TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2022 m. balandžio 28 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 80 straipsnis – Atvejis, kai duomenų subjektams atstovauja ne pelno asociacija – Atstovaujamasis ieškinys, pareikštas vartotojų teisių gynimo asociacijos neturint įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo – Ieškinys, grindžiamas nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos srities įstatymo pažeidimu arba draudimu naudoti negaliojančias bendrąsias komercines sąlygas“
Byloje C‑319/20
dėl Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) 2020 m. gegužės 28 d. nutartimi, kurią Teisingumo Teismas gavo 2020 m. liepos 15 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Meta Platforms Ireland Limited, anksčiau – Facebook Ireland Limited,
prieš
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
TEISINGUMO TEISMAS (trečioji kolegija),
kurį sudaro trečiosios kolegijos pirmininko pareigas einanti antrosios kolegijos pirmininkė A. Prechal, teisėjai J. Passer, F. Biltgen, L. S. Rossi (pranešėja) ir N. Wahl,
generalinis advokatas J. Richard de la Tour,
posėdžio sekretorė M. Krausenböck, administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2021 m. rugsėjo 23 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Meta Platforms Ireland Limited, atstovaujamos Rechtsanwälte H.-G. Kamann, M. Braun, H. Frey ir Rechtsanwältin V. Wettner,
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., atstovaujamos Rechtsanwalt P. Wassermann,
– Vokietijos vyriausybės, atstovaujamos D. Klebs ir J. Möller,
– Austrijos vyriausybės, atstovaujamos A. Posch, G Kunnert ir J. Schmoll,
– Portugalijos vyriausybės, atstovaujamos L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa ir L. Medeiros,
– Europos Komisijos, iš pradžių atstovaujamos F. Erlbacher, H. Kranenborg ir D. Nardi, vėliau – F. Erlbacher ir H. Kranenborg,
susipažinęs su 2021 m. gruodžio 2 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1, klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35) 80 straipsnio 1 ir 2 dalių ir 84 straipsnio 1 dalies išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant Meta Platforms Ireland Limited, anksčiau – Facebook Ireland Limited, kurios buveinė yra Airijoje, ir Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Federalinė vartotojų centrų ir asociacijų sąjunga, Vokietija, toliau – Federalinė sąjunga) ginčą dėl to, kad Meta Platforms Ireland pažeidė Vokietijos asmens duomenų apsaugos įstatymo nuostatas ir kartu vykdė nesąžiningą komercinę veiklą, taip pat pažeidė vartotojų teisių apsaugos įstatymą ir draudimą taikyti negaliojančias bendrąsias komercines sąlygas.
Teisinis pagrindas
Sąjungos teisė
BDAR
3 BDAR 9, 10, 13 ir 142 konstatuojamosiose dalyse nustatyta:
„(9) [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) tikslai ir principai tebėra pagrįsti, tačiau ji neužkirto kelio suskaidytam duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų, visų pirma dėl veiklos internete. Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje. Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. Tokią skirtingo lygio apsaugą lemia nevienodas Direktyvos [95/46] įgyvendinimas ir taikymas;
(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>
<…>
(13) siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas; <…>
<…>
(142) jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, jis turėtų turėti teisę įgalioti ne pelno įstaigą, organizaciją arba asociaciją, kuri yra įsteigta pagal valstybės narės teisę, kurios įstatais nustatyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, pateikti skundą priežiūros institucijai jo vardu, pasinaudoti teise į teisminę teisių gynimo priemonę duomenų subjektų vardu arba pasinaudoti teise gauti kompensaciją duomenų subjektų vardu, jei ši kompensacija numatyta valstybės narės teisėje. Valstybė narė gali numatyti, kad tokia įstaiga, organizacija arba asociacija turi teisę, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje pateikti skundą ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę, kai ji turi priežasčių manyti, kad buvo pažeistos duomenų subjektų teisės, nes tvarkant asmens duomenis buvo pažeistas šis reglamentas. Tai įstaigai, organizacijai ar asociacijai gali būti neleidžiama duomenų subjekto vardu reikalauti kompensacijos nesiremiant duomenų subjekto suteiktais įgaliojimais.“
4 Šio reglamento 1 straipsnio „Dalykas ir tikslai“ 1 dalyje nustatyta:
„Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.“
5 BDAR 4 straipsnio 1 dalyje nurodyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.“
6 BDAR III skyrius, kuriame yra 12–23 straipsniai, pavadintas „Duomenų subjekto teisės“.
7 Šio reglamento 12 straipsnio „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ 1 dalyje nustatyta:
„Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.“
8 BDAR 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 1 dalies c ir e punktuose numatyta:
„Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:
<…>
c) duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
<…>
e) jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas <…>“
9 Minėto reglamento VIII skyrius, kuriame yra 77–84 straipsniai, pavadintas „Teisių gynimo priemonės, atsakomybė ir sankcijos“.
10 BDAR 77 straipsnio „Teisė pateikti skundą priežiūros institucijai“ 1 dalyje nustatyta:
„Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.“
11 BDAR 78 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“ 1 dalyje nustatyta:
„Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.“
12 BDAR 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje numatyta:
„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“
13 BDAR 80 straipsnis „Atstovavimas duomenų subjektams“ suformuluotas taip:
„1. Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų [jo] asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 77, 78 bei 79 straipsniuose, jo vardu naudotis 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.
2. Valstybės narės gali nustatyti, kad bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos.“
14 Šio reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje nustatyta:
„Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“
15 BDAR 84 straipsnio „Sankcijos“ 1 dalyje nustatyta:
„Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“
Direktyva 2005/29/EB
16 2005 m. gegužės 11 d. Europos Parlamento ir Tarybos direktyvos 2005/29/EB dėl nesąžiningos įmonių komercinės veiklos vartotojų atžvilgiu vidaus rinkoje ir iš dalies keičiančios Tarybos direktyvą 84/450/EEB, Europos Parlamento ir Tarybos direktyvas 97/7/EB, 98/27/EB bei 2002/65/EB ir Europos Parlamento ir Tarybos reglamentą (EB) Nr. 2006/2004 (Nesąžiningos komercinės veiklos direktyva) (OL L 149, 2005, p. 22) tikslas, remiantis jos 1 straipsniu, – padėti tinkamai veikti vidaus rinkai ir pasiekti aukštą vartotojų apsaugos lygį suderinant valstybių narių įstatymus ir kitus teisės aktus dėl nesąžiningos komercinės veiklos, kenkiančios vartotojų ekonominiams interesams.
