Language of document : ECLI:EU:C:2022:322

ROZSUDOK SÚDNEHO DVORA (tretia komora)

z 28. apríla 2022 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 80 – Zastupovanie dotknutých osôb neziskovým združením – Žaloba alebo iný úkon v zastúpení podané združením na ochranu záujmov spotrebiteľov bez poverenia a nezávisle od porušenia konkrétnych práv dotknutej osoby – Žaloba alebo iný úkon založené na zákaze nekalých obchodných praktík, porušení zákona v oblasti ochrany spotrebiteľov alebo zákaze používania neúčinných všeobecných obchodných podmienok“

Vo veci C‑319/20,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Bundesgerichtshof (Spolkový súdny dvor, Nemecko) z 28. mája 2020 a doručený Súdnemu dvoru 15. júla 2020, ktorý súvisí s konaním:

Meta platforms Ireland Limited, predtým Facebook Ireland Limited,

proti

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

SÚDNY DVOR (tretia komora),

v zložení: predsedníčka druhej komory A. Prechal vykonávajúca funkciu predsedu tretej komory, sudcovia J. Passer, F. Biltgen, L. S. Rossi (spravodajkyňa) a N. Wahl,

generálny advokát: J. Richard de la Tour,

tajomník: M. Krausenböck, referentka,

so zreteľom na písomnú časť konania a po pojednávaní z 23. septembra 2021,

so zreteľom na pripomienky, ktoré predložili:

–        Meta Platforms Ireland Limited, v zastúpení: H.‑G. Kamann, M. Braun, H. Frey a V. Wettner, Rechtsanwälte,

–        Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., v zastúpení: P. Wassermann, Rechtsanwalt,

–        nemecká vláda, v zastúpení: D. Klebs a J. Möller, splnomocnení zástupcovia,

–        rakúska vláda, v zastúpení: A. Posch, G. Kunnert a J. Schmoll, splnomocnení zástupcovia,

–        portugalská vláda, v zastúpení: L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa a L. Medeiros, splnomocnení zástupcovia,

–        Európska komisia, v zastúpení: pôvodne F. Erlbacher, H. Kranenborg a D. Nardi, neskôr F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 2. decembra 2021,

vyhlásil tento

Rozsudok

1        Návrh na začatie prejudiciálneho konania sa týka výkladu článku 80 ods. 1 a 2 a článku 84 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2        Tento návrh bol podaný v rámci sporu medzi spoločnosťou Meta Platforms Ireland Limited, predtým Facebook Ireland Limited, ktorej sídlo sa nachádza v Írsku, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Spolková únia spotrebiteľských centier a združení, Nemecko, ďalej len „Spolková únia“), v súvislosti s tým, či Meta Platforms Ireland Limited porušila nemecké právne predpisy týkajúce sa ochrany osobných údajov, čo zároveň predstavuje nekalú obchodnú praktiku, porušenie zákona v oblasti ochrany spotrebiteľov a porušenie zákazu používania neúčinných všeobecných obchodných podmienok.

 Právny rámec

 Právo Únie

 GDPR

3        Odôvodnenia 9, 10, 13 et 142 GDPR stanovujú:

„(9)      Ciele a zásady smernice [Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355)], zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice [95/46].

(10)      S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie…

(13)      S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov…

(142)      Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene na dozornom orgáne, uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo ak je to stanovené v práve členského štátu, uplatnili právo na náhradu škody v mene dotknutých osôb. Členský štát môže stanoviť, aby takýto subjekt, organizácia alebo združenie mali nezávisle od poverenia dotknutej osoby právo podať sťažnosť v tomto členskom štáte a právo na účinný súdny prostriedok nápravy, ak má dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto nariadením. Takémuto subjektu, organizácii alebo združeniu sa nesmie povoliť domáhať sa náhrady škody v mene dotknutej osoby nezávisle od poverenia dotknutej osoby.“

4        Článok 1 tohto nariadenia, nazvaný „Predmet úpravy a ciele“, v odseku 1 stanovuje:

„1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“

5        Podľa článku 4 bodu 1 GDPR:

„Na účely tohto nariadenia:

1.      ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

6        Kapitola III GDPR, ktorá obsahuje články 12 až 23, sa nazýva „Práva dotknutej osoby“.

7        Článok 12 tohto nariadenia, nazvaný „Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby“, v odseku 1 stanovuje:

„Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.“

8        Článok 13 GDPR, nazvaný „Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby“, v odseku 1 písm. c) a e) stanovuje:

„1.      V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

c)      účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

e)      príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú…“

9        Kapitola VIII uvedeného nariadenia, ktorá obsahuje články 77 až 84, má názov „Prostriedky nápravy, zodpovednosť a sankcie“.

10      Článok 77 GDPR, nazvaný „Právo podať sťažnosť dozornému orgánu“, v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

11      Článok 78 GDPR, nazvaný „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“, v odseku 1 uvádza:

„Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.“

12      Článok 79 GDPR, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

13      Článok 80 GDPR, nazvaný „Zastupovanie dotknutých osôb“, znie:

„1.      Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2.      Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.“

14      Článok 82 tohto nariadenia s názvom „Právo na náhradu škody a zodpovednosť“ v odseku 1 stanovuje:

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“

15      Článok 84 GDPR, nazvaný „Sankcie“, v odseku 1 uvádza:

„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“

 Smernica 2005/29/ES

16      Účelom smernice Európskeho parlamentu a Rady 2005/29/ES z 11. mája 2005 o nekalých obchodných praktikách podnikateľov voči spotrebiteľom na vnútornom trhu, ktorou sa mení a dopĺňa smernica Rady 84/450/EHS, smernice Európskeho parlamentu a Rady 97/7/ES, 98/27/ES a 2002/65/ES a nariadenie Európskeho parlamentu a Rady (ES) č. 2006/2004 („smernica o nekalých obchodných praktikách“) (Ú. v. EÚ L 149, 2005, s. 22), je podľa jej článku 1 prispieť k riadnemu fungovaniu vnútorného trhu a dosiahnuť vysokú úroveň ochrany spotrebiteľa aproximáciou zákonov, iných právnych predpisov a správnych opatrení členských štátov o nekalých obchodných praktikách poškodzujúcich ekonomické záujmy spotrebiteľov.

