila o zaštiti potrošača ili o nepoštenoj poslovnoj praksi. Ništa se u tekstu članka 80. stavka 2. Uredbe 2016/679 ne protivi djelomičnoj provedbi te derogatorne klauzule, u tom smislu da se predstavničkom tužbom želi, u njihovu svojstvu potrošača, zaštititi prava koji ispitanici izvode iz te uredbe(48).

73. Tako predloženim tumačenjem članka 80. stavka 2. Uredbe 2016/679 mogu se, prema mojem mišljenju, najbolje postići ciljevi zadani tom uredbom.

74. U tom je pogledu Sud istaknuo da „kao što to proizlazi iz članka 1. stavka 2. Uredbe 2016/679‚ u vezi s njezinim uvodnim izjavama 10.‚ 11. i 13.‚ tom se uredbom institucijama‚ tijelima‚ uredima i agencijama Unije kao i nadležnim tijelima država članica nalaže da osiguraju visoku razinu zaštite prava zajamčenih člankom 16. UFEU‑a i člankom 8. Povelje [Europske unije o temeljnim pravima]”(49). Osim toga, cilj je navedene uredbe „učinkovita zaštita temeljnih prava i sloboda pojedinaca‚ a posebno prava na zaštitu privatnosti i osobnih podataka”(50).

75. Bilo bi suprotno cilju jamčenja visoke razine zaštite osobnih podataka spriječiti države članice da uspostave postupke koji, iako nastoje postići cilj zaštite potrošača, doprinose također postizanju cilja zaštite osobnih podataka. Poput onoga što je važilo za Direktivu 95/46, može se još tvrditi, nakon stupanja na snagu Uredbe 2016/679, da ovlašćivanje udruge za zaštitu interesa potrošača radi ishođenja prestanka obrada podataka suprotnih odredbama te uredbe doprinosi, putem instrumenata kolektivne pravne zaštite, jačanju prava osoba čiji se podaci obrađuju(51).

76. Dakle, zaštita kolektivnih interesa potrošača putem udruge osobito je prilagođena cilju uspostavljanja visoke razine zaštite osobnih podataka. U tom smislu, preventivna funkcija postupaka koje te udruge vode ne bi se mogla osigurati, da predstavnička tužba predviđena u članku 80. stavku 2. Uredbe 2016/679 ne dopušta isticanje povrede prava osobe na koju ta povreda pojedinačno i konkretno utječe.

77. Tužba za propuštanje koju je podnijela udruga za zaštitu interesa potrošača, poput Savezne unije, doprinosi, dakle, nedvojbeno osiguranju djelotvorne primjene prava zaštićenih Uredbom 2016/679(52).

78. Osim toga, bilo bi barem paradoksalno da jačanje sredstava za nadzor pravila o zaštiti osobnih podataka koje je zakonodavac Unije priželjkivao donošenjem Uredbe 2016/679 u konačnici dovede do snižavanja razine te zaštite u odnosu na onu koju su države članice mogle osigurati prema režimu iz Direktive 95/46.

79. Točno je da su se, za razliku od Sjedinjenih Američkih Država, propisi u pravu Unije koji se odnose, s jedne strane, na nepoštenu poslovnu praksu i, s druge strane, na zaštitu osobnih podataka, razvijali zasebno. Ta su dva područja tako predmet različitih normativnih okvira.

80. S obzirom na navedeno, postoje međudjelovanja između tih dvaju područja, tako da tužbe koje ulaze u okvir propisa o zaštiti osobnih podataka mogu istodobno i neizravno doprinijeti ishođenju prestanka nepoštene poslovne prakse. Jednako vrijedi i suprotno(53). Uostalom, veza između zaštite osobnih podataka, s aspekta privole za obradu tih podataka, i zaštite potrošača odražava se u samoj Uredbi 2016/679, osobito u njezinoj uvodnoj izjavi 42. Osim toga, Komisija je istaknula međudjelovanja između propisa Unije u području zaštite osobnih podataka i Direktive 2005/29/EZ(54).

81. Međudjelovanja između prava o zaštiti osobnih podataka, potrošačkog prava i prava tržišnog natjecanja su česta i brojna, s obzirom na to da isto ponašanje može istovremeno biti obuhvaćeno pravilima prava koja pripadaju tim različitim područjima. Takva međudjelovanja doprinose stvaranju učinkovitije zaštite osobnih podataka(55).

