Laikina versija
GENERALINIO ADVOKATO
JEAN RICHARD DE LA TOUR IŠVADA,
pateikta 2024 m. sausio 25 d.(1)
Byla C‑757/22
Meta Platforms Ireland Limited
prieš
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 12 straipsnio 1 dalies pirmas sakinys – Informacijos skaidrumas – 13 straipsnio 1 dalies c ir e punktai – Duomenų valdytojo pareiga pateikti informaciją – 80 straipsnio 2 dalis – Vartotojų teisių gynimo asociacijos atstovavimas duomenų subjektams – Atstovaujamasis ieškinys, pareikštas nesant įgaliojimų ir neatsižvelgiant į duomenų subjekto konkrečių teisių pažeidimą – Ieškinys, grindžiamas duomenų valdytojo pareigos pateikti informaciją pažeidimu – „Duomenų subjekto teisių pažeidimo „tvarkant duomenis“ sąvoka“
I. Bylos aplinkybės, ginčo pagrindinėje byloje faktinės aplinkybės ir naujas prejudicinis klausimas
1. Šioje byloje Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) iš naujo pateikia prejudicinį klausimą dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(2) 80 straipsnio 2 dalies išaiškinimo.
2. Pagal šią nuostatą valstybės narės gali nustatyti, kad bet kuri įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai pagal šio reglamento 77 straipsnį ir naudotis jo 78 ir 79 straipsniuose nurodytomis teisėmis, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos tame reglamente numatytos duomenų subjekto teisės.
3. Prašymas priimti prejudicinį sprendimą pateiktas nagrinėjant bendrovės Meta Platforms Ireland Limited, anksčiau – Facebook Ireland Limited, kurios buveinė yra Airijoje, ir Bundesverband der Verbraucherzentralen und Verbraucherverbände (Federalinė vartotojų centrų ir asociacijų sąjunga, Vokietija) (toliau – Federalinė sąjunga) ginčą dėl to, kad Meta Platforms Ireland tariamai pažeidė Vokietijos teisės aktus dėl asmens duomenų apsaugos, o toks pažeidimas kartu reiškia nesąžiningą komercinę veiklą, vartotojų apsaugos teisės akto ir draudimo taikyti negaliojančias bendrąsias komercines sąlygas pažeidimą.
4. Tai yra tas pats ginčas, dėl kurio buvo priimtas 2022 m. balandžio 28 d. Sprendimas Meta Platforms Ireland(3) ir kurio faktines aplinkybes galima apibendrinti taip, kaip nurodyta toliau(4).
5. Meta Platforms Ireland, kuri Sąjungoje valdo socialinio tinklo Facebook paslaugų pasiūlą, yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Facebook Germany GmbH, kurios buveinė yra Vokietijoje, www.facebook.de reklamuoja reklamos plotų pardavimą. Interneto platformoje Facebook, be kita ko, interneto adresu www.facebook.de, yra vadinamasis programėlių centras „App-Zentrum“, kuriame Meta Platforms Ireland naudotojams teikia prieigą prie trečiųjų asmenų siūlomų nemokamų žaidimų. Programėlių centre atvėręs kai kuriuos žaidimus naudotojas pamato nuorodą apie tai, kad naudojant atitinkamą programėlę žaidimus siūlančiai bendrovei leidžiama gauti tam tikrus asmeninius duomenis ir naudotojo vardu skelbti tam tikrą informaciją, pavyzdžiui, jo surinktus taškus ir kitą informaciją. Toks naudojimas reiškia, kad naudotojas sutinka su bendrosiomis programėlės sąlygomis ir jos taikoma duomenų apsaugos politika. Be to, tam tikro žaidimo atveju nurodoma, kad programėlė gali naudotojo vardu skelbti būsenos pranešimus, nuotraukas ir kitą informaciją.