17 Direktyvos 2005/29 5 straipsnyje „Nesąžiningos komercinės veiklos draudimas“ nustatyta:
„1. Nesąžininga komercinė veikla draudžiama.
2. Komercinė veikla yra nesąžininga, jeigu:
a) prieštarauja profesinio atidumo reikalavimams
ir
b) iš esmės iškreipia arba gali iš esmės iškreipti vidutinio vartotojo, kurį produktas pasiekia arba kuriam yra skirtas, arba, kai komercinė veikla nukreipta į tam tikrą vartotojų grupę, vidutinio grupės nario ekonominį elgesį siūlomo produkto atžvilgiu.
<…>
5. Tokios komercinės veiklos, kuri bet kuriomis aplinkybėmis laikoma nesąžininga, sąrašas pateikiamas I priede. <…>“
18 Šios direktyvos 11 straipsnio „Vykdymas“ 1 dalyje numatyta:
„1. Kad šios direktyvos nuostatų būtų laikomasi vartotojų interesais, valstybės narės užtikrina pakankamus ir veiksmingus būdus kovoti su nesąžininga komercine veikla.
Tokie būdai – tai teisinės nuostatos, pagal kurias asmenys ar organizacijos, kurie pagal nacionalinės teisės aktus laikomi turinčiais teisėtą interesą kovoti su nesąžininga komercine veikla, įskaitant konkurentus, galėtų:
a) pradėti bylą dėl tokios nesąžiningos komercinės veiklos;
ir (arba)
b) tokią nesąžiningą komercinę veiklą apskųsti administracinei institucijai, kuri kompetentinga priimti sprendimus dėl skundų ar pradėti atitinkamą teisinį bylos nagrinėjimą.
Pačios valstybės narės sprendžia, kurios iš šių galimybių turi egzistuoti, ir ar teismai ar administracinės institucijos gali reikalauti, kad skundai pirma būtų nagrinėjami kitais nustatytais būdais, įskaitant nurodytus 10 straipsnyje. Šios galimybės turi būti prieinamos nepriklausomai nuo to, ar vartotojai, kuriems daroma įtaka, yra toje pačioje valstybėje narėje, kurioje įsikūręs prekybininkas, ar kitoje valstybėje narėje.
<…>“
19 Direktyvos 2005/29 I priedo, kuriame pateiktas komercinės veiklos, bet kuriomis aplinkybėmis laikomos nesąžininga, sąrašas, 26 punkte nustatyta:
„Atkaklus ir nepageidaujamas raginimas telefonu, faksu, elektroniniu paštu ar kitomis nuotolinio ryšio priemonėmis, išskyrus tomis aplinkybėmis ir tiek, kiek tai leidžiama pagal nacionalinę teisę siekiant užtikrinti sutartinės prievolės vykdymą. Tai nepažeidžia <…> [d]irektyvų 95/46/EB <…> nuostatų.“
Direktyva 2009/22/EB
20 2009 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2009/22/EB dėl ieškinių dėl uždraudimo ginant vartotojų interesus (OL L 110, 2009, p. 30) 1 straipsnyje „Taikymo sritis“ nustatyta:
„1. Šia direktyva siekiama suderinti valstybių narių įstatymus ir kitus teisės aktus, susijusius su 2 straipsnyje nurodytais ieškiniais dėl uždraudimo, kuriais siekiama ginti I priede išvardytose direktyvose nurodytus kolektyvinius vartotojų interesus, siekiant užtikrinti sklandų vidaus rinkos veikimą.
2. Šioje direktyvoje pažeidimas – tai bet koks veiksmas, prieštaraujantis I priede išvardytoms direktyvoms, perkeltoms į valstybių narių vidaus teisinę sistemą, kuris kenkia 1 dalyje nurodytiems kolektyviniams interesams.“
21 Direktyvos 2009/22 7 straipsnis „Nuostatos dėl platesnio pobūdžio veiksmų“ suformuluotas taip:
„Ši direktyva nesudaro kliūčių valstybėms narėms palikti galiojančių ar priimti naujų nuostatų, skirtų užtikrinti kompetentingiems subjektams ir bet kokiems kitiems suinteresuotiesiems asmenims platesnio pobūdžio veiksmus nacionaliniu lygiu.“
22 Direktyvos 2009/22 I priede pateiktas jos 1 straipsnyje nurodytų Sąjungos direktyvų sąrašas. Šio priedo 11 punkte minima Direktyva 2005/29.
