WYROK TRYBUNAŁU (trzecia izba)
z dnia 28 kwietnia 2022 r.(*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 80 – Reprezentowanie osób, których dane dotyczą, przez stowarzyszenie o celach niezarobkowych – Powództwo przedstawicielskie wytoczone przez stowarzyszenie ochrony interesów konsumentów w braku upoważnienia i niezależnie od naruszenia konkretnych praw osoby, której dane dotyczą – Powództwo oparte na zakazie stosowania nieuczciwych praktyk handlowych, naruszeniu przepisów o ochronie konsumentów lub zakazie stosowania nieważnych ogólnych warunków handlowych
W sprawie C‑319/20
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) postanowieniem z dnia 28 maja 2020 r., które wpłynęło do Trybunału w dniu 15 lipca 2020 r., w postępowaniu:
Meta Platforms Ireland Limited, dawniej Facebook Ireland Limited,
przeciwko
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
TRYBUNAŁ (trzecia izba),
w składzie: A. Prechal, prezes drugiej izby, pełniąca obowiązki prezes trzeciej izby, J. Passer, F. Biltgen, L.S. Rossi (sprawozdawczyni) i N. Wahl, sędziowie,
rzecznik generalny: J. Richard de la Tour,
sekretarz: M. Krausenböck, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 23 września 2021 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Meta Platforms Ireland Limited – H.‑G. Kamann, M. Braun i H. Frey, Rechtsanwälte, oraz V. Wettner, Rechtsanwältin,
– w imieniu Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. – P. Wassermann, Rechtsanwalt,
– w imieniu rządu niemieckiego – D. Klebs i J. Möller, w charakterze pełnomocników,
– w imieniu rządu austriackiego – A. Posch, G. Kunnert i J. Schmoll, w charakterze pełnomocników,
– w imieniu rządu portugalskiego – L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa i L. Medeiros, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – początkowo F. Erlbacher, H. Kranenborg i D. Nardi, a następnie F. Erlbacher i H. Kranenborg, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 2 grudnia 2021 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 80 ust. 1 i 2 oraz art. 84 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).
2 Wniosek ten złożono w ramach sporu między spółką Meta Platforms Ireland Limited, dawniej Facebook Ireland Limited, której siedziba znajduje się w Irlandii, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federalnym związkiem organizacji i stowarzyszeń konsumenckich, Niemcy) (zwanym dalej „związkiem organizacji konsumenckich”) w przedmiocie naruszenia przez Meta Platforms Ireland niemieckich przepisów o ochronie danych osobowych, stanowiącego jednocześnie nieuczciwą praktykę handlową, naruszenie przepisów o ochronie konsumentów oraz naruszenie zakazu stosowania nieważnych ogólnych warunków handlowych.
Ramy prawne
Prawo Unii
RODO
3 Motywy 9, 10, 13 i 142 RODO stanowią:
„(9) Cele i zasady dyrektywy 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)] pozostają aktualne, jednak wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji, niepewności prawnej oraz upowszechnienia się poglądu, że ochrona osób fizycznych jest znacznie zagrożona, w szczególności w związku z działaniami w internecie. Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii. Różnice w stopniu ochrony wynikają z różnic we wdrażaniu i stosowaniu dyrektywy [95/46].
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […]
[…]
(13) Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. […]
[…]
(142) Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu – które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych – wniesienie skargi w swoim imieniu do organu nadzorczego, wykonanie prawa do środka ochrony prawnej przed sądem w imieniu osób, których dane dotyczą, lub – o ile taką możliwość przewiduje prawo państwa członkowskiego – żądanie odszkodowania w imieniu osób, których dane dotyczą. Państwo członkowskie może wymagać, by taki podmiot, taka organizacja lub takie zrzeszenie niezależnie od zlecenia otrzymanego od osoby, której dane dotyczą, miały prawo wniesienia w tym państwie członkowskim skargi oraz miały prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli mają powody, by uznać, że w wyniku przetwarzania danych osobowych w sposób naruszający niniejsze rozporządzenie naruszone zostały prawa osoby, której dane dotyczą. Takiemu podmiotowi, takiej organizacji lub takiemu zrzeszeniu nie może przysługiwać prawo do występowania o odszkodowanie w imieniu osoby, której dane dotyczą, jeżeli nie zostały do tego umocowane przez tę osobę”.
4 Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 1:
„W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych”.
5 Zgodnie z art. 4 pkt 1 RODO:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
6 Rozdział III RODO, który zawiera art. 12–23, nosi tytuł „Prawa osoby, której dane dotyczą”.
7 Artykuł 12 tego rozporządzenia, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi w ust. 1:
„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”.
8 Artykuł 13 RODO, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje w ust. 1 lit. c) i e):
„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
[…]
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
[…]
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”.
9 Rozdział VIII wspomnianego rozporządzenia, obejmujący art. 77–84, jest zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”.
10 Artykuł 77 RODO, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:
„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.
11 Artykuł 78 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1:
„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.
12 Artykuł 79 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, przewiduje w ust. 1:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania je[j] danych osobowych z naruszeniem niniejszego rozporządzenia”.
13 Artykuł 80 RODO, zatytułowany „Reprezentowanie osób, których dane dotyczą”, ma następujące brzmienie:
„1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.
2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.
14 Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
15 Artykuł 84 RODO, zatytułowany „Sankcje”, stanowi w ust. 1:
„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.