6. Federalinės sąjungos, t. y. subjekto, pagal 2001 m. lapkričio 26 d. Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Ieškinių dėl vartotojų teisės pažeidimų ir kitų pažeidimų nutraukimo įstatymas)(5) 4 straipsnį turinčio teisę pareikšti ieškinį, vertinimu, nuorodos, rodomos atitinkamuose programėlių centre siūlomuose žaidimuose, yra nesąžiningos, be kita ko, dėl teisinių reikalavimų, taikomų galiojančiam naudotojo sutikimui pagal asmens duomenų apsaugos nuostatas gauti, nepaisymo. Be to, minėto subjekto nuomone, nuoroda, kad leidžiama naudotojo vardu paskelbti tam tikrą asmeninę jo informaciją, yra naudotojui neadekvačiai nepalanki bendroji komercinė sąlyga.
7. Šiomis aplinkybėmis Federalinė sąjunga pareiškė ieškinį Meta Platforms Ireland dėl veiksmų nutraukimo Landgericht Berlin (Berlyno apygardos teismas, Vokietija), remdamasi 2004 m. liepos 3 d. Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas)(6) 3a straipsniu, Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktu ir Bürgerliches Gesetzbuch (Civilinis kodeksas). Šis ieškinys buvo pareikštas nepriklausomai nuo konkretaus duomenų subjekto duomenų apsaugos teisių pažeidimo ir neturint tokio duomenų subjekto įgaliojimo.
8. Landgericht Berlin (Berlyno apygardos teismas) patenkino Federalinės sąjungos reikalavimus ir nustatė įpareigojimus Meta Platforms Ireland. Meta Platforms Ireland apeliacinis skundas, pateiktas Kammergericht Berlin (Berlyno aukštesnysis apygardos teismas, Vokietija), buvo atmestas. Tada Meta Platforms Ireland prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikė kasacinį skundą dėl apeliacinio teismo priimto sprendimo atmesti apeliacinį skundą.
9. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad Federalinės sąjungos ieškinys yra pagrįstas, nes Meta Platforms Ireland pažeidė Kovos su nesąžininga konkurencija įstatymo 3a straipsnį ir Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktą ir taikė negaliojančią bendrąją komercinę sąlygą, kaip tai suprantama pagal Ieškinių dėl veiksmų nutraukimo įstatymo 1 straipsnį.
10. Vis dėlto šiam teismui kyla abejonių dėl Federalinės sąjungos ieškinio priimtinumo. Visų pirma jam neaišku, ar Federalinės sąjungos teisė pareikšti ieškinį gali kilti iš BDAR 80 straipsnio 2 dalies. Todėl jis pateikė Teisingumo Teismui prejudicinį klausimą, siekdamas gauti šios nuostatos išaiškinimą.
11. Atsakydamas į šį klausimą Teisingumo Teismas Sprendime Meta Platforms Ireland konstatavo, kad BDAR 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti nacionalinės teisės nuostatų, pagal kurias vartotojų teisių gynimo asociacijai leidžiama tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas, jeigu atitinkamai tvarkant duomenis gali būti daroma įtaka asmens, kurio tapatybė nustatyta arba gali būti nustatyta, iš šio reglamento kildinamoms teisėms(7).
12. Taigi Teisingumo Teismas patikslino BDAR 80 straipsnio 2 dalyje numatyto atstovaujamųjų ieškinių tariamam asmens duomenų apsaugos pažeidėjui mechanizmo materialinę taikymo sritį.
13. Konkrečiai kalbant, Teisingumo Teismas nusprendė, kad, siekiant pareikšti tokį atstovaujamąjį ieškinį, negalima reikalauti, kad subjektas, atitinkantis BDAR 80 straipsnio 1 dalyje nurodytas sąlygas, iš anksto individualiai nustatytų konkretų asmenį, kurio duomenų tvarkymas tariamai prieštarauja šio reglamento nuostatoms(8). Taigi siekiant pareikšti tokį atstovaujamąjį ieškinį taip pat gali pakakti nustatyti asmenų, nukentėjusių nuo tokio duomenų tvarkymo, kategoriją ar grupę(9).