17      Článok 5 tej istej smernice s názvom „Zákaz nekalých obchodných praktík“ stanovuje:

„1.      Nekalé obchodné praktiky sú zakázané.

2.      Obchodná praktika je nekalá, ak:

a)      je v rozpore s požiadavkami odbornej starostlivosti

a

b)      podstatne narušuje alebo je spôsobilá podstatne narušiť ekonomické správanie priemerného spotrebiteľa vo vzťahu k produktu, ku ktorému sa dostane alebo ktorému je adresovaná, alebo priemerného člena skupiny, ak je obchodná praktika orientovaná na určitú skupinu spotrebiteľov.

5.      Príloha I obsahuje výpočet tých obchodných praktík, ktoré sa za každých okolností považujú za nekalé…“

18      Článok 11 ods. 1 tejto smernice, nazvaný „Vynútiteľnosť“, stanovuje:

„1.      Členské štáty zabezpečia existenciu vhodných a účinných prostriedkov na boj proti nekalým obchodným praktikám s cieľom vynútiť súlad s ustanoveniami tejto smernice v záujme spotrebiteľov.

Tieto prostriedky zahŕňajú ustanovenia právnych predpisov, ktoré umožnia osobám alebo organizáciám, ktoré majú podľa vnútroštátnych právnych predpisov oprávnený záujem na boji proti nekalým obchodným praktikám, vrátane účastníkov hospodárskej súťaže:

a)      podať na súde žalobu proti takejto nekalej obchodnej praktike

a/alebo

b)      napadnúť takú nekalú obchodnú praktiku na správnom orgáne, ktorý je príslušný rozhodovať o sťažnostiach[,] alebo dať podnet na začatie príslušného konania na súde.

Je na každom členskom štáte, aby rozhodol o tom, ktorá z týchto možností bude k dispozícii a či budú súdy alebo správne orgány oprávnené požadovať, aby boli najprv vyčerpané iné dostupné prostriedky na vybavovanie sťažností, vrátane prostriedkov uvedených v článku 10. Tieto možnosti musia byť k dispozícii bez ohľadu na to, či sú poškodení spotrebitelia na území toho členského štátu, kde má sídlo obchodník, alebo v inom členskom štáte.

…“

19      Príloha I smernice 2005/29, ktorá obsahuje zoznam obchodných praktík, ktoré sa za každých okolností považujú za nekalé, v bode 26 stanovuje:

„Vykonávanie vytrvalých a nechcených žiadostí telefonicky, faxom, elektronickou poštou alebo inými diaľkovými médiami, okrem prípadov a v rozsahu odôvodnenom podľa vnútroštátneho práva na účely vymáhania zmluvného záväzku. Toto platí bez toho, aby [bola dotknutá… smernica…] 95/46/ES…“

 Smernica 2009/22/ES

20      Podľa článku 1 smernice Európskeho parlamentu a Rady 2009/22/ES z 23. apríla 2009 o súdnych príkazoch na ochranu spotrebiteľských záujmov (Ú. v. EÚ L 110, 2009, s. 30) s názvom „Pôsobnosť“:

„1.      Účelom tejto smernice je aproximácia právnych a správnych predpisov členských štátov v súvislosti so žalobami na vydanie súdneho príkazu uvedenými v článku 2, zameranými na ochranu kolektívnych spotrebiteľských záujmov zahrnutých v smerniciach uvedených v prílohe I, s cieľom zabezpečiť riadne fungovanie vnútorného trhu.

2.      Na účely tejto smernice sa neoprávneným zásahom rozumie každý čin v rozpore so smernicami uvedenými v prílohe I, transponovanými do vnútorného právneho poriadku členských štátov, ktorý škodí kolektívnym záujmom uvedeným v odseku 1.“

21      Článok 7 smernice 2009/22 s názvom „Ustanovenia poskytujúce rozsiahlejšie oprávnenia“ znie takto:

„Táto smernica nebráni členským štátom prijímať alebo ponechávať v účinnosti ustanovenia poskytujúce oprávneným subjektom alebo ľubovoľnej inej dotknutej osobe rozsiahlejšie práva na podanie žaloby na vnútroštátnej úrovni.“

22      Príloha I smernice 2009/22 obsahuje zoznam smerníc Únie, na ktoré sa vzťahuje článok 1 tejto smernice. Bod 11 tejto prílohy spomína smernicu 2005/29.