Dyrektywa 2005/29/WE
16 Celem dyrektywy 2005/29/WE Parlamentu Europejskiego i Rady z dnia 11 maja 2005 r. dotyczącej nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów na rynku wewnętrznym oraz zmieniającej dyrektywę Rady 84/450/EWG, dyrektywy 97/7/WE, 98/27/WE i 2002/65/WE Parlamentu Europejskiego i Rady oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady („dyrektywy o nieuczciwych praktykach handlowych”) (Dz.U. 2005, L 149, s. 22) jest, zgodnie z jej art. 1, przyczynienie się do właściwego funkcjonowania rynku wewnętrznego i osiągnięcie wysokiego poziomu ochrony konsumentów poprzez zbliżenie przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich odnoszących się do nieuczciwych praktyk handlowych szkodzących interesom gospodarczym konsumentów.
17 Zgodnie z art. 5 dyrektywy 2005/29, zatytułowanym „Zakaz nieuczciwych praktyk handlowych”:
„1. Nieuczciwe praktyki handlowe są zabronione.
2. Praktyka handlowa jest nieuczciwa, jeżeli:
a) jest sprzeczna z wymogami staranności zawodowej;
i
b) w sposób istotny zniekształca lub może w sposób istotny zniekształcić zachowanie gospodarcze względem produktu przeciętnego konsumenta, do którego dociera bądź do którego jest skierowana, lub przeciętnego członka grupy konsumentów, jeżeli praktyka handlowa skierowana jest do określonej grupy konsumentów.
[…]
5. Załącznik I zawiera wykaz praktyk handlowych, które uznaje się za nieuczciwe w każdych okolicznościach. […]”
18 Artykuł 11 tej dyrektywy, zatytułowany „Wykonanie”, stanowi w ust. 1:
„1. Państwa członkowskie zapewniają w interesie konsumentów odpowiednie i skuteczne środki zwalczania nieuczciwych praktyk w celu zapewnienia zgodności z przepisami niniejszej dyrektywy.
Środki takie obejmują przepisy prawne, zgodnie z którymi osoby lub organizacje uznawane na mocy prawa krajowego za mające uzasadniony interes w zwalczaniu nieuczciwych praktyk handlowych, w tym konkurenci, mogą:
a) wszcząć postępowanie sądowe w odniesieniu do takich nieuczciwych praktyk handlowych;
lub
b) zaskarżyć takie nieuczciwe praktyki handlowe przed organem administracyjnym właściwym do rozpatrywania skarg lub do wszczynania właściwych postępowań sądowych.
Do każdego państwa członkowskiego należy decyzja, który z powyższych środków będzie dostępny oraz czy należy umożliwić sądom lub organom administracyjnym żądanie wcześniejszego przeprowadzenia postępowania przed innymi istniejącymi organami powołanymi do rozpatrywania skarg, w tym przed instytucjami, o których mowa w art. 10. Środki te będą dostępne bez względu na to, czy poszkodowani konsumenci przebywają na terytorium państwa członkowskiego, w którym przedsiębiorca ma swoją siedzibę, czy w innym państwie członkowskim.
[…]”.
19 Punkt 26 załącznika I do dyrektywy 2005/29, zawierającego wykaz praktyk handlowych uznawanych za nieuczciwe w każdych okolicznościach, stanowi:
„Uporczywe i niechciane namawianie do zakupu produktów przez telefon, faks, pocztę elektroniczną lub inne środki komunikacji na odległość, z wyjątkiem przypadków egzekwowania zobowiązań umownych, w zakresie uzasadnionym przez prawo krajowe. Pozostaje to bez uszczerbku dla […] dyrektyw[y] 95/46/WE […]”.
Dyrektywa 2009/22/WE
20 Zgodnie z art. 1 dyrektywy Parlamentu Europejskiego i Rady 2009/22/WE z dnia 23 kwietnia 2009 r. w sprawie nakazów zaprzestania szkodliwych praktyk w celu ochrony interesów konsumentów (Dz.U. 2009, L 110, s. 30), zatytułowanym „Zakres stosowania”:
„1. Celem niniejszej dyrektywy jest zbliżenie przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich odnoszących się do powództw o zaprzestanie szkodliwych praktyk, określonych w art. 2, mających na celu ochronę zbiorowych interesów konsumentów, objętych dyrektywami wymienionymi w załączniku I, w celu zapewnienia sprawnego funkcjonowania rynku wewnętrznego.
2. Na użytek niniejszej dyrektywy szkodliwa praktyka oznacza każdy czyn niezgodny z dyrektywami wymienionymi w załączniku I, transponowanymi do wewnętrznego porządku prawnego państw członkowskich, który narusza zbiorowe interesy określone w ust. 1”.
21 Artykuł 7 dyrektywy 2009/22, zatytułowany „Przepisy dotyczące szerszych uprawnień”, ma następujące brzmienie:
„Niniejsza dyrektywa nie stanowi przeszkody dla państw członkowskich do przyjęcia lub utrzymania w mocy przepisów przewidujących przyznanie upoważnionym podmiotom lub innym osobom szerszych uprawnień do wnoszenia powództwa na szczeblu krajowym”.
22 Załącznik I do dyrektywy 2009/22 zawiera wykaz dyrektyw Unii, o których mowa w jej art. 1. Punkt 11 tego załącznika wymienia dyrektywę 2005/29.
