EUROOPA KOHTU OTSUS (kolmas koda)
28. aprill 2022(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 80 – Andmesubjektide esindamine mittetulundusühingu poolt – Esindushagi, mille esitas niisugune tarbijate huve kaitsev ühendus, kellel puudus volitus, ja mis esitati sõltumata andmesubjekti konkreetsete õiguste rikkumisest – Hagi, mis põhineb ebaausate kaubandustavade kasutamise keelul, tarbijakaitsenormide rikkumisel või tühiste tüüptingimuste kasutamise keelul
Kohtuasjas C‑319/20,
mille ese on ELTL artikli 267 alusel Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) 28. mai 2020. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 15. juulil 2020, menetluses
Meta Platforms Ireland Limited, varem Facebook Ireland Limited,
versus
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
EUROOPA KOHUS (kolmas koda),
koosseisus: teise koja president A. Prechal kolmanda koja presidendi ülesannetes, kohtunikud J. Passer, F. Biltgen, L. S. Rossi (ettekandja) ja N. Wahl,
kohtujurist: J. Richard de la Tour,
kohtusekretär: ametnik M. Krausenböck,
arvestades kirjalikku menetlust ja 23. septembri 2021. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Meta Platforms Ireland Limited, esindajad: Rechtsanwälte H.‑G. Kamann, M. Braun ja H. Frey ning Rechtsanwältin V. Wettner,
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., esindaja: Rechtsanwalt P. Wassermann,
– Saksamaa valitsus, esindajad: D. Klebs ja J. Möller,
– Austria valitsus, esindajad: A. Posch, G. Kunnert ja J. Schmoll,
– Portugali valitsus, esindajad: L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa ja L. Medeiros,
– Euroopa Komisjon, esindajad: F. Erlbacher, H. Kranenborg ja D. Nardi, hiljem F. Erlbacher ja H. Kranenborg,
olles 2. detsembri 2021. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 80 lõikeid 1 ja 2 ning artikli 84 lõiget 1.
2 Taotlus on esitatud Meta Platforms Ireland Limitedi (varem Facebook Ireland Limited), kelle registrijärgne asukoht on Iirimaal, ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (tarbijakaitsekeskuste ja -ühenduste keskliit, Saksamaa; edaspidi „tarbijakaitseorganisatsioonide liit“) vahelises kohtuvaidluses selle üle, kas Meta Platforms Ireland Limited rikkus isikuandmete kaitset käsitlevaid Saksa õigusnorme, kusjuures see rikkumine kujutab endast ühtlasi ebaausaid kaubandustavasid ja tarbijakaitset käsitleva seaduse rikkumist ning tühiste tüüptingimuste kasutamise keelu rikkumist.
Õiguslik raamistik
Liidu õigus
Isikuandmete kaitse üldmäärus
3 Isikuandmete kaitse üldmääruse põhjendustes 9, 10, 13 ja 142 on märgitud:
„(9) [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta d]irektiivi 95/46/EÜ [üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud liidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi [95/46] rakendamisel ja kohaldamisel.
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]
[…]
(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste[le] isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. […]
[…]
(142) Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud. Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.“
4 Määruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 1 on sätestatud:
„Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.“
5 Isikuandmete kaitse üldmääruse artikli 4 punktis 1 on ette nähtud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.
6 Isikuandmete kaitse üldmääruse III peatüki, mis sisaldab artikleid 12–23, pealkiri on „Andmesubjekti õigused“.
7 Selle määruse artikli 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ lõikes 1 on sätestatud:
„Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.“
8 Isikuandmete kaitse üldmääruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõike 1 punktides c ja e on ette nähtud:
„Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
c) isikuandmete töötlemise eesmärk ja õiguslik alus;
[…]
e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta […]“.
9 Määruse VIII peatükk, mis sisaldab artikleid 77–84, kannab pealkirja „Õiguskaitsevahendid, vastutus ja karistused“.
10 Isikuandmete kaitse üldmääruse artikli 77 „Õigus esitada järelevalveasutusele kaebus“ lõikes 1 on ette nähtud:
„Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.“
11 Isikuandmete kaitse üldmääruse artikli 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõikes 1 on sätestatud:
„Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.“
12 Isikuandmete kaitse üldmääruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on ette nähtud:
„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“
13 Isikuandmete kaitse üldmääruse artikkel 80 „Andmesubjektide esindamine“ on sõnastatud järgmiselt:
„1. Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.
2. Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“
14 Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud:
„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“
15 Isikuandmete kaitse üldmääruse artikli 84 „Karistused“ lõikes 1 on sätestatud:
„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“
Direktiiv 2005/29/EÜ
16 Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiivi 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (ebaausate kaubandustavade direktiiv) (ELT 2005, L 149, lk 22), eesmärk on selle direktiivi artikli 1 järgi aidata kaasa siseturu nõuetekohasele toimimisele ja tarbijakaitse kõrge taseme saavutamisele, lähendades tarbijate majandushuve kahjustavad ebaausaid kaubandustavasid käsitlevad liikmesriikide õigus- ja haldusnormid.
17 Sama direktiivi artiklis 5 „Ebaausate kaubandustavade keeld“ on sätestatud:
„1. Ebaausad kaubandustavad on keelatud.
2. Kaubandustava on ebaaus, kui see:
a) on vastuolus ametialase hoolikuse nõuetega
ja
b) seoses mingi tootega moonutab oluliselt või tõenäoliselt moonutab oluliselt selle keskmise tarbija majanduskäitumist, kes tootega kokku puutub või kellele see on suunatud, või tarbijarühma keskmise liikme majanduskäitumist, kui kaubandustava on suunatud teatavale tarbijarühmale.
