CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

STANOVISKO GENERÁLNÍHO ADVOKÁTA

JEANA RICHARDA DE LA TOUR

přednesené dne 2. prosince 2021(1)

Věc C‑319/20

Facebook Ireland Limited

proti

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[žádost o rozhodnutí o předběžné otázce podaná Bundesgerichtshof (Spolkový soudní dvůr, Německo)]

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 80 odst. 2 – Právo na účinnou soudní ochranu – Zastupování subjektů údajů neziskovým sdružením – Aktivní legitimace sdružení na ochranu zájmů spotřebitelů“

I. Úvod

1. V moderním hospodářství, které je charakteristické rozmachem digitální ekonomiky, mohou být osoby dotčeny zpracováním osobních údajů nejen jakožto fyzické osoby, které jsou nositeli práv přiznaných nařízením (EU) 2016/679(2), ale i jakožto spotřebitelé.

2. Vzhledem k tomuto jejich postavení se sdružení na ochranu zájmů spotřebitelů stále častěji ujímají toho, aby zahajovala řízení, jejichž cílem je vymáhat zdržení se jednání některých správců, jímž jsou porušena současně práva chráněná tímto nařízením a práva chráněná dalšími pravidly vycházejícími v dané oblasti jednak z unijního práva, jednak z práva vnitrostátního, zejména pak v oblasti ochrany práv spotřebitelů a boje proti nekalým obchodním praktikám.

3. Projednávaná žádost o rozhodnutí o předběžné otázce byla podána ve sporu mezi Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Spolková unie center a sdružení na ochranu zájmů spotřebitelů; dále jen „Spolková unie“) a společností Facebook Ireland Limited, jejíž sídlo se nachází v Irsku. Spolková unie vytýká výše uvedené společnosti porušení německých právních předpisů v oblasti ochrany osobních údajů, což současně představuje nekalou obchodní praktiku, a dále porušení zákona v oblasti ochrany spotřebitelů a porušení zákazu používání neúčinných všeobecných obchodních podmínek.

4. Tato žaloba poskytuje v zásadě Soudnímu dvoru příležitost k výkladu čl. 80 odst. 2 nařízení 2016/679, s cílem určit, zda toto ustanovení brání tomu, aby si sdružení na ochranu zájmů spotřebitelů zachovala i po vstupu výše uvedeného nařízení v platnost aktivní legitimaci, kterou jim přiznává vnitrostátní právo za účelem vymáhání zdržení se jednání, jež představuje současně porušení práv přiznaných výše uvedeným nařízením a porušení pravidel, jejichž cílem je chránit práva spotřebitelů a bojovat proti nekalým obchodním praktikám. Vzhledem k tomu, že slučitelnost této aktivní legitimace se směrnicí 95/46/ES(3) již Soudní dvůr potvrdil(4), bude mít nyní za úkol určit, zda byl stav práva v tomto ohledu změněn přijetím nařízení 2016/679.

II. Právní rámec

A. Nařízení 2016/679

5. Článek 80 nařízení 2016/679, který je nadepsán „Zastupování subjektů údajů“, zní následovně(5):

„1. Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

2. Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

B. Německé právo

6. Ustanovení § 3 odst. 1 Gesetz gegen den unlauteren Wettbewerb (zákon o zákazu nekalé soutěže)(6) ze dne 3. července 2004, ve znění použitelném na spor v původním řízení, stanoví:

„Nekalé obchodní praktiky jsou nepřípustné.“

7. Ustanovení § 3a UWG zní následovně:

„Nekalého jednání se dopustí ten, kdo jedná v rozporu s právním předpisem, který je určen zejména ke stanovení pravidel chování na trhu v zájmu jeho účastníků, jestliže porušení právního předpisu může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

8. Ustanovení § 8 odst. 1 a 3 UWG stanoví:

„(1) Tomu, kdo uplatňuje obchodní praktiku, která je podle § 3 nebo § 7 protiprávní, lze uložit povinnost ukončit porušování práv a existuje-li nebezpečí opakování, zdržet se dalšího protiprávního jednání. Nárok domáhat se zdržení se jednání vzniká již tehdy, když existuje hrozba takovéto protiprávní obchodní praktiky ve smyslu § 3 nebo § 7.

[…]

(3) Nároky přiznané v odstavci 1 mohou být uplatněny:

[…]

3. oprávněnými subjekty, které prokáží, že jsou uvedeny v seznamu oprávněných subjektů podle § 4 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen [(zákon o žalobách na zdržení se jednání v oblasti porušování spotřebitelského práva a jiného protiprávního jednání(7), ze dne 26. listopadu 2001, ve znění použitelném na spor v původním řízení] nebo v seznamu Evropské komise podle čl. 4 odst. 3 směrnice Evropského parlamentu a Rady 2009/22/ES ze dne 23. dubna 2009 o žalobách na zdržení se jednání v oblasti ochrany zájmů spotřebitelů [(8)];

[…]“

9. Ustanovení § 2 UKlaG stanoví:

„(1) Proti každému, kdo poruší právní předpisy na ochranu spotřebitele (zákony o ochraně spotřebitele) jinak než za uplatnění nebo doporučení všeobecných prodejních podmínek, může být podána žaloba na zdržení se jednání v zájmu ochrany spotřebitele […]

(2) Ve smyslu tohoto ustanovení se zákony o ochraně spotřebitele rozumí zejména:

[…]

11. předpisy upravující zákonnost

a) shromažďování osobních údajů o uživateli ze strany hospodářského subjektu nebo

b) zpracovávání nebo používání osobních údajů, které hospodářský subjekt shromáždil o určitém uživateli,

pokud jsou tyto údaje shromažďovány, zpracovávány nebo používány za účelem reklamy, průzkumu trhu nebo veřejného mínění, provozování informační agentury, vytváření osobnostních nebo uživatelských profilů, obchodování s adresami, cíleného obchodování s daty nebo k podobným komerčním účelům.

[…]“

10. Bundesgerichtshof (Spolkový soudní dvůr, Německo) uvádí, že podle § 3 odst. 1 první věty bodu 1 UKlaG mohou subjekty, které mají aktivní legitimaci ve smyslu zmíněného ustanovení, podat žalobu na zdržení se jednání v souvislosti s porušením právních předpisů v oblasti ochrany spotřebitelů, které podle čl. 2 odst. 2 první věty bodu 11 tohoto zákona zahrnují rovněž ustanovení upravující zákonnost shromažďování, zpracování a používání osobních údajů spotřebitele ze strany hospodářského subjektu za účelem reklamy. Z ustanovení § 3 odst. 1 první věty bodu 1 UKlaG navíc vyplývá, že subjekty, které mají aktivní legitimaci, mohou podle § 1 UKlaG navrhnout zdržení se jednání v souvislosti s používáním neúčinných všeobecných obchodních podmínek na základě § 307 Bürgerliches Gesetzbuch (občanský zákoník), mají-li za to, že jsou tyto všeobecné podmínky v rozporu s některým z ustanovení v oblasti ochrany údajů.

11. Ustanovení § 13 odst. 1 Telemediengesetz (zákon o službách elektronických informací a komunikací)(9) ze dne 26. února 2007 stanoví:

„Poskytovatel služeb na začátku využívání těchto služeb uživatele všeobecně srozumitelnou formou poučí o způsobu, rozsahu a účelech shromažďování a používání osobních údajů, jakož i o zpracovávání jeho údajů ve státech, které nespadají do oblasti působnosti [směrnice 95/46], pokud tak neučinil již dříve. V případě automatizovaného postupu, který umožňuje pozdější identifikaci uživatele a připravuje shromažďování nebo využívání osobních údajů, musí být uživatel poučen na začátku tohoto postupu. Uživatel musí mít možnost stálého přístupu k obsahu tohoto poučení.“

III. Skutkové okolnosti sporu v původním řízení a předběžná otázka

12. Spolková unie je v Německu zapsána v seznamu oprávněných subjektů podle § 4 UKlaG. Společnost Facebook Ireland provozuje na adrese www.facebook.de internetovou platformu Facebook, která slouží k výměně osobních a jiných údajů.

13. Na internetové platformě společnosti Facebook se nachází takzvané „App-Zentrum“ (Centrum aplikací), ve kterém společnost Facebook Ireland svým uživatelům mimo jiné zpřístupňuje bezplatné hry nabízené třetími poskytovateli. Při spuštění některých her v Centru aplikací se uživatelům dne 26. listopadu 2012 zobrazily po kliknutí na tlačítko „Sofort spielen“ (Hrát teď) určité informace. Z těchto informací v podstatě vyplývá, že použití dotčené aplikace opravňuje společnost, která tyto hry poskytla, k získání určitých osobních údajů, jakož i k tomu, aby jménem uživatele zveřejňovala některé informace, například bodové skóre uživatele. V případě, že došlo k použití, se mělo za to, že uživatel souhlasí s všeobecnými obchodními podmínkami a pravidly zmíněné společnosti v oblasti ochrany údajů. V případě hry Scrabble bylo navíc uvedeno, že aplikace může jménem uživatele zveřejňovat oznámení o statusu, fotografie a další informace.

