CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

JEAN RICHARD DE LA TOUR

της 2ας Δεκεμβρίου 2021 (1)

Υπόθεση C-319/20

Facebook Ireland Limited

κατά

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[αίτηση του Bundesgerichtshof
(Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 80, παράγραφος 2 – Δικαίωμα αποτελεσματικής δικαστικής προστασίας – Εκπροσώπηση των υποκειμένων των δεδομένων από μη κερδοσκοπική ένωση – Ενεργητική νομιμοποίηση ένωσης προστασίας καταναλωτών»

I. Εισαγωγή

1. Στη σύγχρονη εποχή, η οποία χαρακτηρίζεται από την ακμή της ψηφιακής οικονομίας, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να επηρεάζει τα άτομα όχι μόνον υπό την ιδιότητά τους ως φυσικών προσώπων στα οποία παρέχει δικαιώματα ο κανονισμός (ΕΕ) 2016/679 (2), αλλά και υπό την ιδιότητά τους ως καταναλωτών.

2. Λόγω της ιδιότητας αυτής, συμβαίνει ολοένα και συχνότερα οι ενώσεις προστασίας καταναλωτών να ασκούν αγωγές ζητώντας να παύσουν οι συμπεριφορές ορισμένων υπεύθυνων διαχείρισης δεδομένων οι οποίες προσβάλλουν τα δικαιώματα που προστατεύει όχι μόνον ο συγκεκριμένος κανονισμός, αλλά και άλλοι κανόνες οι οποίοι έχουν θεσπιστεί τόσο στο δίκαιο της Ένωσης όσο και στις εθνικές νομοθεσίες, μεταξύ άλλων, για την προστασία των δικαιωμάτων των καταναλωτών και την καταπολέμηση των αθέμιτων εμπορικών πρακτικών.

3. Η υπό κρίση αίτηση προδικαστικής αποφάσεως υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ της Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Ομοσπονδίας των οργανώσεων και των ενώσεων καταναλωτών, στο εξής: Ομοσπονδιακή ένωση) και της Facebook Ireland Limited, η οποία εδρεύει στην Ιρλανδία. Η Ομοσπονδιακή ένωση καταλογίζει στην εν λόγω εταιρία ότι παραβίασε τη γερμανική νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, προσάπτοντάς της, ταυτόχρονα, αθέμιτη εμπορική πρακτική, παράβαση νόμου περί προστασίας των καταναλωτών και παραβίαση της απαγόρευσης χρήσης ανίσχυρων γενικών όρων συναλλαγών.

4. Με την υπό κρίση αίτηση το Δικαστήριο καλείται κατ’ ουσίαν να ερμηνεύσει το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 προκειμένου να αποφανθεί αν η διάταξη αυτή δεν επιτρέπει να διατηρούν, μετά την έναρξη ισχύος του ως άνω κανονισμού, οι ενώσεις προστασίας καταναλωτών την ενεργητική νομιμοποίηση την οποία τους παρέχει η εθνική νομοθεσία προκειμένου να στρέφονται δικαστικώς κατά συμπεριφορών που αποτελούν ταυτόχρονα προσβολή των δικαιωμάτων τα οποία απονέμει ο κανονισμός και παράβαση κανόνων που έχουν ως αντικείμενο την προστασία των δικαιωμάτων των καταναλωτών και την καταπολέμηση των αθέμιτων εμπορικών πρακτικών. Στον βαθμό που τέτοια ενεργητική νομιμοποίηση κρίθηκε συμβατή με την οδηγία 95/46/ΕΚ (3) από το Δικαστήριο (4), απόκειται σε αυτό να κρίνει αν ο κανονισμός 2016/679 τροποποίησε ή όχι το δίκαιο ως προς το συγκεκριμένο ζήτημα.

II. Το νομικό πλαίσιο

Α. Ο κανονισμός 2016/679

5. Το άρθρο 80 του κανονισμού 2016/679, το οποίο φέρει τον τίτλο «Εκπροσώπηση των υποκειμένων των δεδομένων», έχει ως εξής (5):

«1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.»

Β. Το γερμανικό δίκαιο

6. Το άρθρο 3, παράγραφος 1, του Gesetz gegen den unlauteren Wettbewerb (νόμου για τον αθέμιτο ανταγωνισμό) (6), της 3ης Ιουλίου 2004, όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης, ορίζει τα εξής:

«Απαγορεύονται οι αθέμιτες εμπορικές πρακτικές.»

7. Το άρθρο 3a του UWG έχει ως εξής:

«Αθέμιτα ενεργεί όποιος παραβαίνει διάταξη του νόμου η οποία έχει ως σκοπό, μεταξύ άλλων, να ρυθμίσει τη συμπεριφορά στις συναλλαγές προς το συμφέρον των συναλλασσόμενων στη σχετική αγορά και η παράβαση είναι ικανή να βλάψει σημαντικά τα συμφέροντα των καταναλωτών, άλλων συναλλασσόμενων ή των ανταγωνιστών.»

8. Το άρθρο 8, παράγραφοι 1 και 3, του UWG ορίζει τα εξής:

«(1) Όποιος προβαίνει σε αθέμιτη εμπορική πράξη κατά την έννοια των άρθρων 3 και 7 δύναται να εναχθεί προς άρση ή, σε περίπτωση κινδύνου επανάληψης της προσβολής στο μέλλον, προς παράλειψη προσβολής. Η αξίωση προς παράλειψη γεννάται και στην περίπτωση που υπάρχει απειλή προσβολής κατά την έννοια των άρθρων 3 ή 7.

[…]

(3) Την αγωγή της παραγράφου 1 μπορούν να ασκούν:

[…]

3. νομιμοποιούμενοι φορείς οι οποίοι αποδεικνύουν ότι είναι καταχωρισμένοι στον κατάλογο νομιμοποιούμενων φορέων του άρθρου 4 του [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (νόμου της 26ης Νοεμβρίου 2001 για τις αγωγές παραλείψεως σε περιπτώσεις παραβάσεων των διατάξεων του δικαίου προστασίας του καταναλωτή και άλλων παραβάσεων (7)), ως είχε κατά τον κρίσιμο χρόνο για την κύρια δίκη] ή στον κατάλογο που καταρτίζει η Ευρωπαϊκή Επιτροπή κατά το άρθρο 4, παράγραφος 3, της οδηγίας 2009/22/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Απριλίου 2009, περί των αγωγών παραλείψεως στον τομέα της προστασίας των συμφερόντων των καταναλωτών [(8)]·

[…]».

9. Το άρθρο 2 του UKlaG προβλέπει τα εξής:

«(1) Όποιος παραβαίνει τις διατάξεις για την προστασία των καταναλωτών (νόμοι για την προστασία των καταναλωτών), εξαιρουμένης της εφαρμογής ή της διατύπωσης γενικών όρων συναλλαγών, μπορεί να διαταχθεί να άρει αμέσως την προσβολή και να την παραλείπει στο μέλλον, προς διασφάλιση της προστασίας των συμφερόντων των καταναλωτών […].

(2) Κατά την έννοια της παρούσας διατάξεως, ως “νόμοι περί προστασίας των καταναλωτών” νοούνται ειδικότερα:

[…]

11. οι διατάξεις που καθορίζουν τις νόμιμες προϋποθέσεις

α) για τη συλλογή δεδομένων προσωπικού χαρακτήρα των καταναλωτών από τους επιχειρηματίες ή

β) για την επεξεργασία ή τη χρήση δεδομένων προσωπικού χαρακτήρα καταναλωτών τα οποία έχουν συλλεγεί από επιχειρηματίες,

εφόσον τα δεδομένα υπήρξαν αντικείμενο συλλογής, επεξεργασίας ή χρήσης για σκοπούς διαφημιστικούς, έρευνας αγοράς και δημοσκοπήσεων, λειτουργίας εταιρίας επιχειρηματικής πληροφόρησης, σύνταξης εκθέσεων προσωπικών χαρακτηριστικών ή χαρακτηριστικών χρήστη, εμπορίας διευθύνσεων, λοιπών περιπτώσεων εμπορίας δεδομένων ή για παρόμοιους εμπορικούς σκοπούς.

[…]»

10. Το Bundesgerichsthof (Ανώτατο Ομοσπονδιακό Δικαστήριο, Γερμανία) επισημαίνει ότι, δυνάμει του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, οι φορείς που διαθέτουν, κατά την έννοια της διατάξεως αυτής, ενεργητική νομιμοποίηση, μπορούν να ασκούν αγωγές παραλείψεως λόγω παραβάσεως των νόμων περί προστασίας των καταναλωτών, μεταξύ των οποίων περιλαμβάνονται, βάσει του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του νόμου αυτού, και οι διατάξεις όσον αφορά τη νομιμότητα της συλλογής, της επεξεργασίας και της χρήσης, εκ μέρους επιχείρησης, δεδομένων προσωπικού χαρακτήρα των καταναλωτών για διαφημιστικούς σκοπούς. Επιπλέον, πάντοτε δυνάμει του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, οι φορείς που διαθέτουν ενεργητική νομιμοποίηση μπορούν, κατ’ εφαρμογήν του άρθρου 1 του UKlaG, να ζητήσουν την παράλειψη της χρήσης ανίσχυρων, βάσει του άρθρου 307 του Bürgerliches Gesetzbuch (Αστικού Κώδικα), γενικών όρων συναλλαγών, εφόσον θεωρούν ότι οι γενικοί αυτοί όροι συναλλαγών αντιβαίνουν σε διάταξη σχετική με την προστασία δεδομένων.

11. Το άρθρο 13, παράγραφος 1, του Telemediengesetz (νόμου για τα ηλεκτρονικά μέσα) (9), της 26ης Φεβρουαρίου 2007, έχει ως εξής:

«O φορέας παροχής των υπηρεσιών οφείλει, κατά την έναρξη της χρήσης, να ενημερώνει τον χρήστη, με κατανοητό για αυτόν τρόπο, για το είδος, την έκταση και τους σκοπούς της συλλογής και της χρήσης δεδομένων προσωπικού χαρακτήρα, καθώς και για την επεξεργασία των δεδομένων του σε χώρες που δεν εμπίπτουν στο πεδίο εφαρμογής της [οδηγίας 95/46], εφόσον δεν έχει ήδη προηγηθεί τέτοια ενημέρωση. Στις περιπτώσεις αυτοματοποιημένων διαδικασιών, οι οποίες καθιστούν δυνατή τη μεταγενέστερη εξακρίβωση της ταυτότητας του χρήστη και οι οποίες αποτελούν προπαρασκευαστικό στάδιο για τη συλλογή ή τη χρήση δεδομένων προσωπικού χαρακτήρα, ο χρήστης πρέπει να ενημερώνεται κατά την έναρξη της διαδικασίας αυτής. Ο χρήστης πρέπει να έχει ανά πάσα στιγμή δυνατότητα πρόσβασης στο περιεχόμενο της ενημέρωσης.»

III. Τα πραγματικά περιστατικά της διαφοράς της κύριας δίκης και το προδικαστικό ερώτημα

12. Στη Γερμανία, η Ομοσπονδιακή ένωση περιλαμβάνεται στον κατάλογο των φορέων που διαθέτουν ενεργητική νομιμοποίηση βάσει του άρθρου 4 του UKlaG. Η Facebook Ireland διαχειρίζεται, μέσω της διεύθυνσης www.facebook.de, τη διαδικτυακή πλατφόρμα Internet Facebook, η οποία χρησιμοποιείται για ανταλλαγή προσωπικών και άλλων δεδομένων.

13. Στη διαδικτυακή πλατφόρμα Internet Facebook περιλαμβάνεται το λεγόμενο «App-Zentrum» (Κέντρο Εφαρμογών), με το οποίο η Facebook Ireland παρέχει στους χρήστες της, μεταξύ άλλων, δωρεάν παιχνίδια από τρίτους παρόχους υπηρεσιών. Κατά την είσοδο στο Κέντρο Εφαρμογών στις 26 Νοεμβρίου 2012, όταν ο χρήστης πατούσε το πλήκτρο «Sofort spielen» («Παίξε τώρα») εμφανίζονταν διάφορες πληροφορίες. Από τις πληροφορίες αυτές προκύπτει, κατ’ ουσίαν, ότι η χρησιμοποίηση της συγκεκριμένης εφαρμογής παρείχε στην εταιρία που προσέφερε τα παιχνίδια τη δυνατότητα να συλλέγει ορισμένα δεδομένα προσωπικού χαρακτήρα και της επέτρεπε να δημοσιεύει, εξ ονόματος του χρήστη, ορισμένες πληροφορίες, όπως η βαθμολογία του. Η χρήση αυτή προϋπέθετε την αποδοχή από τον χρήστη των γενικών όρων συναλλαγών της εφαρμογής και της πολιτικής της εφαρμογής σχετικά με την προστασία των δεδομένων. Προσέτι, στην περίπτωση του παιχνιδιού Scrabble, η σχετική εφαρμογή μπορεί να δημοσιεύει ειδοποιήσεις προσωπικής κατάστασης, φωτογραφίες και άλλα στοιχεία εξ ονόματος του χρήστη.