Dyrektywa (UE) 2020/1828
23 Motywy 11, 13 i 15 dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylającej dyrektywę 2009/22 (Dz.U. 2020, L 409, s. 1) stanowią:
„(11) Niniejsza dyrektywa nie powinna zastępować istniejących krajowych mechanizmów proceduralnych mających na celu ochronę zbiorowych lub indywidualnych interesów konsumentów. Uwzględniając tradycje prawne państw członkowskich, zostawia ona w ich gestii decyzję, czy przewidzieć, że mechanizm proceduralny powództw przedstawicielskich wymagany na mocy niniejszej dyrektywy będzie częścią istniejącego lub nowego zbiorowego mechanizmu nakazującego zaprzestanie szkodliwych praktyk lub zasądzającego środki naprawcze, czy też będzie odrębnym mechanizmem, o ile co najmniej jeden krajowy mechanizm proceduralny w formie powództwa przedstawicielskiego spełnia wymogi niniejszej dyrektywy. […] Jeżeli na szczeblu krajowym obok mechanizmu proceduralnego wymaganego na mocy niniejszej dyrektywy istnieją inne mechanizmy, upoważniony podmiot powinien mieć możliwość wyboru, który mechanizm proceduralny zastosować.
[…]
(13) Zakres stosowania niniejszej dyrektywy powinien odzwierciedlać ostatnie zmiany w dziedzinie ochrony konsumentów. Ponieważ konsumenci działają obecnie na szerszym i ulegającym w coraz większym stopniu transformacji cyfrowej rynku, zapewnienie wysokiego poziomu ochrony konsumentów wymaga, aby dziedziny takie jak ochrona danych, usługi finansowe, podróże i turystyka, energetyka oraz telekomunikacja zostały objęte niniejszą dyrektywą w uzupełnieniu ogólnego prawa ochrony konsumentów. […]
[…]
(15) Niniejsza dyrektywa powinna pozostawać bez uszczerbku dla aktów prawnych wymienionych w załączniku I i w związku z tym nie powinna zmieniać ani rozszerzać ustanowionych w tych aktach prawnych definicji ani nie powinna zastępować żadnego z mechanizmów egzekwowania prawa przewidzianych w tych aktach prawnych. Przykładowo, mechanizmy egzekwowania prawa ustanowione w [RODO] lub na nim oparte mogą, w stosownych przypadkach, nadal być wykorzystywane do ochrony zbiorowych interesów konsumentów”.
24 Artykuł 2 tej dyrektywy, zatytułowany „Zakres stosowania”, stanowi w ust. 1:
„Niniejsza dyrektywa ma zastosowanie do powództw przedstawicielskich wytaczanych przeciwko przedsiębiorcom za naruszenia przepisów prawa Unii, o których mowa w załączniku I, w tym przepisów transponowanych do prawa krajowego, które to naruszenia szkodzą lub mogą szkodzić zbiorowym interesom konsumentów. Niniejsza dyrektywa pozostaje bez uszczerbku dla przepisów prawa Unii, o których mowa w załączniku I. […]”.
25 Artykuł 24 wspomnianej dyrektywy, zatytułowany „Transpozycja”, stanowi w ust. 1:
„Państwa członkowskie przyjmują i publikują do dnia 25 grudnia 2022 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie powiadamiają o nich Komisję.
Państwa członkowskie stosują te przepisy od dnia 25 czerwca 2023 r.
[…]”.
26 Punkt 56 załącznika I do dyrektywy 2020/1828, zawierającego wykaz przepisów prawa Unii, o których mowa w art. 2 ust. 1 tej dyrektywy, wymienia RODO.
Prawo niemieckie
Ustawa o powództwach o zaniechanie
27 Zgodnie z § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (ustawy o powództwach o zaniechanie naruszeń prawa konsumenckiego i innych naruszeń) z dnia 26 listopada 2001 r. (BGBl. 2001 I, s. 3138), w brzmieniu mającym zastosowanie w postępowaniu głównym (zwanej dalej „ustawą o powództwach o zaniechanie”):
„1) Od tego, kto narusza przepisy mające na celu ochronę konsumentów (ustawy o ochronie konsumentów) w inny sposób niż przez stosowanie lub zalecanie stosowania ogólnych warunków umów, można żądać w interesie ochrony konsumentów zaniechania i usunięcia skutków. […]
2) W rozumieniu niniejszego przepisu »ustawy o ochronie konsumentów« oznaczają w szczególności:
[…]
11. przepisy, które regulują dopuszczalność:
a) gromadzenia przez przedsiębiorcę danych osobowych użytkownika lub
b) przetwarzania lub wykorzystywania przez przedsiębiorcę danych osobowych zgromadzonych na temat użytkownika,
jeżeli dane są gromadzone, przetwarzane lub wykorzystywane do celów reklamy, badań rynkowych lub badania opinii, udzielenia informacji, sporządzania profili osobowych lub użytkownika, handlu adresami, innego handlu danymi lub do podobnych celów komercyjnych”.
28 Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) wskazuje, że zgodnie z § 3 ust. 1 zdanie pierwsze pkt 1 ustawy o powództwach o zaniechanie podmioty mające legitymację procesową czynną w rozumieniu § 4 tej ustawy mogą, po pierwsze, zgodnie z § 1 owej ustawy żądać zaniechania stosowania ogólnych warunków handlowych nieważnych na podstawie § 307 Bürgerliches Gesetzbuch (kodeksu cywilnego), a po drugie, żądać zaniechania naruszeń przepisów w dziedzinie ochrony konsumentów w rozumieniu § 2 ust. 2 rzeczonej ustawy.
Ustawa o zwalczaniu nieuczciwej konkurencji
29 Paragraf 3 ust. 1 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji) z dnia 3 lipca 2004 r. (BGB1. 2004 I, s. 1414), w brzmieniu mającym zastosowanie w postępowaniu głównym (zwanej dalej „ustawą o zwalczaniu nieuczciwej konkurencji”), stanowi:
„Nieuczciwe praktyki handlowe są niedozwolone”.