14. Spolková unie vytýká, že uvedení údajů, které se zobrazí po kliknutí na tlačítko „Hrát teď“ v Centru aplikací, má nekalou povahu, a to zejména proto, že nejsou dodrženy zákonné podmínky vztahující se na získání platného souhlasu uživatele podle ustanovení upravujících ochranu údajů. V závěrečném upozornění u hry Scrabble spatřuje navíc všeobecnou obchodní podmínku, která nepřiměřeně znevýhodňuje uživatele.

15. Za těchto okolností podala Spolková unie k Landgericht Berlin (krajský soud v Berlíně, Německo) proti společnosti Facebook Ireland žalobu na zdržení se jednání. Předkládající soud upřesňuje, že tato žaloba byla podána nezávisle na konkrétním porušení práv určitého subjektu údajů v oblasti ochrany údajů a bez pověření takového subjektu.

16. Spolková unie navrhuje, aby bylo společnosti Facebook Ireland pod hrozbou penále zakázáno, aby „v rámci své obchodní činnosti nabízela spotřebitelům s trvalým pobytem v […] Německu hry na internetových stránkách s adresou www.facebook.com, a sice v ‚Centru aplikací‘, takovým způsobem, že kliknutím na takové tlačítko, jako je tlačítko ‚[Hrát teď]‘, spotřebitel prohlašuje, že poskytovatel hry získává prostřednictvím sociální sítě provozované společností [Facebook Ireland] informace o osobních údajích, jež jsou zde uvedeny, a je oprávněn k tomu, aby tyto informace předal (zveřejnil) jménem spotřebitele […]“.

17. Spolková unie dále navrhla, aby bylo společnosti Facebook Ireland zakázáno „vkládat do smluv uzavíraných se spotřebiteli, kteří mají trvalý pobyt v […] Německu, níže uvedené ustanovení nebo ustanovení s totožným obsahem, týkající se použití aplikací (applis) na sociálních sítích, jakož i dovolávat se ustanovení upravujících předávání údajů poskytovatelům her: ‚Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten‘ [Tato aplikace může tvým jménem zveřejňovat oznámení o statusu, fotografie a další informace]“.

18. V rozhodnutí přijatém proti společnosti Facebook Ireland vyhověl Landgericht Berlin (krajský soud v Berlíně) návrhovým žádáním, jež vznesla Spolková unie. Odvolání, které podala společnost Facebook Ireland ke Kammergericht Berlin (Vrchní zemský soud v Berlíně, Německo), bylo zamítnuto.

19. Společnost Facebook Ireland podala proti rozhodnutí odvolacího soudu opravný prostředek „Revision“ k předkládajícímu soudu.

20. Ve věci samé má předkládající soud za to, že odvolací soud dospěl ke správnému závěru, že návrhová žádání vznesená Spolkovou unií jsou podložená. Společnost Facebook Ireland totiž tím, že nedodržela povinnosti týkající se poskytování informací, jež vyplývají z § 13 odst. 1 první věty úvodní části věty TMG, porušila § 3a UWG a § 2 odst. 2 první větu bod 11 UKlaG. Odvolací soud se právem domníval, že ustanovení § 13 TMG, která jsou dotčená v projednávané věci, představují zákonná ustanovení, jimiž je upraveno jednání hospodářských subjektů na trhu ve smyslu § 3a UWG. Kromě toho se jedná o ustanovení, která v souladu s § 2 odst. 2 první větou bodem 11 písm. a) UKlaG upravují zákonnost shromažďování, zpracování nebo používání osobních údajů o spotřebiteli, které byly shromážděny, zpracovány nebo používány za účelem reklamy, ze strany hospodářského subjektu. Dále má předkládající soud za to, že pokud společnost Facebook Ireland nesplnila povinnosti týkající se poskytování informací v oblasti ochrany údajů, jež jsou na projednávanou věc použitelné, použila tím neúčinnou všeobecnou obchodní podmínku ve smyslu § 1 UKlaG.

21. Předkládající soud si nicméně klade otázku, zda odvolací soud dospěl ke správnému závěru, domníval-li se, že žaloba podaná Spolkovou unií je přípustná. Táže se totiž, zda je takové sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, i po vstupu nařízení 2016/679 v platnost nadále oprávněno podat k občanskoprávním soudům nezávisle na konkrétním porušení práv jednotlivých subjektů údajů a bez pověření subjektu údajů proti porušování tohoto nařízení žalobu, která je založena na protiprávním jednání podle § 3a UWG, na porušení zákona na ochranu spotřebitelů ve smyslu § 2 odst. 2 první věty bodu 11 UKlaG nebo na používání neúčinných všeobecných obchodních podmínek podle § 1 UKlaG.

22. Předkládající soud uvádí, že v době před vstupem nařízení č. 2016/679 v platnost by o přípustnosti této žaloby nebylo pochyb. Spolková unie byla totiž oprávněna podat k občanskoprávním soudům žalobu na zdržení se jednání na základě § 8 odst. 3 bodu 3 UWG a § 3 odst. 1 první věty bodu 1 UKlaG.

23. Podle téhož soudu je možné, že byl tento právní režim změněn skutečností, že vstoupilo v platnost nařízení 2016/679.

24. Ve věci samé konstatuje, že ustanovení § 13 odst. 1 TMG nejsou již po tomto vstupu v platnost použitelná, neboť relevantními povinnostmi v oblasti informací jsou nyní povinnosti vyplývající z článků 12 až 14 nařízení 2016/679. Podle předkládajícího soudu to znamená, že společnost Facebook Ireland nesplnila povinnost, kterou jí ukládá čl. 12 odst. 1 první věta tohoto nařízení, tzn. povinnost poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků informace uvedené v čl. 13 odst. 1 písm. c) a e) zmíněného nařízení, které se týkají účelu zpracování údajů a příjemce osobních údajů.

25. Podle předkládajícího soudu je v souvislosti s přípustností žaloby sporné, zda jsou subjekty, které mají aktivní legitimaci ve smyslu § 4 UKlaG, oprávněny po vstupu nařízení 2016/679 v platnost a v souladu s § 8 odst. 3 bodem 3 UWG k tomu, aby podaly proti porušování ustanovení tohoto nařízení, jež jsou přímo použitelná na základě čl. 288 druhého pododstavce SFEU, žalobu založenou na protiprávním jednání ve smyslu § 3a UWG.

26. Předkládající soud upozorňuje v této souvislosti na existenci rozporných postojů k otázce, zda nařízení 2016/679 upravuje samo o sobě vyčerpávajícím způsobem kontrolu používání ustanovení, jež jsou v něm obsažena.

27. Co se týče znění nařízení 2016/679, předkládající soud uvádí, že na aktivní legitimaci takového subjektu, jako je Spolková unie, ve smyslu § 8 odst. 3 bodu 3 UWG, se čl. 80 odst. 1 tohoto nařízení nevztahuje, neboť žaloba na zdržení se jednání, která je dotčena v původním řízení, nebyla podána s pověřením subjektu údajů a jeho jménem, s cílem uplatnit jeho osobní práva. Jde naopak o aktivní legitimaci Spolkové unie vycházející z práva, jež jí náleží a které jí umožňuje podat v případě protiprávního jednání ve smyslu § 3a UWG žalobu proti porušení ustanovení výše uvedeného nařízení, a sice objektivně a nezávisle na konkrétním porušení práv jednotlivých subjektů údajů a bez jejich pověření.

28. Předkládající soud má tudíž za to, že aktivní legitimace Spolkové unie za účelem objektivního uplatnění práva na ochranu osobních údajů není v čl. 80 odst. 2 nařízení 2016/679 stanovena. Ačkoli zmíněné ustanovení stanoví, že takový subjekt je oprávněn podat žalobu bez ohledu na pověření od subjektu údajů, je zapotřebí, aby byla práva subjektu údajů, v podobě, v jaké vyplývají ze zmíněného nařízení, porušena v důsledku zpracování. Znamená to tedy, že čl. 80 odst. 2 zmíněného nařízení neumožňuje s ohledem na své znění ani aktivní legitimaci sdružení, jež se dovolávají objektivního porušení práva na ochranu osobních údajů, aniž došlo k porušení subjektivních práv konkrétního subjektu údajů, a opírají se přitom, tak jako v projednávaném případě, o § 3a a § 8 odst. 3 bod 3 UWG. Týž závěr by mohl být vyvozen i z bodu 142 odůvodnění druhé věty nařízení 2016/679, kde je zmíněno rovněž porušení práva subjektu údajů, jímž je podmíněna možnost sdružení podat žalobu nezávisle na pověření od subjektu údajů.

