Language of document : ECLI:EU:C:2021:979

KOHTUJURISTI ETTEPANEK

JEAN RICHARD DE LA TOUR

esitatud 2. detsembril 2021(1)

Kohtuasi C–319/20

Facebook Ireland Limited

versus

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(eelotsusetaotlus, mille on esitanud Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus))

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 80 lõige 2 – Õigus tõhusale kohtulikule kaitsele – Andmesubjektide esindamine mittetulundusühingu poolt – Tarbijate huve kaitsva ühingu õigus esitada hagi






I.      Sissejuhatus

1.        Tänapäevases majanduses, mida iseloomustab digitaalmajanduse kiire areng, võib isikuandmete töötlemine mõjutada isikuid mitte ainult füüsiliste isikutena, kellele on määrusega (EL) 2016/679(2) antud õigused, vaid ka tarbijatena.

2.        See staatus toob kaasa asjaolu, et tarbijate huve kaitsvad ühingud on üha sagedamini esitanud hagisid, mille eesmärk on lõpetada teatavate andmetöötluse eest vastutavate isikute tegevus, millega rikutakse samal ajal õigusi, mis on kaitstud nii selle määrusega kui ka muude liidu õigusest või liikmesriigi õigusest tulenevate normidega, mis käsitlevad eelkõige tarbijate õiguste kaitset ja ebaausate kaubandustavade vastast võitlust.

3.        Käesolev eelotsusetaotlus esitati kohtuvaidluses, mille pooled on Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (tarbijakaitsekeskuste ja –ühenduste keskliit, edaspidi „tarbijakaitseorganisatsioonide liit“) ja Facebook Ireland Limited, mille registrijärgne asukoht on Iirimaal. Tarbijakaitseorganisatsioonide liit heidab sellele äriühingule ette isikuandmete kaitset käsitlevate Saksa õigusnormide rikkumist, mis kujutab endast samal ajal ebaausat kaubandustava, tarbijakaitsenormide rikkumist ja õigustühiste tüüptingimuste kasutamise keelu rikkumist.

4.        Selles taotluses palutakse Euroopa Kohtul tõlgendada peamiselt määruse 2016/679 artikli 80 lõiget 2, et teha kindlaks, kas selle sättega on vastuolus see, kui tarbijate huve kaitsvatele ühingutele jääb pärast selle määruse jõustumist liikmesriigi õigusest tulenev õigus esitada hagi, selleks et lõpetada tegevus, mis kujutab endast korraga nii sellest määrusest tulenevate õiguste rikkumist kui ka tarbijakaitse ja ebaausate kaubandustavade vastu võitlemise normide rikkumist. Kuna Euroopa Kohus on leidnud, et selline õigus esitada hagi on direktiiviga 95/46/EÜ(3) kooskõlas(4), tuleb tal otsustada, kas määrusega 2016/679 muudeti selles küsimuses õiguslikku olukorda või mitte.

II.    Õiguslik raamistik

A.      Määrus 2016/679

5.        Määruse 2016/679 artikkel 80 „Andmesubjektide esindamine“ on sõnastatud järgmiselt(5):

„1.      Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2.      Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“

B.      Saksa õigus

6.        3. juuli 2004. aasta ebaausa konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb)(6) põhikohtuasjas kohaldatava redaktsiooni § 3 lõikes 1 on sätestatud:

„Ebaausad kaubandustavad on õigusvastased.“

7.        UWG § 3a on sõnastatud järgmiselt:

„Ebaausat kaubandustava rakendab igaüks, kes rikub õigusnormi, mis on muu hulgas ette nähtud selleks, et turuosaliste huvides reguleerida tegevust turul, kui see rikkumine võib oluliselt kahjustada tarbijate, teiste turuosaliste või konkurentide huve.“

8.        UWG § 8 lõiked 1 ja 3 on sõnastatud järgmiselt:

„1.      Isiku vastu, kes rakendab §‑ide 3 või § 7 tähenduses ebaausat kaubandustava, võib esitada nõude selle tegevuse lõpetamiseks ja tegevuse kordumise ohu korral sellest tegevusest hoidumiseks. Õigus nõuda tegevusest hoidumist tekib niipea, kui esineb § 3 või § 7 rikkumise oht.