[…]
5. I lisas on selliste kaubandustavade nimekiri, mida loetakse ebaausateks kõigil tingimustel. […]“.
18 Direktiivi artikli 11 „Jõustamine“ lõikes 1 on ette nähtud:
„1. Liikmesriigid tagavad piisavad ja tõhusad meetmed ebaausate kaubandustavade vastu võitlemiseks, et tugevdada käesoleva direktiivi sätete järgimist tarbijate huvides.
Selliste meetmete hulka kuuluvad õigusnormid, mille kohaselt isikud ja organisatsioonid, sealhulgas konkurendid, kellel on vastavalt siseriiklikele õigusaktidele ebaausate kaubandustavade vastu võitlemiseks õigustatud huvi, võivad:
a) võtta õiguslikke meetmeid selliste ebaausate kaubandustavade vastu
ja/või
b) pöörduda selliste ebaausate kaubandustavade asjus haldusasutuse poole, kes on pädev kaebuste üle otsustama või algatama asjakohase kohtumenetluse.
Iga liikmesriik otsustab, kumba nendest võimalustest rakendada ja kas kohtutel või haldusasutustel on õigus nõuda, et enne asja menetlusse võtmist kasutataks kaebuse lahendamiseks muid olemasolevaid vahendeid, sealhulgas artiklis 10 nimetatud vahendid. Need võimalused peavad olema kättesaadavad sõltumata sellest, kas mõjutatud tarbijad asuvad ettevõtjaga sama liikmesriigi territooriumil või teises liikmesriigis.
[…]“.
19 Direktiivi 2005/29 I lisa, mis sisaldab selliste ebaausate kaubandustavade loetelu, mis loetakse ebaausateks kõigil tingimustel, punktis 26 on sätestatud:
„Järjekindlate ja soovimatute pakkumiste tegemine telefoni, faksi, e-posti või muu kaugside vahendi abil, välja arvatud lepingulise kohustuse sissenõudmiseks siseriiklike õigusaktidega õigustatud tingimustel ja ulatuses. See ei piira […] direktiivide 95/46/EÜ […] kohaldamist.“
Direktiiv 2009/22/EÜ
20 Euroopa Parlamendi ja nõukogu 23. aprilli 2009. aasta direktiivi 2009/22/EÜ tarbijate huve kaitsvate ettekirjutuste kohta (ELT 2009, L 110, lk 30) artiklis 1 „Reguleerimisala“ on sätestatud:
„1. Käesoleva direktiivi eesmärk on ühtlustada liikmesriikide õigus- ja haldusnormid, mis on seotud artiklis 2 nimetatud ettekirjutust taotlevate hagidega, mille eesmärk on kaitsta tarbijate ühishuve I lisas loetletud direktiivide alusel, et tagada siseturu tõrgeteta toimimine.
2. Käesolevas direktiivis tähendab „rikkumine“ igasugust tegu, mis on vastuolus I lisas loetletud direktiividega sellistena, nagu need on siseriiklikku õiguskorda üle võetud, ja mis kahjustab lõikes 1 osutatud ühishuve.“
21 Direktiivi 2009/22 artikkel 7 „Ulatuslikumat hagemisõigust käsitlevad sätted“ on sõnastatud järgmiselt:
„Käesolev direktiiv ei takista liikmesriikidel vastu võtmast või säilitamast sätteid, mis annavad pädevatele üksustele ja teistele asjaomastele isikutele ulatuslikumad hagemisõigused siseriiklikul tasandil.“
22 Direktiivi 2009/22 I lisa sisaldab artiklis 1 osutatud liidu direktiivide nimekirja. Selle lisa punktis 11 on mainitud direktiivi 2005/29.
Direktiiv (EL) 2020/1828
23 Euroopa Parlamendi ja nõukogu 25. novembri 2020. aasta direktiivi (EL) 2020/1828, mis käsitleb tarbijate kollektiivsete huvide kaitsmise esindushagisid ja millega tunnistatakse kehtetuks direktiiv 2009/22 (ELT 2020, L 409, lk 1), põhjendustes 11, 13 ja 15 on märgitud:
„(11) Käesolev direktiiv ei tohiks asendada tarbijate kollektiivsete või individuaalsete huvide kaitsmiseks olemasolevaid riigisiseseid menetlusi. Võttes arvesse liikmesriikide õigustraditsioone, tuleks jätta neile otsustusõigus, kas kavandada käesoleva direktiiviga nõutav esindushagimenetlus mõne olemasoleva või tulevase kollektiivse ettekirjutuse või õiguskaitsemeetme taotlemise menetluse osana või eraldiseisva menetlusena, tingimusel et vähemalt üks riigisisene esindushagimenetlus vastab käesolevale direktiivile. […] Kui liikmesriigis on lisaks käesoleva direktiiviga nõutavale menetlusele kasutusel muid menetlusi, peaks pädeval üksusel olema võimalik valida, millist menetlust kasutada.