14. Be to, Teisingumo Teismas konstatavo, kad pagal BDAR 80 straipsnio 2 dalį atstovaujamojo ieškinio pareiškimas taip pat nesiejamas su konkrečiu teisių, kurias asmuo kildina iš duomenų apsaugos nuostatų, pažeidimu(10). Teisingumo Teismo teigimu, atstovaujamojo ieškinio pareiškimui keliama tik viena sąlyga – atitinkamas subjektas „mano“, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente numatytos duomenų subjekto teisės, todėl teigia, kad duomenų tvarkymas prieštarauja šio reglamento nuostatoms(11). Darytina išvada, jog tam, kad būtų pripažinta tokio subjekto teisė pareikšti ieškinį pagal BDAR 80 straipsnio 2 dalį, pakanka nurodyti, kad atitinkamas duomenų tvarkymas gali daryti poveikį teisėms, kurias fiziniai asmenys, kurių tapatybė yra nustatyta arba gali būti nustatyta, kildina iš šio reglamento, nesant būtinybės įrodyti realią žalą, duomenų subjekto patirtą konkrečioje situacijoje pažeidus jo teises(12).
15. Nors prašymą priimti prejudicinį sprendimą pateikęs teismas jau yra gavęs Teisingumo Teismo gaires, kad galėtų nustatyti, ar Federalinės sąjungos pareikštas ieškinys dėl veiksmų nutraukimo gali būti laikomas priimtinu atsižvelgiant į BDAR 80 straipsnio 2 dalyje numatytas sąlygas, jis mano, kad dar turi būti išsklaidytos abejonės dėl šios nuostatos aiškinimo. Šis nacionalinis teismas pabrėžia, kad Federalinės sąjungos teisė pareikšti ieškinį priklauso nuo to, ar, kaip tai suprantama pagal minėtą nuostatą, ši sąjunga savo ieškinyje teigia, kad duomenų subjekto teisės pagal šį reglamentą buvo pažeistos „tvarkant duomenis“.
16. Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, nėra akivaizdu, kad šios bylos aplinkybėmis šis reikalavimas, susijęs su BDAR 80 straipsnio 2 dalies materialine taikymo sritimi, yra įvykdytas.
17. Minėtas teismas nurodo, kad grįsdama savo ieškinį Federalinė sąjunga remiasi BDAR 12 straipsnio 1 dalies pirmame sakinyje, siejamame su šio reglamento 13 straipsnio 1 dalies c ir e punktais, numatytos pareigos pateikti informaciją pažeidimu, kiek tai susiję su duomenų tvarkymo tikslu ir asmens duomenų gavėju. To paties teismo teigimu, reikia nustatyti, ar dėl to Federalinė sąjunga gali būti laikoma besiremiančia teisių pažeidimu „tvarkant duomenis“, kaip tai suprantama pagal minėto reglamento 80 straipsnio 2 dalį.
18. Konkrečiau kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad, pirma, išlieka abejonių dėl to, ar nagrinėjamu atveju BDAR 12 straipsnio 1 dalies pirmame sakinyje ir 13 straipsnio 1 dalies c ir e punktuose numatytos pareigos pateikti informaciją pažeidimas patenka į sąvoką „duomenų tvarkymas“, kaip ji suprantama pagal šio reglamento 4 straipsnio 2 punktą, ir ar ši sąvoka taip pat apima situacijas, susiklosčiusias iki asmens duomenų rinkimo pradžios(13).
19. Antra, minėtas teismas mano, kad nėra aiškiai nustatyta, ar tokiu atveju, kaip nagrinėjamas pagrindinėje byloje, pareiga pateikti informaciją buvo pažeista „tvarkant“ asmens duomenis, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį. Šiuo klausimu jis pabrėžia, kad formuluotė „tvarkant duomenis“ galėtų leisti suprasti, jog atstovaujamąjį ieškinį pareiškęs subjektas tam, kad šis ieškinys būtų priimtinas, turi remtis duomenų subjekto teisių pagal šį reglamentą pažeidimu, padarytu dėl duomenų tvarkymo operacijos, kaip tai suprantama pagal minėto reglamento 4 straipsnio 2 punktą, vadinasi, po tokios operacijos(14).