29. Taková aktivní legitimace sdružení, jako je aktivní legitimace stanovená v § 8 odst. 3 UWG, nevyplývá podle názoru předkládajícího soudu ani z čl. 84 odst. 1 nařízení 2016/679, v němž se stanoví, že členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Taková aktivní legitimace sdružení, jako je aktivní legitimace stanovená v § 8 odst. 3 UWG, nemůže být totiž považována za „sankci“ ve smyslu tohoto ustanovení výše uvedeného nařízení.

30. Předkládající soud dále uvádí, že ze systematiky nařízení 2016/679 nelze jednoznačně vyvodit, zda aktivní legitimace subjektu na základě § 8 odst. 3 bodu 3 UWG, tj. na základě ustanovení, jehož cílem je boj proti nekalé hospodářské soutěži, může být uznána i po vstupu výše uvedeného nařízení v platnost. Z okolnosti, že zmíněné nařízení přiznává dozorovým orgánům široké pravomoci v oblasti monitorování a šetření, jakož i k ukládání nápravných opatření, lze podle názoru předkládajícího soudu vyvodit závěr, že dohled nad uplatňováním ustanovení obsažených v tomto nařízení náleží v zásadě těmto orgánům. Takový závěr je ovšem v rozporu se širokým výkladem čl. 80 odst. 2 nařízení 2016/679. Předkládající soud kromě toho uvádí, že vnitrostátní předpisy provádějící nařízení mohou být přijaty v zásadě pouze v případě, že je to výslovně připuštěno. Formulace „[a]niž jsou dotčeny jakékoliv jiné prostředky ochrany“, která je uvedena v čl. 77 odst. 1, v čl. 78 odst. 1 a 2 a v čl. 79 odst. 1 zmíněného nařízení, by mohla vyvrátit hypotézu týkající se vyčerpávající právní úpravy pravidel týkajících se prosazování práva stanovené ve výše uvedeném nařízení.

31. Pokud jde o cíl nařízení 2016/679, jeho užitečný účinek by mohl hovořit ve prospěch existence aktivní legitimace sdružení vycházející z práva hospodářské soutěže, v souladu s § 8 odst. 3 bodem 3 UWG, nezávisle na porušení konkrétních práv subjektů údajů, vzhledem k tomu, že by tak zůstala zachována doplňková možnost vymáhání práva, aby v souladu s bodem 10 odůvodnění zmíněného nařízení byla zajištěna co možná nejvyšší úroveň ochrany osobních údajů. Přípustnost aktivní legitimace sdružení vycházející z práva hospodářské soutěže by nicméně mohla být vnímána jakožto neslučitelná s cílem spočívajícím v harmonizaci, jejž sleduje výše uvedené nařízení.

32. Předkládající soud vyjadřuje dále pochybnosti, zda i po vstupu nařízení 2016/679 v platnost přetrvává aktivní legitimace subjektů uvedených v § 3 odst. 1 první větě bodě 1 UKlaG k podání žaloby v případě porušení ustanovení obsažených ve zmíněném nařízení, na základě žalob podaných z důvodu nedodržování právních předpisů v oblasti ochrany spotřebitelů, ve smyslu § 2 odst. 2 první věty bodu 11 UKlaG. Stejně je tomu i v případě aktivní legitimace podle § 1 UKlaG, která náleží sdružením na ochranu zájmů spotřebitelů pro účely uplatnění nároku směřujícího ke zdržení se používání všeobecných obchodních podmínek, které jsou podle článku 307 občanského zákoníku neúčinné.

33. Pokud by se předpokládalo, že by jednotlivá vnitrostátní právní ustanovení, z nichž před vstupem nařízení 2016/679 v platnost vycházela aktivní legitimace subjektů, mohla být považována za předem uskutečněné provedení čl. 80 odst. 2 zmíněného nařízení, aktivní legitimace Spolkové unie by podle názoru předkládajícího soudu mohla být v projednávaném případě uznána, pokud by Spolková unie prokázala, že byla v důsledku zpracování porušena práva subjektu údajů stanovená výše uvedeným nařízením. Tato podmínka však nebyla splněna.

34. Zmíněný soud totiž zdůrazňuje, že návrhová žádání, jež vznesla Spolková unie, se týkají abstraktního přezkumu způsobu, jakým společnost Facebook Ireland prezentuje Centrum aplikací, z hlediska objektivního práva v oblasti ochrany údajů, aniž Spolková unie tvrdila, že došlo k porušení práv identifikované nebo identifikovatelné fyzické osoby ve smyslu čl. 4 bodu 1 nařízení 2016/679.

35. Předkládající soud uvádí, že pokud by muselo být konstatováno, že Spolková unie pozbyla po vstupu nařízení 2016/679 v platnost aktivní legitimace založené na výše uvedených ustanoveních německého práva, musel by přijmout opravný prostředek „Revision“, který podala společnost Facebook Ireland, a zamítnout žalobu, kterou podala Spolková unie, vzhledem k tomu, že podle německého procesního práva musí být aktivní legitimace zachována až do ukončení posledního řízení.

36. S ohledem na výše uvedené úvahy rozhodl Bundesgerichtshof (Spolkový soudní dvůr) o přerušení projednávaného řízení a o položení následující předběžné otázky Soudnímu dvoru:

„Brání ustanovení obsažená v kapitole VIII, především v čl. 80 odst. 1 a 2, jakož i čl. 84 odst. 1 nařízení (EU) 2016/679 vnitrostátním ustanovením, která – vedle pravomocí zasáhnout svěřených dozorovým úřadům odpovědným za monitorování a prosazování tohoto nařízení a možností právní ochrany, které mají subjekty údajů – přiznávají jednak konkurentům a jednak sdružením, subjektům a komorám oprávněným podle vnitrostátního práva oprávnění podat pro porušení nařízení (EU) 2016/679 nezávisle na porušení konkrétních práv jednotlivých subjektů údajů a bez pověření subjektu údajů proti porušiteli u občanskoprávních soudů žalobu založenou na zákazu provádění nekalých obchodních praktik nebo na porušení zákona na ochranu spotřebitelů nebo na zákazu používání neúčinných všeobecných obchodních podmínek?“

37. Písemná vyjádření předložily Spolková unie, společnost Facebook Ireland a rakouská a portugalská vláda, jakož i Komise. Výše uvedené účastnice řízení vyjma portugalské vlády, jakož i německá vláda přednesly ústní vyjádření na jednání, které se konalo dne 23. září 2021.

IV. Analýza

38. Podstatou předběžné otázky předkládajícího soudu je, zda nařízení 2016/679 a zvláště pak jeho čl. 80 odst. 2 musí být vykládány tak, že brání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému narušovateli ochrany osobních údajů a dovolávat se přitom zákazu nekalých obchodních praktik, porušení zákona o ochraně spotřebitele nebo zákazu používání neúčinných všeobecných obchodních podmínek.

39. Článek 4 bod 1 nařízení 2016/679 stanoví, že pod pojmem „subjekt údajů“ ve smyslu tohoto nařízení se rozumí „identifikovan[á] nebo identifikovateln[á] fyzick[á] osob[a]“. Pokud se tento subjekt domnívá, že jeho osobní údaje byly zpracovány způsobem, který je v rozporu s ustanoveními výše uvedeného nařízení, může využít několika různých procesních prostředků.

40. Například článek 77 téhož nařízení přiznává subjektu údajů právo podat stížnost u dozorového úřadu. Nebo na základě článku 78 nařízení 2016/679 má subjekt údajů právo na účinnou soudní ochranu vůči dozorovému úřadu. Článek 79 odst. 1 tohoto nařízení přiznává navíc každému subjektu údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

41. Je samozřejmé, že podat stížnost u dozorového úřadu nebo podat návrh na zahájení výše popsaných soudních řízení mohou subjekty údajů samy. Článek 80 nařízení 2016/679 jim však navíc umožňuje, aby se za určitých podmínek nechaly zastupovat neziskovým subjektem, organizací nebo sdružením. Kromě individuálních řízení stanoví unijní právo různé další možnosti zástupných žalob, jež mohou podávat subjekty pověřené zastupováním subjektů údajů(10). Článek 80 nařízení 2016/679 odpovídá tedy trendu, který spočívá v rozvoji zástupných žalob, jež výše uvedené subjekty podávají s cílem chránit obecné nebo kolektivní zájmy a jež jsou nástrojem usnadňujícím přístup k soudnictví osobám, jichž se týká porušení dotyčných pravidel(11).

42. Článek 80 nařízení 2016/679, který je nadepsán „Zastupování subjektů údajů“, čítá dva odstavce. První z nich se týká situace, kdy subjekt údajů pověří subjekt, organizaci nebo sdružení, aby jej zastupovaly. Druhý odstavec se zabývá zástupnou žalobou, kterou podává jakýkoliv subjekt bez ohledu na pověření od subjektu údajů.