[…]

3.      Lõike 1 alusel võib nõudeid esitada:

[…]

3.      pädevad üksused, kes tõendavad, et nad on kantud [26. novembri 2001. aasta tarbijakaitsealaste või muude õigusnormide rikkumise lõpetamiseks või rikkumisest hoidumiseks hagi esitamise seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen)(7), põhikohtuasjas kohaldatavas redaktsioonis] § 4 alusel koostatud loetellu või Euroopa Parlamendi ja nõukogu 23. aprilli 2009. aasta direktiivi 2009/22/EÜ (tarbijate huve kaitsvate ettekirjutuste kohta) artikli 4 lõike 3 alusel komisjoni koostatud pädevate üksuste nimekirja[(8)];

[…]“

9.        UKlaG §-is 2 on sätestatud:

„1.      Isiku suhtes, kes rikub tarbijate kaitseks kehtestatud õigusnorme (tarbijakaitsenormid) muul viisil kui tüüptingimuste kohaldamise või soovitamise kaudu, võib tarbijakaitse huvides esitada nõude tegevusest hoidumiseks ja tegevuse viivitamata lõpetamiseks.

2.      Tarbijakaitsenormid käesoleva sätte tähenduses on eelkõige:

[…]

11.      õigusnormid, mis reguleerivad

a)      ettevõtja poolt tarbija isikuandmete kogumise või

b)      ettevõtja poolt tarbija kohta kogutud isikuandmete töötlemise või kasutamise

lubatavust, kui andmeid kogutakse, töödeldakse või kasutatakse reklaami, turu- või arvamusuuringute, taustakontrolli, isiku- või kasutajaprofiilide loomise, aadresside või muude andmete müügiks pakkumise eesmärgil või võrreldaval ärilisel eesmärgil.

[…]“.

10.      Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) märgib, et UKlaG § 3 lõike 1 esimese lause punkti 1 kohaselt võivad organisatsioonid, kellel on õigus esitada hagi selle sätte tähenduses, algatada menetluse tarbijate kaitset käsitlevate õigusnormide rikkumise lõpetamiseks, mis vastavalt selle seaduse § 2 lõike 2 esimese lause punktile 11 puudutab ka sätteid, mis käsitlevad tarbija isikuandmete reklaami eesmärgil kogumise, töötlemise ja kasutamise õiguspärasust ettevõtja poolt. Lisaks võivad UKlaG § 3 lõike 1 esimese lause punkti 1 alusel kaebeõigust omavad organisatsioonid ka UKlaG § 1 kohaselt nõuda Bürgerliches Gesetzbuch’i (tsiviilseadustik) § 307 alusel tühiste tüüptingimuste kasutamise lõpetamist, kui nad leiavad, et need tüüptingimused rikuvad andmekaitsenormi.

11.      26. veebruari 2007. aasta Telemediengesetzi (elektrooniliste teabe- ja sideteenuste seadus)(9) § 13 lõige 1 on sõnastatud järgmiselt:

„Teenuseosutaja peab sideteenuse kasutamise alguses teavitama kasutajat üldiselt arusaadavas vormis tema isikuandmete kogumise ja kasutamise viisist, ulatusest ja eesmärkidest ning tema andmete töötlemisest riikides väljaspool [direktiivi 95/46] kohaldamisala, kui seda ei ole juba eelnevalt tehtud. Automatiseeritud toimingu korral, mis võimaldab kasutajat hiljem identifitseerida ja valmistab ette isikuandmete kogumise või kasutamise, tuleb kasutajat teavitada toimingu alguses. Teavituse sisu peab olema kasutajale igal ajal kättesaadav.“

III. Põhikohtuasja asjaolud ja eelotsuse küsimus

12.      Saksamaal on tarbijakaitseorganisatsioonide liit kantud nende üksuste loetellu, kellel on õigus esitada hagi UKlaG § 4 alusel. Facebook Ireland haldab veebiaadressil www.facebook.com platvormi Internet Facebook, mis võimaldab isikuandmete ja muude andmete vahetamist.

13.      Veebiplatvormil Facebook on koht nimega „App Center (rakenduste keskus), kus Facebook Ireland teeb kasutajatele muu hulgas kättesaadavaks kolmandate isikute pakutavad tasuta mängud. Teatavate mängudega tutvumisel 26. novembril 2012 võis kasutaja nupule „Sofort spielen“ (Mängi kohe) klõpsamisel näha teatavat teavet. Sellest teabest nähtub sisuliselt, et kõnealuse rakenduse kasutamine võimaldas mänge pakkuval äriühingul saada teatud hulga isikuandmeid ja avaldada kasutaja nimel teatavat teavet, nagu tema punktisumma. See kasutamine eeldas, et kasutaja nõustub rakenduse kasutamise tüüptingimustega ja andmekaitse normidega. Lisaks on mängu „Scrabble“ puhul märgitud, et rakendusel lubatakse avaldada kasutaja nimel tema staatust, fotosid ja muud teavet.