Direktyva (ES) 2020/1828
23 2020 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyvos (ES) 2020/1828 dėl atstovaujamųjų ieškinių siekiant apsaugoti vartotojų kolektyvinius interesus, kuria panaikinama Direktyva 2009/22/EB (OL L 409, 2020, p. 1), 11, 13 ir 15 konstatuojamosiose dalyse nustatyta:
„(11) šia direktyva neturėtų būti pakeičiami esami nacionaliniai procedūriniai mechanizmai, skirti apsaugoti vartotojų kolektyvinius arba individualius interesus. Atsižvelgiant į valstybių narių teisines tradicijas, ja valstybėms narėms turėtų būti paliekama diskrecija nuspręsti, ar šia direktyva reikalaujamas atstovaujamųjų ieškinių procedūrinis mechanizmas bus nustatytas kaip esamo arba būsimo procedūrinio mechanizmo, skirto kolektyvinėms uždraudžiamosioms priemonėms ar teisių gynimo priemonėms, dalis, ar kaip atskiras procedūrinis mechanizmas, jei bent vienas nacionalinis procedūrinis mechanizmas, skirtas atstovaujamiesiems ieškiniams, atitinka šią direktyvą. <…> Jeigu, be šia direktyva reikalaujamo procedūrinio mechanizmo, nacionaliniu lygmeniu būtų nustatyti procedūriniai mechanizmai, kompetentingas subjektas turėtų galėti pasirinkti, kuriuo procedūriniu mechanizmu naudotis;
<…>
(13) šios direktyvos taikymo sritis turėtų atspindėti naujausius pokyčius vartotojų apsaugos srityje. Kadangi vartotojai šiuo metu veikia platesnėje ir vis labiau skaitmeninamoje rinkoje, siekiant užtikrinti aukšto lygio vartotojų apsaugą reikia, kad tokiose srityse kaip duomenų apsauga, finansinės paslaugos, kelionės ir turizmas, energetika ir telekomunikacijos, be bendrosios vartotojų teisės, būtų taikoma ir ši direktyva. <…>
<…>
(15) šia direktyva neturėtų būti daromas poveikis I priede išvardytiems teisės aktams ir todėl ja neturėtų būti keičiamos ar išplečiamos tuose teisės aktuose nustatytos terminų apibrėžtys arba pakeičiami vykdymo užtikrinimo mechanizmai, kurie galėtų būti nurodyti tuose teisės aktuose. Pavyzdžiui, [BDAR] numatyti arba juo grindžiami vykdymo užtikrinimo mechanizmai, kai taikytina, galėtų toliau būti naudojami vartotojų kolektyvinių interesų apsaugai.“
24 Šios direktyvos 2 straipsnio „Taikymo sritis“ 1 dalyje numatyta:
„Ši direktyva taikoma atstovaujamiesiems ieškiniams, pareikštiems dėl prekiautojų padarytų I priede nurodytos Sąjungos teisės nuostatų, įskaitant tokias nuostatas, kaip jos buvo perkeltos į nacionalinę teisę, pažeidimų, kuriais daroma ar gali būti padaryta žala vartotojų kolektyviniams interesams. Ši direktyva nepažeidžia I priede nurodytų Sąjungos teisės nuostatų.“
25 Direktyvos 24 straipsnio „Perkėlimas į nacionalinę teisę“ 1 dalyje nustatyta:
„Valstybės narės ne vėliau kaip 2022 m. gruodžio 25 d. priima ir paskelbia įstatymus ir kitus teisės aktus, būtinus, kad būtų laikomasi šios direktyvos. Jos nedelsdamos apie tai informuoja Komisiją.
Jos taiko tas priemones nuo 2023 m. birželio 25 d.
<…>“
26 Direktyvos 2020/1828 I priedo, kuriame pateiktas jos 2 straipsnio 1 dalyje nurodytų Sąjungos teisės aktų nuostatų sąrašas, 56 punkte nurodytas BDAR.
Vokietijos teisė
Ieškinių dėl veiksmų nutraukimo įstatymas
27 Pagrindinės bylos aplinkybėms taikytinos redakcijos 2001 m. lapkričio 26 d. Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Ieškinių dėl veiksmų nutraukimo vartotojų teisių ir kitų pažeidimų atvejais įstatymas) (BGBl. 2001 I, p. 3138) 2 straipsnyje nurodyta:
„(1) Asmeniui, kuris pažeidžia nuostatas, skirtas vartotojams apsaugoti (įstatymus dėl vartotojų apsaugos), kitaip, nei taikydamas arba rekomenduodamas bendrąsias komercines sąlygas, gali būti nurodyta ateityje arba nedelsiant nutraukti tam tikrus veiksmus siekiant apginti vartotojų interesus. <…>
(2) Pagal šią nuostatą įstatymai dėl vartotojų apsaugos – tai pirmiausia:
<…>
11) leistinumo nuostatos, taikomos:
a) kai verslininkas renka vartotojo asmens duomenis arba
b) kai verslininkas tvarko ar naudoja surinktus vartotojo asmens duomenis,
jei duomenys renkami, tvarkomi arba naudojami reklamos, rinkos tyrimų ir viešosios nuomonės apklausos tikslais, informacinės agentūros veiklai, kuriant asmeninį ir naudotojo profilį, prekybai adresais, duomenimis ar kitais panašiais komerciniais tikslais.“
28 Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) nurodo, kad pagal Ieškinių dėl veiksmų nutraukimo įstatymo 3 straipsnio 1 dalies pirmo sakinio 1 punktą teisę pareikšti ieškinį turinčios įstaigos, kaip tai suprantama pagal šio įstatymo 4 straipsnį, gali, pirma, pagal šio įstatymo 1 straipsnį reikalauti, kad būtų nebetaikomos pagal Bürgerliches Gesetzbuch (Civilinis kodeksas) 307 straipsnį negaliojančios bendrosios komercinės sąlygos, ir, antra, nutrauktas vartotojų apsaugos įstatymų, kaip tai suprantama pagal šio įstatymo 2 straipsnio 2 dalį, pažeidimas.