82. Doduše, ovlaštenici prava predviđenih Uredbom 2016/679 nisu ograničeni na kategoriju potrošača jer se ta uredba ne zasniva na potrošačkom konceptu zaštite fizičkih osoba u odnosu na obradu osobnih podataka(56), nego na konceptu prema kojem je ta zaštita temeljno pravo, u skladu s člankom 8. Povelje o temeljnim pravima i kao što je to osobito navedeno u uvodnoj izjavi 1. te članku 1. stavku 2. navedene uredbe(57).

83. Ostaje činjenica da u dobu digitalnog gospodarstva ispitanici često imaju svojstvo potrošača. To je razlog zbog kojeg se pravila namijenjena zaštiti potrošača često aktiviraju kako bi se ovim potonjima zajamčila zaštita od obrade njihovih osobnih podataka suprotne odredbama Uredbe 2016/679.

84. Na kraju ove analize mora se ustvrditi to da između predstavničke tužbe predviđene u članku 80. stavku 2. Uredbe 2016/679 i one predviđene Direktivom 2020/1828 može postojati preklapanje radi ishođenja mjera za propuštanje, kada „ispitanici” u smislu te uredbe imaju također svojstvo „potrošača” u smislu članka 3. točke 1. te direktive(58). Tamo vidim naznaku komplementarnosti i konvergencije prava o zaštiti osobnih podataka s drugim pravnim područjima, poput potrošačkog prava i prava tržišnog natjecanja. Donošenjem navedene direktive zakonodavac Unije pomaknuo je to kretanje još dalje, izričito povezujući zaštitu kolektivnih interesa potrošača s poštovanjem Uredbe 2016/679. Djelotvorna primjena pravila sadržanih u ovoj potonjoj moći će se samo pojačati.

V. Zaključak

85. S obzirom na sva prethodna razmatranja, predlažem da se na prethodno pitanje koje je uputio Bundesgerichtshof (Savezni vrhovni sud, Njemačka) odgovori na sljedeći način:

Članak 80. stavak 2. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) treba tumačiti na način da mu se ne protivi nacionalni propis kojim se udrugama za zaštitu interesa potrošača omogućuje pokretanje postupka pred sudom protiv navodnog počinitelja povrede zaštite osobnih podataka, pozivanjem na zabranu nepoštene poslovne prakse, povredu zakona u području zaštite potrošača ili zabranu primjene ništetnih općih uvjeta poslovanja, ako se predmetnom predstavničkom tužbom želi ishoditi poštovanje prava koje osobe koje su predmet sporne obrade podataka izvode izravno iz te uredbe.

1 Izvorni jezik: francuski

2 Uredba Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.)

3 Vidjeti presudu od 29. srpnja 2019., Fashion ID (C‑40/17, u daljnjem tekstu: presuda Fashion ID, EU:C:2019:629).

4 Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.)

5 Vidjeti također uvodnu izjavu 142. te uredbe.

6 BGBl. 2004. I, str. 1414. , u daljnjem tekstu: UWG

7 BGBl. 2001. I, str. 3138., 3173., u daljnjem tekstu: UKlaG

8 SL 2009., L 110, str. 30. (SL, posebno izdanje na hrvatskom jeziku, poglavlje 15., svezak 1., str. 269.)

9 BGBl. 2007. I, str. 179., u daljnjem tekstu: TMG

10 Zastupanje ispitanika također je predviđeno u članku 67. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL 2018., L 295, str. 39.), i u članku 55. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL 2016., L 119, str. 89. i ispravak SL 2018., L 127, str. 14.). U tim se dvama slučajevima radi o zastupanju s ovlaštenjem.

11 To nastojanje konkretizirano osobito Direktivom 2009/22 odrazilo se u nedavnom donošenju Direktive (EU) 2020/1828 Europskog parlamenta i Vijeća od 25. studenoga 2020. o predstavničkim tužbama za zaštitu kolektivnih interesa potrošačâ i stavljanju izvan snage Direktive 2009/22/EZ (SL 2020., L 409, str. 1.). Rok za prenošenje ove potonje direktive određen je za 25. prosinca 2022. Vidjeti s tim u vezi Pato, A., „Collective Redress Mechanisms in the EU”, Jurisdiction and Cross‑Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London, 2019., str. 45. do 117. Vidjeti također Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, sv. 58., 5. izdanje, Kluwer Law International, Alphen am Rhein, 2021., str. 1365. do 1400.