20. Šiomis aplinkybėmis Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nutarė dar kartą sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar pareiškiama apie [duomenų subjekto] teisių pažeidimą „tvarkant duomenis“, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį, kai vartotojų teisių gynimo asociacija ieškinį grindžia tuo, kad buvo pažeistos duomenų subjekto teisės, nes nebuvo įvykdyta pareiga pateikti informaciją pagal BDAR 12 straipsnio 1 dalies pirmą sakinį, siejamą su BDAR 13 straipsnio 1 dalies c ir e punktais dėl atitinkamai duomenų tvarkymo tikslo ir asmens duomenų gavėjo?“
21. Rašytines pastabas pateikė Meta Platforms Ireland, Federalinė sąjunga, Vokietijos ir Portugalijos vyriausybės ir Europos Komisija.
22. 2023 m. lapkričio 23 d. įvyko teismo posėdis, kuriame dalyvavo Meta Platforms Ireland, Vokietijos vyriausybė ir Komisija.
II. Analizė
23. Kaip jau nurodžiau, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl to, ar šios bylos aplinkybėmis Federalinės sąjungos pareikštas atstovaujamasis ieškinys atitinka BDAR 80 straipsnio 2 dalyje nustatytą sąlygą, pagal kurią tokį ieškinį pareiškęs subjektas mano, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant“ asmens duomenis.
24. Siekiant gerai suprasti aplinkybes, kuriomis minėtas teismas prašo Teisingumo Teismo pateikti papildomų paaiškinimų dėl šios nuostatos materialinės taikymo srities, reikėtų priminti, kad grįsdama savo ieškinį Federalinė sąjunga remiasi Meta Platforms Ireland tenkančios pareigos informuoti apie naudotojo sutikimo tvarkyti jo asmens duomenis tikslą ir apimtį pažeidimu. Konkrečiau kalbant, ginčo dalykas yra žaidimų pateikimas programėlių centre, kuris yra Meta Platforms Ireland interneto platformoje, ir nuoroda, kad kiekviena programėlė gali naudotojo vardu skelbti tam tikrą jo asmeninę informaciją. Federalinė sąjunga pareiškė šį ieškinį neatsižvelgdama į konkrečių duomenų subjekto teisių pažeidimą ir nebūdama jo įgaliota, o tai atitinka minėtą nuostatą, kaip Teisingumo Teismas pripažino Sprendime Meta Platforms Ireland(15).
25. Nuomonių skirtumai dėl klausimo, ar Federalinė sąjunga turi teisę pareikšti ieškinį pagal BDAR 80 straipsnio 2 dalį, dabar daugiausia susiję su prašymą priimti prejudicinį sprendimą pateikusio teismo išvada, kad šio subjekto pareikštu atstovaujamuoju ieškiniu nesiekiama išsiaiškinti, ar Meta Platforms Ireland pažeidžia naudotojo teises į duomenų apsaugą tuo metu, kai jis spusteli mygtuką „Žaisti dabar“ arba „Žaisti žaidimus“ programėlių centre, ir dėl to galbūt pradedamas jo asmens duomenų tvarkymas. Be to, neginčijama, kad klausimas, ar automatizuotos operacijos, susijusios su naudotojo asmens duomenimis, atliekamos aktyvavus tokį mygtuką, pažeidžia jo teises į duomenų apsaugą, taip pat nėra Federalinės sąjungos pareikšto ieškinio dalykas.
26. Trumpai tariant, ginčas susijęs su klausimu, ar tam, kad tokia asociacija turėtų teisę pareikšti ieškinį pagal BDAR 80 straipsnio 2 dalį, pakanka, kad ji remtųsi pareigos pateikti informaciją pažeidimu, nekritikuodama pačios duomenų tvarkymo operacijos, kurią lemia mygtuko „Žaisti dabar“ arba „Žaisti žaidimus“ spustelėjimas, nors pagal šią nuostatą reikalaujama, kad duomenų subjekto teisės būtų pažeistos „tvarkant duomenis“.