Kovos su nesąžininga konkurencija įstatymas
29 Pagrindinės bylos aplinkybėms taikytinos 2004 m. liepos 3 d. redakcijos Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas, BGBl. 2004 I, p. 1414) (toliau – Kovos su nesąžininga konkurencija įstatymas) 3 straipsnio 1 dalyje numatyta:
„Nesąžininga komercinė veikla draudžiama.“
30 Kovos su nesąžininga konkurencija įstatymo 3a straipsnis suformuluotas taip:
„Subjektas, pažeidžiantis teisės nuostatą, kuria siekiama, be kita ko, rinkos dalyvių interesais reguliuoti elgesį rinkoje, vykdo nesąžiningą veiklą, jeigu pažeidimas gali gerokai pakenkti vartotojų, kitų rinkos dalyvių arba konkurentų interesams.“
31 Kovos su nesąžininga konkurencija įstatymo 8 straipsnyje nustatyta:
„(1) Asmeniui, kuris atlieka pagal 3 arba 7 straipsnius neleistinus komercinius veiksmus, gali būti pareikštas reikalavimas nedelsiant juos nutraukti, o pakartotinio pažeidimo grėsmės atveju – juos uždrausti. <…>
<…>
(3) 1 dalyje nurodytus reikalavimus gali pateikti:
<…>
3. kvalifikuoti subjektai, kurie įrodo, kad yra įtraukti į kvalifikuotų subjektų sąrašą pagal [Ieškinių dėl veiksmų nutraukimo įstatymo] 4 straipsnį <…>“
Telemedijų įstatymas
32 Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nurodo, kad 2007 m. vasario 26 d. Telemediengesetz (Telemedijų įstatymas) (BGBl. 2007 I, p. 179) 13 straipsnio 1 dalis buvo taikoma iki BDAR įsigaliojimo. Nuo šios datos ši nuostata buvo pakeista BDAR 12–14 straipsniais.
33 Telemedijų įstatymo 13 straipsnio 1 dalies pirmame sakinyje nurodyta:
„Prisijungimo operacijos pradžioje paslaugų teikėjas privalo visiems suprantama forma informuoti naudotoją apie asmens duomenų rinkimo ir naudojimo pobūdį, apimtį ir tikslą, taip pat apie jo duomenų tvarkymą valstybėse, kuriose netaikoma [Direktyva 95/46], jei tokios informacijos dar nebuvo pateikta.“
Pagrindinė byla ir prejudicinis klausimas
34 Meta Platforms Ireland, kuri Sąjungoje valdo socialinio tinklo Facebook paslaugų pasiūlą, yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Facebook Germany GmbH, kurios buveinė yra Vokietijoje, www.facebook.de reklamuoja reklaminių plotų paradavimą. Interneto platformoje Facebook, be kita ko, interneto adresu www.facebook.de, yra vadinamasis programėlių centras „App-Zentrum“, kuriame Meta Platforms Ireland naudotojams teikia prieigą prie trečiųjų asmenų siūlomų nemokamų žaidimų. Programėlių centre atvėręs kai kuriuos žaidimus naudotojas pamato nuorodą apie tai, kad naudojant atitinkamą programėlę žaidimus siūlančiai bendrovei leidžiama gauti tam tikrus asmeninius duomenis ir naudotojo vardu skelbti tam tikrą informaciją, pavyzdžiui, jo surinktus taškus. Toks naudojimas reiškia, kad naudotojas sutinka su bendrosiomis programėlės sąlygomis ir joje taikoma duomenų apsaugos politika. Be to, tam tikro žaidimo atveju nurodoma, kad programėlė gali naudotojo vardu skelbti būsenos pranešimus, nuotraukas ir kitą informaciją.
35 Federalinės sąjungos, pagal Ieškinių dėl veiksmų nutraukimo įstatymo 4 straipsnį turinčios teisę pareikšti ieškinį, vertinimu, nuorodos, kurios rodomos atitinkamuose programėlių centre siūlomuose žaidimuose, yra nesąžiningos, be kita ko, dėl nepaisytų teisinių reikalavimų, taikomų galiojančiam naudotojo sutikimui pagal asmens duomenų apsaugos nuostatas gauti. Be to, nuoroda, kad leidžiama naudotojo vardu paskelbti tam tikrą asmeninę jo informaciją, jos nuomone, yra naudotojui neadekvačiai nepalanki bendroji komercinė sąlyga.
36 Šiomis aplinkybėmis Federalinė sąjunga Landgericht Berlin (Berlyno apygardos teismas, Vokietija) pareiškė Meta Platforms Ireland ieškinį dėl veiksmų nutraukimo, grindžiamą Kovos su nesąžininga konkurencija įstatymo 3a straipsniu, Ieškinių dėl veiksmų nutraukimo 2 straipsnio 2 dalies pirmo sakinio 11 punktu ir Civiliniu kodeksu. Šis ieškinys buvo pareikštas nepriklausomai nuo konkretaus duomenų subjekto duomenų apsaugos teisių pažeidimo ir neturint tokio duomenų subjekto įgaliojimo.
37 Landgericht Berlin (Berlyno apygardos teismas) nustatė Meta Platforms Ireland įpareigojimus pagal Federalinės sąjungos reikalavimus. Meta Platforms Ireland apeliacinis skundas, pateiktas Kammergericht Berlin (Berlyno aukštesnysis apygardos teismas, Vokietija), buvo atmestas. Tuomet Meta Platforms Ireland prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikė kasacinį skundą dėl apeliacinio teismo priimto sprendimo atmesti prašymą.
38 Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad Federalinės sąjungos ieškinys yra pagrįstas, nes Meta Platforms Ireland pažeidė Kovos su nesąžininga konkurencija įstatymo 3a straipsnį ir Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktą ir taikė negaliojančią bendrąją komercinę sąlygą, kaip tai suprantama pagal Ieškinių dėl veiksmų nutraukimo įstatymo 1 straipsnį.
39 Vis dėlto šiam teismui kyla abejonių dėl Federalinės sąjungos ieškinio priimtinumo. Jo nuomone, neatmestina, kad Federalinė sąjunga, kuri ieškinio pareiškimo dieną turėjo teisę pareikšti ieškinį, remiantis Kovos su nesąžininga konkurencija įstatymo 8 straipsnio 3 dalimi ir Ieškinių dėl veiksmų nutraukimo įstatymo 3 straipsnio 1 dalies pirmo sakinio 1 punktu, neteko šio statuso vykstant procesui po to, kai įsigaliojo BDAR, visų pirma jo 80 straipsnio 1 ir 2 dalys ir 84 straipsnio 1 dalis. Jei taip būtų, prašymą priimti prejudicinį sprendimą pateikęs teismas turėtų patenkinti Meta Platforms Ireland kasacinį skundą ir atmesti Federalinės sąjungos ieškinį, nes pagal atitinkamas Vokietijos proceso teisės nuostatas teisė pareikšti ieškinį turi išlikti iki paskutinės instancijos pabaigos.