43. Vzhledem k tomu, že žaloba, kterou podala Spolková unie, není založena na pověření od subjektu údajů, v projednávaném řízení o předběžné otázce je relevantním čl. 80 odst. 2 nařízení 2016/679.

A. Rozsudek Fashion ID

44. V rozsudku Fashion ID se Soudní dvůr v souvislosti se směrnicí 95/46 vyjádřil k otázce, jež se podobala otázce položené v projednávaném řízení o předběžné otázce. Rozhodl v něm, že „[č]lánky 22 až 24 [zmíněné směrnice] musí být vykládány v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému narušovateli ochrany osobních údajů“(12).

45. K tomuto závěru dospěl Soudní dvůr na základě zjištění, že žádné ustanovení směrnice 95/46 neukládá členským státům povinnost stanovit – ani je výslovně neopravňuje ke stanovení – ve svém vnitrostátním právu možnost sdružení zastupovat takovou osobu nebo z vlastní iniciativy podat žalobu proti údajnému rušiteli ochrany osobních údajů(13). Podle Soudního dvora z toho však nevyplývá, že zmíněná směrnice brání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému pachateli takového porušení(14). V tomto ohledu Soudní dvůr upozornil na vlastnosti charakteristické pro směrnice a také na povinnost uloženou všem členským státům přijmout veškerá opatření nezbytná k zajištění plné účinnosti dotyčné směrnice v souladu s cílem, který sleduje(15).

46. Dále Soudní dvůr připomněl, že mezi cíle směrnice 95/46 patří „zajistit účinnou a úplnou ochranu základních práv a svobod fyzických osob, zejména práva na soukromí ve vztahu ke zpracování osobních údajů“, jakož i cíl týkající se „zajištění vysoké úrovně ochrany v [Evropské] [u]nii“(16). Podle názoru Soudního dvora přitom skutečnost, že členský stát stanoví ve své vnitrostátní právní úpravě možnost sdružení na ochranu zájmů spotřebitelů podat žalobu proti údajnému rušiteli ochrany osobních údajů, přispívá k dosažení těchto cílů(17). Kromě toho Soudní dvůr zdůraznil, že „členské státy disponují v mnoha ohledech prostorem pro uvážení při provádění [směrnice 95/46] do vnitrostátního práva“(18), zejména co se týče článků 22 až 24 směrnice, které jsou formulovány „velmi obecně a neprovádí úplnou harmonizaci vnitrostátních ustanovení týkajících se soudních opravných prostředků, které by mohly být použity proti údajnému rušiteli ochrany osobních údajů“(19). V tomto smyslu „stanovení možnosti sdružení na ochranu zájmů spotřebitelů podat žalobu proti údajnému rušiteli ochrany osobních údajů se jeví jako vhodné opatření ve smyslu [článku 24 této směrnice], které […] přispívá k dosažení cílů uvedené směrnice v souladu s judikaturou Soudního dvora“(20).

47. Toto řízení o předběžné otázce je pro Soudní dvůr příležitostí k vyřešení otázky, zda by to, co mohlo být v době účinnosti směrnice 95/46 považováno za přípustné, mělo být po vstupu nařízení 2016/679 v platnost již zakázáno. Jinými slovy, je právním účinkem čl. 80 odst. 2 výše uvedeného nařízení zrušení aktivní legitimace sdružení na ochranu zájmů spotřebitelů pro účely podání takové žaloby, jako je žaloba dotčená v původním řízení?

48. Určité pochybnosti může vyvolat již samotné znění bodu 62 rozsudku Fashion ID, v němž Soudní dvůr uvedl, že skutečnost, že nařízení 2016/679 „výslovně v čl. 80 odst. 2 povoluje členským státům, aby umožnily sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému rušiteli ochrany osobních údajů, v ničem neznamená, že členské státy jim nemohly přiznat toto právo v době účinnosti směrnice 95/46, ale naopak potvrzuje, že výklad dané směrnice uvedený v tomto rozsudku odpovídá vůli unijního normotvůrce“(21).

49. Z důvodů, které budou vysvětleny níže, mám za to, že ani nahrazení směrnice 95/46 nařízením, ani okolnost, že nařízení 2016/679 obsahuje článek zabývající se zastupováním subjektů údajů v soudních řízeních, nemohou zpochybnit výrok Soudního dvora uvedený v rozsudku Fashion ID, podle něhož jsou členské státy oprávněny k tomu, aby stanovily ve své vnitrostátní právní úpravě možnost sdružení na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému narušovateli ochrany osobních údajů.

B. Zvláštní vlastnosti nařízení 2016/679

50. Pokud jde o nahrazení směrnice 95/46 právním předpisem jiné povahy, tj. nařízením 2016/679, je třeba uvést, že pokud se unijní normotvůrce rozhodl pro právní formu nařízení, které je podle článku 288 SFEU závazné v celém rozsahu a přímo použitelné ve všech členských státech, znamená to, že měl v souladu s bodem 13 nařízení 2016/679 v úmyslu zajistit jednotnou úroveň ochrany fyzických osob v celé Unii a zamezit rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu. Na první pohled by se tedy mohlo zdát, že nařízení usiluje o úplnou harmonizaci v tom smyslu, že se neomezuje pouze na zavedení minimálních norem, jimž by měly být členské státy podřízeny, a že neponechává členským státům možnost odchýlit se od ustanovení tohoto nařízení, doplnit je či provést, s cílem zajistit, aby nebylo ohroženo souběžné a jednotné uplatňování ustanovení tohoto nařízení v Unii.

51. Skutečnost je nicméně složitější. S ohledem na právní základ nařízení 2016/679, tj. článek 16 SFEU(22), se totiž nelze domnívat, že Unie již v okamžiku přijetí tohoto nařízení upravila s preemptivním účinkem ochranu osobních údajů ve všech podobách, jichž může nabýt v jiných oblastech, zvláště pak v pracovním právu, právu hospodářské soutěže či spotřebitelském právu, čímž zbavila členské státy možnosti přijmout v těchto oblastech zvláštní pravidla, a to s větší či menší mírou autonomie podle toho, zda je příslušná oblast upravena unijním právem(23). V tomto smyslu platí, že ačkoli má ochrana osobních údajů průřezovou povahu, harmonizace provedená nařízením 2016/679 je omezena pouze na ta hlediska, jichž se v dané oblasti toto nařízení týká. Mimo tato hlediska mohou členské státy volně vyvíjet zákonodárnou činnost za předpokladu, že nenaruší obsah ani cíle výše uvedeného nařízení.

52. Zkoumáme-li podrobnosti jednotlivých ustanovení obsažených v nařízení 2016/679, je totiž nutné konstatovat, že se rozsah harmonizace provedené tímto nařízením ve zkoumaných ustanoveních liší. Určení normativní působnosti zmíněného nařízení tedy vyžaduje, aby byl proveden přezkum případ od případu(24). Třebaže se lze v souladu s judikaturou týkající se směrnice 95/46(25) domnívat, že nařízením 2016/679 byla provedena harmonizace, která je „v zásadě úplná“, některá z ustanovení zmíněného nařízení přesto přiznávají členským státům rozhodovací prostor, jejž členské státy musí či případně mohou využívat za podmínek a v mezích stanovených týmiž ustanoveními(26).

53. Je třeba připomenout, že podle ustálené judikatury Soudního dvora „mají ustanovení nařízení – na základě článku 288 SFEU a z důvodu samotné povahy nařízení a jejich funkce v systému pramenů unijního práva – ve vnitrostátních právních řádech obecně bezprostřední účinek, aniž je třeba, aby vnitrostátní orgány přijaly prováděcí opatření. Nicméně některá z těchto ustanovení mohou pro účely svého uplatnění vyžadovat přijetí prováděcích opatření členskými státy“(27). Skutečnost, že bylo zvoleno nařízení, nemusí nutně znamenat, že ustanovení tohoto nařízení neponechávají právním subjektům žádný prostor pro jednání(28). Závazná povaha nařízení ani jeho přímá použitelnost nebrání navíc tomu, aby akt této povahy obsahoval fakultativní pravidla(29).

54. Článek 80 odst. 2 nařízení 2016/679 představuje vzhledem k použití slova „mohou“ příklad fakultativního ustanovení, které poskytuje členským státům určitý prostor pro uvážení při jeho provádění.

55. Toto ustanovení je jedním z mnoha „otevřených ustanovení“, jež jsou v tomto nařízení obsažena a jež mu propůjčují jeho zvláštní povahu v porovnání s tradičním nařízením a přibližují jej směrnici(30). Odkazy na vnitrostátní právo, jež jsou v těchto ustanoveních uvedeny, mohou být závazné(31), avšak většinou vyjadřují pouze určitou možnost poskytnutou členským státům(32). Může přitom hrozit, že značné množství odkazů na vnitrostátní právní řády povede k dalšímu tříštění režimu ochrany osobních údajů v Unii, což je v rozporu se záměrem unijního normotvůrce dospět k důraznějšímu sjednocení tohoto režimu a což by mohlo oslabit jednak účinnost této ochrany, jednak schopnost správců a zpracovatelů pochopit povinnosti, jež jim náleží(33). Znamená to, že by množství „otevřených ustanovení“ obsažených v nařízení 2016/679 mohlo omezit rozsah harmonizace provedené tímto nařízením.