14. Η Ομοσπονδιακή ένωση επικρίνει ως αθέμιτη την παρουσίαση των ενδείξεων που παρέχονταν με το πάτημα του πλήκτρου «Παίξε τώρα» στο Κέντρο Εφαρμογών, ιδίως λόγω μη τήρησης των νόμιμων προϋποθέσεων στις οποίες υπόκειται η λήψη πραγματικής συγκατάθεσης του χρήστη, βάσει των διατάξεων που διέπουν την προστασία των προσωπικών δεδομένων. Επιπλέον, θεωρεί ότι η τελική ένδειξη στο παιχνίδι Scrabble συνιστά γενικό όρο συναλλαγών που περιάγει τον χρήστη σε αδικαιολόγητα μειονεκτική θέση.

15. Υπό τις συνθήκες αυτές, η Ομοσπονδιακή ένωση άσκησε κατά της Facebook Ireland αγωγή παραλείψεως ενώπιον του Landgericht Berlin (πρωτοδικείου Βερολίνου, Γερμανία). Το αιτούν δικαστήριο διευκρινίζει ότι η αγωγή αυτή ασκήθηκε ανεξαρτήτως της ύπαρξης συγκεκριμένης προσβολής των δικαιωμάτων προστασίας μεμονωμένου υποκειμένου δεδομένων και χωρίς σχετική εντολή από τέτοιο φυσικό πρόσωπο.

16. Η Ομοσπονδιακή ένωση ζήτησε να απαγορευθεί, επ’ απειλή κυρώσεων, στη Facebook Ireland να «παρουσιάζει, στο πλαίσιο εμπορικών δραστηριοτήτων με αποδέκτες καταναλωτές με μόνιμη διαμονή στη […] Γερμανία, στον ιστότοπο με διεύθυνση www.facebook.com και, ειδικότερα, στο “Κέντρο Εφαρμογών”, παιχνίδια με τέτοιον τρόπο ώστε ο καταναλωτής, πατώντας σε πλήκτρο όπως το “[Παίξε τώρα]”, να δηλώνει ότι η εταιρία η οποία παρέχει τα παιχνίδια λαμβάνει, μέσω του κοινωνικού δικτύου που εκμεταλλεύεται η [Facebook Ireland], πληροφορίες για τα δεδομένα προσωπικού χαρακτήρα τα οποία περιλαμβάνονται σε αυτό και εξουσιοδοτείται να μεταδίδει (δημοσιεύει) πληροφορίες εξ ονόματος του καταναλωτή […]».

17. Η Ομοσπονδιακή ένωση ζήτησε επίσης να απαγορευθεί στη Facebook Ireland «να περιλαμβάνει στις συμβάσεις της με καταναλωτές που έχουν τη συνήθη διαμονή τους στη […] Γερμανία την ακόλουθη ρήτρα, ή άλλες ρήτρες με ταυτόσημο περιεχόμενο, αναφορικά με τη χρήση εφαρμογών στο πλαίσιο μέσου κοινωνικής δικτύωσης, καθώς και να επικαλείται τις ρήτρες σχετικά με τη μετάδοση δεδομένων στους παρόχους των παιχνιδιών: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [Η εφαρμογή αυτή μπορεί να δημοσιεύει ειδοποιήσεις προσωπικής κατάστασης, φωτογραφίες και άλλα στοιχεία εξ ονόματός σας]».

18. Το Landgericht Berlin (πρωτοδικείο Βερολίνου) έκανε δεκτά τα αιτήματα της Ομοσπονδιακής ένωσης εις βάρος της Facebook. Η έφεση που άσκησε η Facebook Ireland ενώπιον του Kammergericht Berlin (εφετείου Βερολίνου, Γερμανία) απορρίφθηκε.

19. Η Facebook Ireland άσκησε ενώπιον του αιτούντος δικαστηρίου αίτηση αναιρέσεως κατά της αποφάσεως του δευτεροβάθμιου δικαστηρίου.

20. Επί της ουσίας, το αιτούν δικαστήριο εκτιμά ότι το εφετείο ορθώς έκρινε ότι τα αιτήματα της Ομοσπονδιακής ένωσης ήταν βάσιμα. Πράγματι, κατά την εκτίμησή του, η Facebook Ireland, αθετώντας τις υποχρεώσεις ενημέρωσης οι οποίες απορρέουν από το άρθρο 13, παράγραφος 1, πρώτο εδάφιο, πρώτη περίοδος, του TMG, παρέβη το άρθρο 3a του UWG και το άρθρο 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG. Το δευτεροβάθμιο δικαστήριο ορθώς έκρινε ότι οι επίμαχες εν προκειμένω διατάξεις του άρθρου 13 του TMG είναι νομικές διατάξεις που ρυθμίζουν τη συμπεριφορά στις συναλλαγές κατά την έννοια του άρθρου 3a του UWG. Πρόκειται, προσέτι, για διατάξεις οι οποίες, όπως ορίζει το άρθρο 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, στοιχείο a, του UKlaG, ρυθμίζουν με ποιον τρόπο μια επιχείρηση μπορεί νομίμως να συλλέγει, να επεξεργάζεται ή να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί, υποστεί επεξεργασία ή χρησιμοποιηθεί για διαφημιστικούς σκοπούς. Εξάλλου, κατά το αιτούν δικαστήριο, η Facebook Ireland, αθετώντας τις εφαρμοστέες εν προκειμένω υποχρεώσεις ενημέρωσης σχετικά με την προστασία των δεδομένων, χρησιμοποίησε ανίσχυρο γενικό όρο συναλλαγών κατά την έννοια του άρθρου 1 του UKlaG.

21. Το αιτούν δικαστήριο διερωτάται ωστόσο αν ορθώς το δευτεροβάθμιο δικαστήριο αποφάνθηκε ότι η αγωγή της Ομοσπονδιακής ένωσης ήταν παραδεκτή. Ειδικότερα, διερωτάται αν ένωση προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, εξακολουθεί να διαθέτει, μετά την έναρξη ισχύος του κανονισμού 2016/679, ενεργητική νομιμοποίηση να ασκήσει αγωγή ενώπιον των πολιτικών δικαστηρίων για παραβάσεις του κανονισμού αυτού, ανεξαρτήτως της ύπαρξης προσβολής των δικαιωμάτων συγκεκριμένων υποκειμένων δεδομένων προσώπων και χωρίς εντολή εκ μέρους τους, επικαλούμενη παραβίαση του δικαίου κατά την έννοια του άρθρου 3a του UWG, παράβαση νόμου περί προστασίας των καταναλωτών κατά την έννοια του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG ή ακόμη χρήση ανίσχυρου γενικού όρου συναλλαγών, κατ’ εφαρμογήν του άρθρου 1 του UKlaG.

22. Το αιτούν δικαστήριο επισημαίνει ότι δεν ετίθετο αμφιβολία περί του παραδεκτού της αγωγής πριν από την έναρξη ισχύος του κανονισμού 2016/679. Πράγματι, η Ομοσπονδιακή ένωση είχε δικαίωμα να ασκήσει αγωγή παραλείψεως ενώπιον των πολιτικών δικαστηρίων, βάσει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG και του άρθρου 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG.

23. Κατά το ίδιο δικαστήριο, είναι πιθανόν το νομικό αυτό καθεστώς να έχει μεταβληθεί λόγω της έναρξης ισχύος του κανονισμού 2016/679.

24. Επί της ουσίας, παρατηρεί ότι οι διατάξεις του άρθρου 13, παράγραφος 1, του TMG δεν έχουν πλέον εφαρμογή μετά την προαναφερθείσα έναρξη ισχύος, καθώς καθοριστική σημασία έχουν πλέον οι υποχρεώσεις ενημέρωσης οι οποίες απορρέουν από τα άρθρα 12 έως 14 του κανονισμού 2016/679. Συνακόλουθα, κατά το αιτούν δικαστήριο, η Facebook Ireland παρέβη την υποχρέωση που υπείχε από το άρθρο 12, παράγραφος 1, πρώτο εδάφιο, του κανονισμού αυτού, το οποίο επιβάλλει να γνωστοποιούνται στο υποκείμενο των δεδομένων, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, οι πληροφορίες που μνημονεύονται στο άρθρο 13, παράγραφος 1, στοιχεία γʹ και εʹ, του εν λόγω κανονισμού και αφορούν τον σκοπό της επεξεργασίας των δεδομένων και τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα.

25. Επί του παραδεκτού της αγωγής, είναι αμφίβολο, κατά το αιτούν δικαστήριο, κατά πόσον, μετά την έναρξη ισχύος του κανονισμού 2016/679, οι ενεργητικώς νομιμοποιούμενοι φορείς κατά την έννοια του άρθρου 4 του UKlaG μπορούν, κατ’ εφαρμογήν του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, να κινηθούν δικαστικώς σε περιπτώσεις παραβάσεων των διατάξεων του ως άνω κανονισμού, οι οποίες έχουν άμεση εφαρμογή δυνάμει του άρθρου 288, δεύτερο εδάφιο, ΣΛΕΕ, προβάλλοντας παραβίαση του δικαίου κατά την έννοια του άρθρου 3a του UWG.

26. Το αιτούν δικαστήριο σημειώνει επ’ αυτού ότι υφίσταται διχογνωμία ως προς το ζήτημα αν ο κανονισμός 2016/679 ρυθμίζει ο ίδιος εξαντλητικώς τον έλεγχο της εφαρμογής των διατάξεών του.

27. Το δικαστήριο αυτό παρατηρεί, αναφορικά με το γράμμα του κανονισμού 2016/679, ότι η ενεργητική νομιμοποίηση φορέα όπως η Ομοσπονδιακή ένωση, βάσει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, δεν καλύπτεται από το άρθρο 80, παράγραφος 1, του κανονισμού αυτού, στον βαθμό που η επίδικη στην κύρια δίκη αγωγή παραλείψεως δεν ασκήθηκε κατόπιν εντολής και εξ ονόματος ενός υποκειμένου δεδομένων για την προάσπιση των δικαιωμάτων του. Πρόκειται, αντιθέτως, για ενεργητική νομιμοποίηση της Ομοσπονδιακής ένωσης δυνάμει ιδίου δικαιώματος, η οποία της παρέχει τη δυνατότητα, σε περίπτωση παραβίασης του δικαίου κατά την έννοια του άρθρου 3a του UWG, να κινείται δικαστικώς κατά παραβάσεων των διατάξεων του εν λόγω κανονισμού, ανεξαρτήτως της ύπαρξης προσβολής συγκεκριμένων δικαιωμάτων μεμονωμένων υποκειμένων δεδομένων και σχετικής εντολής εκ μέρους τους.

28. Εντούτοις, το αιτούν δικαστήριο τονίζει ότι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 δεν παρέχει στην Ομοσπονδιακή ένωση ενεργητική νομιμοποίηση να ασκεί γενικώς αγωγή με αντικείμενο την εξασφάλιση της εφαρμογής του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα. Τούτο διότι, αν και η διάταξη αυτή προβλέπει τη δυνατότητα μιας τέτοιας ένωσης να ασκήσει αγωγή ανεξαρτήτως της ύπαρξης σχετικής εντολής από υποκείμενο των δεδομένων, απαιτείται επίσης να έχουν προσβληθεί λόγω επεξεργασίας τα δικαιώματα ενός υποκειμένου δεδομένων, όπως κατοχυρώνονται στον κανονισμό. Ως εκ τούτου, κατά το γράμμα τους, οι διατάξεις του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 δεν παρέχουν ενεργητική νομιμοποίηση σε ενώσεις οι οποίες στηριζόμενες, όπως εν προκειμένω, στα άρθρα 3a και 8, παράγραφος 3, σημείο 3, του UWG, επικαλούνται γενικώς παραβάσεις της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως της ύπαρξης προσβολής των δικαιωμάτων συγκεκριμένου υποκειμένου δεδομένων. Το ίδιο συμπέρασμα θα μπορούσε να συναχθεί και από τη δεύτερη περίοδο της αιτιολογικής σκέψης 142 του κανονισμού 2016/679, όπου αναφέρεται επίσης ότι η προσβολή των δικαιωμάτων ενός υποκειμένου δεδομένων συνιστά προϋπόθεση για την αναγνώριση ενεργητικής νομιμοποίησης σε ένωση, ανεξαρτήτως της ύπαρξης εντολής εκ μέρους του υποκειμένου των δεδομένων.