40 Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, atsakymas šiuo klausimu aiškiai neišplaukia iš BDAR nuostatų formuluotės, sistemos ir tikslo vertinimo.
41 Dėl BDAR nuostatų formuluotės prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, jog ne pelno įstaigos, organizacijos ar asociacijos, tinkamai įsteigtos pagal valstybės narės teisę, teisė pareikšti ieškinį pagal BDAR 80 straipsnio 1 dalį suponuoja, kad duomenų subjektas įgaliojo įstaigą, organizaciją ar asociaciją jo vardu naudotis BDAR 77–79 straipsniuose nurodytomis teisėmis ir BDAR 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.
42 Prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad teisės pareikšti ieškinį pagal Kovos su nesąžininga konkurencija įstatymo 8 straipsnio 3 dalies 3 punktą atveju negalima kalbėti apie tokį ieškinį pagal atitinkamo asmens įgaliojimą ir jo vardu siekiant apginti jo asmenines teises. Tai veikiau būtų savarankiška, iš Kovos su nesąžininga konkurencija įstatymo 3 straipsnio 1 dalies ir 3a straipsnio kylanti asociacijos teisė objektyviai imtis priemonių dėl BDAR nuostatų pažeidimų, nepriklausomai nuo to, ar buvo pažeistos konkrečios duomenų subjektų teisės ir ar jie yra suteikę įgaliojimą.
43 Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad BDAR 80 straipsnio 2 dalyje nenumatyta asociacijos teisė pareikšti ieškinį, kad būtų galima objektyviai įgyvendinti teisę į asmens duomenų apsaugą, nes ši nuostata grindžiama prielaida, kad dėl konkretaus duomenų tvarkymo buvo faktiškai pažeistos BDAR numatytos duomenų subjekto teisės.
44 Asociacijos teisė pareikšti ieškinį, kaip numatyta Kovos su nesąžininga konkurencija įstatymo 8 straipsnio 3 dalyje, taip pat negali būti kildinama iš BDAR 84 straipsnio 1 dalies, pagal kurią valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendintos. Iš tiesų asociacijos teisė pareikšti ieškinį, kaip antai numatyta Įstatymo dėl kovos su nesąžininga konkurencija 8 straipsnio 3 dalyje, negali būti laikoma „sankcija“, kaip ji suprantama pagal šią BDAR nuostatą.
45 Kiek tai susiję su BDAR nuostatų sistema, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, jog iš aplinkybės, kad juo buvo suderintos, be kita ko, priežiūros institucijų galios, galima daryti išvadą, kad iš esmės šios institucijos turi patikrinti, kaip taikomos šio reglamento nuostatos. Vis dėlto įterpinys „[n]eapribojant galimybių [nedarant poveikio galimybei] imtis kitų <…> teisių gynimo priemonių“, vartojamas šio reglamento 77 straipsnio 1 dalyje, 78 straipsnio 1 ir 2 dalyse ir 79 straipsnio 1 dalyje, galėtų paneigti teiginį dėl teisių įgyvendinimo kontrolės išsamaus sureguliavimo minėtu reglamentu.
46 Dėl BDAR nuostatų tikslo veiksmingumo prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šis tikslas galėtų liudyti asociacijų teisės pareikšti ieškinį pagal konkurencijos teisę, remiantis Kovos su nesąžininga konkurencija įstatymo 8 straipsnio 3 dalies 3 punktu, naudai, nepriklausomai nuo duomenų subjektų konkrečių teisių pažeidimo, nes taip būtų išlaikoma papildoma galimybė kontroliuoti teisių įgyvendinimą, siekiant užtikrinti kuo aukštesnio lygio asmens duomenų apsaugą, kaip nurodyta BDAR 10 konstatuojamojoje dalyje. Vis dėlto asociacijoms pripažinus teisę pareikšti ieškinį pagal konkurencijos teisę, tai galėtų būti laikoma prieštaravimu BDAR siekiamam suderinimo tikslui.
47 Tokiomis aplinkybėmis Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar pagal [BDAR] VIII skyriaus, visų pirma 80 straipsnio 1 ir 2 dalių bei 84 straipsnio 1 dalies, nuostatas draudžiamos nacionalinės teisės nuostatos, kuriomis, be [šio] reglamento taikymui stebėti ir jam įgyvendinti kompetentingų priežiūros institucijų intervencijos teisių ir duomenų subjektų teisinės gynybos priemonių, suteikiama teisė tiek konkurentams, tiek pagal nacionalinės teisės aktus įgaliotoms asociacijoms, įstaigoms ir rūmams [BDAR] pažeidimo atvejais, nepriklausomai nuo pavienių duomenų subjektų konkrečių teisių pažeidimo ir neturint duomenų subjekto įgaliojimų, imtis veiksmų prieš pažeidėją, t. y. pareikšti ieškinį civilinių bylų teismuose, remiantis nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos teisės akto pažeidimu arba draudimu taikyti negaliojančias Bendrąsias komercines sąlygas?“
Dėl prejudicinio klausimo
48 Pirmiausia pažymėtina, kad, kaip matyti, be kita ko, iš šio sprendimo 36 punkto ir 41–44 punktų, pagrindinėje byloje yra kilęs vartotojų teisių gynimo asociacijos, kaip antai Federalinės sąjungos, ir Meta Platforms Ireland ginčas dėl to, ar tokia asociacija gali pareikšti ieškinį prieš šią bendrovę, neturėdama jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo duomenų subjekto konkrečių teisių pažeidimo.