56. Je samozřejmé, že v porovnání se situací týkající se směrnice 95/46 měl unijní normotvůrce v úmyslu zavést prostřednictvím nařízení 2016/679 na úrovni Unie širší a přesnější právní úpravu hledisek souvisejících se zastupováním subjektů údajů za účelem podání stížnosti k dozorovým úřadům nebo žaloby k soudu(34). Odstavce 1 a 2 článku 80 téhož nařízení nemají však stejný normativní dosah. Odstavec 1 zmíněného článku je totiž pro členské státy závazný(35), zatímco odstavec 2 přiznává členským státům pouze oprávnění. K tomu, aby mohla být podána zástupná žaloba bez pověření stanovená v čl. 80 odst. 2 zmíněného nařízení, je nutné, aby členské státy využily oprávnění, které jim výše uvedené ustanovení přiznává, a sice oprávnění stanovit ve svém vnitrostátním právním řádu tuto možnost zastupování subjektů údajů.

57. Článek 80 odst. 2 nařízení 2016/679, a to již z důvodu své volitelné povahy a potažmo i případných rozdílů mezi jednotlivými vnitrostátními právními řády, nemůže být chápán v tom smyslu, že provedl úplnou harmonizaci zástupných žalob bez pověření v oblasti ochrany osobních údajů. Pokud však členské státy provádějí toto ustanovení do svého vnitrostátního právního řádu, musí dodržovat podmínky a meze, jimiž by mělo být podle vůle unijního normotvůrce vymezeno uplatnění možnosti stanovené v tomto ustanovení.

58. Byť je toto vymezení přesnější, než tomu bylo v případě směrnice 95/46, pro účely provedení čl. 80 odst. 2 nařízení 2016/679 byl členským státům i přesto ponechán určitý prostor pro uvážení.

59. Ze spisu, který má Soudní dvůr k dispozici, vyplývá, že německý zákonodárce nepřijal po vstupu zmíněného nařízení v platnost žádné ustanovení, jež by bylo konkrétně určeno k provedení čl. 80 odst. 2 zmíněného nařízení do jeho vnitrostátního právního řádu. Vzhledem k tomu je třeba přezkoumat, zda jsou již existující předpisy německého práva, jež přiznaly sdružením na ochranu zájmů spotřebitelů aktivní legitimaci za účelem vymáhání zdržení se jednání spočívajícího v porušení ustanovení obsažených v nařízení 2016/679 spolu s porušováním pravidel zaměřených zejména na ochranu spotřebitelů, slučitelné s výše uvedeným ustanovením, přičemž předkládající soud vyzývá Soudní dvůr, aby toto přezkoumání provedl. Jinými slovy, je vnitrostátní právo, jež existovalo před vstupem zmíněného nařízení v platnost, v souladu s tím, co umožňuje čl. 80 odst. 2 tohoto nařízení?

60. Jak upřesnila německá vláda na jednání, vnitrostátní právní ustanovení opravňující takové sdružení, jako je Spolková unie, k podání takové zástupné žaloby, jako je žaloba dotčená v původním řízení, představují opatření k provedení směrnice 2009/22. K tomu, aby mohla být zodpovězena otázka, zda k podání takové žaloby opravňuje i čl. 80 odst. 2 nařízení 2016/679, a zda tedy zmíněná vnitrostátní ustanovení spadají do prostoru pro uvážení, který je přiznán všem členským státům(36), je nutné podat výklad zmíněného článku, a to především s ohledem na jeho znění, jakož i na systematiku a cíle výše uvedeného nařízení.

C. Gramatický, systematický a teleologický výklad čl. 80 odst. 2 nařízení 2016/679

61. Podle čl. 80 odst. 2 nařízení 2016/679 může zástupné žaloby, jež jsou v něm stanoveny, podat „jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1“ tohoto článku. Článek 80 odst. 1 tohoto nařízení zmiňuje „neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů“. Domnívám se, že tato definice by neměla být omezena pouze na subjekty, jejichž jediným a výlučným cílem je ochrana osobních údajů, neboť se vztahuje na všechny subjekty sledující cíl veřejného zájmu, jenž souvisí s ochranou osobních údajů. Tak je tomu i v případě takových sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, jež mají podávat žaloby na zdržení se jednání, která porušují ustanovení výše uvedeného nařízení a potažmo i pravidla platná v oblasti ochrany spotřebitele nebo boje proti nekalé hospodářské soutěži(37).

62. Jak vyplývá ze znění čl. 80 odst. 2 nařízení 2016/679, zástupnou žalobu může podat subjekt splňující podmínky uvedené v odstavci 1 tohoto článku, pokud „se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení“. Přestože předkládající soud dospěl zřejmě k odlišnému závěru, nedomnívám se, že by tato poslední část věty měla být vykládána striktně, tj. v tom smyslu, že k tomu, aby byl určitý subjekt oprávněn podat žalobu v souladu s ustanovením čl. 80 odst. 2 nařízení 2016/679, je nezbytné, aby nejprve identifikoval jednu či několik osob, jichž se dotyčné zpracování konkrétně týká. Z přípravných prací k přijetí tohoto nařízení žádný takový závěr nevyplývá. Ostatně i samotná definice pojmu „subjekt údajů“, který podle čl. 4 bodu 1 tohoto nařízení odpovídá „identifikované nebo identifikovatelné fyzické osobě“(38), podle mého názoru vylučuje požadavek, aby byly osoby, jichž se týká zpracování, které je v rozporu s ustanoveními nařízení 2016/679, v okamžiku podání zástupné žaloby podle čl. 80 odst. 2 tohoto nařízení již identifikovány. Logicky z toho vyplývá, že na základě zmíněného ustanovení nelze požadovat, aby se subjekt dovolával existence konkrétních případů týkajících se jednotlivě určených osob, má-li být oprávněn podat žalobu v souladu s výše uvedeným ustanovením.

63. Mám za to, že se pro účely uplatnění zástupné žaloby na základě čl. 80 odst. 2 nařízení 2016/679 předpokládá pouze to, že bude vytýkána existence zpracování osobních údajů, které je v rozporu s ustanoveními obsaženými v tomto nařízení, jímž se zavádí ochrana individuálních práv, a které může tudíž zasáhnout do práv identifikovaných nebo identifikovatelných osob, aniž je přitom aktivní legitimace subjektu podmíněna jednotlivým ověřováním, zda byla porušena práva jedné či několika určených osob(39). Tato žaloba musí tedy vycházet z porušení práv, jež by mohla pro fyzickou osobu vyplývat z výše uvedeného nařízení v souvislosti se zpracováním jejích osobních údajů. Cílem zmíněné žaloby není chránit objektivní právo, nýbrž pouze subjektivní práva, jež pro subjekty údajů přímo vyplývají z nařízení 2016/679(40). Jinými slovy, otevřené ustanovení, které je součástí čl. 80 odst. 2 tohoto nařízení, umožňuje oprávněným subjektům vyžádat si od dozorového úřadu nebo od soudu ověření, zda správci údajů dodržují pravidla na ochranu subjektů údajů, jež jsou obsažena ve výše uvedeném nařízení(41). Z tohoto pohledu je k tomu, aby subjekt získal aktivní legitimaci na základě tohoto ustanovení, postačující, poukáže-li na porušení ustanovení obsažených v nařízení 2016/679, jejichž cílem je chránit subjektivní práva subjektů údajů.

64. Jak v zásadě uvádí Komise, výklad čl. 80 odst. 2 nařízení 2016/679, podle něhož může subjekt podat zástupnou žalobu bez pověření, pouze pokud prokáže nebo tvrdí, že byla v určité situaci porušena práva konkrétní osoby, příliš omezuje působnost tohoto ustanovení. Stejně jako portugalská vláda a Komise se domnívám, že by čl. 80 odst. 2 tohoto nařízení měl být vykládán takovým způsobem, aby byl zachován jeho užitečný účinek ve vztahu k odstavci 1 téhož článku. Podle mého názoru to znamená, že by čl. 80 odst. 2 zmíněného nařízení měl být chápán v tom smyslu, že překračuje rámec zastupování individuálních případů, které je předmětem odstavce 1 tohoto článku, neboť zavádí možnost zastupování kolektivních zájmů osob, jejichž osobní údaje byly zpracovány v rozporu s nařízením 2016/679, a to z podnětu oprávněných subjektů a autonomním způsobem. Užitečný účinek čl. 80 odst. 2 tohoto nařízení by byl významně snížen, pokud by se mělo za to, že je jednání subjektů v obou těchto případech omezeno pouze na zastupování osob, jež jsou jmenovitě a individuálně určeny, stejně jako je to požadováno v odstavci 1 tohoto článku.