[…]
(13) Käesoleva direktiivi kohaldamisala peaks kajastama hiljutisi arenguid tarbijakaitse valdkonnas. Et tarbijad tegutsevad nüüd suuremal ja üha digitaalsemaks muutuval turul, peab käesolev direktiiv kõrgetasemelise tarbijakaitse saavutamiseks lisaks üldisele tarbijaõigusele käsitlema selliseid valdkondi nagu andmekaitse, finantsteenused, reisi- ja turismisektor, energeetika ja telekommunikatsioon. […]
[…]
(15) Käesolev direktiiv ei tohiks piirata I lisas loetletud õigusaktide kohaldamist ja seetõttu ei tohiks see muuta ega laiendada nendes õigusaktides sätestatud mõisteid ega asendada õigusnormide täitmise tagamise viise, mida kõnealused õigusaktid võiksid sisaldada. Näiteks võiks [isikuandmete kaitse määruses] sätestatud või sellele tuginevaid õigusnormide täitmise tagamise viise tarbijate kollektiivsete huvide kaitsmiseks kohaldatavuse korral endiselt kasutada.“
24 Direktiivi artikli 2 „Kohaldamisala“ lõikes 1 on ette nähtud:
„Käesolevat direktiivi kohaldatakse esindushagide suhtes, mis esitatakse kauplejate vastu I lisas osutatud liidu õigusaktide sätete rikkumise korral, sealhulgas ka liikmesriigi õigusesse üle võetud sätete rikkumise korral, mis kahjustab või võib kahjustada tarbijate kollektiivseid huve. Käesoleva direktiiviga ei piirata I lisas osutatud liidu õigusaktide sätete kohaldamist. […]“.
25 Selle direktiivi artikli 24 „Ülevõtmine“ lõikes 1 on ette nähtud:
„Liikmesriigid võtavad vastu käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid ja avaldavad need hiljemalt 25. detsembriks 2022. Nad teatavad nendest viivitamata komisjonile.
Nad kohaldavad neid meetmeid alates 25. juunist 2023.
[…]“.
26 Direktiivi 2020/1828 I lisa, mis sisaldab artikli 2 lõikes 1 osutatud liidu õigusnormide loetelu, punktis 56 on nimetatud isikuandmete kaitse üldmäärust.
Saksa õigus
Rikkumisest hoidumiseks hagi esitamise seadus
27 26. novembri 2001. aasta tarbijakaitsealaste või muude õigusnormide rikkumise lõpetamiseks või rikkumisest hoidumiseks hagi esitamise seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen) (Unterlassungsklagengesetz – UKlaG) (BGBl. 2001 I, lk 3138) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „rikkumisest hoidumiseks hagi esitamise seadus“) §‑s 2 on sätestatud:
„(1) Isiku suhtes, kes rikub tarbijate kaitseks kehtestatud õigusnorme (tarbijakaitsenormid) muul viisil kui tüüptingimuste kohaldamise või soovitamise kaudu, võib tarbijakaitse huvides esitada nõude tegevusest hoidumiseks ja tegevuse viivitamata lõpetamiseks. […]
(2) Tarbijakaitsenormid käesoleva sätte tähenduses on eelkõige:
[…]
11. õigusnormid, mis reguleerivad
a) ettevõtja poolt tarbija isikuandmete kogumise või
b) ettevõtja poolt tarbija kohta kogutud isikuandmete töötlemise või kasutamise
lubatavust, kui andmeid kogutakse, töödeldakse või kasutatakse reklaami, turu- või arvamusuuringute, taustakontrolli, isiku- või kasutajaprofiilide loomise, aadresside või muude andmete müügiks pakkumise eesmärgil või võrreldaval ärilisel eesmärgil.“
28 Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) märgib, et rikkumisest hoidumiseks hagi esitamise seaduse § 3 lõike 1 esimese lause punkti 1 kohaselt võivad organisatsioonid, kellel on õigus esitada hagi selle seaduse § 4 tähenduses, ühelt poolt nõuda tsiviilseadustiku (Bürgerliches Gesetzbuch) § 307 alusel tühiste tüüptingimuste kasutamise lõpetamist ja teiselt poolt nõuda tarbijate kaitset käsitlevate õigusnormide rikkumise lõpetamist kõnealuse seaduse § 2 lõike 2 tähenduses.
Ebaausa konkurentsi vastane seadus
29 3. juuli 2004. aasta ebaausa konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb; BGBl. 2004 I, lk 1414) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „ebaausa konkurentsi vastane seadus“) § 3 lõikes 1 on sätestatud:
„Ebaausad kauplemistavad on õigusvastased.“
30 Ebaausa konkurentsi vastase seaduse § 3a on sõnastatud järgmiselt:
„Ebaausat kauplemistava kasutab igaüks, kes rikub õigusnormi, mis on muu hulgas ette nähtud selleks, et turuosaliste huvides reguleerida tegevust turul, kui see rikkumine võib oluliselt kahjustada tarbijate, teiste turuosaliste või konkurentide huve.“
31 Ebaausa konkurentsi vastase seaduse §‑s 8 on sätestatud:
„(1) Isiku suhtes, kes kasutab õigusvastast kauplemistava § 3 või § 7 tähenduses, võib esitada nõude selle tegevuse lõpetamiseks; tegevuse kordumise ennetamiseks võib nõuda selle tegevuse lõpetamist või keelamist. […]
[…]
(3) Lõike 1 alusel võib nõudeid esitada:
[…]
3. pädevad üksused, kes tõendavad, et nad on kantud [rikkumisest hoidumiseks hagi esitamise seaduse] § 4 alusel koostatud loetellu […]“.
Elektroonilise teabe ja side teenuste seadus
32 Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) märgib, et 26. veebruari 2007. aasta elektroonilise teabe ja side teenuste seaduse (Telemediengesetz; BGBl. 2007 I, lk 179) § 13 lõige 1 oli kohaldatav kuni isikuandmete kaitse üldmääruse jõustumiseni. Alates sellest kuupäevast asendati see säte isikuandmete kaitse üldmääruse artiklitega 12–14.