49 Šiomis aplinkybėmis, kaip savo rašytinėse pastabose teisingai pažymėjo Komisija, atsakymas į prejudicinį klausimą priklauso tik nuo BDAR 80 straipsnio 2 dalies išaiškinimo, nes BDAR 80 straipsnio 1 dalies ir BDAR 84 straipsnio nuostatos nagrinėjamu atveju nėra reikšmingos. Pirma, BDAR 80 straipsnio 1 dalies taikymas suponuoja, kad duomenų subjektas įgaliojo šioje nuostatoje nurodytus ne pelno įstaigą, organizaciją ar asociaciją jo vardu imtis BDAR 77–79 straipsniuose numatytų teisinių priemonių. Neginčijama, kad taip nėra pagrindinėje byloje, nes Federalinė sąjunga veikia nepriklausomai, neturėdama jokio duomenų subjekto įgaliojimo. Antra, neginčijama, kad BDAR 84 straipsnyje yra numatytos administracinės ir baudžiamosios sankcijos, taikytinos už šio reglamento pažeidimus, o šis klausimas pagrindinėje byloje taip pat nenagrinėjamas.
50 Be to, svarbu pažymėti, kad pagrindinėje byloje nekyla klausimo dėl konkurento teisės pareikšti ieškinį. Todėl reikia atsakyti tik į klausimo dalį dėl BDAR 80 straipsnio 2 dalyje nurodytų pagal nacionalinę teisę įgaliotų asociacijų, įstaigų ir rūmų teisės pareikšti ieškinį.
51 Darytina išvada, kad prašymą priimti prejudicinį sprendimą pateikusio teismo klausimas turi būti suprantamas taip, kad juo iš esmės siekiama išsiaiškinti, ar BDAR 80 straipsnio 2 dalis turi būti aiškinama kaip draudžianti nacionalinės teisės nuostatas, pagal kurias vartotojų teisių gynimo asociacijai leidžiama tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas.
52 Norint atsakyti į šį klausimą, reikia priminti, kad, kaip matyti iš BDAR 10 konstatuojamosios dalies, šiuo reglamentu, be kita ko, siekiama visoje Sąjungoje užtikrinti nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą ir pašalinti asmens duomenų judėjimo kliūtis.
53 Atsižvelgiant į tai, šio reglamento VIII skyriuje, be kita ko, reglamentuojamos teisių gynimo priemonės, leidžiančios apsaugoti duomenų subjekto teises, kai jo asmens duomenys buvo tvarkomi tariamai pažeidžiant minėto reglamento nuostatas. Taigi šių teisių apsaugos gali tiesiogiai reikalauti duomenų subjektas arba pagal BDAR 80 straipsnį atitinkamą teisę turintis – šiuo tikslu įgaliotas arba neįgaliotas – subjektas.
54 Taigi, visų pirma, duomenų subjektas turi teisę pats pateikti skundą valstybės narės priežiūros institucijai arba pasinaudoti teisių gynimo priemone nacionaliniuose civiliniuose teismuose. Konkrečiau kalbant, pagal BDAR 77 straipsnį šis asmuo turi teisę pateikti skundą priežiūros institucijai: pagal BDAR 78 straipsnį – teisę imtis veiksmingų teisių gynimo priemonių prieš priežiūros instituciją, pagal BDAR 79 straipsnį – teisę imtis veiksmingų teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją, o pagal BDAR 82 straipsnį – teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.
55 Be to, pagal BDAR 80 straipsnio 1 dalį duomenų subjektas turi teisę tam tikromis sąlygomis įgalioti ne pelno įstaigą, organizaciją ar asociaciją pateikti skundą arba jo vardu naudotis minėtuose straipsniuose nurodytomis teisėmis.
56 Galiausiai pagal BDAR 80 straipsnio 2 dalį valstybės narės gali numatyti, kad bet kuri įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto suteiktų įgaliojimų, atitinkamoje valstybėje narėje turi teisę pagal šio reglamento 77 straipsnį paduoti skundą priežiūros institucijai ir pasinaudoti jo 78 ir 79 straipsniuose nurodytomis teisėmis, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente numatytos duomenų subjekto teisės.
57 Šiuo klausimu pažymėtina, kad, kaip matyti iš BDAR 1 straipsnio 1 dalies, siejamos, be kita ko, su jo 9, 10 ir 13 konstatuojamosiomis dalimis, šiuo reglamentu siekiama užtikrinti visišką nacionalinės teisės aktų, reglamentuojančių asmens duomenų apsaugą, suderinimą. Vis dėlto šio reglamento nuostatomis valstybėms narėms atveriama galimybė numatyti papildomas, griežtesnes ar leidžiančias nukrypti nacionalines nuostatas, kurios suteikia joms diskreciją dėl galimo šių nuostatų įgyvendinamo būdo („leidžiančioji nuostata“).
58 Primintina, kad, remiantis suformuota Teisingumo Teismo jurisprudencija, pagal SESV 288 straipsnį dėl reglamentų pobūdžio ir jų paskirties Sąjungos teisės šaltinių sistemoje reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių. Vis dėlto kai kurioms reglamento nuostatoms įgyvendinti valstybėms narėms gali prireikti priimti nacionalines įgyvendinimo priemones (2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 110 punktas ir jame nurodyta jurisprudencija).
59 Tai pasakytina, be kita ko, apie BDAR 80 straipsnio 2 dalį, pagal kurią valstybėms narėms paliekama diskrecija dėl jo įgyvendinimo. Taigi tam, kad galėtų būti pareikštas šioje nuostatoje numatytas atstovaujamasis ieškinys neturint įgaliojimo asmens duomenų apsaugos srityje valstybės narės turi pasinaudoti šioje nuostatoje joms suteikta galimybe savo nacionalinėje teisėje numatyti tokį duomenų subjektų atstovavimo būdą.