29. Εξάλλου, η ενεργητική νομιμοποίηση ένωσης, όπως αυτή που προβλέπεται στο άρθρο 8, παράγραφος 3, του UWG, δεν μπορεί, κατά το αιτούν δικαστήριο, να θεμελιωθεί στο άρθρο 84, παράγραφος 1, του κανονισμού 2016/679, το οποίο ορίζει ότι τα κράτη μέλη θεσπίζουν κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του κανονισμού και λαμβάνουν όλα τα αναγκαία μέτρα προς διασφάλιση της εφαρμογής τους. Ο λόγος είναι ότι η ενεργητική νομιμοποίηση ένωσης, όπως οι ενώσεις στις οποίες αναφέρεται το άρθρο 8, παράγραφος 3, του UWG, δεν είναι δυνατόν να θεωρηθεί ως «κύρωση» κατά την έννοια της προαναφερθείσας διατάξεως του ως άνω κανονισμού.

30. Το αιτούν δικαστήριο επισημαίνει, επιπλέον, ότι από την όλη οικονομία του κανονισμού 2016/679 δεν καθίσταται σαφές αν η ενεργητική νομιμοποίηση φορέα δυνάμει του άρθρου 8, παράγραφος 3, σημείο 3, του UWG, ήτοι δυνάμει διατάξεως που αποσκοπεί στην καταπολέμηση του αθέμιτου ανταγωνισμού, μπορεί ακόμη να αναγνωρίζεται μετά την έναρξη ισχύος του κανονισμού αυτού. Το εν λόγω δικαστήριο εκτιμά ότι από το γεγονός ότι ο κανονισμός αυτός αναθέτει στις εποπτικές αρχές σημαντικές εξουσίες παρακολούθησης, έρευνας και λήψης διορθωτικών μέτρων θα μπορούσε να συναχθεί το συμπέρασμα ότι ο έλεγχος της εφαρμογής των διατάξεων του κανονισμού εναπόκειται κυρίως σε αυτές τις αρχές. Τούτο θα αντέβαινε σε τυχόν διασταλτική ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679. Το αιτούν δικαστήριο σημειώνει επίσης ότι η λήψη εθνικών μέτρων προς εφαρμογή των διατάξεων κανονισμού επιτρέπεται κατ’ αρχήν μόνον εφόσον υπάρχει ρητή εξουσιοδότηση προς τούτο. Εντούτοις, η φράση «με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής», η οποία χρησιμοποιείται στο άρθρο 77, παράγραφος 1, στο άρθρο 78, παράγραφοι 1 και 2, καθώς και στο άρθρο 79, παράγραφος 1, του κανονισμού αυτού θα μπορούσε να αποτελεί στοιχείο υπέρ της απόψεως ότι ο κανονισμός δεν ρυθμίζει εξαντλητικώς το ζήτημα του ελέγχου της εφαρμογής του δικαίου.

31. Όσον αφορά τον σκοπό του κανονισμού 2016/679, η αρχή της αποτελεσματικότητας θα μπορούσε να συνηγορεί υπέρ της ύπαρξης ενεργητικής νομιμοποίησης των ενώσεων δυνάμει του δικαίου του ανταγωνισμού, όπως προβλέπει το άρθρο 8, παράγραφος 3, σημείο 3, του UWG, ανεξαρτήτως της προσβολής συγκεκριμένων δικαιωμάτων προστασίας των υποκειμένων των δεδομένων, στον βαθμό που μέσω αυτής διατηρείται μια επιπλέον δυνατότητα ελέγχου της εφαρμογής του δικαίου, προκειμένου να διασφαλίζεται το υψηλότερο δυνατό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τη διατύπωση της αιτιολογικής σκέψης 10 του κανονισμού αυτού. Εντούτοις, η κατάφαση της ενεργητικής νομιμοποίησης των ενώσεων δυνάμει του δικαίου του ανταγωνισμού θα μπορούσε να θεωρηθεί ότι αντιβαίνει στον σκοπό της εναρμόνισης τον οποίο επιδιώκει ο κανονισμός.

32. Το αιτούν δικαστήριο εκφράζει επίσης τις αμφιβολίες του ως προς τη διατήρηση, μετά την έναρξη ισχύος του κανονισμού 2016/679, της ενεργητικής νομιμοποίησης των φορέων που μνημονεύονται στο άρθρο 3, παράγραφος 1, πρώτο εδάφιο, σημείο 1, του UKlaG, να κινούνται δικαστικώς σε περιπτώσεις παραβάσεων των διατάξεων του κανονισμού αυτού, ασκώντας αγωγές για μη τήρηση νόμου περί προστασίας των καταναλωτών, κατά την έννοια του άρθρου 2, παράγραφος 2, πρώτο εδάφιο, σημείο 11, του UKlaG. Το ίδιο ισχύει όσον αφορά την ενδεχόμενη ενεργητική νομιμοποίηση, δυνάμει του άρθρου 1 του UKlaG, μιας ένωσης προστασίας καταναλωτών να ζητήσει την παύση της χρήσης ανίσχυρων γενικών όρων συναλλαγών, κατά την έννοια του άρθρου 307 του Αστικού Κώδικα.

33. Αν υποτεθεί ότι οι διάφορες εθνικές ρυθμίσεις στις οποίες βασιζόταν, πριν από την έναρξη ισχύος του κανονισμού 2016/679, η ενεργητική νομιμοποίηση των σχετικών φορέων μπορούν να θεωρηθούν ως πρόωρη εφαρμογή του άρθρου 80, παράγραφος 2, του κανονισμού αυτού στην εθνική έννομη τάξη, τότε, κατά το αιτούν δικαστήριο, θα ήταν εν προκειμένω δυνατόν να αναγνωριστεί ενεργητική νομιμοποίηση στην Ομοσπονδιακή ένωση μόνον εφόσον αυτή ισχυριζόταν ότι προσβλήθηκαν, λόγω επεξεργασίας δεδομένων, τα κατοχυρωμένα στον κανονισμό δικαιώματα του υποκειμένου των αντίστοιχων δεδομένων. Δεν πληρούται, ωστόσο, η προϋπόθεση αυτή.

34. Συγκεκριμένα, το αιτούν δικαστήριο τονίζει ότι τα αιτήματα της Ομοσπονδιακής ένωσης αφορούν μια in abstracto εξέταση του τρόπου με τον οποίο η Facebook Ireland παρουσιάζει το Κέντρο Εφαρμογών, υπό το πρίσμα του αντικειμενικού δικαιώματος στην προστασία των δεδομένων, χωρίς η Ομοσπονδιακή ένωση να προβάλλει προσβολή δικαιωμάτων ταυτοποιημένου ή ταυτοποιήσιμου φυσικού προσώπου, κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού 2016/679.

35. Αν διαπιστωθεί ότι η Ομοσπονδιακή ένωση απώλεσε, κατόπιν της έναρξης ισχύος του κανονισμού 2016/679, την ενεργητική της νομιμοποίηση βάσει των διατάξεων του γερμανικού δικαίου που μνημονεύθηκαν ανωτέρω, το αιτούν δικαστήριο επισημαίνει ότι πρέπει να κάνει δεκτή την αίτηση αναιρέσεως της Facebook Ireland και να απορρίψει την αγωγή της Ομοσπονδιακής ένωσης δεδομένου ότι η ενεργητική νομιμοποίηση πρέπει να διατηρείται, σύμφωνα με το γερμανικό δικονομικό δίκαιο, έως τον τελευταίο βαθμό δικαιοδοσίας.

36. Υπό το πρίσμα των ανωτέρω, το Bundesgerichthof (Ανώτατο Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:

«Αντιτίθενται οι διατάξεις του κεφαλαίου VIII, ειδικότερα αυτές του άρθρου 80, παράγραφοι 1 και 2, και του άρθρου 84, παράγραφος 1, του κανονισμού 2016/679, σε εθνικές ρυθμίσεις οι οποίες, πέραν των εξουσιών παρεμβάσεως των εποπτικών αρχών που είναι αρμόδιες για την παρακολούθηση και τη διασφάλιση της εφαρμογής του κανονισμού και πέραν των δυνατοτήτων έννομης προστασίας των υποκειμένων των δεδομένων, επιτρέπουν, αφενός, στους ανταγωνιστές και, αφετέρου, σε ενώσεις, φορείς και επιμελητήρια που αναγνωρίζει το εθνικό δίκαιο να κινούνται δικαστικώς, σε περιπτώσεις παραβάσεως του κανονισμού 2016/679, κατά του παραβάτη, ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων μεμονωμένων υποκειμένων δεδομένων και χωρίς σχετική εντολή από τέτοιο φυσικό πρόσωπο, στο πλαίσιο αγωγής ενώπιον των πολιτικών δικαστηρίων, προβάλλοντας την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών;»

37. Η Ομοσπονδιακή ένωση, η Facebook Ireland, η Αυστριακή και η Πορτογαλική Κυβέρνηση καθώς και η Επιτροπή υπέβαλαν γραπτές παρατηρήσεις. Πλην της Πορτογαλικής Κυβερνήσεως, όλοι οι ανωτέρω μετέχοντες στη διαδικασία, καθώς και η Γερμανική Κυβέρνηση, ανέπτυξαν και προφορικώς τις παρατηρήσεις τους κατά την επ’ ακροατηρίου συζήτηση η οποία διεξήχθη στις 23 Σεπτεμβρίου 2021.

IV. Ανάλυση

38. Με το προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν ο κανονισμός 2016/679, και ειδικότερα το άρθρο του 80, παράγραφος 2, έχει την έννοια ότι δεν επιτρέπει εθνική νομοθεσία η οποία παρέχει στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα, επικαλούμενες την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών.

39. Κατά το άρθρο 4, σημείο 1, του κανονισμού 2016/679, «υποκείμενο των δεδομένων», κατά την έννοια του κανονισμού αυτού, είναι «ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Εφόσον ένα τέτοιο πρόσωπο θεωρεί ότι τα δεδομένα προσωπικού χαρακτήρα του αποτέλεσαν αντικείμενο επεξεργασίας αντίθετης προς τις διατάξεις του εν λόγω κανονισμού, έχει στη διάθεσή του πολλά μέσα δράσης.

40. Συγκεκριμένα, το υποκείμενο των δεδομένων έχει, δυνάμει του άρθρου 77 του ίδιου κανονισμού, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή. Εξάλλου, βάσει του άρθρου 78 του κανονισμού 2016/679, έχει και δικαίωμα πραγματικής δικαστικής προσφυγής κατά εποπτικής αρχής. Προσέτι, το άρθρο 79, παράγραφος 1, του κανονισμού αυτού παρέχει σε κάθε υποκείμενο των δεδομένων δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματα που αντλεί από τον κανονισμό προσβλήθηκαν ως αποτέλεσμα επεξεργασίας των προσωπικών του δεδομένων η οποία έγινε κατά παράβαση του ίδιου κανονισμού.

41. Τα υποκείμενα των δεδομένων δύνανται, βεβαίως, να υποβάλουν τα ίδια καταγγελία ενώπιον εποπτικής αρχής ή να ασκήσουν τις προαναφερθείσες δικαστικές προσφυγές. Το άρθρο 80 του κανονισμού 2016/679 προβλέπει ωστόσο και τη δυνατότητα να εκπροσωπούνται, υπό ορισμένες προϋποθέσεις, τα υποκείμενα των δεδομένων από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση. Ειδικότερα, πέραν των ατομικών προσφυγών, το δίκαιο της Ένωσης προβλέπει διάφορες μορφές αντιπροσωπευτικών αγωγών που μπορούν να ασκηθούν μέσω φορέων αρμόδιων για την εκπροσώπηση των υποκειμένων των δεδομένων (10). Το άρθρο 80 του κανονισμού 2016/679 αποτελεί επομένως εκδήλωση της όλης τάσης να ευνοούνται οι αντιπροσωπευτικές αγωγές οι οποίες ασκούνται από παρόμοιους φορείς με σκοπό την προάσπιση των γενικών ή συλλογικών συμφερόντων ως μέσο ενίσχυσης της πρόσβασης στη δικαιοσύνη των προσώπων που θίγονται από την παράβαση των επίμαχων κανόνων (11).

42. Το άρθρο 80 του κανονισμού 2016/679 επιγράφεται «Εκπροσώπηση των υποκειμένων των δεδομένων» και περιλαμβάνει δύο παραγράφους. Η πρώτη αφορά την περίπτωση στην οποία υποκείμενο των δεδομένων αναθέτει σε φορέα, οργάνωση ή ένωση να το εκπροσωπήσει. Η δεύτερη αφορά την αντιπροσωπευτική αγωγή που ασκείται από φορέα ανεξαρτήτως της ύπαρξης εντολής από υποκείμενο των δεδομένων.

43. Εφόσον η αγωγή η οποία ασκήθηκε από την Ομοσπονδιακή ένωση δεν βασίζεται σε εντολή υποκειμένου δεδομένων, κρίσιμο στο πλαίσιο της υπό κρίση προδικαστικής παραπομπής είναι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679.