14.      Tarbijakaitseorganisatsioonide liit kritiseerib rakenduste alal nupu „Mängi“ klõpsamisel edastatavate andmete esitamist, kuna see on ebaaus kaubandustava eelkõige seetõttu, et rikutakse seadusest tulenevat nõuet saada kasutajalt andmekaitset reguleerivates sätetes ette nähtud kehtiv nõusolek. Lisaks leiab ta, et mängu „Scrabble“ lõppmärkuse on kasutajat ebamõistlikult kahjustav tüüptingimus.

15.      Selles kontekstis esitas tarbijakaitseorganisatsioonide liit Facebook Irelandi vastu Landgericht Berlinile (Berliini esimese astme kohus, Saksamaa) hagi rikkumisest hoiduma kohustamiseks. Eelotsusetaotluse esitanud kohus täpsustab, et hagi on esitatud sõltumata andmesubjekti õiguste konkreetsest rikkumisest ja ilma andmesubjekti volituseta.

16.      Tarbijakaitseorganisatsioonide liit nõuab, et äriühingul Facebook Ireland keelataks sunnimeetmete kohaldamise hoiatusel „pakkuda äritegevuse raames Saksamaa Liitvabariigis alalist elukohta omavatele tarbijatele veebiaadressil www.facebook.com olevas „rakenduste keskuses“ mänge, mille puhul kasutaja nõustub sellisel nupul nagu „[Mängi kohe]“ klõpsates sellega, et mängu pakkuja saab äriühingu [Facebook Ireland] hallatava sotsiaalvõrgustiku vahendusel teavet selles võrgustikus olemasolevate isikuandmete kohta ja lubab seda teavet edastada (avaldada) tarbija nimel […].“.

17.      Samuti palus tarbijakaitseorganisatsioonide liit, et äriühingul Facebook Ireland keelataks „lisada Saksamaal alalist elukohta omavate tarbijatega sõlmitud lepingutesse järgmist tingimust säte või identse sisuga tingimusi, mis käsitlevad rakenduste (äppide) kasutamist sotsiaalvõrgustikus, ning viidata tingimustele, mis käsitlevad andmete edastamist mängude haldajatele: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ [Sellel rakendusel on lubatud avaldada sinu nimel sinu staatus, fotosid ja muud teavet]“.

18.      Landgericht Berlin (Berliini esimese astme kohus) rahuldas tarbijakaitseorganisatsioonide liidu hagi äriühingu Facebook Ireland vastu. Äriühingu Facebook Ireland poolt Kammergericht Berlinile (Berliini kõrgeim piirkondlik kohus, Saksamaa) esitatud apellatsioonkaebus jäeti rahuldamata.

19.      Facebook Ireland esitas eelotsusetaotluse esitanud kohtule apellatsioonikohtu otsuse peale kassatsioonkaebuse.

20.      Eelotsusetaotluse esitanud kohus leiab vaidluse sisu kohta, et apellatsioonikohus otsustas õigesti, et tarbijakaitseorganisatsioonide liidu nõuded olid põhjendatud. Kuna Facebook Ireland ei täitnud TMG § 13 lõike 1 esimese lause esimesest osast tulenevaid teavitamiskohustusi, rikkus ta UWG § 3a ja UKlaG § 2 lõike 2 esimese lause punkti 11 sätteid. Apellatsioonikohus leidis õigesti, et käesolevas asjas kõne all olevad TMG § 13 sätted on õigusnormid, mis reguleerivad ettevõtjate tegevust turul UWG § 3a tähenduses. Lisaks sellele on tegemist sätetega, mis vastavalt UKlaG § 2 lõike 2 esimese lause punkti 11 alapunktile a reguleerivad ettevõtja poolt tarbija isikuandmete kogumise, töötlemise või kasutamise seaduslikkust juhul, kui isikuandmeid koguti, töödeldi või kasutati reklaami otstarbel. Eelotsusetaotluse esitanud kohus leiab lisaks sellele, et kuna Facebook Ireland ei täitnud käesolevas asjas kohaldatavaid andmekaitse valdkonna teabe esitamise kohustusi, kasutas äriühing tühist tüüptingimust UKlaG § 1 tähenduses.