27. Dėl šios priežasties prašymą priimti prejudicinį sprendimą pateikusio teismo klausimai daugiausia susiję su dviem aspektais, t. y. pirma, sąvokos „duomenų tvarkymas“ apimtimi ir, antra, minėtoje nuostatoje esančio žodžių junginio „tvarkant duomenis“ reikšme.
28. Taigi šiam teismui kyla klausimas, ar iš BDAR 12 straipsnio 1 dalies pirmo sakinio ir 13 straipsnio 1 dalies c ir e punktų kylanti pareiga glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir jų gavėją patenka į sąvoką „duomenų tvarkymas“, kaip ji suprantama pagal šio reglamento 4 straipsnio 2 punktą.
29. Pagal minėto reglamento 4 straipsnio 2 punktą „duomenų tvarkymas“ apibrėžiamas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas“.
30. Iš šios nuostatos formuluotės, visų pirma žodžių junginio „bet kokia <...> operacija“, matyti, kad Sąjungos teisės aktų leidėjas siekė suteikti sąvokai „duomenų tvarkymas“ plačią taikymo sritį. Šį aiškinimą patvirtina tai, kad minėtoje nuostatoje nėra išsamaus joje nurodytų operacijų sąrašo, ir tai parodo žodžių junginys „kaip antai“(16). Kaip yra pripažinęs Teisingumo Teismas, tai atitinka BDAR 1 konstatuojamojoje dalyje nurodytą tikslą užtikrinti veiksmingą pagrindinę teisę į fizinių asmenų apsaugą tvarkant asmens duomenis, kuri yra šio reglamento taikymo pagrindas(17).
31. Grįsdamas teiginį, kad BDAR 12 straipsnio 1 dalies pirmame sakinyje ir 13 straipsnio 1 dalies c ir e punktuose įtvirtinta pareiga pateikti informaciją galėtų patekti į sąvoką „duomenų tvarkymas“, kaip ji suprantama pagal šio reglamento 4 straipsnio 2 punktą, prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo tai, ką Teisingumo Teismas konstatavo 2022 m. vasario 24 d. Sprendime Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais)(18).
32. Byloje, kurioje buvo priimtas tas sprendimas, Valsts ieņēmumu dienests (mokesčių administratorius, Latvija) prašė atitinkamo ekonominės veiklos vykdytojo atkurti šio administratoriaus tarnybų prieigą prie transporto priemonių, kurių skelbimai buvo paskelbti šio veiklos vykdytojo interneto svetainėje, važiuoklės numerių, taip pat prie pardavėjų telefono numerių ir pateikti jam informaciją apie šioje svetainėje paskelbtus skelbimus.
33. Tokiomis aplinkybėmis Teisingumo Teismas nusprendė, kad tokiu prašymu, kuriuo valstybės narės mokesčių administratorius prašo ekonominės veiklos vykdytojo atskleisti ir suteikti galimybę naudotis asmens duomenimis, kuriuos pagal šios valstybės narės nacionalinės teisės aktus toks veiklos vykdytojas privalo pateikti ir suteikti galimybę jais naudotis, pradedamas šių duomenų „rinkimo“ procesas, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą(19). Prašymą priimti prejudicinį sprendimą pateikęs teismas iš to sprendžia, kad sąvoka „duomenų tvarkymas“, kaip ji suprantama pagal minėtą nuostatą, apima operacijas, kuriomis tik „pradedamas“ asmens duomenų rinkimas, vadinasi, operacijas, vykdomas prieš operaciją, kurią Sąjungos teisės aktų leidėjas aiškiai laikė duomenų tvarkymo atveju, ir tai sugretina su pagrindinėje byloje nagrinėjama situacija.
34. Vis dėlto manau, kad ši situacija akivaizdžiai skiriasi nuo tos, kuri buvo nagrinėta 2022 m. vasario 24 d. Sprendime Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais)(20). Šiuo atveju kalbama ne apie duomenų tvarkymo operacijos, dėl kurios gali būti pradėtas duomenų tvarkymo procesas, susiejimą su šiuo procesu, o veikiau apie ryšio tarp pareigos pateikti informaciją, kuri kyla iš BDAR 12 straipsnio 1 dalies pirmo sakinio ir 13 straipsnio 1 dalies c ir e punktų, ir konkretaus duomenų tvarkymo nustatymą.