Α. Η απόφαση Fashion ID

44. Στην υπόθεση Fashion ID, το Δικαστήριο αποφάνθηκε, σε σχέση με την οδηγία 95/46, επί προδικαστικού ερωτήματος παρόμοιου με το υποβληθέν στο πλαίσιο της υπό κρίση αιτήσεως προδικαστικής αποφάσεως. Έκρινε δε ότι «τα άρθρα 22 έως 24 της [οδηγίας αυτής] έχουν την έννοια ότι δεν αντιτίθενται σε εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα» (12).

45. Για να καταλήξει στο συμπέρασμα αυτό, το Δικαστήριο ξεκίνησε από τη διαπίστωση ότι καμία διάταξη της οδηγίας 95/46 δεν επέβαλλε στα κράτη μέλη την υποχρέωση, ούτε και τα εξουσιοδοτούσε ρητώς, να προβλέπουν στο εθνικό τους δίκαιο ότι οι ενώσεις δύνανται να εκπροσωπούν ενώπιον των δικαστηρίων ή να στρέφονται δικαστικώς με δική τους πρωτοβουλία κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα (13). Κατά το Δικαστήριο, τούτο δεν σήμαινε όμως ότι εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα (14) αντιβαίνει στην οδηγία. Το Δικαστήριο υπογράμμισε συναφώς τα ιδιαίτερα χαρακτηριστικά της οδηγίας, καθώς και την υποχρέωση των κρατών μελών αποδεκτών της οδηγίας να λάβουν όλα τα αναγκαία μέτρα για να διασφαλίσουν την πλήρη αποτελεσματικότητά της, σύμφωνα με τον επιδιωκόμενο από αυτήν σκοπό (15).

46. Στο πλαίσιο αυτό, το Δικαστήριο υπενθύμισε ότι η οδηγία 95/46 αποσκοπούσε στη «διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» και στην «κατοχύρωση υψηλού επιπέδου προστασίας στην [Ευρωπαϊκή] Ένωση» (16). Το δε γεγονός ότι ένα κράτος μέλος παρέχει με την εθνική του νομοθεσία στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα συνέβαλλε, κατά το Δικαστήριο, στην επίτευξη των προαναφερθέντων σκοπών (17). Το Δικαστήριο τόνισε, εξάλλου, ότι «τα κράτη μέλη διαθέτουν από πολλές απόψεις περιθώριο ελιγμών για τη μεταφορά της [οδηγίας 95/46]» (18), ειδικότερα όσον αφορά τα άρθρα 22 έως 24, τα οποία «είναι διατυπωμένα με πολύ γενικούς όρους και δεν εναρμονίζουν εξαντλητικά τις εθνικές διατάξεις σχετικά με τα ένδικα βοηθήματα που μπορούν να ασκηθούν κατά του προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα» (19). Συνεπώς, «η δυνατότητα των ενώσεων προστασίας να ασκήσουν αγωγή κατά προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα παρίσταται ως κατάλληλο μέτρο, κατά την έννοια του [άρθρου 24 της οδηγίας αυτής], το οποίο συμβάλλει […] στην επίτευξη των σκοπών της εν λόγω οδηγίας, σύμφωνα με τη νομολογία του Δικαστηρίου» (20).

47. Με την παρούσα προδικαστική παραπομπή το Δικαστήριο καλείται να αποφανθεί εάν εκείνο που επιτρεπόταν υπό το καθεστώς της οδηγίας 95/46 απαγορεύεται πλέον, κατόπιν της έναρξης ισχύος του κανονισμού 2016/679. Με άλλα λόγια, έχει το άρθρο 80, παράγραφος 2, του κανονισμού αυτού ως έννομο αποτέλεσμα την κατάργηση της ενεργητικής νομιμοποίησης ένωσης προστασίας καταναλωτών στο πλαίσιο αγωγής όπως η επίδικη στην κύρια δίκη;

48. Το ενδεχόμενο αυτό φαίνεται αμφίβολο ήδη και μόνον αν ληφθεί υπόψη η σκέψη 62 της αποφάσεως Fashion ID, στην οποία το Δικαστήριο έκρινε ότι από το γεγονός ότι ο κανονισμός 2016/679 «επιτρέπει ρητώς, στο άρθρο 80, παράγραφος 2, στα κράτη μέλη να παρέχουν με την εθνική τους νομοθεσία στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία δεδομένων προσωπικού χαρακτήρα ουδόλως μπορεί να συναχθεί ότι τα κράτη μέλη δεν μπορούσαν να προβλέψουν τέτοιο δικαίωμα των ενώσεων αυτών υπό την ισχύ της οδηγίας 95/46, αλλά, αντιθέτως, επιβεβαιώνει ότι η ερμηνεία που δίνεται στην οδηγία αυτή με την παρούσα απόφαση αντικατοπτρίζει τη βούληση του νομοθέτη της Ένωσης» (21).

49. Για τους λόγους που θα αναπτύξω κάτωθι, θεωρώ ότι ούτε η αντικατάσταση της οδηγίας 95/46 από κανονισμό ούτε το γεγονός ότι ο κανονισμός 2016/679 περιέχει άρθρο σχετικό με την εκπροσώπηση των υποκειμένων των δεδομένων στο πλαίσιο ένδικων διαδικασιών είναι ικανά να θέσουν υπό αμφισβήτηση την κρίση του Δικαστηρίου στην υπόθεση Fashion ID, ότι δηλαδή τα κράτη μέλη μπορούν να προβλέπουν στην εθνική τους νομοθεσία τη δυνατότητα των ενώσεων προστασίας καταναλωτών να στρέφονται δικαστικώς κατά προσώπου που φέρεται ότι έχει παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα.

Β. Τα ιδιαίτερα χαρακτηριστικά του κανονισμού 2016/679

50. Όσον αφορά την αντικατάσταση της οδηγίας 95/46 από κανόνα διαφορετικής φύσεως, ήτοι τον κανονισμό 2016/679, επισημαίνεται ότι η επιλογή του νομοθέτη της Ένωσης να καταφύγει στη νομική μορφή του κανονισμού, ο οποίος είναι, βάσει του άρθρου 288 ΣΛΕΕ, δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος, εξηγείται από τη βούλησή του, η οποία διατυπώνεται στην αιτιολογική σκέψη 13 του κανονισμού 2016/679, να διασφαλίσει συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση, προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Ως εκ τούτου, ο εν λόγω κανονισμός, εκ πρώτης όψεως, τείνει φαινομενικά προς πλήρη εναρμόνιση, όπερ θα σήμαινε επομένως ότι δεν περιορίζεται στη θέσπιση ελάχιστων απαιτήσεων που θα μπορούσαν να ενισχυθούν περαιτέρω από τα κράτη μέλη και ότι δεν αφήνει στα κράτη μέλη την επιλογή να παρεκκλίνουν, να συμπληρώσουν ή να εξειδικεύσουν τις διατάξεις του, προκειμένου να μην υπονομευθεί η ταυτόχρονη και ομοιόμορφη εφαρμογή των διατάξεών του στην Ένωση.

51. Η πραγματικότητα αποδεικνύεται πιο περίπλοκη. Συγκεκριμένα, αν ληφθεί υπόψη η νομική βάση του κανονισμού 2016/679, ήτοι το άρθρο 16 ΣΛΕΕ (22), δεν είναι δυνατόν να γίνει δεκτό ότι η Ένωση είχε προκαταλάβει, εκδίδοντας τον κανονισμό αυτόν, όλες τις συνέπειες τις οποίες μπορεί να έχει η προστασία δεδομένων προσωπικού χαρακτήρα σε άλλους συναφείς τομείς, όπως στο εργατικό δίκαιο, στο δίκαιο του ανταγωνισμού ή ακόμη και στο δίκαιο του καταναλωτή, αποκλείοντας τη δυνατότητα των κρατών μελών να θεσπίσουν ειδικούς κανόνες στους τομείς αυτούς, και μάλιστα κατά τρόπο κατά το μάλλον ή ήσσον αυτοτελή, ανάλογα με το αν πρόκειται για πεδίο που ρυθμίζεται από το δίκαιο της Ένωσης ή όχι (23). Υπό την έννοια αυτή, μολονότι η προστασία των δεδομένων προσωπικού χαρακτήρα είναι εκ φύσεως οριζόντια, η εναρμόνιση στην οποία προβαίνει ο κανονισμός 2016/679 αφορά μόνον τις πτυχές που καλύπτονται ειδικώς από τον συγκεκριμένο κανονισμό στον συγκεκριμένο τομέα. Πέραν των ορίων αυτών, τα κράτη μέλη παραμένουν ελεύθερα να νομοθετούν, εφόσον δεν θίγουν το περιεχόμενο και τους σκοπούς του κανονισμού.

52. Επιπλέον, αν υπεισέλθει κανείς στις λεπτομέρειες των διατάξεων του κανονισμού 2016/679, διαπιστώνει ότι η έκταση της εναρμόνισης στην οποία προβαίνει ο κανονισμός αυτός ποικίλλει ανάλογα με τις εξεταζόμενες διατάξεις. O καθορισμός της ρυθμιστικής ισχύος του εν λόγω κανονισμού απαιτεί, συνεπώς, κατά περίπτωση εξέταση (24). Μολονότι μπορεί να θεωρηθεί, στο πνεύμα και σε συνέχεια της νομολογίας αναφορικά με την οδηγία 95/46 (25), ότι ο κανονισμός 2016/679 προβαίνει σε «κατ’ αρχήν πλήρη» εναρμόνιση, εντούτοις πολλές διατάξεις του κανονισμού αυτού αναγνωρίζουν στα κράτη μέλη πεδίο χειρισμών το οποίο μπορεί ή πρέπει, ανάλογα με την περίπτωση, να χρησιμοποιηθεί από αυτά υπό τις προϋποθέσεις και εντός των ορίων που προβλέπονται από τις ίδιες διατάξεις (26).

53. Υπενθυμίζεται ότι, κατά πάγια νομολογία του Δικαστηρίου, «δυνάμει του άρθρου 288 ΣΛΕΕ και λόγω της φύσεως των κανονισμών και της λειτουργίας τους στο σύστημα των πηγών του δικαίου της Ένωσης, οι διατάξεις των κανονισμών έχουν, εν γένει, άμεσο αποτέλεσμα στις εθνικές έννομες τάξεις, χωρίς να απαιτείται από τις εθνικές αρχές να λαμβάνουν μέτρα εφαρμογής. Εντούτοις, για την εφαρμογή ορισμένων από τις διατάξεις αυτές ενδέχεται να απαιτείται η λήψη μέτρων εφαρμογής από τα κράτη μέλη» (27). Η επιλογή του νομοθέτη να εκδώσει κανονισμό δεν σημαίνει κατ’ ανάγκην ότι οι διατάξεις του κανονισμού αυτού δεν θα αφήνουν κανένα περιθώριο δράσης στα υποκείμενα του δικαίου (28). Εξάλλου, οι κανονισμοί, παρά τον υποχρεωτικό τους χαρακτήρα και την άμεση εφαρμογή τους, μπορούν κάλλιστα να περιλαμβάνουν και προαιρετικούς κανόνες (29).

54. Το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 συνιστά, λόγω της χρησιμοποίησης της λέξης «μπορούν», παράδειγμα προαιρετικής διατάξεως που παρέχει στα κράτη μέλη περιθώριο εκτιμήσεως κατά την εφαρμογή της.

55. Η διάταξη αυτή ανήκει στις πολλές «ρήτρες παρεκκλίσεως» οι οποίες περιέχονται στον κανονισμό και του προσδίδουν ιδιαίτερο χαρακτήρα σε σχέση με έναν συνήθη κανονισμό, καθιστώντας τον παρόμοιο με οδηγία (30). Ορισμένες από τις παραπομπές στην εθνική νομοθεσία οι οποίες περιλαμβάνονται στις ρήτρες αυτές είναι υποχρεωτικές (31), συνηθέστερα όμως πρόκειται για περιπτώσεις που αφήνεται ευχέρεια στα κράτη μέλη (32). Έχει επισημανθεί ότι οι πολλές αυτές παραπομπές στην εθνική νομοθεσία ενέχουν τον κίνδυνο νέου κατακερματισμού του καθεστώτος προστασίας των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, καθώς αντιβαίνουν στην εκπεφρασμένη βούληση του νομοθέτη της Ένωσης να επιτύχει πιο ολοκληρωμένη εναρμόνιση του καθεστώτος προστασίας και ενδέχεται να υπονομεύουν την αποτελεσματικότητα της προστασίας αυτής, όπως και τη δυνατότητα των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία των δεδομένων να αντιληφθούν επακριβώς τις υποχρεώσεις τις οποίες υπέχουν (33). Το εύρος της εναρμόνισης που πραγματοποιείται με τον κανονισμό 2016/679 περιορίζεται συνεπώς από τις πολλές «ρήτρες παρεκκλίσεως» οι οποίες περιλαμβάνονται σε αυτόν.