21.      Eelotsusetaotluse esitanud kohtul on siiski tekkinud küsimus, kas apellatsioonikohus leidis õigesti, et tarbijakaitseorganisatsioonide liidu kaebus on vastuvõetav. Tal on nimelt tekkinud küsimus, kas sellisel tarbijate huve kaitsval ühendusel nagu tarbijakaitseorganisatsioonide liit on alates määruse 2016/679 jõustumisest endiselt õigus esitada hagi tsiviilkohtule selle määruse rikkumise peale, sõltumata üksikute andmesubjektide õiguste konkreetsest rikkumisest ja ilma nende isikute volituseta, viidates õiguse rikkumisele UWG § 3a tähenduses, tarbijakaitsenormide rikkumisele UKlaG § 2 lõike 2 esimese lause punkti 11 rikkumisele või tühiste tüüptingimuste kasutamisele UKlaG § 1 tähenduses.

22.      Eelotsusetaotluse esitanud kohus märgib, et enne määruse 2016/679 jõustumist ei olnud hagi vastuvõetavuses kahtlust. Nimelt oli tarbijakaitseorganisatsioonide liidul UWG § 8 lõike 3 punkti 3 ja UKlaG § 3 lõike 1 esimese lause punkti 1 alusel õigus esitada hagi tsiviilkohtule õigusvastaste tingimuste kasutamise lõpetamiseks.

23.      Kõneluse kohtu sõnul on võimalik, et see õiguslik kord muutus määruse 2016/679 jõustumise tõttu.

24.      Sisulistes küsimustes märgib ta, et TMG § 13 lõike 1 sätted ei ole alates kõnealusest jõustumisest enam kohaldatavad, sest asjakohane teavitamiskohustus tuleneb nüüd määruse 2016/679 artiklitest 12–14. Eelotsusetaotluse esitanud kohtu väitel ei ole Facebook Ireland seega täitnud kohustust, mis tuleneb selle määruse artikli 12 lõike 1 esimesest lausest ja mis seisneb selles, et andmesubjektile esitatakse kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, nimetatud määruse artikli 13 lõike 1 punktides c ja e osutatud teave, mis puudutab andmete töötlemise eesmärki ja isikuandmete vastuvõtjat.

25.      Seoses hagi vastuvõetavusega esineb eelotsusetaotluse esitanud kohtu sõnul vaieldavust küsimuses, kas organisatsioonidel, kellel on õigus esitada hagi UKlaG § 4 tähenduses, on alates määruse 2016/679 jõustumisest ja UWG § 8 lõike 3 punkti 3 alusel õigus esitada hagi selle ELTL artikli 288 lõike 2 esimese lause kohaselt vahetult kohaldatava määruse sätete rikkumise peale, tuginedes õiguse rikkumisele UWG § 3a tähenduses.

26.      Sellega seoses viitab eelotsusetaotluse esitanud kohus erinevatele seisukohtadele küsimuses, kas määrus 2016/679 reguleerib ise ammendavalt selle määruse sätete kohaldamise kontrolli.

27.      See kohus märgib määruse 2016/679 sõnastuse kohta, et sellise üksuse nagu tarbijakaitseorganisatsioonide liit õigus esitada hagi UWG § 8 lõike 3 punkti 3 alusel ei kuulu selle määruse § 80 lõike 1 kohaldamisalasse, kuna põhikohtuasjas kõne all olevat rikkumisest hoidumise hagi ei esitatud andmesubjekti volitusel ja nimel tema isiklike õiguste kaitseks. Vastupidi, tegemist on tarbijakaitseorganisatsioonide liidu õigusega esitada hagi tema enda õiguse alusel, mis võimaldab tal rikkumise korral UWG § 3a tähenduses esitada hagi nimetatud määruse sätete rikkumise objektiivsel alusel, sõltumata andmesubjekti konkreetsete õiguste rikkumisest ja tema volitusest.