60 Vis dėlto, kaip savo išvados 51 ir 52 punktuose pažymėjo generalinis advokatas, tais atvejais, kai valstybės narės pasinaudoja galimybe, kurią joms suteikta tokia leidžiančioji nuostata, jos turi naudotis savo diskrecija laikydamosi BDAR nuostatose numatytų sąlygų ir apribojimų, taigi turi priimti teisės aktus taip, kad nepakenktų šio reglamento turiniui ir tikslams.
61 Nagrinėjamu atveju, kaip per posėdį šioje byloje patvirtino Vokietijos vyriausybė, Vokietijos teisės aktų leidėjas įsigaliojus BDAR nepriėmė specialių nuostatų, kuriomis konkrečiai būtų siekiama nacionalinėje teisėje įgyvendinti šio reglamento 80 straipsnio 2 dalį. Pagal pagrindinėje byloje nagrinėjamus nacionalinės teisės aktus, priimtus siekiant užtikrinti Direktyvos 2009/22 perkėlimą, vartotojų teisių gynimo asociacijoms faktiškai jau leidžiama pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui. Be to, ši vyriausybė pabrėžia, kad 2019 m. liepos 29 d. Sprendime Fashion ID (C‑40/17, EU:C:2019:629), kuriame nagrinėtas Direktyvos 95/46 nuostatų išaiškinimo klausimas, Teisingumo Teismas nusprendė, kad pagal jas nedraudžiami šie nacionalinės teisės aktai.
62 Šiomis aplinkybėmis, kaip savo išvados 60 punkte pažymėjo generalinis advokatas, iš esmės reikia patikrinti, ar pagrindinėje byloje nagrinėjamos nacionalinės teisės normos patenka į kiekvienai valstybei narei BDAR 80 straipsnio 2 dalyje suteiktą diskrecijos įgyvendinimo sritį, todėl šią nuostatą reikia aiškinti atsižvelgiant į jos formuluotę, struktūrą ir tikslus.
63 Šiuo klausimu pažymėtina, kad BDAR 80 straipsnio 2 dalyje valstybėms narėms atveriama galimybė numatyti atstovaujamųjų ieškinių prieš tariamą asmens duomenų apsaugos pažeidėją mechanizmą, kartu nustatant tam tikrus reikalavimus dėl asmeninės ir dalykinės taikymo srities, kurių šiuo tikslu turi būti laikomasi.
64 Pirma, kalbant apie tokio mechanizmo taikymo asmenims sritį, pažymėtina, kad teisė pareikšti ieškinį pripažįstama įstaigai, organizacijai ar asociacijai, kuri atitinka BDAR 80 straipsnio 1 dalyje išvardytus kriterijus. Visų pirma šioje nuostatoje kalbama apie „ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų [jo] asmens duomenų apsauga“.
65 Konstatuotina, kad vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, gali patekti į šią sąvoką, nes ja siekiama viešojo intereso tikslo užtikrinti duomenų subjektų, kaip vartotojų, teises ir laisves, o tokio tikslo įgyvendinimas gali būti siejamas su šių asmenų asmens duomenų apsauga.
66 Iš tiesų nuostatų, kuriomis siekiama apsaugoti vartotojus arba kovoti su nesąžininga komercine veikla, pažeidimas – kuriam vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, siekia užkirsti kelią ir už jį taikyti sankcijas, be kita ko, pareikšdama taikytinose nacionalinės teisės nuostatose numatytą ieškinį dėl veiksmų nutraukimo, – gali būti susijęs, kaip šiuo atveju, su šių vartotojų asmens duomenų apsaugos nuostatų pažeidimu.
67 Antra, dėl minėto mechanizmo materialinės taikymo srities pasakytina, kad BDAR 80 straipsnio 2 dalyje numatytą atstovaujamąjį ieškinį to paties straipsnio 1 dalyje nurodytas sąlygas atitinkantis subjektas, nepriklausomai nuo jam suteikto įgaliojimo, gali pareikšti tik jeigu „mano, kad tvarkant [asmens] duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos“.
68 Šiuo klausimu reikia patikslinti, pirma, kad atstovaujamojo ieškinio, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį, pareiškimo tikslais negalima reikalauti, kad toks subjektas prieš tai individualiai nustatytų konkretų asmenį, kurio duomenys tariamai buvo tvarkomi pažeidžiant BDAR nuostatas.
69 Pakanka pažymėti, kad sąvoka „duomenų subjektas“, kaip ji suprantama pagal šio reglamento 4 straipsnio 1 punktą, apima ne tik „fizinį asmenį, kurio tapatybė nustatyta“, bet ir „fizinį asmenį, kurio <…> tapatybę galima nustatyti“, t. y. fizinį asmenį, „kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti“, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių. Šiomis aplinkybėmis tokio atstovaujamojo ieškinio pareiškimo tikslais taip pat gali pakakti nustatyti asmenų, kuriems nukentėjo nuo tokio tvarkymo, kategoriją ar grupę.
70 Antra, pagal BDAR 80 straipsnio 2 dalį atstovaujamojo ieškinio pareiškimas taip pat nesiejamas su konkrečiu teisių, kurias asmuo kildina iš duomenų apsaugos nuostatų, pažeidimu.
71 Kaip matyti iš pačios šios nuostatos formuluotės, primintos šio sprendimo 67 punkte, atstovaujamojo ieškinio pareiškimui keliama tik sąlyga, kad atitinkamas subjektas „mano“, jog tvarkant asmens duomenis buvo pažeistos šiame reglamente numatytos duomenų subjekto teisės, todėl teigia, kad duomenų tvarkymas prieštarauja šio reglamento nuostatoms.
72 Darytina išvada, jog tam, kad būtų pripažinta tokio subjekto teisė pareikšti ieškinį pagal minėtą nuostatą, pakanka nurodyti, kad atitinkamas duomenų tvarkymas gali daryti poveikį teisėms, kurias fiziniai asmenys, kurių tapatybė yra nustatyta arba gali būti nustatyta, kildina iš šio reglamento, nesant būtinybės įrodyti realią žalą, duomenų subjekto patirtą konkrečioje situacijoje pažeidus jo teises.