56. Είναι σαφές ότι, σε σύγκριση με τα ισχύοντα υπό την οδηγία 95/46, ο νομοθέτης της Ένωσης θέλησε, με τον κανονισμό 2016/679, να ρυθμίσει με τρόπο πιο εκτεταμένο και ακριβή, σε επίπεδο Ένωσης, τα ζητήματα σχετικά με την εκπροσώπηση των υποκειμένων των δεδομένων στο πλαίσιο της υποβολής καταγγελίας ενώπιον εποπτικής αρχής ή της κίνησης ένδικης διαδικασίας (34). Οι παράγραφοι 1 και 2 του άρθρου 80 δεν έχουν ωστόσο την ίδια ρυθμιστική ισχύ. Συγκεκριμένα, ενώ η παράγραφος 1 του άρθρου αυτού είναι υποχρεωτική για τα κράτη μέλη (35), η παράγραφος 2 τους παρέχει απλώς μια ευχέρεια. Επομένως, προκειμένου να μπορεί να ασκηθεί η άνευ εντολής αντιπροσωπευτική αγωγή την οποία προβλέπει το άρθρο 80, παράγραφος 2, του εν λόγω κανονισμού, τα κράτη μέλη πρέπει να κάνουν χρήση της ευχέρειας που τους παρέχει η διάταξη αυτή, προβλέποντας στην εθνική τους νομοθεσία τον τρόπο εκπροσωπήσεως των υποκειμένων των δεδομένων.

57. Το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, λόγω, αν μη τι άλλο, του προαιρετικού χαρακτήρα του και των συνακόλουθων διαφορών που ενδέχεται να ανακύψουν μεταξύ των εθνικών νομοθεσιών, δεν μπορεί να θεωρηθεί ότι προέβη σε πλήρη εναρμόνιση όσον αφορά τις άνευ εντολής αντιπροσωπευτικές αγωγές οι οποίες ασκούνται σε υποθέσεις προστασίας των δεδομένων προσωπικού χαρακτήρα. Εντούτοις, τα κράτη μέλη οφείλουν, κατά την εφαρμογή της διάταξης αυτής στην εθνική τους νομοθεσία, να τηρούν τους όρους και τα όρια με τα οποία ο νομοθέτης της Ένωσης θέλησε να πλαισιώσει την άσκηση της δυνατότητας που προβλέπεται στην ως άνω διάταξη.

58. Μολονότι, σε σύγκριση με τα ισχύοντα υπό την οδηγία 95/46, η ρύθμιση είναι ακριβέστερη, τα κράτη μέλη διατηρούν ωστόσο περιθώριο εκτιμήσεως κατά την εφαρμογή του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679.

59. Από τα στοιχεία που διαθέτει το Δικαστήριο προκύπτει ότι ο Γερμανός νομοθέτης δεν θέσπισε, μετά την έναρξη ισχύος του κανονισμού αυτού, διάταξη που να αποσκοπεί ειδικώς στην εφαρμογή του άρθρου 80, παράγραφος 2, του εν λόγω κανονισμού στην εθνική έννομη τάξη. Θα πρέπει πάντως, όπως ζητεί το αιτούν δικαστήριο από το Δικαστήριο, να εξεταστεί αν συμβιβάζονται με τη συγκεκριμένη διάταξη οι προϋφιστάμενοι κανόνες της γερμανικής νομοθεσίας, οι οποίοι παρέχουν σε ένωση προστασίας καταναλωτών ενεργητική νομιμοποίηση για την άσκηση αγωγής παραλείψεως συμπεριφοράς που συνιστά παράβαση τόσο των διατάξεων του κανονισμού 2016/679 όσο και των κανόνων με αντικείμενο, μεταξύ άλλων, την προστασία των καταναλωτών. Με άλλα λόγια, συνάδει η εθνική νομοθεσία η οποία ίσχυε ήδη πριν από την έναρξη ισχύος του κανονισμού αυτού με το περιεχόμενο του άρθρου 80, παράγραφος 2, του κανονισμού;

60. Όπως διευκρίνισε η Γερμανική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, οι εθνικές διατάξεις οι οποίες εξουσιοδοτούν ενώσεις, όπως η Ομοσπονδιακή ένωση, να ασκούν αντιπροσωπευτική αγωγή, όπως η επίδικη στην κύρια δίκη, αποτελούν μέτρα μεταφοράς της οδηγίας 2009/22. Για να δοθεί απάντηση στο ζήτημα αν το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 επιτρέπει επίσης μια τέτοια αγωγή, και επομένως αν οι ίδιες εθνικές διατάξεις καλύπτονται από το περιθώριο εκτιμήσεως το οποίο αναγνωρίζεται σε κάθε κράτος μέλος (36), πρέπει το άρθρο αυτό να ερμηνευθεί λαμβανομένων υπόψη, ιδίως, του γράμματός του καθώς και της όλης οικονομίας και των σκοπών του κανονισμού.

Γ. Η γραμματική, συστηματική και τελολογική ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679

61. Κατά το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, οι εκεί προβλεπόμενες αντιπροσωπευτικές αγωγές μπορούν να ασκηθούν από «κάθε φορέα, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1» του άρθρου αυτού. Το άρθρο 80, παράγραφος 1, του κανονισμού κάνει λόγο για «μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα». Ένας τέτοιος ορισμός δεν μπορεί, κατά τη γνώμη μου, να αφορά μόνον τους φορείς που έχουν ως μοναδικό και αποκλειστικό σκοπό την προστασία των δεδομένων προσωπικού χαρακτήρα, αλλά καλύπτει και όλους εκείνους που επιδιώκουν σκοπό δημοσίου συμφέροντος ο οποίος συνδέεται με την προστασία των δεδομένων προσωπικού χαρακτήρα. Τούτο ισχύει στην περίπτωση των ενώσεων προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, που οδηγούνται στην άσκηση αγωγών παραλείψεως συμπεριφορών οι οποίες, καθώς αντιβαίνουν στις διατάξεις του κανονισμού, παραβιάζουν επίσης τους κανόνες σχετικά με την προστασία των καταναλωτών ή την καταπολέμηση του αθέμιτου ανταγωνισμού (37).

62. Κατά το γράμμα του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679, η αντιπροσωπευτική αγωγή μπορεί να ασκηθεί από φορέα που πληροί τις προϋποθέσεις της παραγράφου 1 του άρθρου αυτού «εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του [παρόντος κανονισμού] παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας». Σε αντίθεση με όσα αφήνει μάλλον να εννοηθούν το αιτούν δικαστήριο, δεν είμαι της γνώμης ότι η τελευταία αυτή φράση πρέπει να ερμηνευθεί περιοριστικά, δηλαδή υπό την έννοια ότι, προκειμένου να νομιμοποιείται ενεργητικώς σύμφωνα με τα όσα προβλέπει το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, ένας φορέας θα πρέπει εκ των προτέρων να εξατομικεύσει ένα ή περισσότερα πρόσωπα που να θίγονται συγκεκριμένα από την επίμαχη επεξεργασία. Οι προπαρασκευαστικές εργασίες για την έκδοση του κανονισμού αυτού ουδόλως στηρίζουν τέτοια ερμηνεία. Επιπλέον, φρονώ ότι ο ίδιος ο ορισμός του «υποκειμένου των δεδομένων», κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού, το οποίο αναφέρεται σε «ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» (38), δεν συνάδει με την απαίτηση να είναι τα πρόσωπα που αποτελούν αντικείμενο αντίθετης προς τις διατάξεις του κανονισμού 2016/679 επεξεργασίας δεδομένων ήδη ταυτοποιημένα κατά τον χρόνο άσκησης αντιπροσωπευτικής αγωγής δυνάμει του άρθρου 80, παράγραφος 2, του κανονισμού αυτού. Κατά λογική ακολουθία, δεν είναι δυνατόν να απαιτείται, βάσει της διατάξεως αυτής, από έναν φορέα να προβάλλει συγκεκριμένες περιπτώσεις σχετικά με ατομικώς προσδιορισμένα πρόσωπα προκειμένου να νομιμοποιείται να κινηθεί σύμφωνα με τα προβλεπόμενα από την εν λόγω διάταξη.

63. Φρονώ ότι η άσκηση αντιπροσωπευτικής αγωγής δυνάμει του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 προϋποθέτει μόνον την επίκληση της ύπαρξης επεξεργασίας δεδομένων προσωπικού χαρακτήρα αντίθετης προς τις διατάξεις του κανονισμού οι οποίες προστατεύουν ατομικά δικαιώματα, και άρα ικανής να θίξει τα δικαιώματα ταυτοποιημένων ή ταυτοποιήσιμων προσώπων, χωρίς η ενεργητική νομιμοποίηση του οικείου φορέα να υπόκειται στην κατά περίπτωση εξέταση του ζητήματος αν έχουν προσβληθεί τα δικαιώματα ενός ή περισσοτέρων συγκεκριμένων προσώπων (39). Εν συνόψει, μια τέτοια αγωγή πρέπει να θεμελιώνεται στην προσβολή των δικαιωμάτων που δύναται να αντλήσει ένα φυσικό πρόσωπο από τον κανονισμό συνεπεία επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Η αγωγή αυτή δεν έχει ως αντικείμενο την προστασία αντικειμενικού δικαιώματος, αλλά των υποκειμενικών δικαιωμάτων που αντλούν ευθέως από τον κανονισμό 2016/679 τα υποκείμενα των δεδομένων (40). Με άλλα λόγια, σκοπός της ρήτρας παρεκκλίσεως που περιλαμβάνεται στο άρθρο 80, παράγραφος 2, του κανονισμού αυτού είναι να δοθεί στους νομιμοποιούμενους φορείς η δυνατότητα να ζητούν είτε από εποπτική είτε και από δικαστική αρχή να ελέγξει την τήρηση, από τους υπεύθυνους επεξεργασίας, των προβλεπόμενων στον κανονισμό κανόνων προστασίας των υποκειμένων των δεδομένων (41). Υπό την οπτική αυτή, προκειμένου ένας φορέας να έχει ενεργητική νομιμοποίηση βάσει της διατάξεως αυτής, αρκεί να επικαλεστεί παράβαση διατάξεων του κανονισμού 2016/679 που έχουν ως αντικείμενο την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.

64. Όπως επισημαίνει κατ’ ουσίαν η Επιτροπή, το πεδίο εφαρμογής του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 θα περιοριζόταν σημαντικά αν η διάταξη αυτή ερμηνευόταν υπό την έννοια ότι ένας φορέας οφείλει, προκειμένου να μπορεί να ασκήσει αντιπροσωπευτική αγωγή χωρίς εντολή, να αποδείξει ή να ισχυριστεί ότι προσβλήθηκαν σε δεδομένη κατάσταση τα δικαιώματα συγκεκριμένου προσώπου. Συμφωνώ με την Πορτογαλική Κυβέρνηση και με την Επιτροπή ότι το άρθρο 80, παράγραφος 2, του κανονισμού αυτού πρέπει να ερμηνεύεται κατά τέτοιον τρόπο ώστε να διατηρεί την πρακτική αποτελεσματικότητά του σε σχέση με την παράγραφο 1 του ίδιου άρθρου. Ως εκ τούτου, το άρθρο 80, παράγραφος 2, του εν λόγω κανονισμού έχει, κατά τη γνώμη μου, την έννοια ότι υπερβαίνει την εκπροσώπηση ατομικών περιπτώσεων, η οποία αποτελεί το αντικείμενο της παραγράφου 1 του άρθρου αυτού, διανοίγοντας τη δυνατότητα εκπροσωπήσεως, με πρωτοβουλία των νομιμοποιούμενων ενώσεων και αυτοτελώς, των συλλογικών συμφερόντων των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία αντίθετη προς τον κανονισμό 2016/679. Η αποτελεσματικότητα του άρθρου 80, παράγραφος 2, του κανονισμού αυτού θα περιοριζόταν σε μεγάλο βαθμό αν γινόταν δεκτό ότι, όπως απαιτείται και από την παράγραφο 1 του άρθρου αυτού, σε αμφότερες τις περιπτώσεις ο οικείος φορέας ασκεί αγωγή προς εκπροσώπηση προσώπων ρητώς και ατομικώς κατονομαζόμενων.

65. Η ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 την οποία προκρίνω είναι άλλωστε συμβατή με τον προληπτικό χαρακτήρα και τον αποτρεπτικό σκοπό των αγωγών παραλείψεως, καθώς και με την αυτοτέλειά τους έναντι κάθε είδους ατομικής διαφοράς (42).