28.      Eelotsusetaotluse esitanud kohus märgib aga, et tarbijakaitseorganisatsioonide liidu õigus esitada hagi isikuandmete kaitse õiguse objektiivse kohaldamise eesmärgil ei ole määruse 2016/679 artikli 80 lõikes 2 ette nähtud. Nimelt, kuigi selles sättes on ette nähtud võimalus, et niisugune üksus võib hagi esitada sõltumata andmesubjekti mis tahes volitusest, on siiski vaja, et andmesubjekti õigusi, mis on selles määruses ette nähtud, oleks isikuandmete töötlemise tõttu rikutud. Järelikult ei anna nimetatud määruse artikli 80 lõike 2 sätted nende sõnastust arvestades hagi esitamise õigust ka ühingutele, kes tuginevad isikuandmete kaitset käsitleva õiguse objektiivsetele rikkumistele, sõltumata konkreetse andmesubjekti subjektiivsete õiguste rikkumisest, viidates nii nagu käesolevas asjas UWG §‑le 3a ja § 8 lõike 3 punktile 3. Samasuguse järelduse võib teha määruse 2016/679 põhjenduse 142 teisest lausest, milles on samuti öeldud, et andmesubjekti õiguste rikkumine on tingimus, mis võimaldab ühingul esitada hagi sõltumata kõnealuse isiku volitusest.

29.      Lisaks ei saa ühingule UWG § 8 lõikes 3 ette nähtud õigus esitada hagi eelotsusetaotluse esitanud kohtu sõnul tuleneda määruse 2016/679 artikli 84 lõikest 1, mille kohaselt liikmesriigid kehtestavad selle määruse rikkumiste korral kohaldatavad karistusnormid ning võtavad kõik vajalikud meetmed, et tagada nende normide rakendamine. Sellise ühingu õigust esitada hagi, nagu on silmas peetud UWG § 8 lõikes 3, ei saa nimelt pidada „karistuseks“ kõnealuse määruse selle sätte tähenduses.

30.      Eelotsusetaotluse esitanud kohus märgib lisaks sellele, et määruse 2016/679 ülesehitus ei võimalda kindlalt välja selgitada, kas alates selle määruse jõustumisest võib veel tunnustada asutuse õigust esitada hagi UWG § 8 lõike 3 punkti 3 alusel ehk sätte alusel, mille eesmärk on võidelda ebaausa konkurentsi vastu. See kohus leiab, et asjaolust, et määrus annab järelevalve- ja uurimisasutustele ulatusliku pädevuse parandusmeetmete võtmiseks, võib järeldada, et peamiselt on nende asutuste ülesanne kontrollida kõnealuse määruse sätete kohaldamist. See läheks vastuollu määruse 2016/679 artikli 80 lõike 2 laia tõlgendamisega. Eelotsusetaotluse esitanud kohus märgib samuti, et riigisiseste meetmete vastuvõtmine määruse rakendamiseks on põhimõtteliselt võimalik üksnes juhul, kui see on sõnaselgelt lubatud. Siiski võib selle määruse artikli 77 lõikes 1, artikli 78 lõigetes 1 ja 2 ning artikli 79 lõikes 1 sisalduv väljend „[i]lma et see piiraks muude [õiguskaitsevahendite] kohaldamist,“ ümber lükata väite, et selle määrusega on ammendavalt reguleeritud õiguse kohaldamise kontroll.

31.      Mis puudutab määruse 2016/679 eesmärki, siis võib selle soovitav toime rääkida selle kasuks, et ühingutel on konkurentsiõiguse alusel õigus esitada hagi vastavalt UWG § 8 lõike 3 punktile 3, sõltumata andmesubjektide konkreetsete õiguste rikkumisest, kuna see annaks täiendava võimaluse kontrollida õiguse kohaldamist, et tagada isikuandmete kaitse võimalikult kõrge tase vastavalt kõnealuse määruse põhjendusele 10. Nõustumine sellega, et ühingutel on konkurentsiõiguse alusel hagi esitamise õigus, võib siiski olla vastuolus kõnealuse määrusega taotletava ühtlustamiseesmärgiga.

32.      Eelotsusetaotluse esitanud kohus kahtleb ka selles, kas pärast määruse 2016/679 jõustumist säilib UKlaG § 3 lõike 1 esimese lause punktis 1 sätestatud organisatsioonide õigus esitada hagi selle määruse sätete rikkumise korral, kui tegemist on hagidega, mis on esitatud tarbijakaitsenormide rikkumise tõttu UKlaG § 2 lõike 2 esimese lause punkti 11 tähenduses. Sama kehtib ka tarbija huve kaitsva ühingu kaebeõiguse kohta UKlaG § 1 alusel, et nõuda tühiste üldtingimuste kasutamise lõpetamist tsiviilseadustiku § 307 tähenduses.