30 Paragraf 3a ustawy o zwalczaniu nieuczciwej konkurencji ma następujące brzmienie:
„W sposób nieuczciwy działa ten, kto postępuje niezgodnie z przepisem ustawy, który służy również, w interesie uczestników, regulowaniu zachowania na rynku, jeżeli naruszenie może odczuwalnie naruszyć interesy konsumentów, innych uczestników rynku lub podmiotów konkurujących”.
31 Paragraf 8 ustawy o zwalczaniu nieuczciwej konkurencji stanowi:
„1) Od osoby, która stosuje niedozwolone praktyki handlowe wskazane w § 3 lub § 7, można żądać usunięcia ich skutków, a w wypadku groźby ponowienia praktyk – ich zaniechania. […]
[…]
3) Prawa z ust. 1 przysługują:
[…]
3. upoważnionym podmiotom, które wykażą, że są wpisane na listę upoważnionych podmiotów, o której mowa w § 4 [ustawy o powództwach o zaniechanie] […]”.
Ustawa o mediach elektronicznych
32 Bundesgerichtshof (federalny trybunał sprawiedliwości) wskazuje, że § 13 ust. 1 Telemediengesetz (ustawy o mediach elektronicznych) z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179) obowiązywał do czasu wejścia w życie RODO. Od tego czasu ów przepis został zastąpiony przez art. 12–14 RODO.
33 Zgodnie z § 13 ust. 1 zdanie pierwsze ustawy o mediach elektronicznych:
„Usługodawca informuje użytkownika na początku procesu korzystania w ogólnie zrozumiałej formie o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych oraz o przetwarzaniu jego danych w państwach nieobjętych zakresem zastosowania dyrektywy [95/46], o ile taka informacja nie została przekazana wcześniej”.
Postępowanie główne i pytanie prejudycjalne
34 Spółka Meta Platforms Ireland, która zarządza ofertą usług serwisu społecznościowego Facebook w Unii, jest administratorem danych osobowych użytkowników tego serwisu społecznościowego w Unii. Spółka Facebook Germany GmbH, mająca siedzibę w Niemczech, promuje pod adresem www.facebook.de sprzedaż powierzchni reklamowych. Platforma internetowa Facebook obejmuje, między innymi pod adresem internetowym www.facebook.de, przestrzeń zwaną „App-Zentrum” (centrum aplikacji), na której Meta Platforms Ireland udostępnia użytkownikom bezpłatne gry dostawców będących osobami trzecimi. Przeglądając niektóre z tych gier dostępnych w centrum aplikacji, użytkownik widzi wyświetlającą się informację, że poprzez korzystanie z danej aplikacji zezwala spółce dostarczającej gry na uzyskanie pewnych danych osobowych i upoważnia ją do publikacji w jego imieniu pewnych informacji takich jak uzyskane przez tego użytkownika w grze wyniki oraz innych informacji. Owo korzystanie z aplikacji wiąże się z zaakceptowaniem przez wspomnianego użytkownika jej ogólnych warunków oraz związanej z nią polityki w dziedzinie ochrony danych. Ponadto w przypadku jednej z gier pojawia się informacja, że użytkownik zezwala na publikowanie przez aplikację w jego imieniu swego statusu, zdjęć i innych informacji.
35 Związek organizacji konsumenckich, podmiot mający legitymację procesową czynną na podstawie § 4 ustawy o powództwach o zaniechanie, uważa, że podawane w przypadku odnośnych gier dostępnych w centrum aplikacji informacje są nieuczciwe w szczególności dlatego, że nie spełniają one wymogów prawnych dotyczących uzyskania ważnej zgody użytkownika zgodnie z przepisami o ochronie danych. Ponadto zdaniem tego związku informacja, że użytkownik zezwala na publikowanie przez aplikację w jego imieniu pewnych dotyczących go informacji prywatnych, stanowi nadmiernie niekorzystny dla użytkownika ogólny warunek handlowy.
36 W tym kontekście związek organizacji konsumenckich wniósł przeciwko Meta Platforms Ireland do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy) powództwo o zaniechanie na podstawie § 3a ustawy o zwalczaniu nieuczciwej konkurencji, § 2 ust. 2 zdanie pierwsze pkt 11 ustawy o powództwach o zaniechanie oraz na podstawie kodeksu cywilnego. Powództwo to wniesiono niezależnie od konkretnego naruszenia prawa do ochrony danych osoby, której dane dotyczą, i bez upoważnienia od takiej osoby.
37 Landgericht Berlin (sąd krajowy w Berlinie) uwzględnił powództwo przeciwko Meta Platforms Ireland zgodnie z żądaniami związku organizacji konsumenckich. Kammergericht Berlin (wyższy sąd krajowy w Berlinie, Niemcy) oddalił apelację wniesioną przez Meta Platforms Ireland. W związku z tym spółka Meta Platforms Ireland wniosła do sądu odsyłającego skargę rewizyjną od wydanego przez sąd apelacyjny orzeczenia oddalającego apelację.
38 Sąd odsyłający uważa, że powództwo związku organizacji konsumenckich jest zasadne, ponieważ spółka Meta Platforms Ireland naruszyła § 3a ustawy o zwalczaniu nieuczciwej konkurencji i § 2 ust. 2 zdanie pierwsze pkt 11 ustawy o powództwach o zaniechanie oraz zastosowała nieważny ogólny warunek handlowy w rozumieniu § 1 ustawy o powództwach o zaniechanie.