33 Elektroonilise teabe ja side teenuste seaduse § 13 lõike 1 esimeses lauses oli sätestatud:
„Teenuseosutaja peab sideteenuse kasutamise alguses teavitama kasutajat üldiselt arusaadavas vormis tema isikuandmete kogumise ja kasutamise viisist, ulatusest ja eesmärkidest ning tema andmete töötlemisest riikides väljaspool [direktiivi 95/46] kohaldamisala, kui seda ei ole juba enne tehtud.“
Põhikohtuasi ja eelotsuse küsimus
34 Meta Platforms Ireland, kes haldab liidus veebipõhise sotsiaalvõrgustiku Facebook teenuste pakkumist, on selle sotsiaalvõrgustiku kasutajate isikuandmete töötlemise eest vastutav töötleja liidus. Saksamaal asuv Facebook Germany GmbH tegeleb aadressil www.facebook.de reklaamipinna müümisega. Veebiplatvormil Facebook on veebiaadressil www.facebook.de koht nimega „App‑Zentrum“ (rakenduste keskus), kus Meta Platforms Ireland teeb kasutajatele muu hulgas kättesaadavaks kolmandate isikute pakutavad tasuta mängud. Mõne sellise mängu vaatamisel rakenduste keskuses kuvatakse kasutajale märge, et kõnealuse rakenduse kasutamine võimaldab mänge pakkuval äriühingul saada teatud hulga isikuandmeid ja avaldada kasutaja nimel teatavat teavet, nagu tema punktisumma ning muu teave. Kasutamise tulemusel nõustub kasutaja rakenduse kasutamise tüüptingimustega ja selle andmekaitsepõhimõtetega. Lisaks on ühe mängu puhul märgitud, et rakendusel lubatakse avaldada kõnealuse kasutaja nimel tema staatust, fotosid ja muud teavet.
35 Tarbijakaitseorganisatsioonide liit on ühendus, kellel on rikkumisest hoidumiseks hagi esitamise seaduse § 4 alusel õigus hagi esitada, ja ta leiab, et märked, mis rakenduste keskuses asjaomaste mängude juures esitatakse, on ebaausad kauplemistavad eelkõige seetõttu, et rikutakse seadusest tulenevat nõuet saada kasutajalt andmekaitset reguleerivates sätetes ette nähtud kehtiv nõusolek. Lisaks leiab ta, et märge, et rakendusel on lubatud avaldada kasutaja nimel teatavat isiklikku teavet, on kasutajat ebamõistlikult kahjustav tüüptingimus.
36 Neil asjaoludel esitas tarbijakaitseorganisatsioonide liit Landgericht Berlinile (Berliini esimese astme kohus, Saksamaa) Meta Platforms Irelandi vastu hagi ebaausa konkurentsi vastase seaduse § 3a, rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ja tsiviilseadustiku alusel. Kõnealune hagi esitati sõltumata andmesubjekti andmete kaitsmise õiguse konkreetsest rikkumisest ja ilma andmesubjekti volituseta.
37 Landgericht Berlin (Berliini esimese astme kohus) rahuldas tarbijakaitseorganisatsioonide liidu hagi Meta Platforms Irelandi vastu. Meta Platforms Irelandi poolt Kammergericht Berlinile (Berliini liidumaa kõrgeim piirkondlik kohus, Saksamaa) esitatud apellatsioonkaebus jäeti rahuldamata. Meta Platforms Ireland esitas eelotsusetaotluse esitanud kohtule apellatsioonikohtu otsuse peale, millega tema apellatsioonikaebus rahuldamata jäeti, kassatsioonkaebuse.
38 Eelotsusetaotluse esitanud kohus leiab, et tarbijakaitseorganisatsioonide liidu hagi on põhjendatud, sest Meta Platforms Ireland on rikkunud ebaausa konkurentsi vastase seaduse § 3a ja rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ning ta kasutas rikkumisest hoidumiseks hagi esitamise seaduse § 1 tähenduses tühist tüüptingimust.
39 Eelotsusetaotluse esitanud kohtul on siiski kahtlusi, kas tarbijakaitseorganisatsioonide liidu hagi on vastuvõetav. Nimelt leiab ta, et ei ole välistatud, et tarbijakaitseorganisatsioonide liit – kellel oli kindlasti õigus esitada hagi ebaausa konkurentsi vastase seaduse § 8 lõike 3 ja rikkumisest hoidumiseks hagi esitamise seaduse § 3 lõike 1 esimese lause punkti 1 alusel tema hagi esitamise kuupäeval – kaotas selle õiguse menetluse jooksul isikuandmete kaitse üldmääruse jõustumise tõttu ning täpsemalt selle artikli 80 lõigete 1 ja 2 ning artikli 84 lõike 1 kohaselt. Kui see on nii, peab eelotsusetaotluse esitanud kohus Meta Platforms Irelandi kassatsioonkaebuse rahuldama ja jätma tarbijakaitseorganisatsioonide liidu hagi rahuldamata, sest Saksa õiguse asjasse puutuvate menetlusnormide kohaselt peab hagi esitamise õigus olema alles kuni viimase astme menetluse lõpuni.
40 Eelotsusetaotluse esitanud kohtu sõnul ei nähtu vastus sellele küsimusele selgelt isikuandmete kaitse üldmääruse sätete sõnastuse, ülesehituse ega eesmärgi analüüsist.