 Smernica (EÚ) 2020/1828

23      Odôvodnenia 11, 13 a 15 smernice Európskeho parlamentu a Rady (EÚ) 2020/1828 z 25. novembra 2020 o žalobách v zastúpení na ochranu kolektívnych záujmov spotrebiteľov a o zrušení smernice 2009/22/ES (Ú. v. EÚ L 409, 2020, s. 1) stanovujú:

„(11)      Touto smernicou by sa nemali nahradiť existujúce vnútroštátne procesné mechanizmy na ochranu kolektívnych alebo individuálnych záujmov spotrebiteľov. S ohľadom na právne tradície členských štátov by sa členským štátom mala ponechať diskrečná právomoc rozhodnúť, či procesný mechanizmus pre žaloby [alebo iné úkony – neoficiálny preklad] v zastúpení požadovaný touto smernicou upravia ako súčasť existujúceho alebo ako súčasť nového procesného mechanizmu na vydanie kolektívnych opatrení vo forme súdnych príkazov alebo nápravných opatrení alebo ako odlišný procesný mechanizmus, za predpokladu, že aspoň jeden vnútroštátny procesný mechanizmus pre žaloby [alebo iné úkony – neoficiálny preklad] v zastúpení je v súlade s touto smernicou… Ak existujú na vnútroštátnej úrovni iné procesné mechanizmy popri procesnom mechanizme, ktorý sa vyžaduje podľa tejto smernice, oprávnený subjekt by mal mať možnosť si vybrať, ktorý z nich použije.

(13)      Rozsah pôsobnosti tejto smernice by mal zohľadňovať nedávny vývoj v oblasti ochrany spotrebiteľa. Keďže spotrebitelia sú v súčasnosti činní na rozsiahlejšom a čoraz viac digitalizovanom trhu, dosiahnutie vysokej úrovne ochrany spotrebiteľa si vyžaduje, aby sa táto smernica okrem všeobecného spotrebiteľského práva vzťahovala aj na oblasti, ako sú napríklad ochrana údajov, finančné služby, cestovanie a cestovný ruch, energetika a telekomunikácie…

(15)      Touto smernicou by nemali byť dotknuté právne akty uvedené v prílohe I, v dôsledku čoho sa ňou nemenia ani nerozširujú vymedzenia pojmov, ktoré sú v uvedených právnych aktoch stanovené, ani sa ňou nenahrádza žiadny mechanizmus presadzovania práva, ktorý môže byť v uvedených právnych aktoch stanovený. Napríklad by sa v relevantnom prípade mohol na ochranu kolektívnych záujmov spotrebiteľov stále použiť mechanizmus presadzovania práva stanovený v [GDPR] alebo založený na uvedenom nariadení.“

24      Článok 2 tejto smernice, nazvaný „Rozsah pôsobnosti“, v odseku 1 stanovuje:

„Táto smernica sa vzťahuje na žaloby [alebo iné úkony – neoficiálny preklad] v zastúpení vo veci porušenia ustanovení práva Únie uvedených v prílohe I vrátane ustanovení prijatých na ich transpozíciu do vnútroštátneho práva obchodníkmi, ak tieto porušenia poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov. Touto smernicou nie sú dotknuté ustanovenia práva Únie uvedené v prílohe I…“

25      Článok 24 ods. 1 uvedenej smernice, nazvaný „Transpozícia“, stanovuje:

„1.      Členské štáty prijmú a uverejnia najneskôr do 25. decembra 2022 zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou. Bezodkladne o tom informujú Komisiu.

Tieto opatrenia sa uplatňujú od 25. júna 2023.

…“

26      Príloha I smernice 2020/1828, ktorá obsahuje zoznam ustanovení práva Únie uvedených v článku 2 ods. 1 tejto smernice, cituje vo svojom bode 56 GDPR.

 Nemecké právo

 Zákon o žalobách na zdržanie sa konania

27      Podľa § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (zákon o žalobách na zdržanie sa konania v prípade porušenia práva spotrebiteľov a iných porušení) z 26. novembra 2001 (BGBl. 2001 I, s. 3138), v znení uplatniteľnom na spor vo veci samej (ďalej len „zákon o žalobách na zdržanie sa konania“):

„1.      Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba na zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov…

2.      V zmysle tohto ustanovenia sa zákonmi na ochranu spotrebiteľov rozumejú najmä:

11.      pravidlá, ktoré upravujú prípustnosť

a)      zozbierania osobných údajov spotrebiteľa zo strany podnikateľa alebo

b)      spracovania alebo používania osobných údajov, ktoré boli zozbierané o spotrebiteľovi zo strany podnikateľa,

ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.“

28      Bundesgerichtshof (Spolkový súdny dvor, Nemecko) uvádza, že podľa § 3 ods. 1 prvej vety bodu 1 zákona o žalobách na zdržanie sa konania môžu subjekty, ktoré majú v zmysle § 4 tohto zákona aktívnu legitimáciu, podať jednak podľa § 1 tohto zákona žalobu na zdržanie sa používania neúčinných všeobecných podmienok podľa § 307 Bürgerliches Gesetzbuch (Občiansky zákonník) a jednak podľa § 2 ods. 2 toho istého zákona žalobu na zdržanie sa porušovaní právnych predpisov v oblasti ochrany spotrebiteľov.

 Zákon proti nekalej súťaži

29      § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalej súťaži) z 3. júla 2004 (BGBl. 2004 I, s. 1414), v znení uplatniteľnom na spor vo veci samej (ďalej len „zákon proti nekalej súťaži“), stanovuje:

„Nekalé obchodné praktiky sú zakázané.“

30      § 3a zákona proti nekalej súťaži znie:

„Nekalej praktiky sa dopustí ten, kto koná v rozpore s právnym predpisom, ktorý je určený najmä na to, aby v záujme subjektov pôsobiacich na trhu reguloval trhové správanie, ak toto konanie môže citeľne obmedziť záujmy spotrebiteľov, iných subjektov na trhu alebo konkurentov.“

31      § 8 zákona proti nekalej súťaži stanovuje:

„1.      Voči osobe, ktorá sa dopustí nekalej obchodnej praktiky v zmysle § 3 alebo § 7, možno podať žalobu na odstránenie protiprávneho stavu a v prípade rizika opakovania aj žalobu o zdržanie sa nedovoleného konania…

3.      Nároky podľa odseku 1 prináležia:

(3)      oprávneným subjektom, ktoré preukážu, že sú zapísané na zozname oprávnených subjektov podľa § 4 [zákona o žalobách na zdržanie sa konania]…“

 Zákon o elektronických médiách

32      Bundesgerichtshof (Spolkový súdny dvor) uvádza, že § 13 ods. 1 Telemediengesetz (zákon o elektronických médiách) z 26. februára 2007 (BGBl. 2007 I, s. 179), sa uplatňoval až do nadobudnutia účinnosti GDPR. Od tohto dátumu bolo toto ustanovenie nahradené článkami 12 až 14 GDPR.