65. Výklad čl. 80 odst. 2 nařízení 2016/679, který navrhuji, je ostatně v souladu s preventivní povahou žalob na zdržení se jednání a s jejich odrazujícím účelem, jakož i s jejich nezávislostí na jakémkoliv konkrétním individuálním sporu(42).

66. Nemají-li být zavedeny dva různé standardy v souvislosti s aktivní legitimací subjektů oprávněných k podání žaloby na zdržení se jednání v závislosti na tom, zda je taková žaloba založena na vnitrostátním opatření spadajícím do působnosti čl. 80 odst. 2 nařízení 2016/679, nebo na vnitrostátním opatření spadajícím do působnosti směrnice 2020/1828, považuji za správné – přestože tato směrnice není na spor v původním řízení použitelná – vzít v potaz skutečnost, že posledně zmíněná směrnice od takových subjektů nepožaduje, aby poukázaly na existenci jmenovitě určených individuálních spotřebitelů, jichž se dotyčné protiprávní jednání týká(43), nýbrž to, aby poukázaly na existenci protiprávního jednání, jehož se dopustili prodávající nebo poskytovatelé v rozporu s ustanoveními unijního práva uvedenými v příloze I zmíněné směrnice(44), na kterou ostatně v bodě 56 odkazuje i nařízení 2016/679.

67. Prosazování restriktivního výkladu čl. 80 odst. 2 nařízení 2016/679 podle mého názoru nevhodně brání ochraně kolektivních zájmů spotřebitelů(45) a ochraně práv jednotlivých osob, jichž se týká zpracování údajů, které je domněle v rozporu s tímto nařízením. Mám totiž za to, že ochrana kolektivních zájmů spotřebitelů nevylučuje ochranu subjektivních práv, jež pro subjekty údajů přímo vyplývají z nařízení 2016/679, ale že naopak tuto ochranu zahrnuje.

68. Ve formulaci obsažené v bodě 15 odůvodnění směrnice 2020/1828, podle níž „by bylo nadále možné použít v příslušných případech k ochraně kolektivních zájmů spotřebitelů donucovací mechanismy stanovené v nařízení […] 2016/679 […] nebo na tomto nařízení založené“(46), spatřuji potvrzení toho, že se zástupná žaloba stanovená v čl. 80 odst. 2 tohoto nařízení může týkat i ochrany takových zájmů.

69. Výše uvedené prvky mě vedou k názoru, že čl. 80 odst. 2 nařízení 2016/679 opravňuje členské státy k tomu, aby stanovily, že oprávněné subjekty mohou i bez pověření subjektů údajů podat zástupnou žalobu na ochranu kolektivních zájmů spotřebitelů, je-li vytýkáno porušení ustanovení tohoto nařízení, jejichž účelem je přiznat subjektům údajů subjektivní práva.

70. Totéž platí i pro žalobu na zdržení se jednání, kterou podala Spolková unie proti společnosti Facebook Ireland.

71. Je totiž třeba připomenout, že podle názoru předkládajícího soudu a v souladu s návrhovými žádáními vznesenými Spolkovou unií nedodržela společnost Facebook Ireland povinnost, která pro ni vyplývá z čl. 12 odst. 1 první věty nařízení 2016/679, podle níž musí poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v čl. 13 písm. c) a e) tohoto nařízení, jež se týkají účelu zpracování údajů a příjemce osobních údajů. Tato ustanovení spadají zcela jistě do kategorie ustanovení přiznávajících subjektům údajů subjektivní práva, což dokládá i zjištění, že jsou umístěna do kapitoly III zmíněného nařízení, která je nadepsána „Práva subjektu údajů“. Ochranu těchto práv mohou tedy vymáhat buď přímo subjekty údajů, nebo oprávněný subjekt na základě čl. 80 odst. 1 nařízení 2016/679 nebo na základě vnitrostátních ustanovení, jimiž byl čl. 80 odst. 2 tohoto nařízení proveden do vnitrostátního právního řádu.

72. Dále se domnívám, že čl. 80 odst. 2 nařízení 2016/679 nebrání vnitrostátním ustanovením, jež opravňují sdružení na ochranu zájmů spotřebitelů k tomu, aby podala žalobu na zdržení se jednání s cílem zaručit dodržování práv, jež toto nařízení přiznává prostřednictvím pravidel, jejichž cílem je ochrana spotřebitelů nebo boj proti nekalým obchodním praktikám. Tato pravidla mohou totiž obsahovat ustanovení, jež se podobají ustanovením obsaženým ve výše uvedeném nařízení, zvláště pokud jde o informace o subjektech údajů poskytnuté v souvislosti se zpracováním jejich osobních údajů(47), což znamená, že porušení pravidla týkajícího se ochrany osobních údajů může představovat současně i porušení pravidel týkajících se ochrany spotřebitelů nebo nekalých obchodních praktik. Znění čl. 80 odst. 2 nařízení 2016/679 neobsahuje nic, co by bránilo částečnému provedení tohoto otevřeného ustanovení v tom smyslu, že zástupná žaloba má chránit práva, která pro subjekty údajů, v postavení spotřebitelů, vyplývají z tohoto nařízení(48).

73. Výše navržený výklad čl. 80 odst. 2 nařízení 2016/679 je podle mého mínění nejvhodnější k dosažení cílů, jež sleduje výše uvedené nařízení.

74. V tomto ohledu Soudní dvůr rozhodl, že „[j]ak […] vyplývá z čl. 1 odst. 2 nařízení 2016/679 ve spojení s body 10, 11 a 13 jeho odůvodnění, toto nařízení ukládá unijním orgánům, institucím a jiným subjektům, jakož i příslušným orgánům členských států povinnost zajistit vysokou úroveň ochrany práv zaručených článkem 16 SFEU a článkem 8 Listiny [základních práv Evropské unie]“(49). Cílem zmíněného nařízení je ostatně „zajištění účinné ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí a na ochranu osobních údajů“(50).

75. Bylo by v rozporu s cílem spočívajícím v zajištění vysoké úrovně ochrany osobních údajů, pokud by bylo členským státům bráněno v tom, aby zaváděly postupy, jež jsou nejen v souladu s cílem týkajícím se ochrany spotřebitele, ale současně přispívají i k dosažení cíle souvisejícího s ochranou osobních údajů. Obdobně tomu, co platilo pro směrnici 95/46, lze i v této souvislosti tvrdit, že po vstupu nařízení 2016/679 v platnost přispívá oprávnění přiznané sdružením na ochranu zájmů spotřebitelů pro účely vymáhání zdržení se jednání, jež je v rozporu s ustanoveními tohoto nařízení, k posílení práv subjektů údajů, a to prostřednictvím kolektivního nápravného prostředku(51).

76. Ochrana kolektivních zájmů spotřebitelů ze strany sdružení je tedy zvláště vhodná k dosažení cíle spočívajícího ve vysoké úrovni ochrany osobních údajů. Z tohoto pohledu by preventivní funkce žalob podávaných těmito sdruženími nemohla být zajištěna, pokud by v rámci zástupné žaloby stanovené v čl. 80 odst. 2 nařízení 2016/679 nebylo umožněno dovolávat se porušení práv osoby, která byla tímto porušením individuálně a konkrétně dotčena.

77. Žaloba na zdržení se jednání podaná takovým sdružením na ochranu zájmů spotřebitelů, jako je Spolková unie, tedy nesporně přispívá k zajištění účinného uplatňování práv chráněných nařízením 2016/679(52).

78. Bylo by ostatně přinejmenším absurdní, kdyby posílení nástrojů sloužících ke kontrole pravidel na ochranu osobních údajů, o něž usiloval unijní normotvůrce přijetím nařízení 2016/679, vedlo nakonec ke snížení úrovně této ochrany v porovnání s úrovní, kterou mohly členské státy zajistit v době platnosti směrnice 95/46.

79. Je pravda, že na rozdíl od Spojených států amerických se právní úprava týkající se nekalých obchodních praktik rozvíjela v unijním právu odděleně od právní úpravy týkající se ochrany osobních údajů. Obě tyto oblasti jsou proto předmětem různých normativních rámců.

80. Přesto však se obě tyto oblasti prolínají, což znamená, že žaloby vycházející z právních předpisů týkajících se ochrany osobních údajů mohou současně nepřímo přispívat i k vymáhání zdržení se jednání spočívajícího v nekalé obchodní praktice. To platí i v opačném směru(53). Vazba mezi ochranou osobních údajů a ochranou spotřebitelů, chápaná z pohledu souhlasu se zpracováním těchto údajů, je ostatně zmíněna i v samotném nařízení 2016/679, zvláště pak v bodě 42 jeho odůvodnění. Komise navíc zdůraznila vzájemné působení mezi unijními právními předpisy v oblasti ochrany osobních údajů a směrnicí 2005/29/ES(54).