35. Šiuo klausimu manau, kad ir kokia būtų plati sąvokos „duomenų tvarkymas“, kaip ji suprantama pagal BDAR 4 straipsnio 2 punktą, taikymo sritis, ši sąvoka negali apimti tokios pareigos pateikti informaciją. Ši pareiga neapima jokių tiesioginių ar netiesioginių veiksmų su asmens duomenimis. Tokia pareiga veikiau yra šių duomenų tvarkymo teisėtumo sąlyga.
36. Reikia pažymėti, kad šio reglamento 12 straipsnyje nustatytos bendrosios duomenų valdytojo pareigos, susijusios su informacijos ir pranešimų skaidrumu, taip pat duomenų subjekto naudojimosi savo teisėmis tvarka.
37. Konkrečiai kalbant, minėto reglamento 12 straipsnio 1 dalies pirmame sakinyje numatyta, kad „duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui“.
38. BDAR 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 1 dalies c ir e punktuose numatyta:
„Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:
<...>
c) duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
<...>
e) jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas <...>“
39. Reikėtų priminti, kad BDAR 6 straipsnio 1 dalies pirmoje pastraipoje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Taigi tam, kad duomenų tvarkymas galėtų būti laikomas teisėtu, jis turi patekti į vieną iš šioje nuostatoje numatytų atvejų(21).
40. Pagal šio reglamento 6 straipsnio 1 dalies pirmos pastraipos a punktą asmens duomenų tvarkymas yra teisėtas, jeigu ir tiek, kiek duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu arba keliais konkrečiais tikslais(22).
41. Nesant tokio sutikimo arba kai šis sutikimas nebuvo duotas laisva valia, konkrečiai, informuotai ir nedviprasmiškai, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, ir jeigu nagrinėjamas duomenų tvarkymas neatitinka vieno iš šio reglamento 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytų būtinumo reikalavimų, toks tvarkymas yra neteisėtas(23).
42. Dėl iš BDAR 4 straipsnio 11 punkto kylančio reikalavimo, kad sutikimas turi būti duotas „tinkamai informuoto“ duomenų subjekto, pažymėtina, kad pagal šio reglamento 13 straipsnį, aiškinamą atsižvelgiant į jo 42 konstatuojamąją dalį, duomenų valdytojas turi pateikti duomenų subjektui informaciją apie visas su duomenų tvarkymu susijusias aplinkybes suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, nes šis subjektas visų pirma turi žinoti, kokie duomenys bus tvarkomi, duomenų valdytojo tapatybę, tvarkymo trukmę ir sąlygas, taip pat tvarkymo tikslus. Tokia informacija turi leisti šiam asmeniui lengvai nustatyti sutikimo, kurį jis galėtų duoti, pasekmes ir užtikrinti, kad sutikimas būtų duotas žinant visas aplinkybes(24).
43. Vis dėlto pažymiu, kad, kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas(25), Federalinė sąjunga ginčija nuorodų, spustelėjus mygtuką „Žaisti dabar“, pateikimą programėlių centre, motyvuodama tuo, kad jos yra nesąžiningos, nes, be kita ko, nesilaikoma teisinių sąlygų, taikomų gaunant galiojantį naudotojo sutikimą pagal asmens duomenų apsaugą reglamentuojančias nuostatas.
44. Kitaip tariant, Federalinės sąjungos pareikštas ieškinys grindžiamas tuo, kad, atsižvelgiant į netinkamą programėlių centro pateikimą, kuriuo remiasi ši sąjunga, asmuo galėtų spustelėti mygtuką „Žaisti dabar“ neturėdamas būtinos informacijos, leidžiančios jam lengvai nustatyti sutikimo, kurį jis galėtų duoti dėl savo asmens duomenų tvarkymo spustelėjęs šį mygtuką, pasekmes, ir neužtikrinus, kad šis sutikimas bus duotas žinant visas aplinkybes.