39 Sąd ten ma jednak wątpliwości co do dopuszczalności powództwa związku organizacji konsumenckich. Uważa on bowiem, że nie jest wykluczone, iż związek organizacji konsumenckich, który w chwili wniesienia powództwa miał legitymację procesową czynną na podstawie § 8 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji i § 3 ust. 1 zdanie pierwsze pkt 1 ustawy o powództwach o zaniechanie, utracił tę legitymację w toku postępowania w związku z wejściem w życie RODO, a w szczególności art. 80 ust. 1 i 2 oraz art. 84 ust. 1 tego rozporządzenia. Gdyby tak było, sąd odsyłający powinien uwzględnić wniesioną przez Meta Platforms Ireland skargę rewizyjną i oddalić powództwo związku organizacji konsumenckich, ponieważ zgodnie z właściwymi przepisami proceduralnymi prawa niemieckiego legitymacja procesowa powinna przysługiwać aż do zakończenia postępowania w ostatniej instancji.
40 Zdaniem sądu odsyłającego odpowiedź w tym względzie nie wynika jasno z oceny brzmienia, systematyki oraz celu przepisów RODO.
41 Co się tyczy brzmienia przepisów RODO, sąd odsyłający wskazuje, że istnienie legitymacji procesowej czynnej podmiotów, organizacji lub zrzeszeń o celach niezarobkowych, które zostały należycie ustanowione zgodnie z prawem państwa członkowskiego na podstawie art. 80 ust. 1 RODO, zakłada, że osoba, której dane dotyczą, upoważniła podmiot, organizację lub zrzeszenie do wykonywania w jej imieniu praw wskazanych w art. 77–79 RODO oraz prawa do uzyskania odszkodowania, o którym mowa w art. 82 RODO, jeżeli przewiduje to prawo państwa członkowskiego.
42 Tymczasem sąd odsyłający podkreśla, że legitymacja procesowa czynna na podstawie § 8 ust. 3 pkt 3 ustawy o zwalczaniu nieuczciwej konkurencji nie obejmuje możliwości wniesienia takiej skargi z upoważnienia osoby, której dane dotyczą, i w jej imieniu w celu dochodzenia jej praw osobistych. Przeciwnie, owa ustawa przyznaje stowarzyszeniu – na podstawie jego własnego prawa wynikającego z § 3 ust. 1 oraz z § 3a ustawy o zwalczaniu nieuczciwej konkurencji – legitymację procesową do wnoszenia powództw w sposób obiektywny w zakresie naruszeń przepisów RODO niezależnie od naruszenia konkretnych praw osób, których dane dotyczą, oraz od udzielonego przez te osoby upoważnienia.
43 Ponadto sąd odsyłający zauważa, że art. 80 ust. 2 RODO nie przewiduje legitymacji procesowej czynnej po stronie stowarzyszenia w celu zapewnienia obiektywnego egzekwowania prawa do ochrony danych osobowych, ponieważ przepis ten zakłada, iż przewidziane w RODO prawa osoby, której dane dotyczą, zostały rzeczywiście naruszone w związku z konkretnym przetwarzaniem danych.
44 Poza tym przysługująca stowarzyszeniu legitymacja procesowa czynna, taka jak ta przewidziana w § 8 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji, nie może wynikać z art. 84 ust. 1 RODO, zgodnie z którym państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia tego rozporządzenia oraz podejmują wszelkie środki niezbędne do ich wykonania. Legitymacji procesowej czynnej stowarzyszenia, takiej jak ta przewidziana w § 8 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji, nie można uznać za „sankcję” w rozumieniu wspomnianego przepisu RODO.
45 Co się tyczy systematyki przepisów RODO, sąd odsyłający uważa, że z okoliczności, iż owo rozporządzenie zharmonizowało między innymi uprawnienia organów nadzorczych, można wywieść, że zweryfikowanie stosowania przepisów tego rozporządzenia należy głównie do owych organów. Jednakże na podstawie znajdującego się w art. 77 ust. 1, art. 78 ust. 1 i 2 oraz art. 79 ust. 1 RODO sformułowania „bez uszczerbku dla innych […] środków” można podważać pogląd, że kwestia nadzoru nad stosowaniem prawa została uregulowana w tym rozporządzeniu w sposób wyczerpujący.
46 Jeśli chodzi o cel przepisów RODO, sąd odsyłający wskazuje, że skuteczność („effet utile”) tego rozporządzenia mogłaby przemawiać za twierdzeniem, iż stowarzyszenia posiadają legitymację procesową czynną na gruncie prawa konkurencji zgodnie z § 8 ust. 3 pkt 3 ustawy o zwalczaniu nieuczciwej konkurencji niezależnie od istnienia naruszenia konkretnych praw osób, których dane dotyczą, ponieważ dawałoby to dodatkową możliwość nadzoru nad stosowaniem prawa w celu zapewnienia jak najwyższego poziomu ochrony danych osobowych, zgodnie z motywem 10 RODO. Niemniej jednak można by uznać, że przyznanie stowarzyszeniom legitymacji procesowej czynnej na gruncie prawa konkurencji jest sprzeczne z realizowanym przez RODO celem harmonizacji.