41 Isikuandmete kaitse üldmääruse sätete sõnastuse kohta märgib eelotsusetaotluse esitanud kohus, et selleks, et mittetulunduslikul asutusel, organisatsioonil või ühendusel, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega, oleks õigus hagi esitada isikuandmete kaitse üldmääruse artikli 80 lõike 1 alusel, peaks andmesubjekt olema mittetulunduslikku asutust, organisatsiooni või ühendust volitanud oma nimel kasutama isikuandmete kaitse üldmääruse artiklites 77–79 osutatud õigusi ja õigust saada sama määruse artiklis 82 osutatud hüvitist, kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud.
42 Eelotsusetaotluse esitanud kohus rõhutab aga, et õiguse puhul esitada hagi ebaausa konkurentsi vastase seaduse § 8 lõike 3 punkti 3 alusel ei ole tegemist niisuguse hagiga, mis oleks esitatud andmesubjekti volituse alusel ja tema nimel tema isiklike õiguste kaitseks. Vastupidi, see annab ühendusele tema enda õiguse alusel – tulenevalt ebaausa konkurentsi vastase seaduse § 3 lõikest 1 ja §-st 3a – õiguse esitada hagi isikuandmete kaitse üldmääruse sätete rikkumise tõttu objektiivsel alusel, sõltumata andmesubjekti konkreetsete õiguste rikkumisest ja tema volitusest.
43 Peale selle märgib eelotsusetaotluse esitanud kohus, et ühenduse õigust esitada hagi isikuandmete kaitse õiguse objektiivse kohaldamise eesmärgil ei ole isikuandmete kaitse üldmääruse artikli 80 lõikes 2 ette nähtud, kuivõrd see säte eeldab, et isikuandmete kaitse üldmääruses ette nähtud andmesubjekti õigusi on konkreetse isikuandmete töötlemisega tegelikult rikutud.
44 Pealegi ei saa niisugusele ühendusele antud õigus esitada hagi, nagu on ette nähtud ebaausa konkurentsi vastase seaduse § 8 lõikes 3, tuleneda isikuandmete kaitse üldmääruse artikli 84 lõikest 1, mille kohaselt liikmesriigid kehtestavad selle määruse rikkumise korral kohaldatavad karistusnormid ning võtavad kõik vajalikud meetmed, et tagada nende normide rakendamine. Sellise ühenduse õigust esitada hagi, nagu on silmas peetud ebaausa konkurentsi vastase seaduse § 8 lõikes 3, ei saa nimelt pidada „karistuseks“ isikuandmete kaitse üldmääruse selle sätte tähenduses.
45 Isikuandmete kaitse üldmääruse sätete ülesehituse kohta märgib eelotsusetaotluse esitanud kohus, et asjaolust, et sellega ühtlustati eelkõige järelevalveasutuste volitused, võib järeldada, et peamiselt on neile asutustele antud ülesanne kontrollida selle määruse sätete kohaldamist. Siiski võib isikuandmete kaitse üldmääruse artikli 77 lõikes 1, artikli 78 lõigetes 1 ja 2 ning artikli 79 lõikes 1 sisalduv väljend „[i]lma et see piiraks muude [õiguskaitsevahendite] kohaldamist“ ümber lükata väite, et selle määrusega on ammendavalt reguleeritud õiguse kohaldamise kontroll.
46 Isikuandmete kaitse üldmääruse eesmärgiga seoses leiab eelotsusetaotluse esitanud kohus, et selle soovitav toime võib rääkida selle kasuks, et ühendustel on konkurentsiõiguse alusel õigus esitada hagi vastavalt ebaausa konkurentsi vastase seaduse § 8 lõike 3 punktile 3, sõltumata andmesubjektide konkreetsete õiguste rikkumisest, sest see annaks täiendava võimaluse kontrollida õiguse kohaldamist, et tagada isikuandmete kaitse võimalikult kõrge tase vastavalt kõnealuse määruse põhjendusele 10. Nõustumine sellega, et ühendustel on konkurentsiõiguse alusel hagi esitamise õigus, võib siiski olla vastuolus isikuandmete kaitse üldmäärusega taotletava ühtlustamiseesmärgiga.
47 Neil asjaoludel otsustas Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas [isikuandmete kaitse üldmääruse] VIII peatüki sätetega, eelkõige artikli 80 lõigetega 1 ja 2 ning artikli 84 lõikega 1 on vastuolus liikmesriigi õigusnormid, mis – lisaks [selle] määruse kohaldamise järelevalve ja täitmise tagamise pädevusega järelevalveasutustele antud sekkumisõigusele ning andmesubjektide kasutatavatele õiguskaitsevahenditele – näevad ette, et ühelt poolt konkurentidel ja teiselt poolt liikmesriigi õiguse alusel volitatud ühendustel, asutustel ning kodadel on [isikuandmete kaitse üldmääruse] rikkumise korral sõltumata andmesubjektide konkreetsete õiguste rikkumisest ja ilma andmesubjekti volituseta õigus esitada rikkuja vastu tsiviilkohtusse hagi, kui tegemist on ebaausa kaubandustava kasutamise keelu, tarbijakaitseseaduse või tühiste tüüptingimuste kasutamise keelu rikkumisega?“
Eelotsuse küsimuse analüüs
48 Kõigepealt tuleb märkida, et – nagu nähtub eelkõige käesoleva kohtuotsuse punktist 36 ja punktidest 41–44 – põhikohtuasja pooled on selline tarbijate huve kaitsev ühendus nagu tarbijakaitseorganisatsioonide liit ja Meta Platforms Ireland ning see kohtuvaidlus käsitleb küsimust, kas niisugune ühendus võib esitada hagi selle äriühingu vastu, kui tal puudub selleks antud volitus, ja sõltumata andmesubjektide konkreetsete õiguste rikkumisest.