33.      Kui eeldada, et riigisiseseid õigusnorme, mis enne määruse 2016/679 jõustumist andsid organisatsioonidele õiguse esitada hagi, võib pidada selle määruse artikli 80 lõike 2 ennetavaks rakendamiseks, on käesolevas asjas tarbijakaitseorganisatsioonide liidu õiguse tunnustamiseks vaja eelotsusetaotluse esitanud kohtu sõnul, et ta tugineks sellele, et selles määruses ette nähtud andmesubjekti õigusi on rikutud töötlemise tõttu. See tingimus ei ole aga täidetud.

34.      Nimelt rõhutab eelotsusetaotluse esitanud kohus, et tarbijakaitseorganisatsioonide liidu järeldused puudutavad andmekaitsega seotud abstraktset kontrolli äriühingu Facebook Ireland pakutaval rakenduste keskuses, kuid tarbijakaitseorganisatsioonide liit ei ole esitanud väiteid ühegi tuvastatud või tuvastatava füüsilise isiku õiguste rikkumise kohta määruse 2016/679 artikli 4 punkti 1 tähenduses.

35.      Kui peaks leidma kinnitust asjaolu, et tarbijakaitseorganisatsioonide liit kaotas määruse 2016/679 jõustumise tagajärjel õiguse esitada hagi eespool viidatud Saksa õigusnormide alusel, siis märgib eelotsusetaotluse esitanud kohus, et ta peaks Facebook Irelandi esitatud kassatsioonkaebuse rahuldama ja jätma tarbijakaitseorganisatsioonide liidu hagi rahuldamata, kuna Saksa menetlusõiguse kohaselt peab õigus esitada hagi säilima kuni viimase kohtuastme lõpuni.

36.      Neil asjaoludel otsustas Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:

„Kas määruse 2016/679 VIII peatüki sätetega, eelkõige artikli 80 lõigetega 1 ja 2 ning artikli 84 lõikega 1 on vastuolus liikmesriigi õigusnormid, mis – lisaks [selle] määruse kohaldamise järelevalve ja täitmise tagamise pädevusega järelevalveasutustele antud sekkumisõigusele ning andmesubjektide kasutatavatele õiguskaitsevahenditele – näevad ette, et ühelt poolt konkurentidel ja teiselt poolt liikmesriigi õiguse alusel volitatud ühendustel, asutustel ja kodadel on määruse 2016/679 rikkumise korral sõltumata andmesubjektide konkreetsete õiguste rikkumisest ja ilma andmesubjekti volituseta õigus esitada rikkuja vastu tsiviilkohtusse hagi, kui tegemist on ebaausa kaubandustava kasutamise keelu, tarbijakaitsenormide või tühiste tüüptingimuste kasutamise keelu rikkumisega?“

37.      Kirjalikud seisukohad on esitanud tarbijakaitseorganisatsioonide liit, Facebook Ireland, Austria ja Portugali valitsused ning komisjon. Need pooled peale Portugali valitsuse esitasid suulised seisukohad 23. septembril 2021 toimunud kohtuistungil.

IV.    Analüüs

38.      Oma küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määrust 2016/679 ja eelkõige selle artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu, tuginedes ebaausate kaubandustavade kasutamise keelule, tarbijakaitsenormide rikkumisele või õigustühiste tüüptingimuste kasutamise keelule.

39.      Määruse 2016/679 artikli 4 punkti 1 kohaselt on „andmesubjekt“ selle määruse tähenduses „tuvastatud või tuvastatav füüsiline isik“. Kui selline isik leiab, et tema isikuandmeid on töödeldud vastuolus selle määruse sätetega, on tal mitu tegutsemisviisi.

40.      Nii on andmesubjektil kõnealuse määruse artikli 77 alusel õigus esitada kaebus järelevalveasutusele. Lisaks sellele on tal määruse 2016/679 artikli 78 kohaselt õigus tõhusale kohtulikule õiguskaitsevahendile järelevalveasutuse vastu. Samuti on selle määruse artikli 79 lõike 1 kohaselt igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema kõnealusest määrusest tulenevaid õigusi on rikutud tema isikuandmete sellise töötlemise tulemusel, millega rikutakse seda määrust.

41.      Andmesubjektid võivad loomulikult ise esitada kaebuse järelevalveasutusele või kasutada eespool kirjeldatud kohtulikke õiguskaitsevahendeid. Samas on määruse 2016/679 artiklis 80 teatud tingimustel ette nähtud võimalus, et neid esindab mittetulunduslik asutus, organisatsioon või ühendus. Lisaks individuaalsetele õiguskaitsevahenditele on liidu õiguses seega ette nähtud erinevad võimalused esindushagide esitamiseks selliste üksuste vahendusel, kelle ülesanne on andmesubjekte esindada(10). Määruse 2016/679 artikkel 80 on seega seotud suundumusega, mis seisneb esindushagide esitamises nende üksuste poolt üldiste või ühiste huvide kaitsmise eesmärgil, ning tegemist on vahendiga, millega tõhustatakse nende isikute juurdepääsu kohtusüsteemile, keda kõnealuste normide rikkumine puudutab(11).