33      Podľa § 13 ods. 1 prvej vety zákona o elektronických médiách:

„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje pôsobnosť smernice 95/46…, vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo.“

 Spor vo veci samej a prejudiciálna otázka

34      Meta platforms Ireland, ktorá spravuje ponuku služieb internetovej sociálnej siete Facebook v Únii, je prevádzkovateľom spracovávajúcim osobné údaje používateľov tejto sociálnej siete v Únii. Spoločnosť Facebook Germany GmbH, ktorá má sídlo v Nemecku, na internetovej adrese www.facebook.de podporuje predaj reklamného priestoru. Internetová platforma Facebook obsahuje – okrem iného – na internetovej adrese www.facebook.de priestor nazvaný „App‑Zentrum“ (Centrum aplikácií), v ktorom Meta platforms Ireland sprístupňuje používateľom bezplatné hry poskytované tretími osobami. Pri nahliadnutí do Centra aplikácií niektorých z týchto hier používateľ vidí údaj, že použitie danej aplikácie umožňuje spoločnosti poskytujúcej hry získať určitý počet osobných údajov a povoľuje jej zverejniť v mene tohto používateľa napríklad jeho skóre a iné informácie. Dôsledkom tohto použitia je, že uvedený užívateľ prijíma všeobecné podmienky aplikácie a jej politiku v oblasti ochrany údajov. Okrem toho sa v prípade danej hry uvádza, že aplikácia je oprávnená uverejniť status, fotografie a iné informácie v mene tohto používateľa.

35      Spolková únia, ktorá má aktívnu legitimáciu podľa § 4 zákona o žalobách na zdržanie sa konania, usudzuje, že údaje poskytnuté dotknutými hrami v Centre aplikácií sú nekalé, a to najmä z hľadiska nedodržania zákonných podmienok, ktoré sa uplatňujú na získanie platného súhlasu používateľa podľa predpisov upravujúcich ochranu údajov. Okrem toho usudzuje, že informácia, že aplikácia oprávnená zverejniť v mene používateľa niektoré jeho osobné údaje, predstavuje všeobecnú podmienku, ktorá používateľa neoprávnene znevýhodňuje.

36      V tomto kontexte Spolková únia podala na Landgericht Berlin (Krajinský súd Berlín, Nemecko) proti spoločnosti Meta platforms Ireland žalobu o zdržanie sa konania podľa § 3a zákona proti nekalej súťaži, § 2 ods. 2 prvej vety bodu 11 zákona o žalobách o zdržanie sa konania, ako aj podľa Občianskeho zákonníka. Táto žaloba bola podaná nezávisle od konkrétneho porušenia práva dotknutej osoby na ochranu údajov a bez poverenia takejto osoby.

37      Landgericht Berlin (Krajinský súd Berlín) rozhodol v neprospech spoločnosti Meta Platforms Ireland v súlade s návrhmi Spolkovej únie. Odvolanie, ktoré Meta platforms Ireland podala na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), bolo zamietnuté. Meta platforms Ireland následne podala na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania, opravný prostriedok „Revision“ proti zamietavému rozhodnutiu odvolacieho súdu.

38      Vnútroštátny súd usudzuje, že žaloba Spolkovej únie je dôvodná, keďže Meta platforms Ireland porušila § 3a zákona proti nekalej súťaži, ako aj § 2 ods. 2 prvú vetu bod 11 zákona o žalobách na zdržanie sa konania a použila neúčinnú všeobecnú podmienku v zmysle § 1 zákona o žalobách na zdržanie sa konania.

39      Tento súd má však pochybnosti o prípustnosti žaloby Spolkovej únie. Usudzuje totiž, že nie je vylúčené, že Spolková únia, ktorá v čase podania svojej žaloby skutočne mala aktívnu legitimáciu, a to podľa § 8 ods. 3 zákona proti nekalej súťaži a § 3 ods. 1 prvej vety bodu 1 zákona o žalobách na zdržanie sa konania, o toto postavenie v priebehu konania prišla v nadväznosti na nadobudnutie účinnosti GDPR, najmä jeho článku 80 ods. 1 a 2, ako aj článku 84 ods. 1 Ak je to tak, vnútroštátny súd by mal vyhovieť opravnému prostriedku „Revision“, ktorý podala Meta Platforms Ireland, a zamietnuť žalobu Spolkovej únie, keďže podľa relevantných procesných ustanovení nemeckého práva musí aktívna legitimácia ostať zachovaná až do konca posledného stupňa konania.

40      Podľa vnútroštátneho súdu súvisiaca odpoveď jasne nevyplýva z posúdenia znenia, štruktúry, ako ani cieľa ustanovení GDPR.

41      Pokiaľ ide o znenie ustanovení GDPR, vnútroštátny súd uvádza, že existencia aktívnej legitimácie neziskových subjektov, organizácií alebo združení, ktoré boli riadne zriadené v súlade s právom členského štátu podľa článku 80 ods. 1 GDPR, predpokladá, že dotknutá osoba poverila subjekt, organizáciu alebo združenie, aby v jej mene uplatňovali práva podľa článkov 77 až 79 GDPR a právo na náhradu škody podľa článku 82 GDPR, ak to umožňuje právo členského štátu.