66. Για να αποφευχθεί ο κίνδυνος δημιουργίας δύο διαφορετικών καθεστώτων όσον αφορά την ενεργητική νομιμοποίηση των φορέων που νομιμοποιούνται να ασκήσουν αγωγή παραλείψεως, ανάλογα με το αν μια τέτοια αγωγή θεμελιώνεται σε εθνικό μέτρο που εμπίπτει στο πεδίο εφαρμογής του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 ή σε εκείνο της οδηγίας 2020/1828, θεωρώ ότι ενδείκνυται, μολονότι η οδηγία αυτή δεν έχει εφαρμογή στο πλαίσιο της διαφοράς της κύριας δίκης, να ληφθεί υπόψη ότι η τελευταία δεν απαιτεί από παρόμοιους φορείς να επικαλεστούν την ύπαρξη μεμονωμένων κατονομαζόμενων καταναλωτών που εθίγησαν από την επίδικη παράβαση (43), αλλά να επικαλεστούν ότι επαγγελματίες παρέβησαν τις διατάξεις του δικαίου της Ένωσης που απαριθμούνται στο παράρτημα Ι της εν λόγω οδηγίας (44), στο σημείο 56 του οποίου μνημονεύεται, εξάλλου, ο κανονισμός 2016/679.

67. Η άποψη υπέρ μιας περιοριστικής ερμηνείας του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 αντιπαραβάλλει, εσφαλμένως κατά τη γνώμη μου, την προστασία των συλλογικών συμφερόντων των καταναλωτών (45) προς την προστασία των δικαιωμάτων κάθε προσώπου του οποίου τα δικαιώματα υποβάλλονται σε επεξεργασία φερόμενη ως αντίθετη προς τον κανονισμό. Ειδικότερα, η προστασία των συλλογικών συμφερόντων των καταναλωτών δεν αποκλείει, κατά τη γνώμη μου, την προστασία των δικαιωμάτων που αντλούν ευθέως από τον κανονισμό 2016/679 τα υποκείμενα των δεδομένων, αλλά ενσωματώνει, αντιθέτως, μια τέτοια προστασία.

68. Άλλωστε η αιτιολογική σκέψη 15 της οδηγίας 2020/1828, και πιο συγκεκριμένα η φράση «οι μηχανισμοί επιβολής που προβλέπονται ή βασίζονται […] στον κανονισμό 2016/679 […] θα μπορούν, κατά περίπτωση, να εξακολουθούν να χρησιμοποιούνται για την προστασία των συλλογικών συμφερόντων των καταναλωτών» (46), επιβεβαιώνει ότι η αντιπροσωπευτική αγωγή που προβλέπεται στο άρθρο 80, παράγραφος 2, του κανονισμού αυτού μπορεί πράγματι να αποσκοπεί στην προστασία τέτοιων συμφερόντων.

69. Από τα προεκτεθέντα στοιχεία συνάγω ότι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 εξουσιοδοτεί τα κράτη μέλη να προβλέπουν τη δυνατότητα των νομιμοποιούμενων φορέων να ασκούν, χωρίς εντολή από τα υποκείμενα των δεδομένων, αντιπροσωπευτικές αγωγές για την προστασία των συλλογικών συμφερόντων των καταναλωτών, εφόσον προβάλλεται παράβαση των διατάξεων του κανονισμού αυτού οι οποίες έχουν ως αντικείμενο την παροχή δικαιωμάτων στα υποκείμενα των δεδομένων.

70. Εν προκειμένω, αυτό ακριβώς ισχύει για την αγωγή παραλείψεως την οποία άσκησε η Ομοσπονδιακή ένωση κατά της Facebook Ireland.

71. Πράγματι, υπενθυμίζω ότι, κατά το αιτούν δικαστήριο και σύμφωνα με τα αιτήματα της Ομοσπονδιακής ένωσης, η Facebook Ireland παρέβη την υποχρέωση την οποία υπέχει από το άρθρο 12, παράγραφος 1, πρώτο εδάφιο, του κανονισμού 2016/679, να γνωστοποιεί στο υποκείμενο των δεδομένων, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, τις πληροφορίες που μνημονεύονται στο άρθρο 13, παράγραφος 1, στοιχεία γʹ και εʹ, του κανονισμού αυτού, όσον αφορά τον σκοπό επεξεργασίας των δεδομένων και τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα. Οι διατάξεις αυτές ανήκουν μετά βεβαιότητας στην κατηγορία εκείνων που παρέχουν δικαιώματα στα υποκείμενα των δεδομένων, όπερ επιβεβαιώνεται ιδίως από τη διαπίστωση ότι περιλαμβάνονται στο Κεφάλαιο ΙΙΙ του κανονισμού, το οποίο τιτλοφορείται «Δικαιώματα του υποκειμένου των δεδομένων». Επομένως, η προστασία των δικαιωμάτων αυτών μπορεί να ζητηθεί είτε ευθέως από τα υποκείμενα των δεδομένων είτε από φορέα που έχει εξουσιοδοτηθεί προς τούτο δυνάμει του άρθρου 80, παράγραφος 1, του κανονισμού 2016/679 ή ακόμη και εθνικών διατάξεων με τις οποίες εφαρμόζεται το άρθρο 80, παράγραφος 2, του κανονισμού.

72. Εκτιμώ επίσης ότι δεν προσκρούουν στο άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 εθνικές διατάξεις οι οποίες εξουσιοδοτούν ένωση προστασίας καταναλωτών να ασκήσει αγωγή παραλείψεως προκειμένου να διασφαλίσει την προστασία των δικαιωμάτων που παρέχει ο κανονισμός αυτός, μέσω της εφαρμογής κανόνων οι οποίοι έχουν ως αντικείμενο την προστασία των καταναλωτών ή την καταπολέμηση των αθέμιτων εμπορικών πρακτικών. Πράγματι, τέτοιοι κανόνες είναι πιθανόν να περιλαμβάνουν διατάξεις παρόμοιες με εκείνες που περιέχονται στον κανονισμό, ιδίως όσον αφορά την ενημέρωση των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των προσωπικών τους δεδομένων (47), όπερ σημαίνει ότι η παράβαση κανόνα σχετικού με την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να συνεπάγεται ταυτόχρονα την παράβαση κανόνων σχετικών με την προστασία των καταναλωτών ή τις αθέμιτες εμπορικές πρακτικές. Από πλευράς του γράμματος του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679, τίποτε δεν εμποδίζει να τεθεί η εκεί προβλεπόμενη ρήτρα παρεκκλίσεως σε μερική εφαρμογή, υπό την έννοια ότι σκοπός της αντιπροσωπευτικής αγωγής είναι να προστατευθούν τα δικαιώματα τα οποία αντλούν τα υποκείμενα των δεδομένων, ως καταναλωτές, από τον ως άνω κανονισμό (48).

73. H προτεινόμενη ερμηνεία του άρθρου 80, παράγραφος 2, του κανονισμού 2016/679 είναι, κατ’ εμέ, η καταλληλότερη για την επίτευξη των σκοπών που επιδιώκει ο κανονισμός.

74. Το Δικαστήριο έχει κρίνει ειδικότερα ότι, «όπως προκύπτει από το άρθρο 1, παράγραφος 2, του κανονισμού 2016/679, σε συνδυασμό με τις αιτιολογικές σκέψεις 10, 11 και 13 του κανονισμού αυτού, ο εν λόγω κανονισμός επιβάλλει στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και στις αρμόδιες αρχές των κρατών μελών, την υποχρέωση να διασφαλίζουν υψηλό επίπεδο προστασίας των δικαιωμάτων που κατοχυρώνονται στο άρθρο 16 ΣΛΕΕ και στο άρθρο 8 του Χάρτη [των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης]» (49). Εξάλλου, ο κανονισμός επιδιώκει «τη διασφάλιση της αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως του δικαιώματός τους στην προστασία της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα» (50).

75. Θα ήταν αντίθετο προς τον σκοπό της διασφάλισης υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα να εμποδίζονται τα κράτη μέλη να θέτουν σε εφαρμογή πολιτικές οι οποίες, ενώ επιδιώκουν τον σκοπό της προστασίας των καταναλωτών, συμβάλλουν επίσης στην επίτευξη του σκοπού της προστασίας των δεδομένων προσωπικού χαρακτήρα. Όπως και στην περίπτωση της οδηγίας 95/46, μπορεί ακόμη να υποστηριχθεί, και μετά την έναρξη ισχύος του κανονισμού 2016/679, ότι η αναγνώριση ενεργητικής νομιμοποίησης σε ενώσεις προστασίας καταναλωτών για την άσκηση αγωγών με αίτημα την παύση επεξεργασίας δεδομένων αντίθετης προς τον κανονισμό αυτό συμβάλλει στην ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων διά των μέσων συλλογικής έννομης προστασίας (51).

76. Συνεπώς, η προάσπιση των συλλογικών συμφερόντων των καταναλωτών από ενώσεις αποτελεί ιδιαιτέρως πρόσφορο μέσο για την επίτευξη του σκοπού της διασφάλισης υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα. Από την άποψη αυτή, ο προληπτικός χαρακτήρας των αγωγών που ασκούν οι ενώσεις αυτές δεν θα ήταν δυνατόν να διασφαλιστεί αν, στο πλαίσιο της προβλεπόμενης από το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 αντιπροσωπευτικής αγωγής, επιτρεπόταν μόνον η επίκληση της προσβολής των δικαιωμάτων προσώπου το οποίο θίγεται ατομικά και συγκεκριμένα από την προσβολή.

77. Ως εκ τούτου, αγωγή παραλείψεως η οποία ασκείται από ένωση προστασίας καταναλωτών, όπως η Ομοσπονδιακή ένωση, συμβάλλει αναμφίβολα στη διασφάλιση της αποτελεσματικής εφαρμογής των δικαιωμάτων που προστατεύονται από τον κανονισμό 2016/679 (52).

78. Θα ήταν άλλωστε τουλάχιστον παράδοξο η ενίσχυση των μέσων εποπτείας των κανόνων που διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα την οποία επιδιώκει ο νομοθέτης της Ένωσης με την έκδοση του κανονισμού 2016/679 να καταλήγει εν τέλει σε πτώση του επιπέδου της προστασίας αυτής, σε σχέση με εκείνη που ήταν σε θέση να διασφαλίζουν τα κράτη μέλη υπό το καθεστώς της οδηγίας 95/46.

79. Είναι αληθές ότι, σε αντίθεση με τις Ηνωμένες Πολιτείες Αμερικής, στο δίκαιο της Ένωσης, οι ρυθμίσεις οι οποίες αφορούν, αφενός, τις αθέμιτες εμπορικές πρακτικές και, αφετέρου, την προστασία των δεδομένων προσωπικού χαρακτήρα αναπτύχθηκαν χωριστά. Οι δύο τομείς υπόκεινται συνεπώς σε διαφορετικά κανονιστικά πλαίσια.

80. Υφίστανται ωστόσο αλληλεπιδράσεις μεταξύ των δύο αυτών τομέων, με αποτέλεσμα οι αγωγές που εντάσσονται στο πλαίσιο της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα να δύνανται, ταυτόχρονα και έμμεσα, να συμβάλλουν στην παύση αθέμιτης εμπορικής πρακτικής. Το αντίστροφο ισχύει επίσης (53). Επίσης, η συνάφεια μεταξύ της προστασίας των δεδομένων προσωπικού χαρακτήρα, υπό το πρίσμα της συναίνεσης στην επεξεργασία των δεδομένων αυτών, και της προστασίας των καταναλωτών βρίσκει έκφραση στον ίδιο τον κανονισμό 2016/679, ιδιαίτερα στην αιτιολογική σκέψη 42. Η Επιτροπή, εξάλλου, έχει αναφερθεί στις αλληλεπιδράσεις ανάμεσα στη νομοθεσία της Ένωσης περί προστασίας των δεδομένων προσωπικού χαρακτήρα και στην οδηγία 2005/29/ΕΚ (54).

81. Οι αλληλεπιδράσεις μεταξύ του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα, του δικαίου του καταναλωτή και του δικαίου του ανταγωνισμού είναι πολλές και συχνές, στον βαθμό που η ίδια συμπεριφορά δύναται να εμπίπτει ταυτόχρονα σε κανόνες δικαίου που ανήκουν στους διαφορετικούς αυτούς τομείς. Τέτοιες αλληλεπιδράσεις συμβάλλουν στην αποτελεσματικότερη προστασία των δεδομένων προσωπικού χαρακτήρα (55).

82. Βεβαίως, οι δικαιούχοι των προβλεπόμενων από τον κανονισμό 2016/679 δικαιωμάτων δεν είναι απλώς και μόνον οι καταναλωτές, καθώς ο κανονισμός δεν στηρίζεται στην αντίληψη ότι η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (56) αποτελεί απλώς πτυχή του καταναλωτικού φαινομένου, αλλά ότι η προστασία αυτή συνιστά, σύμφωνα με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων και όπως τονίζεται ιδίως στην αιτιολογική σκέψη 1 και στο άρθρο 1, παράγραφος 2, του εν λόγω κανονισμού, θεμελιώδες δικαίωμα (57).