47 W tych okolicznościach Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy przepisy rozdziału VIII [RODO], w szczególności jego art. 80 ust. 1 i 2 oraz art. 84 ust. 1, stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają z jednej strony konkurentom, a z drugiej strony uprawnionym na mocy prawa krajowego stowarzyszeniom, podmiotom i izbom prawo do występowania w drodze powództwa do sądu cywilnego z powodu naruszenia [RODO] niezależnie od naruszenia konkretnych praw poszczególnych osób, których dane dotyczą, i bez upoważnienia otrzymanego od osoby, której dane dotyczą, przeciwko sprawcy, z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych lub naruszenia przepisów o ochronie konsumentów, lub zakazu stosowania bezskutecznych ogólnych warunków handlowych?”.
W przedmiocie pytania prejudycjalnego
48 Na wstępie należy zauważyć, że jak wynika między innymi z pkt 36 oraz z pkt 41–44 niniejszego wyroku, spór w postępowaniu głównym toczy się między stowarzyszeniem ochrony interesów konsumentów, którym jest związek organizacji konsumenckich, a spółką Meta Platforms Ireland i dotyczy kwestii, czy takie stowarzyszenie może wystąpić z powództwem przeciwko tej spółce w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą.
49 W tych okolicznościach, jak Komisja słusznie podniosła w swoich uwagach na piśmie, odpowiedź na pytanie prejudycjalne zależy wyłącznie od wykładni art. 80 ust. 2 RODO, ponieważ przepisy art. 80 ust. 1 i art. 84 RODO nie mają znaczenia w niniejszej sprawie. Po pierwsze bowiem, stosowanie art. 80 ust. 1 RODO zakłada, że osoba, której dane dotyczą, upoważniła podmiot, organizację lub zrzeszenie o celach niezarobkowych, o których mowa w tym przepisie, do podjęcia w jej imieniu przewidzianych w art. 77–79 RODO środków prawnych. Tymczasem bezsporne jest, że nie ma to miejsca w sprawie rozpatrywanej w postępowaniu głównym, ponieważ związek organizacji konsumenckich działa niezależnie od jakiegokolwiek upoważnienia osoby, której dane dotyczą. Po drugie, bezsporne jest, że art. 84 RODO dotyczy sankcji administracyjnych i karnych nakładanych za naruszenia tego rozporządzenia, co również nie jest przedmiotem sporu w postępowaniu głównym.
50 Ponadto należy zauważyć, że sprawa w postępowaniu głównym nie odnosi się do kwestii legitymacji procesowej konkurenta. W konsekwencji należy udzielić odpowiedzi jedynie na tę część pytania, która dotyczy legitymacji procesowej uprawnionych na mocy prawa krajowego stowarzyszeń, podmiotów oraz izb, do których odnosi się art. 80 ust. 2 RODO.
51 Wynika z tego, że zadane przez sąd odsyłający pytanie należy rozumieć jako zmierzające w istocie do ustalenia, czy art. 80 ust. 2 RODO należy interpretować w ten sposób, iż sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osoby, której dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych.
52 Aby udzielić odpowiedzi na to pytanie, należy przypomnieć, że – jak wynika z motywu 10 RODO – celem tego rozporządzenia jest między innymi zapewnienie spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w całej Unii oraz usuwanie przeszkód w przepływie danych osobowych w Unii.
53 W tym kontekście rozdział VIII owego rozporządzenia reguluje między innymi środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe miały zostać przetworzone w sposób sprzeczny z przepisami rzeczonego rozporządzenia. Ochrony tych praw może zatem żądać albo bezpośrednio osoba, której dane dotyczą, albo uprawniony podmiot posiadający w tym celu upoważnienie lub nieposiadający takiego upoważnienia, na podstawie art. 80 RODO.
54 Tak więc przede wszystkim osoba, której dane dotyczą, ma prawo wnieść sama skargę do organu nadzorczego państwa członkowskiego lub wystąpić z powództwem do krajowych sądów cywilnych. Dokładniej rzecz ujmując, osobie tej przysługuje odpowiednio prawo do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO, prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu na podstawie art. 78 RODO, prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu przewidziane w art. 79 RODO oraz prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę zgodnie z art. 82 RODO.
55 Następnie zgodnie z art. 80 ust. 1 RODO osoba, której dane dotyczą, ma prawo upoważnić podmiot, organizację lub zrzeszenie niemające celu zarobkowego, pod pewnymi warunkami, do wniesienia w jej imieniu skargi oraz do wykonywania w jej imieniu praw, o których mowa w przywołanych powyżej artykułach.
56 Wreszcie, zgodnie z art. 80 ust. 2 RODO państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie mają prawo – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – wnieść w tym państwie członkowskim skargę do organu nadzorczego zgodnie z art. 77 owego rozporządzenia oraz wykonać prawa, o których mowa w jego art. 78 i 79, jeżeli uznają, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania dotyczących jej danych osobowych.
57 W tym względzie należy zauważyć, że – jak wynika z art. 1 ust. 1 RODO w związku z między innymi jego motywami 9, 10 i 13 – owo rozporządzenie ma na celu zapewnienie harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, która jest co do zasady pełna. Jednakże przepisy tego rozporządzenia dają państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”).
58 Należy bowiem przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału na mocy art. 288 TFUE oraz ze względu na charakter i funkcję rozporządzeń w systemie źródeł prawa Unii zawarte w nich przepisy mają co do zasady bezpośredni skutek w krajowych porządkach prawnych bez konieczności przyjmowania przez władze krajowe środków wykonawczych. Niemniej jednak wprowadzenie w życie niektórych przepisów rozporządzenia może wymagać przyjęcia przez państwa członkowskie krajowych środków wykonawczych (wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 110 i przytoczone tam orzecznictwo).