42      Vnútroštátny súd však zdôrazňuje, že aktívna legitimácia na základe § 8 ods. 3 bodu 3 zákona proti nekalej súťaži nepredpokladá takúto žalobu na základe poverenia a v mene dotknutej osoby na účely uplatnenia jej osobných práv. Naopak, priznáva združeniu na základe jeho vlastného práva, ktoré mu vyplýva z § 3 ods. 1, ako aj z § 3a zákona proti nekalej súťaži, objektívnu aktívnu legitimáciu proti porušeniam ustanovení GDPR nezávisle od porušenia konkrétnych práv dotknutých osôb a poverenia, ktoré by tieto osoby udelili.

43      Okrem toho vnútroštátny súd poukazuje na to, že článok 80 ods. 2 GDPR nestanovuje aktívnu legitimáciu združenia na účely objektívneho uplatnenia práva na ochranu osobných údajov, keďže toto ustanovenie predpokladá, že práva dotknutej osoby stanovené v GDPR boli skutočne porušené z dôvodu spracovania konkrétnych údajov.

44      Okrem toho aktívna legitimácia združenia, akou je legitimácia stanovená v § 8 ods. 3 zákona proti nekalej súťaži, nemôže vyplývať z článku 84 ods. 1 GDPR, podľa ktorého členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Aktívnu legitimáciu združenia, akou je legitimácia uvedená v článku 8 ods. 3 zákona proti nekalej súťaži, totiž nemožno považovať za „sankciu“ v zmysle tohto ustanovenia GDPR.

45      Pokiaľ ide o štruktúru ustanovení GDPR, vnútroštátny súd usudzuje, že zo skutočnosti, že toto nariadenie harmonizovalo najmä právomoci dozorných orgánov, vyplýva, že v zásade týmto orgánom prináleží overovať uplatňovanie ustanovení tohto nariadenia. Vsuvka „bez toho, aby boli dotknuté akékoľvek iné… prostriedky nápravy“ uvedená v článku 77 ods. 1, článku 78 ods. 1 a 2, ako aj v článku 79 ods. 1 GDPR však môže oslabiť tézu o taxatívnej právnej úprave dozoru nad uplatňovaním práva týmto nariadením.

46      Pokiaľ ide o cieľ GDPR, vnútroštátny súd uvádza, že jeho potrebný účinok by mohol svedčiť v prospech existencie aktívnej legitimácie združení na základe práva hospodárskej súťaže v súlade s § 8 ods. 3 bodom 3 zákona proti nekalej súťaži, a to nezávisle na porušení konkrétnych práv dotknutých osôb, pokiaľ by to ponechalo doplňujúcu možnosť dozoru nad uplatňovaním práva na účely zabezpečenia čo najvyššej úrovne ochrany osobných údajov v súlade s odôvodnením 10 GDPR. Uznanie aktívnej legitimácie združení na základe práva hospodárskej súťaže by však mohlo byť považované za odporujúce cieľu harmonizácie, ktorý sleduje GDPR.

47      Za týchto okolností Bundesgerichtshof (Spolkový súdny dvor) rozhodol prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:

„Bránia ustanovenia kapitoly VIII [GDPR], a to najmä článok 80 ods. 1 a 2, ako aj článok 84 ods. 1 tohto nariadenia, vnútroštátnej právnej úprave, ktorá okrem intervenčných právomocí dozorných orgánov poverených dozorom nad vykonávaním nariadenia a možností právnej ochrany dotknutých osôb, priznáva konkurentom na jednej strane a združeniam, subjektom a komorám oprávneným podľa vnútroštátnych právnych predpisov na druhej strane právo odvolávať sa voči porušiteľovi práv na rozpor s ustanoveniami [GDPR] – nezávisle od porušenia konkrétnych práv jednotlivých dotknutých osôb a bez poverenia dotknutej osoby – podaním žaloby na civilné súdy, ktorá sa opiera o zákaz nekalých obchodných praktík alebo porušenie zákona na ochranu spotrebiteľov alebo zákaz používania neúčinných všeobecných obchodných podmienok?“

 O prejudiciálnej otázke

48      Na začiatku treba uviesť, že ako vyplýva najmä z bodu 36 a z bodov 41 až 44 tohto rozsudku, spor vo veci samej sa týka združenia na ochranu záujmov spotrebiteľov, akým je Spolková únia, a Meta Platforms Ireland a jeho predmetom je otázka, či takéto združenie môže konať proti tejto spoločnosti bez poverenia, ktoré mu bolo udelené na tento účel, a nezávisle od porušenia konkrétnych práv dotknutých osôb.

49      Za týchto podmienok, ako správne uviedla Komisia vo svojich písomných pripomienkach, odpoveď na prejudiciálnu otázku závisí len od výkladu článku 80 ods. 2 GDPR, keďže ustanovenia článku 80 ods. 1 GDPR a článku 84 GDPR nie sú v prejednávanej veci relevantné. Na jednej strane totiž uplatnenie článku 80 ods. 1 GDPR predpokladá, že dotknutá osoba poverila neziskový subjekt, organizáciu alebo združenie uvedené v tomto ustanovení, aby prijali v jej mene právne opatrenia stanovené v článkoch 77 až 79 GDPR. Je však nesporné, že v rámci konania vo veci samej to tak nie je, keďže Spolková únia koná nezávisle od akéhokoľvek poverenia dotknutej osoby. Na druhej strane je nesporné, že článok 84 GDPR sa týka správnych a trestných sankcií za porušenia tohto nariadenia, o čo tiež v konaní vo veci samej nejde.