45. Šiomis aplinkybėmis laikausi nuomonės, kad Federalinė sąjunga savo ieškinyje, kaip numatyta BDAR 80 straipsnio 2 dalyje, teigia, kad „tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos“.
46. Pirma, BDAR 12 ir 13 straipsniai yra šio reglamento III skyriuje „Duomenų subjekto teisės“. Atsižvelgiant į šiuose straipsniuose nustatytą duomenų valdytojui tenkančią pareigą pateikti informaciją, iš to kylančios duomenų subjektų teisės yra tarp tų, kurias siekiama apsaugoti minėto reglamento 80 straipsnio 2 dalyje numatytu atstovaujamuoju ieškiniu.
47. Antra, tariamas duomenų subjektų teisės būti pakankamai informuotiems apie visas asmens duomenų tvarkymo aplinkybes, be kita ko, apie tokio tvarkymo tikslą ir šių duomenų gavėją, pažeidimas gali kliudyti išreikšti „tinkamai informuoto“ duomenų subjekto sutikimą, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, todėl toks duomenų tvarkymas gali tapti neteisėtas.
48. Taigi siekiant pareikšti atstovaujamąjį ieškinį pagal šio reglamento 80 straipsnio 2 dalį pakanka, kad subjektas remtųsi duomenų valdytojui tenkančios pareigos pateikti informaciją pažeidimu ir nurodytų atitinkamą duomenų tvarkymą – šiuo atveju tai yra toks duomenų tvarkymas, kuris atliekamas, kai asmuo spusteli mygtuką „Žaisti dabar“. Tai turi būti duomenų tvarkymas, galintis daryti poveikį fizinių asmenų, kurių tapatybė yra nustatyta arba gali būti nustatyta, teisėms, kylančioms iš minėto reglamento(26), o tai reiškia, kad toks duomenų tvarkymas turi būti vykdomas, todėl neturi būti vien hipotetinis.
49. Be to, mano nuomone, nesvarbu, kad šis subjektas remiasi pareigos pažeidimu prieš tvarkant asmens duomenis. Taip yra kalbant apie pareigą pateikti informaciją, kuri turi būti įgyvendinta ne vėliau kaip duomenų rinkimo metu, kaip numatyta BDAR 13 straipsnio 1 dalyje.
50. Taigi šio reglamento 80 straipsnio 2 dalyje esantis žodžių junginys „tvarkant duomenis“ visai nereiškia, kad teisė, kurios pažeidimą siekiama pripažinti šiame straipsnyje numatytu ieškiniu, būtinai turi būti susijusi su etapu, einančiu po operacijos, kurią sudaro „duomenų tvarkymas“, kaip tai suprantama pagal minėto reglamento 4 straipsnio 2 punktą. Kitaip tariant, iš šios sakinio dalies nekyla jokio reikalavimo dėl laiko sekos, reiškiančio, kad BDAR numatytos duomenų subjekto teisės turėtų būti pažeistos po tokio duomenų tvarkymo einančiu etapu.
51. Svarbiau tai, kad tarp aptariamų teisių paisymo ir atitinkamo duomenų tvarkymo būtų ryšys. Taip yra tuo atveju, kai dėl šių teisių pažeidimo toks duomenų tvarkymas tampa neteisėtas. Duomenų tvarkymas yra neteisėtas dėl pareigos pateikti informaciją pažeidimo. Abu aspektai yra neatsiejami vienas nuo kito.
52. Darytina išvada, kad reikalavimas, pagal kurį subjektas gali pareikšti atstovaujamąjį ieškinį pagal BDAR 80 straipsnio 2 dalį, jeigu mano, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant duomenis“, mano nuomone, nereiškia, kad šis subjektas turi remtis tokių teisių pažeidimu, padarytu dėl duomenų tvarkymo operacijos, kaip tai suprantama pagal šio reglamento 4 straipsnio 2 punktą, taigi po tokios operacijos. Pakanka, kad jis nurodytų ryšį tarp asmens duomenų tvarkymo ir BDAR saugomų teisių pažeidimo.