81. Průniky mezi právem v oblasti ochrany osobních údajů, spotřebitelským právem a právem hospodářské soutěže jsou mnohé a dochází k nim často, neboť určité jednání může spadat současně do působnosti právních předpisů upravujících jednotlivé výše uvedené oblasti. Tyto průniky přispívají ke zvýšení účinnosti ochrany osobních údajů(55).

82. Nositelé práv stanovených nařízením 2016/679 nejsou samozřejmě omezeni pouze na kategorii spotřebitelů, neboť toto nařízení není založeno na spotřebitelském chápání ochrany fyzických osob v souvislosti se zpracováním osobních údajů(56), nýbrž na myšlence, že v souladu s článkem 8 Listiny základních práv a jak je uvedeno zvláště v bodě 1 odůvodnění a v čl. 1 odst. 2 zmíněného nařízení, tato ochrana představuje základní právo(57).

83. To však nemění nic na tom, že v době digitální ekonomiky mají subjekty údajů často postavení spotřebitelů. Právě z tohoto důvodu bývají k zajištění jejich ochrany proti zpracování osobních údajů, které je v rozporu s ustanoveními nařízení 2016/679, často využívána pravidla určená k ochraně spotřebitelů.

84. Na závěr této analýzy je zapotřebí uvést, že zástupná žaloba, která je stanovena v čl. 80 odst. 2 nařízení 2016/679, se může někdy překrývat s žalobou na zdržení se jednání stanovenou ve směrnici 2020/1828, a sice v případě, že „subjekty údajů“ ve smyslu tohoto nařízení mají rovněž postavení „spotřebitele“ ve smyslu čl. 3 bodu 1 této směrnice(58). Shledávám v tom známku komplementarity a konvergence práva týkajícího se ochrany osobních údajů a dalších právních oblastí, například spotřebitelského práva a práva hospodářské soutěže. Přijetím výše uvedené směrnice dal unijní normotvůrce tomuto procesu další impuls, a sice tím, že výslovně spojil ochranu kolektivních zájmů spotřebitelů s dodržováním nařízení 2016/679. Účinné uplatňování pravidel obsažených v posledně zmíněném nařízení tím může být jedině posíleno.

V. Závěry

85. S ohledem na všechny výše uvedené úvahy navrhuji, aby byla předběžná otázka položená Bundesgerichtshof (Spolkový soudní dvůr, Německo) zodpovězena následovně:

„Článek 80 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která přiznává sdružením na ochranu zájmů spotřebitelů oprávnění podat proti domnělému porušiteli ochrany osobních údajů u soudu žalobu založenou na zákazu provádění nekalých obchodních praktik, na porušení zákona na ochranu spotřebitelů nebo na zákazu používání neúčinných všeobecných obchodních podmínek, za předpokladu, že dotyčná zástupná žaloba má zajistit dodržení práv, která pro osoby, jichž se sporné zpracování týká, vyplývají přímo z výše uvedeného nařízení.“

1– Původní jazyk: francouzština.

2– Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1).

3– Směrnice Evropského parlamentu a Rady ze dne 24. října 1995 ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 08/03, s. 3).

4– Viz rozsudek ze dne 29. července 2019, Fashion ID (C‑40/17, dále jen „rozsudek Fashion ID“, EU:C:2019:629).

5– Viz rovněž bod 142 odůvodnění tohoto nařízení.

6– BGBl. 2004 I, s. 1414, dále jen „UWG“.

7 BGBl. 2001 I, s. 3138, 3173, dále jen „UKlaG“.

8– Úř. věst. 2009, L 110, s. 30.

9– BGBl. 2007 I, s. 179, dále jen „TMG“.

10– Zastupování subjektů údajů je stanoveno také v článku 67 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. 2018, L 295, s. 39), jakož i v článku 55 směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89). V obou těchto případech se jedná o zastupování na základě pověření.

11– Tento trend, který se projevil zejména ve směrnici 2009/22, byl potvrzen nedávným přijetím směrnice Evropského parlamentu a Rady (EU) 2020/1828 ze dne 25. listopadu 2020 o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů a o zrušení směrnice 2009/22/ES (Úř. věst. 2020, L 409, s. 1). Lhůta k provedení této směrnice do vnitrostátního práva uplyne dne 25. prosince 2022. V této souvislosti viz Pato, A., „Collective Redress Mechanisms in the EU“, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londýn, 2019, s. 45 až 117. Viz rovněž Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward“, Common Market Law Review, sv. 58, číslo 5, Kluwer Law International, Alphen-sur-le-Rhin, 2021, s. 1365 až 1400.

12– Viz rozsudek Fashion ID (bod 63 a výrok).

13– Viz rozsudek Fashion ID (bod 47).

14– Viz rozsudek Fashion ID (bod 48).

15– Viz rozsudek Fashion ID (bod 49).

16– Viz rozsudek Fashion ID (bod 50).

17– Viz rozsudek Fashion ID (bod 51).

18– Viz rozsudek Fashion ID (bod 56 a citovaná judikatura).

19– Viz rozsudek Fashion ID (bod 57 a citovaná judikatura).

20– Viz rozsudek Fashion ID (bod 59).

21– Kurzivou zvýraznil autor stanoviska.

22– Jak zdůraznil Soudní dvůr ve svém rozsudku ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 44).

23– Z preambule nařízení 2016/679 vyplývá, že toto nařízení bylo přijato na základě článku 16 SFEU, jehož odstavec 2 zejména stanoví, že Evropský parlament a Rada přijmou řádným legislativním postupem pravidla o ochraně fyzických osob při zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidla o volném pohybu těchto údajů.

24– Má-li tedy být určen rozsah harmonizace provedené takovým právním předpisem, jako je nařízení 2016/679, je třeba provést „mikroanalýzu, se zaměřením na konkrétní normu nebo přinejlepším na konkrétní a dobře definovaný aspekt unijního práva“: viz stanovisko generálního advokáta M. Bobka k věci Dzivev a další (C‑310/16, EU:C:2018:623, bod 74). Viz rovněž Mišćenić, E., a Hoffmann, A.-L., The Role of Opening Clauses in Harmonization of EU Law: „Example of the EU’s General Data Protection Regulation (GDPR)“, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, číslo 4, s. 44 až 61, kteří uvádějí, že „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them“ (s. 49).

25– Viz rozsudek ze dne 6. listopadu 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 96).

26– Viz, co se týče směrnice 95/46, rozsudek ze dne 6. listopadu 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 97). V rozporu s některými z vyjádřených myšlenek nemusí skutečnost, že se unijní normotvůrce rozhodl raději pro nařízení než pro směrnici, znamenat, že má být zkoumaná oblast zcela harmonizována. Viz Mišćenić, E., a Hoffmann, A.-L., op. cit., kteří uvádějí, že „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules“ (s. 48).

27– Viz zejména rozsudek ze dne 15. června 2021, Facebook Ireland a další (C 645/19, EU:C:2021:483, bod 110 a citovaná judikatura). Viz rovněž, pokud jde o oblast, která dříve spadala do působnosti směrnice, rozsudek ze dne 21. prosince 2011, Danske Svineproducenter (C 316/10, EU:C:2011:863, bod 42), v němž Soudní dvůr rozhodl, že „[o]kolnost, že unijní právní úprava v oblasti ochrany zvířat během přepravy je nyní obsažena v nařízení, […] nezbytně neznamená, že by každé vnitrostátní prováděcí opatření k této úpravě bylo v současnosti zakázáno“.

28– Viz rozsudek ze dne 27. října 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29– V tomto smyslu Soudní dvůr připustil, že členský stát, který se rozhodne nevyužít oprávnění, jež mu přiznává nařízení, neporušuje článek 288 SFEU: viz rozsudek ze dne 17. prosince 2015, Imtech Marine Belgium (C 300/14, EU:C:2015:825, body 27 až 31). V souvislosti s nařízením, jímž se zavádí vývozní náhrady, jejichž poskytnutí mohou členské státy povolit nebo zamítnout, viz rovněž rozsudek ze dne 27. října 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30– Co se týče těchto otevřených ustanovení, viz Wagner, J., a Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law“, European Data Protection Law Review, Lexxion, Berlín, sv. 2, číslo 3, 2016, s. 353 až 361.

31– Viz zejména články 51 a 84 nařízení 2016/679.

32– Viz zejména čl. 6 odst. 2 a 3, čl. 8 odst. 1 druhý pododstavec, jakož i články 85 až 89 nařízení 2016/679.

33– V této souvislosti viz Mišćenić, E., a Hoffmann, A.-L., op. cit., kteří uvádějí, že „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation“ (s. 50 a 51).