59 Jest tak w szczególności w przypadku art. 80 ust. 2 RODO, który pozostawia państwom członkowskim zakres uznania w odniesieniu do jego wprowadzenia w życie. Tak więc aby można było wnieść bez upoważnienia przewidziane w tym przepisie powództwo przedstawicielskie w dziedzinie ochrony danych osobowych, państwa członkowskie powinny skorzystać z przyznanego im przez ten przepis uprawnienia do ustanowienia w ich prawie krajowym takiego sposobu reprezentowania osób, których dane dotyczą.
60 Jednakże, jak zauważył rzecznik generalny w pkt 51 i 52 opinii, w sytuacji gdy państwa członkowskie korzystają z przyznanego im w takiej klauzuli upoważniającej uprawnienia, powinny one korzystać z przysługującego im zakresu uznania na warunkach i w granicach przewidzianych w przepisach RODO, wobec czego powinny stanowić prawo w taki sposób, aby nie naruszać treści ani celów tego rozporządzenia.
61 W niniejszym przypadku, jak potwierdził rząd niemiecki na rozprawie w niniejszej sprawie, ustawodawca niemiecki nie przyjął w następstwie wejścia w życie RODO przepisów szczególnych mających konkretnie na celu wdrożenie do swego prawa krajowego art. 80 ust. 2 tego rozporządzenia. Rozpatrywane w postępowaniu głównym uregulowanie krajowe, które przyjęto w celu zapewnienia transpozycji dyrektywy 2009/22, pozwala już bowiem stowarzyszeniom ochrony interesów konsumentów na wniesienie do sądu powództwa przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych. Rząd ten podkreśla ponadto, że w wyroku z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629), dotyczącym wykładni przepisów dyrektywy 95/46, Trybunał orzekł, iż owe przepisy nie stoją na przeszkodzie temu uregulowaniu krajowemu.
62 W tych okolicznościach, jak zauważył rzecznik generalny w pkt 60 opinii, należy w istocie zbadać, czy rozpatrywane w postępowaniu głównym przepisy krajowe wpisują się w ramy zakresu uznania przysługującego każdemu państwu członkowskiemu na podstawie art. 80 ust. 2 RODO, i dokonać tym samym wykładni tego przepisu z uwzględnieniem jego brzmienia, jak również systematyki i celów owego rozporządzenia.
63 W tym względzie należy zauważyć, że art. 80 ust. 2 RODO zapewnia państwom członkowskim możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, określając jednocześnie szereg wymogów w kwestii podmiotowego i przedmiotowego zakresu stosowania, których należy w tym celu przestrzegać.
64 W pierwszej kolejności, co się tyczy podmiotowego zakresu stosowania takiego mechanizmu, legitymacja procesowa czynna przysługuje podmiotowi, organizacji lub zrzeszeniu spełniającym kryteria wymienione w art. 80 ust. 1 RODO. W szczególności ów przepis wspomina „podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych”.
65 Należy stwierdzić, że stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, może wchodzić w zakres tego pojęcia, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw i wolności osób, których dane dotyczą, a które występują w charakterze konsumentów, jeżeli realizacja takiego celu może być związana z ochroną danych osobowych tych osób.
66 Naruszenie przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych – naruszenie, któremu stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, ma zapobiegać i za popełnienie którego ma doprowadzić do wymierzenia kary, w szczególności w drodze powództw o zaniechanie przewidzianych w obowiązujących przepisach krajowych – może być bowiem powiązane, tak jak w niniejszej sprawie, z naruszeniem przepisów w dziedzinie ochrony danych osobowych tych konsumentów.
67 W drugiej kolejności, co się tyczy przedmiotowego zakresu stosowania wspomnianego mechanizmu, wniesienie przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego przez podmiot spełniający przesłanki wymienione w ust. 1 tego artykułu zakłada, że ów podmiot niezależnie od jakiegokolwiek udzielonego mu upoważnienia „uznaj[e], że w wyniku przetwarzania [danych osobowych] naruszone zostały prawa osoby, której dane dotyczą, wynikające z [tego] rozporządzenia”.
68 W tym względzie należy uściślić, po pierwsze, że do celów wniesienia powództwa przedstawicielskiego w rozumieniu art. 80 ust. 2 RODO nie można wymagać od takiego podmiotu, aby uprzednio zidentyfikował indywidualnie osobę, której konkretnie dotyczy przetwarzanie danych, które ma być sprzeczne z przepisami RODO.
69 Wystarczy bowiem zauważyć, że pojęcie „osoby, której dane dotyczą”, w rozumieniu art. 4 pkt 1 tego rozporządzenia obejmuje nie tylko „zidentyfikowaną osobę fizyczną”, lecz również „możliwą do zidentyfikowania osobę fizyczną”, czyli osobę fizyczną, „którą można bezpośrednio lub pośrednio zidentyfikować” na podstawie identyfikatora takiego jak w szczególności nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy. W tych okolicznościach wskazanie kategorii lub grupy osób, których dotyczy takie przetwarzanie, może być również wystarczające dla celów wniesienia takiego powództwa przedstawicielskiego.
70 Po drugie, zgodnie z art. 80 ust. 2 RODO wniesienie powództwa przedstawicielskiego nie jest też uzależnione od istnienia konkretnego naruszenia praw przysługujących danej osobie na podstawie przepisów o ochronie danych.
71 Jak wynika bowiem z samego brzmienia tego przepisu, przypomnianego w pkt 67 niniejszego wyroku, wniesienie powództwa przedstawicielskiego zakłada jedynie, że dany podmiot „uznaje”, iż przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami owego rozporządzenia.