12 Vidjeti presudu Fashion ID (t. 63. i izreka).

13 Vidjeti presudu Fashion ID (t. 47.).

14 Vidjeti presudu Fashion ID (t. 48.).

15 Vidjeti presudu Fashion ID (t. 49.).

16 Vidjeti presudu Fashion ID (t. 50.).

17 Vidjeti presudu Fashion ID (t. 51.).

18 Vidjeti presudu Fashion ID (t. 56. i navedena sudska praksa).

19 Vidjeti presudu Fashion ID (t. 57. i navedena sudska praksa).

20 Vidjeti presudu Fashion ID (t. 59.).

21 Moje isticanje

22 Kao što je to Sud naglasio u svojoj presudi od 15. lipnja 2021., Facebook Ireland i dr. (C‑645/19, EU:C:2021:483, t. 44.).

23 Iz preambule Uredbe 2016/679 proizlazi da je ona donesena na temelju članka 16. UFEU‑a čiji stavak 2. predviđa, među ostalim, da Europski parlament i Vijeće, odlučujući u skladu s redovnim zakonodavnim postupkom, utvrđuju, s jedne strane, pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka u institucijama, tijelima, uredima i agencijama Unije te u državama članicama kada obavljaju svoje aktivnosti u području primjene prava Unije i, s druge strane, pravila o slobodnom kretanju podataka.

24 Odrediti opseg usklađivanja izvršenog normom poput Uredbe 2016/679 zahtijeva, stoga, da se provede „mikroanaliz[a], razmatranje konkretnog pravila ili, u najbolju ruku, konkretnog i jasno definiranog aspekta prava Unije”: vidjeti mišljenje nezavisnog odvjetnika M. Bobeka u predmetu Dzivev i dr. (C‑310/16, EU:C:2018:623, t. 74.). Vidjeti također Mišćenić, E. i Hoffmann, A.-L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Sveučilište Josipa Jurja Strossmayera u Osijeku, Osijek, 2020., 4. izdanje, str. 44. do 61., koji ističu da „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (str. 49.).

25 Vidjeti presudu od 6. studenog 2003., Lindqvist (C‑101/01, EU:C:2003:596, t. 96.).

26 Glede Direktive 95/46 vidjeti presudu od 6. studenog 2003., Lindqvist (C‑101/01, EU:C:2003:596, t. 97.). Suprotno uvriježenom mišljenju, odluka zakonodavca Unije da se posluži uredbom umjesto direktivom ne podrazumijeva nužno potpuno usklađivanje razmatranog područja. Vidjeti Mišćenić, E. i Hoffmann, A.-L., op. cit., koji navode da „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (str. 48.).

27 Vidjeti, osobito, presudu od 15. lipnja 2021., Facebook Ireland i dr. (C‑645/19, EU:C:2021:483, t. 110. i navedena sudska praksa). Glede područja koje je prethodno bilo predmet direktive, vidjeti također presudu od 21. prosinca 2011., Danske Svineproducenter (C‑316/10, EU:C:2011:863, t. 42.), u kojoj je Sud pojasnio da „okolnost da se propis Unije u području zaštite životinja tijekom prijevoza nalazi od sada u uredbi ne znači nužno da je svaka nacionalna mjera za primjenu tog propisa sada zabranjena”.

28 Vidjeti presudu od 27. listopada 1971., Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Sud je tako prihvatio da država članica koja je odlučila ne koristiti se mogućnošću koja je ponuđena uredbom ne krši članak 288. UFEU‑a: vidjeti presudu od 17. prosinca 2015., Imtech Marine Belgium (C‑300/14, EU:C:2015:825, t. 27. do 31.). Za uredbu kojom se uspostavljaju izvozne subvencije koje države članice mogu dodijeliti ili odbiti dodijeliti vidjeti presudu od 27. listopada 1971., Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 Glede tih derogatornih klauzula vidjeti Wagner, J. i Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlin, sv. 2., 3. izdanje, 2016., str. 353. do 361.

31 Vidjeti, osobito, članke 51. i 84. Uredbe 2016/679.

32 Vidjeti, osobito, članak 6. stavke 2. i 3., članak 8. stavak 1. drugi podstavak te članke 85. do 89. Uredbe 2016/679.

33 S tim u vezi vidjeti Mišćenić, E. i Hoffmann, A.-L., op. cit., koji primjećuju da „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (str. 50. i 51.).

34 U svojem članku 28. stavku 4. Direktiva 95/46 predviđala je samo mogućnost da se udruženje brine za podnošenje pritužbe nadzornom tijelu za račun osobe koja se žali na povredu svojih prava u okviru obrade osobnih podataka.

35 No, uz iznimku predstavničke tužbe s ovlaštenjem za ishođenje naknade štete u ime ispitanika što ostaje mogućnost za države članice.