49 Nagu komisjon oma kirjalikes seisukohtades õigesti märkis, sõltub neil asjaoludel eelotsuse küsimusele antav vastus üksnes isikuandmete kaitse üldmääruse artikli 80 lõike 2 tõlgendamisest, sest isikuandmete kaitse üldmääruse artikli 80 lõige 1 ja artikkel 84 ei ole käesoleval juhul asjakohased. Ühelt poolt eeldab isikuandmete kaitse üldmääruse artikli 80 lõike 1 kohaldamine, et andmesubjekt volitas selles sättes silmas peetud mittetulunduslikku asutust, organisatsiooni või ühendust kasutama tema nimel selle määruse artiklites 77–79 ette nähtud õiguskaitsevahendeid. On aga selge, et põhikohtuasjas ei ole see nii, sest tarbijakaitseorganisatsioonide liit tegutseb andmesubjekti mis tahes volitusest sõltumatult. Teiselt poolt on selge, et isikuandmete kaitse üldmääruse artiklis 84 on silmas peetud selle määruse rikkumiste korral rakendatavaid haldus- ja kriminaalkaristusi, mis samuti ei ole põhikohtuasjas vaidluse all.
50 Lisaks tuleb märkida, et põhikohtuasjas ei ole küsimus konkurendi õiguses hagi esitada. Järelikult tuleb vastata ainult küsimuse sellele osale, mis käsitleb isikuandmete kaitse üldmääruse artikli 80 lõikes 2 nimetatud ja liikmesriigi õiguse alusel asutatud mittetulundusliku asutuse, organisatsiooni või ühenduse õigust hagi esitada.
51 Eelnevast järeldub, et eelotsusetaotluse esitanud kohtu küsimust tuleb mõista nii, et sellega soovitakse sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu.
52 Sellele küsimusele vastamisel tuleb silmas pidada, et isikuandmete kaitse üldmääruse põhjendusest 10 nähtub, et muu hulgas on määruse eesmärk tagada kogu liidus füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine isikuandmete töötlemisel ning kõrvaldada takistused isikuandmete liidusisesel liikumisel.
53 Selles kontekstis reguleerib määruse VIII peatükk eelkõige õiguskaitsevahendeid, mis võimaldavad kaitsta andmesubjekti õigusi juhul, kui teda puudutavaid isikuandmeid on väidetavalt töödeldud kõnealust määrust rikkudes. Nende õiguste kaitsmiseks võib seega esitada isikuandmete kaitse üldmääruse artikli 80 alusel kaebuse kas andmesubjekt vahetult ise või selleks volitatud üksus – olgu siis volituse alusel või ilma.
54 Niisiis on esmalt õigus esitada kaebus liikmesriigi järelevalveasutusele või hagi liikmesriigi tsiviilkohtule andmesubjektil endal. Täpsemalt on andmesubjektil vastavalt isikuandmete kaitse üldmääruse artiklile 77 õigus esitada järelevalveasutusele kaebus, vastavalt isikuandmete kaitse üldmääruse artiklile 78 õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu, isikuandmete kaitse üldmääruse artiklis 79 ette nähtud õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu ning õigus saada isikuandmete kaitse üldmääruse artikli 82 alusel vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
55 Veel on andmesubjektil isikuandmete kaitse üldmääruse artikli 80 lõike 1 kohaselt teatavatel tingimustel õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust esitama kaebust või kasutama tema nimel osutatud artiklites nimetatud õigusi.
56 Lõpuks olgu märgitud, et liikmesriigid võivad isikuandmete kaitse üldmääruse artikli 80 lõike 2 kohaselt ette näha, et igal asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et selle määruse kohaseid andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.
57 Siinkohal tuleb tõdeda, et nagu nähtub isikuandmete kaitse üldmääruse artikli 1 lõikest 1 koostoimes põhjendustega 9, 10 ja 13, on selle määruse eesmärk tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide põhimõtteliselt täielik ühtlustamine. Kõnealuse määruse sätted annavad liikmesriikidele siiski võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju, mis jätavad liikmesriikidele kaalutlusruumi nende sätete rakendamisel („kaitseklauslid“).
58 Seoses sellega olgu sedastatud, et Euroopa Kohtu väljakujunenud praktika kohaselt on ELTL artikli 288 alusel ning määruste olemuse ja ülesande tõttu liidu õiguse allikate süsteemis määruse sätetel liikmesriikide õiguskordades tavaliselt vahetu õigusmõju, ilma et liikmesriikide asutustel oleks vaja võtta rakendusmeetmeid. Teatavate määruse sätete puhul võib nende rakendamiseks siiski olla vajalik, et liikmesriigid võtaksid rakendusmeetmed (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 110 ning seal viidatud kohtupraktika).
59 Nii jätab eelkõige isikuandmete kaitse üldmääruse artikli 80 lõige 2 liikmesriikidele selle rakendamisel kaalutlusruumi. Seega peavad liikmesriigid selleks, et mainitud sättes ette nähtud ja isikuandmete kaitse valdkonnas esitatud volituseta esindushagi oleks võimalik esitada, kasutama neile selle sättega antud võimalust näha oma riigisiseses õiguses ette, et andmesubjekte saab sel viisil esindada.