42.      Määruse 2016/679 artikkel 80 „Andmesubjektide esindamine“ sisaldab kaht lõiget. Esimene puudutab olukorda, kus andmesubjekt volitab teda esindama asutuse, organisatsiooni või ühingu. Teine puudutab esindushagi, mille üksus esitab sõltumata mis tahes andmesubjekti antud volitusest.

43.      Kuna tarbijakaitseorganisatsioonide liidu tegevus ei tugine andmesubjekti antud volitusele, on käesoleva eelotsusetaotluse raames asjakohane määruse 2016/679 artikli 80 lõige 2.

A.      Kohtuotsus Fashion ID

44.      Kohtuotsuses Fashion ID käsitles Euroopa Kohus seoses direktiiviga 95/46 küsimust, mis on sarnane käesoleva eelotsusetaotluse raames esitatud küsimusega. Euroopa Kohus otsustas, et „[selle direktiivi] artikleid 22–24 tuleb tõlgendada nii, et nendega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset“(12).

45.      Sellele järeldusele jõudmiseks lähtus Euroopa Kohus tõdemusest, et direktiivi 95/46 ükski säte ei pane liikmesriikidele kohustust näha oma riigisiseses õiguses ette – ega anna neile selleks ka sõnaselgelt volitusi – võimalust ühingul sellist isikut kohtus esindada või omal algatusel esitada hagi oletatava isikuandmete kaitset kahjustava isiku vastu(13). Euroopa Kohtu väitel ei järeldu sellest siiski, et selle direktiiviga on vastuolus liikmesriigi õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu(14). Sellega seoses on Euroopa Kohus rõhutanud direktiivile omaseid tunnuseid ja adressaatideks olevate liikmesriikide kohustust võtta kõik vajalikud meetmed, et tagada direktiivi täielik mõju vastavalt direktiivi eesmärgile(15).

46.      Euroopa Kohus meenutas seejärel, et direktiivi 95/46 aluseks olev eesmärk on „isikuandmete töötlemisel kaitsta tõhusalt ja täielikult füüsiliste isikute põhiõigusi ja -vabadusi, sh õigust eraelule“, ja märkis, et „[Euroopa] [L]iidus tagatava kaitse tase peab olema kõrge“(16). Euroopa Kohtu hinnangul aitab see, kui liikmesriik näeb oma riigisisestes õigusnormides ette tarbijate huve kaitsva ühingu võimaluse esitada hagi oletatava isikuandmete kaitset kahjustava isiku vastu hoopis kaasa nende eesmärkide saavutamisele(17). Euroopa Kohus on lisaks rõhutanud, et „liikmesriikidel [on] direktiivi [95/46] ülevõtmisel mitmes aspektis tegutsemisruum“,(18) eriti seoses direktiivi artiklitega 22–24, mis „on sõnastatud üldiselt ja millega ei ole ammendavalt ühtlustatud riigisiseseid sätteid, mis reguleerivad õiguskaitsevahendeid, mida võib esitada oletatava isikuandmete kaitset kahjustava isiku vastu“(19). Seega, „[s]ee, et tarbijate huve kaitsvale ühingule on ette nähtud võimalus esitada hagi isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset, võib olla [selle direktiivi artikli 24] tähenduses sobiv meede, mis […] aitab kaasa direktiivi eesmärkide saavutamisele kooskõlas Euroopa Kohtu praktikaga“(20).

47.      Käesolevas eelotsusetaotluses palutakse Euroopa Kohtul otsustada, kas see, millega võis direktiivi 95/46 kohaldamisalas nõustuda, tuleks pärast määruse 2016/679 jõustumist edaspidi keelata. Teisisõnu, kas selle määruse artikli 80 lõike 2 õiguslik tagajärg on see, et sellise hagi puhul, nagu on kõne all põhikohtuasjas, kaob tarbijate huve kaitsva ühenduse õigus esitada hagi?