36 Vidjeti po analogiji presudu od 21. prosinca 2011., Danske Svineproducenter (C‑316/10, EU:C:2011:863, t. 43.).

37 Vidjeti Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxembourg, 2019., str. 98. do 106. Prema tom autoru „[t]he number of actors who potentially have standing to sue is broad” i „[c]onsumer associations will usually meet those requirements easily” (str. 99.).

38 Moje isticanje. Prema toj istoj odredbi, „pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca”. Kao što to ističe Martial‑Braz, N., „Le champ d’application du RGPD”, u Bensamoun, A. i Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Pariz, 2020., str. 19. do 33., „mogućnost identifikacije tumači se vrlo široko jer kriterij za identifikaciju osobe obuhvaća sva sredstva koja se razumno mogu provesti radi utvrđivanja identiteta osobe” (str. 24.). Za pojam „osoba koju se može utvrditi” u smislu članka 2. točke (a) Direktive 95/46, vidjeti, osobito, presudu od 19. listopada 2016., Breyer (C‑582/14, EU:C:2016:779).

39 Vidjeti Boehm, F., „Artikel 80 Vertretung von betroffenen Personen”, u Simitis, S., Hornung, G. i Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden‑Baden, 2019., posebno t. 13.

40 Vidjeti Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen”, u Paal, B. P. i Pauly, D. A., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, 3. izd., C. H. Beck, München, 2021., posebno točku 11., kao i Kreße, B., „Artikel 80 Vertretung von betroffenen Personen”, u Sydow, G., Europäische Datenschutzverordnung, 2. izd., Nomos, Baden‑Baden, 2018., posebno točku 13.

41 Vidjeti Moos, F. i Schefzig, J., „Art. 80 Vertretung von betroffenen Personen”, u Taeger, J. i Gabel, D., Kommentar DSGVO – BDSG, 3. izd., Deutscher Fachverlag, Frankfurt na Majni, 2019., posebno točku 22.

42 Glede nepoštenih uvjeta u ugovorima koje prodavatelji robe i pružatelji usluga sklapaju s potrošačima, vidjeti, osobito, presudu od 14. travnja 2016., Sales Sinués i Drame Ba (C‑381/14 i C‑385/14, EU:C:2016:252, t. 29.).

43 Vidjeti uvodnu izjavu 33. i članak 8. stavak 3. točku (a) Direktive 2020/1828 u skladu s kojom se „[o]d kvalificiranog subjekta ne zahtijeva […] da dokaže […] stvarni gubitak ili štetu koju su pretrpjeli pojedinačni potrošači na koje je utjecala povreda iz članka 2. stavka 1.”. Osim toga, iako članak 7. stavak 2. te direktive nalaže kvalificiranom subjektu da sudu ili upravnom tijelu pruži „dovoljno informacija o potrošačima na koje se predstavnička tužba odnosi”, iz uvodne izjave 34. navedene direktive proizlazi da se te informacije, čija se razina detalja može razlikovati ovisno o tome koju mjeru traži kvalificirani subjekt, ne odnose na određivanje pojedinačnih potrošača na koje predmetna povreda utječe, nego umjesto toga na informacije poput mjesta štetnog događaja ili pak navođenja skupine potrošača na koje se predstavnička tužba odnosi (vidjeti također uvodnu izjavu 65. Direktive 2020/1828). Ističem, osim toga, da iako se predstavničkom tužbom želi ishoditi mjere popravljanja štete, u uvodnoj izjavi 49. Direktive 2020/1828 navedeno je da se „[o]d kvalificiranog subjekta ne bi […] trebalo zahtijevati da u svrhu podnošenja predstavničke tužbe pojedinačno identificira svakog potrošača na kojeg se predstavnička tužba odnosi”. S tim u vezi vidjeti Gsell, B., op. cit., posebno str. 1370.

44 Vidjeti članak 2. stavak 1. Direktive 2020/1828.

45 Vidjeti uvodnu izjavu 3. Direktive 2009/22 koja pojašnjava da postupci za dobivanje sudskog naloga koji spadaju u njezino područje primjene imaju za cilj zaštitu „kolektivnih interesa potrošača”, pri čemu su oni definirani kao „interesi koji ne predstavljaju zbroj interesa pojedinaca oštećenih povredom”. U članku 3. točki 3. Direktive 2020/1828 pojam „kolektivni interesi potrošačâ” definiran je kao „opći interes potrošačâ i, osobito za potrebe mjera popravljanja štete, interesi skupine potrošačâ”.

46 Moje isticanje

47 Vidjeti Helberger, N., Zuiderveen Borgesius, F. i Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, sv. 54., 5. izdanje, Kluwer Law International, Alphen am Rhein, 2017., str. 1427. do 1465., koji ističu da „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (str. 1437.).