50      Okrem toho treba uviesť, že vec sama nenastoľuje otázku aktívnej legitimácie konkurenta. Preto treba odpovedať iba na tú časť otázky, ktorá sa týka aktívnej legitimácie združení, subjektov a komôr oprávnených podľa vnútroštátneho práva, uvedených v článku 80 ods. 2 GDPR.

51      Z toho vyplýva, že otázku položenú vnútroštátnym súdom treba chápať tak, že jej cieľom je v podstate zistiť, či sa má článok 80 ods. 2 GDPR vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá umožňuje združeniu na ochranu záujmov spotrebiteľov podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutej osoby, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov, s poukázaním na porušenie zákazu nekalých obchodných praktík, zákona v oblasti ochrany spotrebiteľov alebo zákazu používania neúčinných všeobecných obchodných podmienok.

52      Pri odpovedi na túto otázku je dôležité pripomenúť, že ako vyplýva z odôvodnenia 10 GDPR, cieľom tohto nariadenia je okrem iného zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov v rámci celej Únie a odstrániť prekážky tokov osobných údajov v rámci Únie.

53      V tomto kontexte kapitola VIII tohto nariadenia upravuje najmä prostriedky nápravy umožňujúce ochranu práv dotknutej osoby, pokiaľ sa osobné údaje, ktoré sa jej týkajú, údajne spracúvali v rozpore s ustanoveniami uvedeného nariadenia. O ochranu týchto práv tak môže na základe článku 80 GDPR žiadať buď priamo dotknutá osoba alebo oprávnený subjekt, či už s poverením na tento účel alebo bez neho.

54      Predovšetkým dotknutá osoba má právo sama podať sťažnosť dozornému orgánu členského štátu alebo žalobu na vnútroštátne občianskoprávne súdy. Presnejšie táto osoba má právo podať sťažnosť dozornému orgán v súlade s článkom 77 GDPR, právo na účinný súdny prostriedok nápravy proti dozornému orgánu podľa článku 78 GDPR, právo na účinný súdny prostriedok nápravy proti prevádzkovateľovi alebo sprostredkovateľovi, stanovené v článku 79 GDPR, a právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa podľa článku 82 GDPR.

55      Ďalej v súlade s článkom 80 ods. 1 GDPR má dotknutá osoba právo za určitých podmienok poveriť neziskový subjekt, organizáciu alebo združenie, aby podali sťažnosť alebo aby v jej mene uplatnili práva uvedené v citovaných článkoch.

56      Napokon v súlade s článkom 80 ods. 2 GDPR môžu členské štáty stanoviť, že akýkoľvek subjekt, organizácia alebo združenie má v predmetnom členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dozornému orgánu podľa článku 77 tohto nariadenia, a uplatňovať práva uvedené v článkoch 78 a 79 tohto nariadenia, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania osobných údajov, ktoré sa jej týkajú.

57      V tejto súvislosti treba uviesť, že ako vyplýva z článku 1 ods. 1 GDPR v spojení najmä s jeho odôvodneniami 9, 10 a 13, cieľom tohto nariadenia je zabezpečiť harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, ktorá je v zásade úplná. Ustanovenia uvedeného nariadenia však členským štátom umožňujú stanoviť dodatočné prísnejšie alebo odchylné vnútroštátne pravidlá, ktoré im ponechávajú mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa môžu byť tieto ustanovenia vykonávať („ustanovenia o otvorení“).

58      V tejto súvislosti treba totiž pripomenúť, že v súlade s ustálenou judikatúrou Súdneho dvora podľa článku 288 ZFEÚ a z dôvodu samotnej povahy nariadení a ich funkcie v systéme prameňov práva Únie majú ustanovenia nariadení vo všeobecnosti bezprostredný účinok vo vnútroštátnych právnych poriadkoch, a to bez toho, aby vnútroštátne orgány museli prijať vykonávacie predpisy. Niektoré ustanovenia nariadení však na svoje vykonávanie môžu vyžadovať prijatie vykonávacích predpisov členskými štátmi (rozsudok z 15. júna 2021, Facebook Ireland a i., C‑645/19, EU:C:2021:483, bod 110, ako aj citovaná judikatúra).

59      Platí to najmä v súvislosti s článkom 80 ods. 2 GDPR, ktorý ponecháva členským štátom mieru voľnej úvahy pri jeho vykonávaní. Na to, aby bolo možné vykonať žalobu alebo iný úkon v zastúpení bez poverenia v oblasti ochrany osobných údajov upravené v tomto ustanovení, tak členské štáty musia využiť možnosť zaviesť vo svojom vnútroštátnom práve tento spôsob zastúpenia dotknutých osôb, ktorú im ponúka toto ustanovenie.

60      Ako však poukázal generálny advokát v bodoch 51 a 52 svojich návrhov, pokiaľ členské štáty využívajú možnosť, ktorú im poskytuje takéto ustanovenie o otvorení, musia používať svoju voľnú úvahu za podmienok a v medziach stanovených ustanoveniami GDPR, a musia tak prijímať právne predpisy spôsobom, ktorý nezasahuje do obsahu a cieľov tohto nariadenia.

61      V tomto prípade, ako potvrdila nemecká vláda na pojednávaní v tejto veci, nemecký zákonodarca neprijal po nadobudnutí účinnosti GDPR osobitné ustanovenia, ktorých konkrétnym cieľom by bolo prebratie článku 80 ods. 2 tohto nariadenia do jeho vnútroštátneho práva. Vnútroštátna právna úprava dotknutá vo veci samej, prijatá s cieľom zabezpečiť prebratie smernice 2009/22, už totiž umožňuje združeniam na ochranu záujmov spotrebiteľov podať žalobu proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov. Táto vláda okrem toho zdôrazňuje, že Súdny dvor vo svojom rozsudku z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629), týkajúcom sa výkladu ustanovení smernice 95/46, rozhodol, že ustanovenia tejto smernice nebránia tejto vnútroštátnej právnej úprave.