34– Směrnice 95/46 stanovila v čl. 28 odst. 4 pouze to, že sdružení může podat k orgánu dozoru stížnost jménem osoby, která vytýká porušení svých práv v souvislosti se zpracováním osobních údajů.

35– Ovšem s výjimkou zástupné žaloby s pověřením podané jménem subjektů údajů za účelem získání náhrady škody, která zůstává pro členské státy nepovinná.

36– Viz, per analogiam, rozsudek ze dne 21. prosince 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, bod 43).

37– Viz Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Lucemburk, 2019, s. 98 až 106. Podle této autorky „[t]he number of actors who potentially have standing to sue is broad“ a „[c]onsumer associations will usually meet those requirements easily“ (s. 99).

38– Kurzivou zvýraznil autor stanoviska. V témže ustanovení je stanoveno, že „identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“. Jak uvádí Martial-Braz, N., „Le champ d’application du RGPD“, in Bensamoun, A., a Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paříž, 2020, s. 19 až 33, „identifikovatelnost musí být chápána velmi široce, neboť kritérium pro identifikaci osoby vychází ze souboru prostředků, jež jsou důvodně způsobilé k tomu, aby byly použity k identifikaci osoby“ (s. 24). K pojmu „identifikovatelná osoba“ ve smyslu čl. 2 písm. a) směrnice 95/46 viz zejména rozsudek ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779).

39– Viz Boehm, F., „Artikel 80 Vertretung von betroffenen Personen“, in Simitis, S., Hornung, G., a Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, zvláště bod 13.

40– Viz Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen“, in Paal, B. P., a Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. vyd., C. H. Beck, Mnichov, 2021, zvláště bod 11, jakož i Kreße, B., „Artikel 80 Vertretung von betroffenen Personen“, in Sydow, G., Europäische Datenschutzverordnung, 2. vyd., Nomos, Baden-Baden, 2018, zvláště bod 13.

41– Viz Moos, F., a Schefzig, J., „Art. 80 Vertretung von betroffenen Personen“, in Taeger, J., a Gabel, D., Kommentar DSGVO – BDSG, 3. vyd., Deutscher Fachverlag, Frankfurt nad Mohanem, 2019, zvláště bod 22.

42– V souvislosti se zneužívajícími ujednáními ve smlouvách, které uzavírají prodávající nebo poskytovatelé se spotřebiteli, viz zejména rozsudek ze dne 14. dubna 2016, Sales Sinués a Drame Ba (C‑381/14 a C‑385/14, EU:C:2016:252, bod 29).

43– Viz bod 33 odůvodnění, jakož i čl. 8 odst. 3 písm. a) směrnice 2020/1828, podle něhož „[o]právněný subjekt nemusí prokazovat […] skutečnou ztrátu nebo újmu způsobenou jednotlivým spotřebitelům, jichž se porušení předpisů podle čl. 2 odst. 1 týká“. Přestože navíc čl. 7 odst. 2 této směrnice ukládá oprávněnému subjektu povinnost poskytnout soudu nebo správnímu orgánu „dostatečné informace o spotřebitelích, jichž se zástupná žaloba týká“, z bodu 34 odůvodnění zmíněné směrnice vyplývá, že tyto informace, jejichž stupeň podrobnosti se může lišit v závislosti na tom, jakého opatření se oprávněný subjekt domáhá, nesouvisí s určením jednotlivých spotřebitelů, jichž se týká dotčené protiprávní jednání, ale že se jedná spíše o takové informace, jako je místo škodné události nebo určení skupiny spotřebitelů, jichž se zástupná žaloba týká (viz rovněž bod 65 směrnice 2020/1828). Dále je třeba uvést, že i pro případ zástupné žaloby na vydání opatření ke zjednání nápravy se v bodě odůvodnění 49 směrnice 2020/1828 uvádí, že „[o]d oprávněného subjektu by nemělo být požadováno, aby pro podání zástupné žaloby jednotlivě identifikoval každého spotřebitele, jehož se zástupná žaloba týká“. V této souvislosti viz Gsell, B., op. cit., zvláště bod 1370.

44– Viz čl. 2 odst. 1 směrnice 2020/1828.

45– Viz bod 3 odůvodnění směrnice 2009/22, v němž se uvádí, že žaloby na zdržení se jednání spadající do působnosti této směrnice mají chránit „kolektivní zájmy spotřebitelů“, jež jsou definovány jako „zájmy, u kterých se nejedná pouze o nahromadění zájmů jednotlivců, kterým byla porušením předpisů způsobena újma“. Podle článku 3 bodu 3 směrnice 2020/1828 se „kolektivními zájmy spotřebitelů“ rozumí „obecný zájem spotřebitelů, a zejména pokud jde o opatření ke zjednání nápravy, zájmy určité skupiny spotřebitelů“.

46– Kurzivou zvýraznil autor stanoviska.

47– Viz Helberger, N., Zuiderveen Borgesius, F., a Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law“, Common Market Law Review, sv. 54, číslo 5, Kluwer Law International, Alphen-sur-le-Rhin, 2017, s. 1427 až 1465, kteří uvádějí, že „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual“ (s. 1437).

48– Viz Neun, A., a Lubitzsch, K., „Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz“, Betriebs-Berater, Deutscher Fachverlag, Frankfurt nad Mohanem, 2017, s. 2563 až 2569, zvláště s. 2567.

49– Viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 45).

50– Viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 91).

51– Viz stanovisko generálního advokáta M. Bobka k věci Fashion ID (C‑40/17, EU:C:2018:1039, bod 33).

52– Co se týče příkladů žalob podaných sdruženími na ochranu zájmů spotřebitelů, viz Helberger, N., Zuiderveen Borgesius, F., a Reyna, A., op. cit., zvláště s. 1452 a 1453.

53– K vzájemnému působení mezi žalobami týkajícími se ochrany osobních údajů a žalobami na zdržení se jednání spočívajícího v nekalých obchodních praktikách viz van Eijk, N., Hoofnagle, C. J., a Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection“, European Data Protection Law Review, Lexxion, Berlín, sv. 3, číslo 3, 2017, s. 325 až 337, kteří uvádějí, že „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective“ (s. 336).

54– Směrnice Evropského parlamentu a Rady ze dne 11. května 2005 o nekalých obchodních praktikách vůči spotřebitelům na vnitřním trhu a o změně směrnice Rady 84/450/EHS, směrnic Evropského parlamentu a Rady 97/7/ES, 98/27/ES a 2002/65/ES a nařízení Evropského parlamentu a Rady (ES) č. 2006/2004 („směrnice o nekalých obchodních praktikách“) (Úř. věst. 2005, L 149, s. 22). Viz pracovní dokument útvarů Komise – Pokyny k provedení uplatňování směrnice 2005/29/ES o nekalých obchodních praktikách Průvodní dokument k Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů: Komplexní přístup ke stimulaci přeshraničního elektronického obchodu pro evropské občany a podniky [SWD(2016) 163 final], zvláště bod 1.4.10, s. 26 až 31. Komise v něm klade důraz na nezbytnost korektního zpracování údajů, jež vyžaduje, aby byly subjektu údajů poskytnuty určité relevantní informace, zejména o účelech zpracování dotyčných osobních údajů (s. 28). Komise rovněž uvádí, že „[p]orušení směrnice [95/46] nebo směrnice [Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/029, s. 514)] ze strany obchodníka nebude samo o sobě vždy znamenat, že dotyčná praktika porušuje také [směrnici 2005/29]“. Komise uvádí, že „[t]akovéto porušení ochrany údajů je však nutno vzít v úvahu při posuzování celkové nekalosti obchodních praktik podle [směrnice 2005/29], zejména v případech, kdy obchodník zpracovává osobní údaje spotřebitele v rozporu s požadavky na ochranu údajů, například pro účely přímého marketingu nebo pro jiné obchodní účely, jako je profilování, stanovení individuálních cen nebo aplikace využívající data velkého objemu“ (s. 30).

55– V této souvislosti viz zejména Helberger, N., Zuiderveen Borgesius, F., a Reyna, A., op. cit., kteří uvádějí, že „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets“ (s. 1429). Viz rovněž van Eijk, N., Hoofnagle, C. J., a Kannekens, E., op. cit., zvláště s. 336. K dokreslení komplementarity mezi pravidly týkajícími se ochrany osobních údajů v oblasti elektronických komunikací a pravidly zakazujícími nekalé obchodní praktiky vůči spotřebitelům viz mé stanovisko k věci StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56– Viz Martial-Braz, N., op. cit., zvláště s. 23.

57– Viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 44).

58– Viz bod 14 odůvodnění směrnice 2020/1828, v němž je uvedeno, že „[z]ájmy fyzických osob, které byly nebo mohou být [porušeními ustanovení unijního práva uvedených v příloze I] poškozeny, by […] tato směrnice měla chránit pouze tehdy, pokud jsou tyto osoby spotřebiteli podle této směrnice“.