60 Nagu märkis kohtujurist oma ettepaneku punktides 51 ja 52, peavad liikmesriigid siiski juhul, kui nad kasutavad neile sellise kaitseklausliga antud võimalust, kasutama oma kaalutlusruumi isikuandmete kaitse üldmääruse sätetes ette nähtud tingimustel ja piirides ning peavad seega võtma õigusnorme vastu viisil, mis ei kahjusta selle määruse sisu ega eesmärke.
61 Nagu Saksamaa valitsus käesolevas kohtuasjas toimunud kohtuistungil kinnitas, ei võtnud Saksamaa seadusandja pärast isikuandmete kaitse üldmääruse jõustumist vastu erisätteid, mille eesmärk oleks konkreetselt olnud riigisiseses õiguses selle määruse artikli 80 lõike 2 rakendamine. Nimelt võimaldavad juba põhikohtuasjas kõne all olevad riigisisesed õigusnormid, mis võeti vastu direktiivi 2009/22 ülevõtmise tagamiseks, tarbijate huve kaitsvatel ühendustel pöörduda kohtusse isiku vastu, kelle puhul võib eeldada, et ta kahjustab isikuandmete kaitset. Saksamaa valitsus rõhutab veel, et 29. juuli 2019. aasta kohtuotsuses Fashion ID (C‑40/17, EU:C:2019:629), mis käsitleb direktiivi 95/46 sätete tõlgendamist, asus Euroopa Kohus seisukohale, et kõnealuste õigusnormidega ei ole need riigisisesed õigusnormid vastuolus.
62 Neil tingimustel, nagu kohtujurist oma ettepaneku punktis 60 märkis, tuleb sisuliselt kontrollida, kas põhikohtuasjas kõne all olevad riigisisesed õigusnormid kuuluvad igale liikmesriigile isikuandmete kaitse üldmääruse artikli 80 lõikega 2 antud kaalutlusruumi piiresse, ning seega tuleb seda sätet tõlgendada nii selle sõnastust, ülesehitust kui ka eesmärke arvestades.
63 Olgu tõdetud, et isikuandmete kaitse üldmääruse artikli 80 lõige 2 annab liikmesriikidele võimaluse kehtestada esindushagi esitamise süsteem isikuandmete kaitset väidetavalt rikkunud isiku vastu, nähes samal ajal ette teatavad nõuded isikulise ja esemelise kohaldamisala suhtes, mida tuleb selleks järgida.
64 Esiteks tuleb niisuguse süsteemi isikulise kohaldamisala kohta märkida, et hagi esitamise õigus on antud asutusele, organisatsioonile või ühendusele, mis vastab isikuandmete kaitse üldmääruse artikli 80 lõikes 1 loetletud kriteeriumidele. Eelkõige on kõnealuses sättes nimetatud „mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega“.
65 Siinkohal tuleb asuda seisukohale, et niisugune tarbijate huve kaitsev ühendus nagu tarbijakaitseorganisatsioonide liit võib kuuluda selle mõiste alla, sest sellega taotletakse avalikku huvi pakkuvat eesmärki, mis seisneb andmesubjektide kui tarbijate õiguste ja vabaduste tagamises, kuivõrd sellise eesmärgi saavutamine võib olla seotud nende andmesubjektide isikuandmete kaitsega.
66 Selliste õigusnormide rikkumine, mille eesmärk on kaitsta tarbijaid või võidelda ebaausate kaubandustavadega, s.t rikkumine, mida niisugune tarbijate huve kaitsev ühendus nagu tarbijakaitseorganisatsioonide liit soovib ära hoida ja sanktsioneerida eelkõige rikkumisest hoidumiseks esitatud hagidega, mis on ette nähtud kohaldatavates riigisisestes õigusnormides, võib nimelt olla seotud – nagu käesoleval juhul – nende tarbijate isikuandmete kaitset käsitlevate õigusnormide rikkumisega.
67 Teiseks tuleb selle süsteemi esemelise kohaldamisala kohta sedastada, et isikuandmete kaitse üldmääruse artikli 80 lõikes 2 ette nähtud esindushagi esitamine, mille esitab üksus, kes vastab sama artikli lõikes 1 nimetatud tingimustele, eeldab, et see üksus, sõltumata talle antud volitusest, „leiab, et [selle] määruse kohase[id] andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud“.
68 Esiteks tuleb siinkohal täpsustada, et isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses esindushagi esitamisel ei saa nõuda, et selline üksus tuvastaks enne konkreetse andmesubjekti, keda väidetav isikuandmete kaitse üldmääruse sätetega vastuolus olev töötlemine konkreetselt puudutab.
69 Nimelt piisab, kui märkida, et mõiste „andmesubjekt“ selle määruse artikli 4 punkti 1 tähenduses hõlmab nii „tuvastatud füüsilist isikut“ kui ka „tuvastatavat füüsilist isikut“, s.t füüsilist isikut, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave või võrguidentifikaator. Neil asjaoludel võib sellise esindushagi esitamiseks olla piisav ka see, kui on kindlaks määratud isikute kategooria või isikute rühm, keda niisugune andmete töötlemine puudutab.
70 Teiseks ei ole isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel esindushagi esitamise tingimuseks ka see, et on konkreetselt rikutud isikuandmete kaitset käsitlevatest õigusnormidest isikule tulenevaid õigusi.
71 Nimelt nagu nähtub selle sätte sõnastusest endast – mida on üle korratud käesoleva kohtuotsuse punktis 67 –, on esindushagi esitamise eelduseks üksnes see, et asjaomane üksus „leiab“, et määruse kohaseid andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud, ning seega väidab ta, et isikuandmeid on töödeldud viisil, mis on vastuolus selle määruse sätetega.