62      Za týchto podmienok, ako uviedol generálny advokát v bode 60 svojich návrhov, treba v podstate preveriť, či vnútroštátne pravidlá, o ktoré ide vo veci samej, spadajú do rámca voľnej úvahy priznanej každému členskému štátu v článku 80 ods. 2 GDPR, a vykladať tak toto ustanovenie s prihliadnutím na jeho znenie, ako aj štruktúru a ciele tohto nariadenia.

63      V tejto súvislosti treba uviesť, že článok 80 ods. 2 GDPR otvára členským štátom možnosť upraviť mechanizmus žalôb alebo iných úkonov v zastúpení proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov, pričom uvádza určité požiadavky týkajúce sa osobnej a vecnej pôsobnosti, ktoré treba na tento účel dodržať.

64      Pokiaľ ide v prvom rade o osobnú pôsobnosť takéhoto mechanizmu, aktívna legitimácia sa priznáva subjektu, organizácii alebo združeniu, ktoré spĺňajú kritériá uvedené v článku 80 ods. 1 GDPR. Konkrétne toto ustanovenie odkazuje na „neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov“.

65      Treba pritom konštatovať, že na združenie na ochranu záujmov spotrebiteľov, akým je Spolková únia, sa môže tento pojem vzťahovať, pretože toto združenie sleduje cieľ verejného záujmu spočívajúci v zabezpečení práv a slobôd dotknutých osôb v ich postavení spotrebiteľov, keďže uskutočnenie takéhoto cieľa môže súvisieť s ochranou ich osobných údajov.

66      Porušenie pravidiel, ktorých cieľom je ochrana spotrebiteľov alebo boj proti nekalým obchodným praktikám – pričom združenie na ochranu záujmov spotrebiteľov, akým je Spolková únia, chce predchádzať práve takémuto porušovaniu a postihovať ho, a to najmä prostredníctvom žalôb o zdržanie sa konania upravených uplatniteľnou vnútroštátnou právnou úpravou – môže byť spojené, tak ako v prejednávanej veci, s porušovaním pravidiel v oblasti ochrany osobných údajov týchto spotrebiteľov.

67      Pokiaľ ide v druhom rade o vecnú pôsobnosť uvedeného mechanizmu, výkon žaloby alebo iného úkonu v zastúpení upravených v článku 80 ods. 2 GDPR subjektom, ktorý spĺňa podmienky uvedené v odseku 1 toho istého článku, predpokladá, že tento subjekt bez ohľadu na akékoľvek poverenie, ktoré mu bolo udelené, „sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania“ jej osobných údajov.

68      V tejto súvislosti treba po prvé spresniť, že na účely podania žaloby alebo iného úkonu v zastúpení v zmysle článku 80 ods. 2 GDPR nemožno od takéhoto subjektu vyžadovať, aby vykonal predchádzajúcu individuálnu identifikáciu osoby, ktorá je osobitne dotknutá spracovaním údajov, ktoré je údajne v rozpore s ustanoveniami GDPR.

69      Stačí totiž uviesť, že pojem „dotknutá osoba“ v zmysle článku 4 bode 1 tohto nariadenia sa vzťahuje nielen na „identifikovanú fyzickú osobu“, ale aj na „identifikovateľnú fyzickú osobu“, čiže fyzickú osobu, „ktorú možno identifikovať“ priamo alebo nepriamo, odkazom na identifikátor, ako je najmä meno, identifikačné číslo, lokalizačné údaje alebo online identifikátor. Za týchto podmienok môže byť označenie kategórie alebo skupiny osôb dotknutých takýmto spracovaním tiež dostatočné na účely podania takejto žaloby alebo iného úkonu v zastúpení.

70      Po druhé podľa článku 80 ods. 2 GDPR výkon žaloby alebo iného úkonu v zastúpení nie je podmienený existenciou konkrétneho porušenia práv, ktoré osobe vyplývajú z pravidiel v oblasti ochrany údajov.

71      Ako totiž vyplýva zo samotného znenia tohto ustanovenia pripomenutého v bode 67 tohto rozsudku, podanie žaloby alebo iného úkonu v zastúpení predpokladá len to, že predmetný subjekt „sa domnieva“, že práva dotknutej osoby uvedené v tomto nariadení boli porušené spracovaním jej osobných údajov, a teda tvrdí, že došlo k spracovaniu údajov v rozpore s ustanoveniami tohto nariadenia.

72      Z toho vyplýva, že na to, aby sa takémuto subjektu priznala aktívna legitimácia na základe uvedeného ustanovenia, stačí uviesť, že dotknuté spracovanie údajov môže mať vplyv na práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z uvedeného nariadenia, pričom nie je potrebné preukázať skutočnú ujmu, ktorú dotknutá osoba utrpela v určitej situácii v dôsledku zásahu do jej práv.

73      Takýto výklad je v súlade s požiadavkami vyplývajúcimi z článku 16 ZFEÚ a článku 8 Charty základných práv Európskej únie, a teda s cieľom sledovaným nariadením GDPR, ktorý spočíva v zabezpečení účinnej ochrany základných práv a slobôd fyzických osôb, ako aj najmä v zabezpečení vysokej úrovne ochrany práva každej osoby na ochranu osobných údajov, ktoré sa jej týkajú (pozri v tomto zmysle rozsudok z 15. júna 2021, Facebook Ireland a i., C‑645/19, EU:C:2021:483, body 44, 45, ako aj 91).