83. Εντούτοις, στην εποχή της ψηφιακής οικονομίας, τα υποκείμενα των δεδομένων έχουν συχνά την ιδιότητα των καταναλωτών. Για τον λόγο αυτό, οι κανόνες που αποσκοπούν στην προστασία των καταναλωτών αξιοποιούνται συχνά προς διασφάλιση της προστασίας τους και σε περιπτώσεις επεξεργασίας των προσωπικών τους δεδομένων αντίθετης προς τις διατάξεις του κανονισμού 2016/679.

84. Κατόπιν της αναλύσεως αυτής, διαπιστώνεται ότι ενδέχεται να υφίσταται αλληλεπικάλυψη μεταξύ της αντιπροσωπευτικής αγωγής που προβλέπεται στο άρθρο 80, παράγραφος 2, του κανονισμού 2016/679 και εκείνης που προβλέπεται στην οδηγία 2020/1828 για τη λήψη μέτρων παραλείψεως, εφόσον τα «υποκείμενα των δεδομένων», κατά την έννοια του κανονισμού, έχουν επίσης την ιδιότητα του «καταναλωτή», κατά την έννοια του άρθρου 3, σημείο 1, της οδηγίας (58). Αυτό αποτελεί, κατά τη γνώμη μου, δείγμα της ύπαρξης συμπληρωματικότητας και της σύγκλισης του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα με άλλους τομείς του δικαίου, όπως το δίκαιο του καταναλωτή και το δίκαιο του ανταγωνισμού. Με την έκδοση της προαναφερθείσας οδηγίας, ο νομοθέτης της Ένωσης πήγε ένα βήμα παραπέρα, συνδέοντας ρητώς την προστασία των συλλογικών συμφερόντων των καταναλωτών με την τήρηση του κανονισμού 2016/679. Ως εκ τούτου, η αποτελεσματική εφαρμογή των κανόνων του ενισχύεται ακόμη περισσότερο.

V. Πρόταση

85. Κατόπιν των ανωτέρω, προτείνω στο Δικαστήριο να απαντήσει στο προδικαστικό ερώτημα του Bundesgerichtshof (Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία) ως εξής:

Το άρθρο 80, παράγραφος 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι επιτρέπει εθνική νομοθεσία η οποία παρέχει στις ενώσεις προστασίας καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων που φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα, επικαλούμενες την απαγόρευση των αθέμιτων εμπορικών πρακτικών, τη νομοθεσία περί προστασίας των καταναλωτών ή την απαγόρευση χρήσης ανίσχυρων γενικών όρων συναλλαγών, εφόσον η αντιπροσωπευτική αγωγή η οποία ασκείται συναφώς αποσκοπεί στην εξασφάλιση της τήρησης των δικαιωμάτων που αντλούν ευθέως από τον κανονισμό τα πρόσωπα των οποίων τα δεδομένα υποβάλλονται στην αμφισβητούμενη επεξεργασία.

1 Γλώσσα του πρωτοτύπου: η γαλλική.

2 Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1).

3 Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

4 Βλ. απόφαση της 29ης Ιουλίου 2019, Fashion ID (C-40/17, στο εξής: απόφαση Fashion ID, EU:C:2019:629).

5 Βλ., επίσης, αιτιολογική σκέψη 142 του κανονισμού αυτού.

6 BGBl. 2004 I, σ. 1414 (στο εξής: UWG).

7 BGBl. 2001 I, σ. 3138, 3173 (στο εξής: UKlaG).

8 ΕΕ 2009, L 110, σ. 30.

9 BGBl. 2007 I, σ. 179 (στο εξής: TMG).

10 Η εκπροσώπηση των υποκειμένων των δεδομένων προβλέπεται επίσης στο άρθρο 67 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ 2018, L 295, σ. 39), καθώς και στο άρθρο 55 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89). Πρόκειται, σε αμφότερες τις περιπτώσεις, για εκπροσώπηση κατόπιν εντολής.

11 Η τάση αυτή, η οποία βρίσκει συγκεκριμένη έκφραση, μεταξύ άλλων, και στην οδηγία 2009/22, αποτυπώνεται επίσης στην πρόσφατη θέσπιση της οδηγίας (ΕΕ) 2020/1828 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2020, σχετικά με τις αντιπροσωπευτικές αγωγές για την προστασία των συλλογικών συμφερόντων των καταναλωτών και για την κατάργηση της οδηγίας 2009/22/ΕΚ (ΕΕ 2020, L 409, σ. 1). Η προθεσμία μεταφοράς της οδηγίας αυτής έχει οριστεί στις 25 Δεκεμβρίου 2022. Βλ., για το ζήτημα αυτό, Pato, A., «Collective Redress Mechanisms in the EU», Jurisdiction and Cross‑Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Λονδίνο, 2019, σ. 45 έως 117. Βλ., επίσης, Gsell, B., «The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward», Common Market Law Review, τ. 58, τεύχος 5, Kluwer Law International, Άλφεν επί του Ρήνου, 2021, σ. 1365 έως 1400.

12 Βλ. απόφαση Fashion ID (σκέψη 63 και διατακτικό).

13 Βλ. απόφαση Fashion ID (σκέψη 47).

14 Βλ. απόφαση Fashion ID (σκέψη 48).

15 Βλ. απόφαση Fashion ID (σκέψη 49).

16 Βλ. απόφαση Fashion ID (σκέψη 50).

17 Βλ. απόφαση Fashion ID (σκέψη 51).

18 Βλ. απόφαση Fashion ID (σκέψη 56 και εκεί μνημονευόμενη νομολογία).

19 Βλ. απόφαση Fashion ID (σκέψη 57 και εκεί μνημονευόμενη νομολογία).

20 Βλ. απόφαση Fashion ID (σκέψη 59).

21 Η υπογράμμιση δική μου.

22 Όπως τόνισε το Δικαστήριο στην απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C‑645/19, EU:C:2021:483, σκέψη 44).

23 Από το προοίμιο του κανονισμού 2016/679 προκύπτει ότι αυτός εκδόθηκε βάσει του άρθρου 16 ΣΛΕΕ, του οποίου η παράγραφος 2 προβλέπει, μεταξύ άλλων, ότι το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, αποφασίζοντας με τη συνήθη νομοθετική διαδικασία, θεσπίζουν τους κανόνες σχετικά, αφενός, με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης και, αφετέρου, με την ελεύθερη κυκλοφορία των δεδομένων.

24 Για να προσδιοριστεί η έκταση της εναρμόνισης στην οποία προβαίνει μια ρύθμιση όπως ο κανονισμός 2016/679 χρειάζεται επομένως «μια μικροανάλυση, όσον αφορά συγκεκριμένο κανόνα δικαίου ή, στην καλύτερη περίπτωση, συγκεκριμένη και σαφώς καθορισμένη πτυχή του δικαίου της Ένωσης»: βλ. προτάσεις του γενικού εισαγγελέα M. Bobek στην υπόθεση Dzivev κ.λπ. (C-310/16, EU:C:2018:623, σημείο 74). Βλ., επίσης, Mišćenić, E., και Hoffmann, A.-L., «The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)», EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Όσιγεκ, 2020, τεύχος 4, σ. 44 έως 61, οι οποίοι επισημαίνουν ότι «υπάρχει το ενδεχόμενο […] ένα μέτρο εναρμόνισης, είτε πρόκειται για οδηγία είτε για κανονισμό της Ευρωπαϊκής Ένωσης, να έχει πλήρες αποτέλεσμα εναρμόνισης ως προς ορισμένες διατάξεις, αλλά όχι ως προς όλες» («[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them») (σ. 49).

25 Βλ. απόφαση της 6ης Νοεμβρίου 2003, Lindqvist (C-101/01, EU:C:2003:596, σκέψη 96).

26 Βλ., σχετικά με την οδηγία 95/46, απόφαση της 6ης Νοεμβρίου 2003, Lindqvist (C-101/01, EU:C:2003:596, σκέψη 97). Σε αντίθεση με ορισμένες κατεστημένες ιδέες, η επιλογή του νομοθέτη της Ένωσης να εκδώσει κανονισμό και όχι οδηγία δεν συνεπάγεται, κατ’ ανάγκην, πλήρη εναρμόνιση του οικείου τομέα. Βλ. Mišćenić, E., και Hoffmann, A.-L., όπ.π., οι οποίοι επισημαίνουν ότι «μια οδηγία της Ευρωπαϊκής Ένωσης μπορεί να οδηγήσει σε εντονότερη εναρμόνιση, εφόσον έχει πλήρες αποτέλεσμα εναρμονίσεως, […] ενώ ένας κανονισμός της Ευρωπαϊκής Ένωσης μπορεί να συνεπάγεται χαμηλό βαθμό εναρμόνισης, εφόσον περιλαμβάνει πολλές επιλογές και κανόνες παρεκκλίσεως» («an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules») (σ. 48).

27 Βλ., ιδίως, απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C-645/19, EU:C:2021:483, σκέψη 110 και εκεί μνημονευόμενη νομολογία). Βλ. επίσης, σε σχέση με τομέα που ρυθμιζόταν προηγουμένως από οδηγία, απόφαση της 21ης Δεκεμβρίου 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, σκέψη 42), στην οποία το Δικαστήριο διευκρινίζει ότι «το γεγονός ότι η προστασία των ζώων κατά τη μεταφορά τους ρυθμίζεται πλέον, σε επίπεδο Ένωσης, από κανονισμό δεν σημαίνει, κατ’ ανάγκην, ότι απαγορεύεται στην πράξη η λήψη οποιουδήποτε μέτρου εφαρμογής της συγκεκριμένης ρυθμίσεως».

28 Βλ. απόφαση της 27ης Οκτωβρίου 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Το Δικαστήριο δέχθηκε ότι κράτος μέλος που επέλεξε να μην ασκήσει δυνατότητα που παρέχεται από κανονισμό δεν παραβαίνει το άρθρο 288 ΣΛΕΕ: βλ. απόφαση της 17ης Δεκεμβρίου 2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, σκέψεις 27 έως 31). Βλ. επίσης, για κανονισμό που εφαρμόζει τις επιστροφές στις εξαγωγές που δύνανται ή να χορηγήσουν ή να αρνηθούν να χορηγήσουν τα κράτη μέλη, απόφαση της 27ης Οκτωβρίου 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 Βλ., σχετικά με αυτές τις ρήτρες παρεκκλίσεως, Wagner, J., και Benecke, A., «National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law», European Data Protection Law Review, Lexxion, Βερολίνο, τ. 2, τεύχος 3, 2016, σ. 353 έως 361.

31 Βλ., ιδίως, άρθρα 51 και 84 του κανονισμού 2016/679.

32 Βλ., ιδίως, άρθρο 6, παράγραφοι 2 και 3, άρθρο 8, παράγραφος 1, δεύτερο εδάφιο, καθώς και άρθρα 85 έως 89 του κανονισμού 2016/679.

33 Βλ., για το ζήτημα αυτό, Mišćenić, E., και Hoffmann, A.-L., όπ.π, οι οποίοι παρατηρούν ότι, «παρά την αρχική ιδέα, που ήταν να επιτευχθεί υψηλό επίπεδο εναρμόνισης διά της θέσπισης ομοιόμορφων κανόνων για όλα τα κράτη μέσω της έκδοσης κανονισμού, […] ο GDPR επιτρέπει διαφορετικές λύσεις ως προς πολλές από τις πτυχές του. Με τον τρόπο αυτό δημιουργεί περαιτέρω αποκλίσεις σε επίπεδο κρατών μελών, συντείνοντας κατ’ αυτόν τον τρόπο στην ανασφάλεια δικαίου για όσους εμπίπτουν στο πεδίο εφαρμογής των κανόνων του. Περισσότερες από 69 ρήτρες παρεκκλίσεως […] διανοίγουν πεδίο για διαφορετικές νομικές λύσεις, ερμηνείες και, τελικώς, πρακτική εφαρμογή. Οι ρήτρες παρεκκλίσεως επηρεάζουν επίσης τη νομική φύση και το επίπεδο εναρμόνισης του GDPR, ο οποίος περιγράφεται συχνά από θεωρητικούς του δικαίου ως οδηγία υπό τον μανδύα κανονισμού» («d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation » (σ. 50 και 51).

34 Η οδηγία 95/46 προέβλεπε, στο άρθρο 28, παράγραφος 4, αποκλειστικώς τη δυνατότητα ένωσης να αναλάβει την υποβολή καταγγελίας ενώπιον αρχής ελέγχου για λογαριασμό προσώπου που προέβαλε προσβολή των δικαιωμάτων του στο πλαίσιο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

35 Εξαιρείται ωστόσο, δεδομένου ότι παραμένει προαιρετική για τα κράτη μέλη, η αντιπροσωπευτική αγωγή κατόπιν εντολής, με την οποία ζητείται αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων.

36 Πρβλ. απόφαση της 21ης Δεκεμβρίου 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, σκέψη 43).