53. Taigi šiuo atveju nesvarbu, kad Federalinė sąjunga remiasi pareigos pateikti informaciją pažeidimu, neatsižvelgdama į tai, ar duomenų subjektas spusteli programėlių centre esantį mygtuką „Žaisti dabar“, nes tokia pareiga, kiek ji gali turėti įtakos šio mygtuko aktyvavimo nulemto duomenų tvarkymo teisėtumo sąlygoms, neginčijamai susijusi su šiuo duomenų tvarkymu.
54. Toks aiškinimas atitinka ne tik BDAR 80 straipsnio 2 dalyje numatyto atstovaujamojo ieškinio prevencinę funkciją(27), bet ir, kiek tokiu ieškiniu padedama stiprinti duomenų subjektų teises(28), šio reglamento 10 konstatuojamojoje dalyje nurodytą jo tikslą Sąjungoje užtikrinti aukštą fizinių asmenų pagrindinių teisių ir laisvių apsaugos lygį tvarkant asmens duomenis(29).
55. Vertėtų pridurti, kad, mano nuomone, būtų nenuoseklu BDAR 80 straipsnio 2 dalies materialinę taikymo sritį aiškinti siaurai, kai šio reglamento 79 straipsnio 1 dalyje numatyta panaši nuostata dėl kiekvieno duomenų subjekto teisės į veiksmingą teisminę teisių gynimo priemonę, ir kad nėra pagrindo į tokios priemonės materialinę taikymo sritį neįtraukti teisių, kylančių iš šio reglamento 12 straipsnio 1 dalies pirmame sakinyje, siejamame su jo 13 straipsnio 1 dalies c ir e punktais, nustatytos pareigos pateikti informaciją.
56. Taigi manau, kad BDAR 80 straipsnio 2 dalis turi būti aiškinama taip: sąlyga, pagal kurią įgaliotas subjektas tam, kad pagal šią nuostatą galėtų pareikšti atstovaujamąjį ieškinį, turi nurodyti manantis, kad tvarkant duomenis buvo pažeistos šiame reglamente numatytos duomenų subjekto teisės, reiškia, jog šis subjektas teigia, kad buvo tvarkomi asmens duomenys ir yra ryšys tarp šių teisių pažeidimo ir tokio duomenų tvarkymo. Tokia sąlyga įvykdoma, kai šis ieškinys, siejant su asmens duomenų tvarkymu, grindžiamas tuo, kad duomenų valdytojas pažeidė minėto reglamento 12 straipsnio 1 dalies pirmame sakinyje, siejamame su jo 13 straipsnio 1 dalies c ir e punktais, nustatytą pareigą pateikti informaciją, jeigu dėl šio pažeidimo toks duomenų tvarkymas gali būti neteisėtas.
III. Išvada
57. Atsižvelgdamas į visa tai, kas išdėstyta, siūlau į Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pateiktą prejudicinį klausimą atsakyti:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 80 straipsnio 2 dalis
turi būti aiškinama taip:
sąlyga, pagal kurią įgaliotas subjektas tam, kad pagal šią nuostatą galėtų pareikšti atstovaujamąjį ieškinį, turi nurodyti manantis, kad tvarkant duomenis buvo pažeistos šiame reglamente numatytos duomenų subjekto teisės, reiškia, jog šis subjektas teigia, kad buvo tvarkomi asmens duomenys ir yra ryšys tarp šių teisių pažeidimo ir tokio duomenų tvarkymo. Tokia sąlyga įvykdoma, kai šis ieškinys, siejant su asmens duomenų tvarkymu, grindžiamas tuo, kad duomenų valdytojas pažeidė minėto reglamento 12 straipsnio 1 dalies pirmame sakinyje, siejamame su jo 13 straipsnio 1 dalies c ir e punktais, nustatytą pareigą pateikti informaciją, jeigu dėl šio pažeidimo toks duomenų tvarkymas gali būti neteisėtas.