48 Vidjeti Neun, A. i Lubitzsch, K., „Die neue EU‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs‑Berater, Deutscher Fachverlag, Frankfurt na Majni, 2017., str. 2563. do 2569., posebno str. 2567.

49 Vidjeti presudu od 15. lipnja 2021., Facebook Ireland i dr. (C‑645/19, EU:C:2021:483, t. 45.).

50 Vidjeti presudu od 15. lipnja 2021., Facebook Ireland i dr. (C‑645/19, EU:C:2021:483, t. 91.).

51 Vidjeti mišljenje nezavisnog odvjetnika M. Bobeka u predmetu Fashion ID (C‑40/17, EU:C:2018:1039, t. 33.).

52 Za primjere tužbi koje su podnijele udruge za zaštitu interesa potrošača vidjeti Helberger, N., Zuiderveen Borgesius, F. i Reyna, A., op. cit., posebno str. 1452. i 1453.

53 U vezi s komplementarnošću između tužbi koje se odnose na zaštitu osobnih podataka i onih čiji je predmet prestanak nepoštene poslovne prakse vidjeti van Eijk, N., Hoofnagle, C. J. i Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlin, sv. 3., 3. izdanje, 2017., str. 325. do 337., koji otkrivaju da „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (str. 336.).

54 Direktiva Europskog parlamenta i Vijeća od 11. svibnja 2005. o nepoštenoj poslovnoj praksi poslovnog subjekta u odnosu prema potrošaču na unutarnjem tržištu i o izmjeni Direktive Vijeća 84/450/EEZ, direktiva 97/7/EZ, 98/27/EZ i 2002/65/EZ Europskog parlamenta i Vijeća, kao i Uredbe (EZ) br. 2006/2004 Europskog parlamenta i Vijeća („Direktiva o nepoštenoj poslovnoj praksi”) (SL 2005., L 149, str. 22.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 15., svezak 8., str. 101. i ispravak SL 2016., L 332, str. 25.). Vidjeti radni dokument Komisijinih službi – Smjernice o provedbi/primjeni Direktive 2005/29/EZ o nepoštenoj poslovnoj praksi, priložen uz dokument: Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija – Sveobuhvatan pristup za poticanje prekogranične elektroničke trgovine za europske građane i poduzetnike (SWD(2016) 163), osobito točku 1.4.10., str. 26. do 31. Komisija u njima stavlja naglasak na nužnost poštene obrade podataka što podrazumijeva da se ispitaniku pruži određeni broj relevantnih informacija, osobito o svrsi predmetne obrade osobnih podataka (str. 28.). Komisija također navodi da „[p]rekrši li trgovac Direktivu [95/46] ili Direktivu [2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku. poglavlje 13., svezak 52., str. 111.),] to samo po sebi neće uvijek značiti da i praksa predstavlja povredu Direktive [2005/29]”. Međutim, Komisija smatra da bi „ta […] kršenja pravila o zaštiti podataka trebalo uzeti u obzir pri ocjeni sveukupne nepoštenosti poslovnih praksi na temelju Direktive [2005/29], posebno u slučaju da trgovac obrađuje podatke potrošača istodobno kršeći zahtjeve u pogledu zaštite podataka, odnosno za potrebe izravnog stavljanja proizvoda na tržište ili bilo koje druge komercijalne svrhe poput profiliranja, personalizacije cijena ili aplikacija za velike količine podataka” (str. 30.).

55 S tim u vezi vidjeti, osobito, Helberger, N., Zuiderveen Borgesius, F. i Reyna, A., op. cit., koji ističu da „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (str. 1429.). Vidjeti također van Eijk, N., Hoofnagle, C. J. i Kannekens, E., op. cit., posebno str. 336. Za prikaz komplementarnosti između pravila o zaštiti osobnih podataka u sektoru elektroničkih komunikacija i pravila koja zabranjuju nepoštenu poslovnu praksu poduzetnika prema potrošačima vidjeti moje mišljenje u predmetu StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Vidjeti Martial‑Braz, N., op. cit., osobito str. 23.

57 Vidjeti presudu od 15. lipnja 2021., Facebook Ireland i dr. (C‑645/19, EU:C:2021:483, t. 44.).

58 Vidjeti uvodnu izjavu 14. Direktive 2020/1828 u skladu s kojom bi njome „trebalo […] štititi samo interese fizičkih osoba kojima je nanesena šteta ili kojima se može nanijeti šteta [povredama odredaba prava Unije iz Priloga I.] ako se te osobe smatraju potrošačima na temelju [te] [d]irektive”.