74      Skutočnosť, že združenia na ochranu záujmov spotrebiteľov, akým je Spolková únia, sú prostredníctvom mechanizmu žaloby alebo iných úkonov v zastúpení oprávnené podať žaloby na zdržanie sa spracovávania, ktoré je v rozpore s ustanoveniami tohto nariadenia, a to nezávisle od porušenia práv osoby individuálne a konkrétne dotknutej týmto porušením, pritom nepochybne prispieva k posilneniu práv dotknutých osôb a k tomu, aby bola týmto osobám zabezpečená vysoká úroveň ochrany.

75      Okrem toho treba uviesť, že výkon takejto žaloby alebo iného úkonu v zastúpení vzhľadom na to, že umožňuje zabrániť veľkému množstvu porušení práv osôb dotknutých spracúvaním ich osobných údajov, by sa mohol ukázať účinnejší ako žaloba, ktorú môže proti pôvodcovi porušenia svojho práva na ochranu svojich osobných údajov podať len jedna osoba, ktorej sa individuálne a konkrétne týka toto porušenie.

76      Ako totiž poznamenal generálny advokát v bode 76 svojich návrhov, preventívna funkcia činností uskutočňovaných združeniami na ochranu záujmov spotrebiteľov, akým je Spolková únia, by nemohla byť zabezpečená, pokiaľ by žaloba alebo iný úkon v zastúpení upravené v článku 80 ods. 2 GDPR umožňovali namietať iba porušenie práv osoby, ktorej sa individuálne a konkrétne dotklo toto porušenie.

77      V treťom rade treba ešte overiť, ako to žiada vnútroštátny súd, či článok 80 ods. 2 GDPR bráni výkonu žaloby alebo iného úkonu v zastúpení nezávisle od konkrétneho porušenia práva dotknutej osoby a poverenia, ktoré udelila, pokiaľ sa porušenie pravidiel v oblasti ochrany údajov namietalo v rámci žaloby alebo iného úkonu smerujúcich k preskúmaniu uplatňovania iných právnych pravidiel, ktorých cieľom je ochrana spotrebiteľov.

78      V tejto súvislosti treba hneď na začiatku uviesť, že ako bolo v podstate poznamenané v bode 66 tohto rozsudku, porušenie pravidla týkajúceho sa ochrany osobných údajov môže zároveň viesť k porušeniu pravidiel týkajúcich sa ochrany spotrebiteľov alebo nekalých obchodných praktík.

79      Preto, ako uviedol generálny advokát v bode 72 svojich návrhov, toto ustanovenie nebráni tomu, aby členské štáty uplatnili možnosť, ktorú im ponúka, v tom zmysle, že združenia na ochranu záujmov spotrebiteľov sú oprávnené konať proti porušeniam práv stanovených v GDPR, a to prípadne prostredníctvom pravidiel, ktorých cieľom je chrániť spotrebiteľov alebo bojovať proti nekalým obchodným praktikám, akými sú pravidlá upravené smernicou 2005/29 a smernicou 2009/22.

80      Tento výklad článku 80 ods. 2 GDPR podporuje aj smernica 2020/1828, ktorá nedávno s účinnosťou od 25. júna 2023 zrušila a nahradila smernicu 2009/22. V tomto kontexte treba poukázať na to, že podľa článku 2 ods. 1 smernice 2020/1828 sa táto smernica vzťahuje na žaloby alebo iné úkony v zastúpení vo veci porušenia ustanovení práva Únie, uvedených v prílohe I tejto smernice, ktorá vo svojom bode 56 spomína GDPR, obchodníkmi.

81      Je pravda, že smernica 2020/1828 nie je uplatniteľná v rámci sporu vo veci samej a lehota na jej prebratie ešte neuplynula. Obsahuje však viacero prvkov, ktoré potvrdzujú, že článok 80 GDPR nebráni výkonu doplňujúcich žalôb alebo iných úkonov v zastúpení v oblasti ochrany spotrebiteľov.

82      Hoci je totiž, ako vyplýva z odôvodnenia 11 tejto smernice, stále možné upraviť procesný mechanizmus doplňujúcich žalôb alebo iných úkonov v zastúpení v oblasti ochrany spotrebiteľa, mechanizmy uplatňovania stanovené v GDPR alebo založené na tomto nariadení, ako je mechanizmus upravený v článku 80 tohto nariadenia, nemôžu byť nahradené alebo zmenené, ako spresňuje odôvodnenie 15 uvedenej smernice, a preto ich možno použiť na účely ochrany kolektívnych záujmov spotrebiteľov.

83      Vzhľadom na všetky vyššie uvedené úvahy treba na položenú otázku odpovedať, že článok 80 ods. 2 GDPR sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá umožňuje združeniu na ochranu záujmov spotrebiteľov podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutých osôb, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov s poukázaním na porušenie zákazu nekalých obchodných praktík, zákona v oblasti ochrany spotrebiteľov alebo zákazu používania neúčinných všeobecných obchodných podmienok, pokiaľ predmetné spracovanie údajov môže ovplyvniť práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z tohto nariadenia.

 O trovách

84      Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:

Článok 80 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá umožňuje združeniu na ochranu záujmov spotrebiteľov podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutých osôb, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov s poukázaním na porušenie zákazu nekalých obchodných praktík, zákona v oblasti ochrany spotrebiteľov alebo zákazu používania neúčinných všeobecných obchodných podmienok, pokiaľ predmetné spracovanie údajov môže ovplyvniť práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z tohto nariadenia.

Podpisy

*      Jazyk konania: nemčina.