72 Sellest järeldub, et selleks, et tunnustada niisuguse üksuse õigust esitada hagi kõnealuse sätte alusel, piisab, kui väita, et asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel, ilma et oleks vaja tõendada andmesubjekti õiguste rikkumisega talle konkreetses olukorras tekitatud tegelikku kahju.
73 Selline tõlgendus on kooskõlas nõuetega, mis tulenevad ELTL artiklist 16 ja Euroopa Liidu põhiõiguste harta artiklist 8, ning seega ka isikuandmete kaitse üldmääruse eesmärgiga, milleks on tõhusalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige tagada iga isiku õigus tema isikuandmete kaitsele (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punktid 44, 45 ning 91).
74 Asjaolu, kui niisugustele tarbijate huve kaitsvatele ühendustele nagu tarbijakaitseorganisatsioonide liit on antud õigus esitada esindushagide esitamise süsteemi kaudu hagi, et lõpetada kõnealuse määruse sätetega vastuolus olev töötlemine – sõltumata sellest, kas sellega on ühe isiku õigusi rikutud isiklikult ja konkreetselt –, aitab kahtlemata tugevdada andmesubjektide õigusi ja tagada nende õiguste kõrgetasemelise kaitse.
75 Peale selle tuleb märkida, et kuivõrd niisuguse esindushagi esitamine võimaldab ära hoida suurt hulka nende andmesubjektide õiguste rikkumisi, keda see isikuandmete töötlemine puudutab, võib see olla märgatavalt tõhusam kui hagi, mille võib rikkumise toimepanija vastu esitada üksainus isik, keda on isiklikult ja konkreetselt kahjustatud sellega, et tema õigust enda isikuandmete kaitsele on rikutud.
76 Nagu märkis kohtujurist oma ettepaneku punktis 76, ei saaks niisuguste tarbijate huve kaitsvate ühenduste nagu tarbijakaitseorganisatsioonide liit esitatud hagid ennetavat funktsiooni täita, kui isikuandmete kaitse üldmääruse artikli 80 lõikes 2 ette nähtud esindushagi võimaldaks tugineda vaid mõne sellise isiku õiguste rikkumisele, keda see rikkumine isiklikult ja konkreetselt puudutab.
77 Kolmandaks tuleb veel kontrollida – seda palus ka eelotsusetaotluse esitanud kohus –, kas isikuandmete kaitse üldmääruse artikli 80 lõige 2 takistab esindushagi esitamist, sõltumata andmesubjekti õiguse konkreetsest rikkumisest ja andmesubjekti antud volituse puudumisest, kui väide isikuandmete kaitset käsitlevate õigusnormide rikkumise kohta esitatakse hagi raames, millega palutakse kontrollida muude, tarbijakaitset tagavate õigusnormide kohaldamist.
78 Sellega seoses tuleb kõigepealt märkida, nagu on sisuliselt märgitud käesoleva kohtuotsuse punktis 66, et isikuandmete kaitset käsitleva normi rikkumine võib samal ajal kaasa tuua tarbijakaitset või ebaausaid kaubandustavasid käsitlevate normide rikkumise.
79 Seega, nagu kohtujurist oma ettepaneku punktis 72 märkis, ei ole kõnealuse sättega vastuolus see, kui liikmesriigid kasutavad neile pakutud võimalust nii, et tarbijate huve kaitsvatele ühendustele antakse õigus esitada hagi isikuandmete kaitse üldmääruses ette nähtud õiguste rikkumise peale; seda vajaduse korral ka normide alusel, mille eesmärk on kaitsta tarbijaid või võidelda selliste ebaausate kaubandustavadega nagu need, mis on ette nähtud direktiivis 2005/29 ja direktiivis 2009/22.
80 Niisugust isikuandmete kaitse üldmääruse artikli 80 lõike 2 tõlgendust toetab ka direktiiv 2020/1828, millega tunnistati alates 25. juunist 2023 kehtetuks ja asendati direktiiv 2009/22. Selles olukorras olgu sedastatud, et direktiivi 2020/1828 artikli 2 lõike 1 kohaselt kohaldatakse kõnealust direktiivi esindushagide suhtes, mis esitatakse kauplejate vastu direktiivi I lisas osutatud liidu õigusaktide sätete rikkumise korral; I lisa punktis 56 on nimetatud isikuandmete kaitse üldmäärust.
81 Direktiiv 2020/1828 ei ole küll põhikohtuasjas kohaldatav ja selle ülevõtmise tähtaeg ei ole veel möödunud. See sisaldab siiski mitut aspekti, mis kinnitavad, et isikuandmete kaitse üldmääruse artikkel 80 ei takista täiendavate esindushagide esitamist tarbijakaitse valdkonnas.
82 Kuigi – nagu nähtub selle direktiivi põhjendusest 11 – tarbijakaitse valdkonnas on siiski võimalik näha ette täiendavat esindushagide menetlust, ei saa selliseid isikuandmete kaitse üldmääruses ette nähtud või sellel põhinevaid kohaldamismehhanisme, nagu on kehtestatud selle määruse artikliga 80, asendada ega muuta – nii on täpsustatud samuti direktiivi põhjenduses 15 – ning seega võib neid kasutada tarbijate kollektiivsete huvide kaitsmisel.
83 Kõiki eeltoodud kaalutlusi arvestades tuleb esitatud küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel.
Kohtukulud
84 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel.
Allkirjad