73 Toks aiškinimas atitinka reikalavimus, kylančius iš SESV 16 straipsnio ir Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio, taigi, ir BDAR siekiamą tikslą – užtikrinti veiksmingą fizinių asmenų pagrindinių teisių ir laisvių apsaugą ir, be kita ko, aukštą kiekvieno asmens teisės į savo asmens duomenų apsaugą lygį (šiuos klausimu žr. 2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 44, 45 ir 91 punktus).
74 Tai, kad vartotojų teisių gynimo asociacijos, kaip antai Federalinė sąjunga, įgaliojamos taikant atstovaujamojo ieškinio mechanizmą pareikšti ieškinį siekiant, kad būtų nutrauktas šio reglamento nuostatoms prieštaraujantis duomenų tvarkymas, nepriklausomai nuo pažeidimo, nuo kurio individualiai ir konkrečiai nukenčia asmuo, neginčijamai padeda sustiprinti duomenų subjektų teises ir jiems užtikrinti aukštą apsaugos lygį.
75 Be to, pažymėtina, kad gali būti veiksmingiau pareikšti tokį atstovaujamąjį ieškinį, kiek juo galima užkirsti kelią dideliam duomenų subjektų teisių pažeidimų tvarkant jų asmens duomenis skaičiui, nei ieškinį, kurį vienas asmuo, individualiai ir konkrečiai nukentėjęs nuo jo teisės į asmens duomenų apsaugą pažeidimo, pareiškia pažeidėjui.
76 Kaip savo išvados 76 punkte pažymėjo generalinis advokatas, vartotojų teisių gynimo asociacijų, kaip antai Federalinės sąjungos, ieškinių prevencinė funkcija negalėtų būti užtikrinta, jeigu pareiškiant BDAR 80 straipsnio 2 dalyje numatytą atstovaujamąjį ieškinį būtų galima remtis tik asmens, individualiai ir konkrečiai nukentėjusio dėl pažeidimo, teisių pažeidimu.
77 Trečia, dar reikia patikrinti, kaip to prašo prašymą priimti prejudicinį sprendimą pateikęs teismas, ar BDAR 80 straipsnio 2 dalis užkerta kelią pareikšti atstovaujamąjį ieškinį, nepriklausomai nuo duomenų subjekto teisės konkretaus pažeidimo ir šio asmens suteikto įgaliojimo, jeigu duomenų apsaugos nuostatų pažeidimas nurodomas ieškinyje, kuriuo siekiama patikrinti kitų teisės normų, užtikrinančių vartotojų apsaugą, taikymą.
78 Šiuo klausimu pirmiausia pažymėtina, kad, kaip iš esmės nurodyta šio sprendimo 66 punkte, asmens duomenų apsaugos nuostatos pažeidimas kartu gali lemti vartotojų apsaugos ar nesąžiningos komercinės veiklos nuostatų pažeidimą.
79 Taigi, kaip savo išvados 72 punkte pažymėjo generalinis advokatas, pagal šią nuostatą valstybėms narėms nedraudžiama pasinaudoti joje numatyta galimybe ta prasme, kad vartotojų teisių gynimo asociacijos yra įgaliotos imtis veiksmų dėl BDAR numatytų teisių pažeidimų, prireikus remdamosi nuostatomis, kuriomis siekiama apsaugoti vartotojus arba kovoti su nesąžininga komercine veikla, kaip antai numatytomis Direktyvoje 2005/29 ir Direktyvoje 2009/22.
80 Beje, tokį BDAR 80 straipsnio 2 dalies aiškinimą patvirtina Direktyva 2020/1828, kuria nuo 2023 m. birželio 25 d. bus panaikinta ir pakeista Direktyva 2009/22. Šiame kontekste pažymėtina, kad, vadovaujantis Direktyvos 2020/1828 2 straipsnio 1 dalimi, ši direktyva taikoma atstovaujamiesiems ieškiniams, pareikštiems dėl prekiautojų padarytų I priede nurodytos Sąjungos teisės nuostatų pažeidimų, o šio priedo 56 punkte minimas BDAR.
81 Tiesa, Direktyva 2020/1828 netaikytina pagrindinėje byloje ir jos perkėlimo terminas dar nesibaigė. Vis dėlto joje yra įvairių aspektų, patvirtinančių, kad BDAR 80 straipsnis neužkerta kelio pareikšti papildomus atstovaujamuosius ieškinius vartotojų apsaugos srityje.
82 Nors, kaip matyti iš šios direktyvos 11 konstatuojamosios dalies, vis dėlto galima numatyti papildomų procedūrinių atstovaujamųjų ieškinių mechanizmų vartotojų apsaugos srityje, BDAR numatytų arba juo grindžiamų taikymo mechanizmų, kaip antai nustatyto šio reglamento 80 straipsnyje, negalima pakeisti ar modifikuoti, kaip nurodyta šios direktyvos 15 konstatuojamojoje dalyje, todėl jie gali būti pasitelkiami siekiant apsaugoti kolektyvinius vartotojų interesus.
83 Atsižvelgiant į visa tai, kas išdėstyta, į pateiktą klausimą atsakytina: BDAR 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti nacionalinės teisės nuostatų, pagal kurias vartotojų teisių gynimo asociacijai leidžiama tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas, jeigu atitinkamai tvarkant duomenis gali būti daroma įtaka iš šio reglamento asmens, kurio tapatybė nustatyta arba gali būti nustatyta, kildinamoms teisėms.
Dėl bylinėjimosi išlaidų
84 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių asmenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti nacionalinės teisės nuostatų, pagal kurias vartotojų teisių gynimo asociacijai leidžiama tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas, jeigu atitinkamai tvarkant duomenis gali būti daroma įtaka iš šio reglamento asmens, kurio tapatybė nustatyta arba gali būti nustatyta, kildinamoms teisėms.
Parašai.