37 Βλ. Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Λουξεμβούργο, 2019, σ. 98 έως 106. Κατά τη συγγραφέα αυτή, «ο αριθμός των προσώπων που διαθέτουν δυνητικώς ενεργητική νομιμοποίηση είναι ευρύς» («[t]he number of actors who potentially have standing to sue is broad») και «οι ενώσεις προστασίας καταναλωτών θα πληρούν συνήθως ευχερώς τις απαιτήσεις αυτές» («[c]onsumer associations will usually meet those requirements easily») (σ. 99).

38 Η υπογράμμιση δική μου. Κατά την ίδια διάταξη, «το “ταυτοποιήσιμο φυσικό πρόσωπο” είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου». Όπως επισημαίνει η Ν. Martial-Braz, «Le champ d’application du RGPD», στο Bensamoun, A., και Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Παρίσι, 2020, σ. 19 έως 33, «η ιδιότητα του ταυτοποιήσιμου έχει πολύ ευρεία έννοια καθώς το κριτήριο της ταυτοποίησης του προσώπου καλύπτει όλα τα μέσα που μπορούν ευλόγως να εφαρμοστούν για την ταυτοποίηση του προσώπου» («le caractère identifiable s’entend très largement puisque le critère d’identification de la personne s’entend de l’ensemble des moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne» (σ. 24). Βλ. ιδίως, για την έννοια του «ταυτοποιήσιμου» προσώπου κατά το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46, απόφαση της 19ης Οκτωβρίου 2016, Breyer (C-582/14, EU:C:2016:779).

39 Βλ. Boehm, F., «Artikel 80 Vertretung von betroffenen Personen», στο Simitis, S., Hornung, G., και Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Μπάντεν-Μπάντεν, 2019, ειδικότερα σημείο 13.

40 Βλ. Frenzel, E. M., «Art. 80 Vertretung von betroffenen Personen», στο Paal, B. P., και Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3η έκδ., C.H. Beck, Μόναχο, 2021, ιδιαίτερα σημείο 11, καθώς και Kreße, B., «Artikel 80 Vertretung von betroffenen Personen», στο Sydow, G., Europäische Datenschutzverordnung, 2η έκδ., Nomos, Μπάντεν‑Μπάντεν, 2018, ειδικότερα σημείο 13.

41 Βλ. Moos, F., και Schefzig, J., «Art. 80 Vertretung von betroffenen Personen», στο Taeger, J., και Gabel, D., Kommentar DSGVO – BDSG, 3η έκδ., Deutscher Fachverlag, Φρανκφούρτη επί του Μάιν, 2019, ειδικότερα σημείο 22.

42 Βλ. μεταξύ άλλων, σχετικά με τις καταχρηστικές ρήτρες σε συμβάσεις που συνάπτονται μεταξύ επαγγελματιών και καταναλωτών, απόφαση της 14ης Απριλίου 2016, Sales Sinués et Drame Ba (C-381/14 και C-385/14, EU:C:2016:252, σκέψη 29).

43 Βλ. αιτιολογική σκέψη 33 καθώς και άρθρο 8, παράγραφος 3, στοιχείο αʹ, της οδηγίας 2020/1828, κατά το οποίο «ο νομιμοποιούμενος φορέας δεν υποχρεούται να αποδείξει […] την πραγματική ζημία ή βλάβη των μεμονωμένων καταναλωτών που θίγονται από την παράβαση, όπως αναφέρεται στο άρθρο 2, παράγραφος 1». Εξάλλου, μολονότι το άρθρο 7, παράγραφος 2, της οδηγίας εκείνης επιβάλλει στον νομιμοποιούμενο φορέα την υποχρέωση να παράσχει στο δικαστήριο ή στη διοικητική αρχή «επαρκείς πληροφορίες σχετικά με τους καταναλωτές τους οποίους αφορά η αντιπροσωπευτική αγωγή», προκύπτει από την αιτιολογική σκέψη 34 της ίδιας οδηγίας ότι οι πληροφορίες αυτές, το επίπεδο λεπτομέρειας των οποίων μπορεί να διαφέρει ανάλογα με το μέτρο που ζητεί ο νομιμοποιούμενος φορέας, δεν αφορούν τον προσδιορισμό μεμονωμένων καταναλωτών που θίγονται από την επίμαχη παράβαση, αλλά μάλλον πληροφορίες όπως ο τόπος του ζημιογόνου γεγονότος ή ο προσδιορισμός της ομάδας των καταναλωτών τους οποίους αφορά η αντιπροσωπευτική αγωγή (βλ., επίσης, αιτιολογική σκέψη 65 της οδηγίας 2020/1828). Επισημαίνω επιπλέον ότι, ακόμη και όταν η αντιπροσωπευτική αγωγή αποσκοπεί σε αποζημίωση, η αιτιολογική σκέψη 49 της οδηγίας 2020/1828 καθιστά σαφές ότι «δεν θα πρέπει να απαιτείται από τον νομιμοποιούμενο φορέα να προσδιορίζει ξεχωριστά κάθε καταναλωτή τον οποίο αφορά η αγωγή, προκειμένου να την ασκήσει». Βλ., συναφώς, Gsell, B., όπ.π., ειδικότερα σ. 1370.

44 Βλ. άρθρο 2, παράγραφος 1, της οδηγίας 2020/1828.

45 Βλ. αιτιολογική σκέψη 3 της οδηγίας 2009/22, η οποία διευκρινίζει ότι οι αγωγές παραλείψεως που εμπίπτουν στο πεδίο εφαρμογής της αποσκοπούν στην προστασία των «συλλογικών συμφερόντων των καταναλωτών», τα οποία ορίζονται ως «τα συμφέροντα που δεν περιλαμβάνουν την απλή σώρευση των συμφερόντων των ατόμων που εθίγησαν από συγκεκριμένη παράβαση». Στο άρθρο 3, σημείο 3, της οδηγίας 2020/1828, η έννοια των «συλλογικών συμφερόντων των καταναλωτών» ορίζεται ως «τα γενικά συμφέροντα των καταναλωτών και, ειδικότερα για τους σκοπούς των μέτρων επανόρθωσης και/ή αποκατάστασης, τα συμφέροντα μιας ομάδας καταναλωτών».

46 Η υπογράμμιση δική μου.

47 Βλ. Helberger, N., Zuiderveen Borgesius, F., και Reyna, A., «The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law», Common Market Law Review, τ. 54, τεύχος 5, Kluwer Law International, Άλφεν αν ντεν Ράιν, 2017, σ. 1427 έως 1465, οι οποίοι επισημαίνουν ότι «ένα στοιχείο που συνδέει το δίκαιο των καταναλωτών και το δίκαιο της προστασίας των δεδομένων είναι ο κομβικός ρόλος της πληροφορίας ως μέσου απάλυνσης ασυμμετριών στην πληροφορία και ενδυνάμωσης του ιδιώτη» («[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual») (σ. 1437).

48 Βλ. Neun, A., και Lubitzsch, K., «Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz», Betriebs-Berater, Deutscher Fachverlag, Φρανκφούρτη επί του Μάιν, 2017, σ. 2563 έως 2569, ιδιαίτερα σ. 2567.

49 Βλ. απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C-645/19, EU:C:2021:483, σκέψη 45).

50 Βλ. απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C-645/19, EU:C:2021:483, σκέψη 91).

51 Βλ. προτάσεις του Γενικού Εισαγγελέα M. Bobek στην υπόθεση Fashion ID (C-40/17, EU:C:2018:1039, σημείο 33).

52 Για παραδείγματα αγωγών που ασκούνται από ενώσεις προστασίας καταναλωτών, βλ. Helberger, N., Zuiderveen Borgesius, F., και Reyna, A., όπ.π., ειδικότερα σ. 1452 και 1453.

53 Βλ., ως προς τη σχέση συμπληρωματικότητας μεταξύ των αγωγών για την προστασία των δεδομένων προσωπικού χαρακτήρα και των αγωγών για την παύση των αθέμιτων εμπορικών πρακτικών, van Eijk, N., Hoofnagle, C. J., και Kannekens, E., «Unfair Commercial Practices: A Complementary Approach to Privacy Protection», European Data Protection Law Review, Lexxion, Βερολίνο, τ. 3, τεύχος 3, 2017, σ. 325 έως 337, οι οποίοι επισημαίνουν ότι «διά της εφαρμογής κανόνων στις αθέμιτες εμπορικές πρακτικές, θα μπορούσε να καταστεί αποτελεσματικότερη η εξασφάλιση της τήρησης της ιδιωτικότητας» («[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective») (σ. 336).

54 Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2005, για τις αθέμιτες εμπορικές πρακτικές των επιχειρήσεων προς τους καταναλωτές στην εσωτερική αγορά και για την τροποποίηση της οδηγίας 84/450/ΕΟΚ του Συμβουλίου, των οδηγιών 97/7/ΕΚ, 98/27/ΕΚ, 2002/65/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου («οδηγία για τις αθέμιτες εμπορικές πρακτικές») (ΕΕ 2005, L 149, σ. 22). Βλ. έγγραφο εργασίας των υπηρεσιών της Επιτροπής – Κατευθυντήριες γραμμές σχετικά την εκτέλεση/εφαρμογή της οδηγίας 2005/29/ΕΚ για τις αθέμιτες εμπορικές πρακτικές, η οποία συνοδεύεται από το έγγραφο: ανακοίνωση της Επιτροπής στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών. Συνολική προσέγγιση για την τόνωση του διασυνοριακού ηλεκτρονικού εμπορίου για τους πολίτες και τις επιχειρήσεις της Ευρώπης [SWD(2016) 163 τελικό], ιδιαίτερα σημείο 1.4.10, σ. 26 έως 31. Σε αυτές, η Επιτροπή δίνει έμφαση στην ανάγκη νόμιμης επεξεργασίας των δεδομένων, η οποία προϋποθέτει ότι παρέχονται στο υποκείμενο των δεδομένων ορισμένες κατάλληλες πληροφορίες, ιδίως ως προς τους σκοπούς της επεξεργασίας των επίμαχων δεδομένων προσωπικού χαρακτήρα (σ. 28). Η Επιτροπή επισημαίνει επίσης ότι «η παραβίαση από εμπορευόμενο της οδηγίας [95/46] ή της οδηγίας [2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37),] δεν σημαίνει πάντα ότι η πρακτική παραβιάζει επίσης την [οδηγία 2005/29]». Ωστόσο, κατά την Επιτροπή, «οι εν λόγω παραβιάσεις της προστασίας των δεδομένων θα πρέπει να συνεκτιμώνται κατά την αξιολόγηση του συνολικού αθέμιτου χαρακτήρα των εμπορικών πρακτικών βάσει της [οδηγίας 2005/29], ιδίως σε περίπτωση που ο εμπορευόμενος επεξεργάζεται δεδομένα καταναλωτών κατά παράβαση των απαιτήσεων προστασίας των δεδομένων, δηλαδή για σκοπούς άμεσης εμπορικής προώθησης ή άλλους εμπορικούς σκοπούς, όπως οι εφαρμογές κατάρτισης προφίλ, προσωπικής τιμολόγησης ή μαζικών δεδομένων» (σ. 30).

55 Βλ. μεταξύ άλλων, για το ζήτημα αυτό, Helberger, N., Zuiderveen Borgesius, F., και Reyna, A., όπ.π., οι οποίοι επισημαίνουν ότι «το δίκαιο της προστασίας των δεδομένων και το δίκαιο του καταναλωτή μπορούν να εφαρμοστούν εκ παραλλήλου και μπορούν να αλληλοσυμπληρωθούν ιδανικά και να προσφέρουν ένα αρκετά πλούσιο οπλοστάσιο διαφορετικών δικαιωμάτων και μέσων έννομης προστασίας προς εξασφάλιση μιας υψηλού επιπέδου προστασίας των καταναλωτών σε ψηφιακές αγορές» («data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets» (σ. 1429). Βλ., επίσης, van Eijk, N., Hoofnagle, C. J., και Kannekens, E., όπ.π., ειδικότερα σ. 336. Για μια εκδήλωση της συμπληρωματικότητας μεταξύ των κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και των κανόνων που απαγορεύουν τις αθέμιτες εμπορικές πρακτικές των επιχειρήσεων προς τους καταναλωτές, βλ. προτάσεις μου στην υπόθεση StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Βλ. Martial-Braz, N., όπ.π., ειδικότερα σ. 23.

57 Βλ. απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C-645/19, EU:C:2021:483, σκέψη 44).

58 Βλ. αιτιολογική σκέψη 14 της οδηγίας 2020/1828, κατά την οποία «η οδηγία θα πρέπει μόνο να προστατεύει τα συμφέροντα των φυσικών προσώπων που έχουν ζημιωθεί ή ενδέχεται να ζημιωθούν από [τις παραβάσεις των διατάξεων του δικαίου της Ένωσης που περιλαμβάνονται στο Παράρτημα Ι] εφόσον τα εν λόγω πρόσωπα είναι καταναλωτές δυνάμει της [παρούσας] οδηγίας».