72 Wynika stąd, że aby uznać, iż na podstawie wspomnianego przepisu takiemu podmiotowi przysługuje legitymacja procesowa czynna, wystarczy podnieść, że odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z rzeczonego rozporządzenia, bez konieczności udowadniania rzeczywistej szkody poniesionej w określonej sytuacji przez osobę, której dane dotyczą, wskutek naruszenia jej praw.
73 Taka wykładnia jest zgodna z wynikającymi z art. 16 TFUE i z art. 8 Karty praw podstawowych Unii Europejskiej wymogami, a tym samym z realizowanym przez RODO celem polegającym na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych (zob. podobnie wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 44, 45, 91).
74 Tymczasem upoważnienie stowarzyszeń ochrony interesów konsumentów, takich jak związek organizacji konsumenckich, do wnoszenia – w ramach mechanizmu powództwa przedstawicielskiego – powództw o zaniechanie przetwarzania danych sprzecznego z przepisami tego rozporządzenia niezależnie od naruszenia praw osoby, której owo naruszenie dotyczy indywidualnie i konkretnie, niewątpliwie przyczynia się do wzmocnienia praw osób, których dane dotyczą, i do zapewnienia im wysokiego poziomu ochrony.
75 Ponadto należy zauważyć, że wniesienie takiego powództwa przedstawicielskiego – w zakresie, w jakim pozwala ono zapobiec licznym naruszeniom praw osób, których dotyczy przetwarzanie ich danych osobowych – mogłoby okazać się bardziej skuteczne niż skarga, jaką pojedyncza osoba, której dotyczy indywidualnie i konkretnie naruszenie jej prawa do ochrony jej danych osobowych, może wnieść przeciwko sprawcy tego naruszenia.
76 Jak zauważył bowiem rzecznik generalny w pkt 76 opinii, nie można by zapewnić funkcji prewencyjnej powództw wytaczanych przez stowarzyszenia ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, gdyby w ramach przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego można było powołać się jedynie na naruszenie praw osoby indywidualnie i konkretnie dotkniętej tym naruszeniem.
77 W trzeciej kolejności należy jeszcze sprawdzić, zgodnie z wnioskiem sądu odsyłającego, czy art. 80 ust. 2 RODO sprzeciwia się wniesieniu powództwa przedstawicielskiego niezależnie od konkretnego naruszenia prawa osoby, której dane dotyczą, i od udzielonego przez nią upoważnienia, w sytuacji gdy naruszenie przepisów w dziedzinie ochrony danych zarzucono w ramach powództwa zmierzającego do kontroli stosowania innych przepisów prawnych mających na celu zapewnienie ochrony konsumentów.
78 W tym względzie należy zaznaczyć na wstępie, że – jak zauważono w istocie w pkt 66 niniejszego wyroku – naruszenie przepisu dotyczącego ochrony danych osobowych może jednocześnie prowadzić do naruszenia przepisów odnoszących się do ochrony konsumentów lub do nieuczciwych praktyk handlowych.
79 W związku z tym, jak zauważył rzecznik generalny w pkt 72 opinii, art. 80 ust. 2 RODO nie sprzeciwia się temu, by państwa członkowskie skorzystały z uprawnienia przysługującego im na podstawie tego przepisu, w związku z czym stowarzyszenia ochrony interesów konsumentów będą uprawnione do wnoszenia powództw w razie naruszeń przewidzianych w RODO praw na podstawie, stosownie do okoliczności, przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych, takich jak przepisy przewidziane w dyrektywie 2005/29 i w dyrektywie 2009/22.
80 Taka wykładnia art. 80 ust. 2 RODO znajduje zresztą potwierdzenie w dyrektywie 2020/1828, która uchyla i zastępuje od dnia 25 czerwca 2023 r. dyrektywę 2009/22. W tym kontekście należy zauważyć, że zgodnie ze swym art. 2 ust. 1 dyrektywa 2020/1828 ma zastosowanie do powództw przedstawicielskich wytaczanych przeciwko przedsiębiorcom za naruszenia przepisów prawa Unii, o których mowa w załączniku I do rzeczonej dyrektywy, w którego pkt 56 wymienia się RODO.
81 Prawdą jest, że dyrektywa 2020/1828 nie ma zastosowania w ramach sporu w postępowaniu głównym, a termin jej transpozycji jeszcze nie upłynął. Jednakże zawiera ona szereg elementów, które potwierdzają, że art. 80 RODO nie sprzeciwia się wnoszeniu uzupełniających powództw przedstawicielskich w dziedzinie ochrony konsumentów.
82 O ile bowiem, jak wynika z motywu 11 tej dyrektywy, możliwe jest ustanowienie mechanizmu proceduralnego przewidującego uzupełniające powództwa przedstawicielskie w dziedzinie ochrony konsumentów, o tyle mechanizmy egzekwowania prawa przewidziane w RODO lub oparte na nim, takie jak mechanizm przewidziany w art. 80 tego rozporządzenia, nie mogą zostać zastąpione lub zmienione, jak wskazano w motywie 15 wspomnianej dyrektywy, wobec czego mogą one być wykorzystywane w celu ochrony zbiorowych interesów konsumentów.
83 Mając na względzie całość powyższych rozważań, na zadane pytanie należy odpowiedzieć, że art. 80 ust. 2 RODO należy interpretować w ten sposób, iż nie sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.
W przedmiocie kosztów
84 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
Artykuł 80 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że nie sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.
Podpisy