48.      Selles võib kahelda juba ainuüksi kohtuotsuse Fashion ID punkti 62 põhjal, milles Euroopa Kohus märkis, et asjaolu, et määruse 2016/679 artikli 80 lõikega 2 on „sõnaselgelt lubatud liikmesriikidel võimaldada tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu, ei tähenda, et liikmesriigid ei võinud neile seda õigust anda direktiivi 95/46 kehtivusajal, vaid kinnitab hoopis, et direktiivi tõlgendus, millest käesolevas kohtuotsuses lähtutakse, kajastab liidu seadusandja tahet“(21).

49.      Põhjustel, mida ma järgnevalt selgitan, leian, et direktiivi 95/46 asendamine määrusega ega asjaolu, et määruses 2016/679 on nüüd ette nähtud artikkel andmesubjektide esindamise kohta kohtumenetluses, ei sea kahtluse alla seda, mida Euroopa Kohus otsustas kohtuotsuses Fashion ID, nimelt et liikmesriigid võivad oma riigisisestes õigusnormides ette näha tarbijate huve kaitsvate ühingute võimaluse pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu.

B.      Määruse 2016/679 eripärad

50.      Seoses direktiivi 95/46 asendamisega erinevat laadi normiga, nimelt määrusega 2016/679, tuleb märkida, et liidu seadusandja valik kasutada määruse õiguslikku vormi, mis on ELTL artikli 288 kohaselt tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides, on selgitatav määruse 2016/679 põhjenduses 13 väljendatud sooviga tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul. Seetõttu näib see määrus esmapilgul olevat suunatud täieliku ühtlustamise poole, kuna selleks, et mitte ohustada kõnealuse määruse sätete samaaegset ja ühetaolist kohaldamist liidus, ei ole seega piirdutud selliste miinimumnõuete kehtestamisega, mida liikmesriigid võivad kohaldada, ega jäetud neile liikmesriikidele võimalust teha selle sätetest erandeid või neid sätteid täiendada või rakendada.

51.      Tegelik olukord on keerulisem. Nimelt ei võimalda määruse 2016/679 õiguslik alus, see tähendab ELTL artikkel 16,(22) asuda seisukohale, et liit oleks selle määruse vastuvõtmisega katnud kõik mõjualad, mida isikuandmete kaitse võib omada teistes valdkondades, mis puudutavad eelkõige tööõigust, konkurentsiõigust või tarbijaõigust, võttes liikmesriikidelt võimaluse võtta nendes valdkondades vastu erinorme, ja seda enam või vähem autonoomselt, olenevalt sellest, kas tegemist on liidu õigusega reguleeritud valdkonnaga või mitte(23). Seega, kuigi isikuandmete kaitse on oma olemuselt üldine, piirdub määrusega 2016/679 läbiviidav ühtlustamine selle määrusega konkreetselt selles valdkonnas hõlmatud aspektidega. Väljaspool neid valdkondi jääb liikmesriikidele reguleerimisõigus, kui sellega ei kahjustata kõnealuse direktiivi soovitavat toimet.

52.      Lisaks tuleb märkida, et kui vaadelda üksikasjalikult määruse 2016/679 sätteid, siis tuleb tõdeda, et selle määrusega läbi viidud ühtlustamise ulatus varieerub olenevalt asjaomastest sätetest. Kõnealuse määruse normatiivse ulatuse kindlaksmääramine nõuab seega juhtumipõhist analüüsi(24). Kuigi direktiivi 95/46 käsitleva kohtupraktika kohaselt(25) võib asuda seisukohale, et määrusega 2016/679 teostatakse ühtlustamine, mis on „põhimõtteliselt täielik“, annavad selle määruse mitmed sätted siiski liikmesriikidele tegutsemisruumi, mida nad olenevalt olukorrast peavad või võivad kasutada nendes sätetes ette nähtud tingimustel ja piires(26).

53.      Tuleb meenutada, et Euroopa Kohtu väljakujunenud praktika kohaselt on „ELTL artikli 288 alusel ning määruste olemuse ja ülesande tõttu liidu õiguse allikate süsteemis määruse sätetel liikmesriikide õiguskordades tavaliselt vahetu mõju, ilma et liikmesriikide võimudel oleks vaja võtta rakendusmeetmeid. Siiski võib teatavate määruse sätete puhul olla nende rakendamiseks vajalik, et liikmesriigid võtaksid rakendusmeetmed“(27). Määruse kasutamine ei tähenda tingimata seda, et õigussubjektidele selle määruse sätetega jäetud igasugune tegutsemisvabadus puudub(28). Pealegi ei tähenda määruse kohustuslikkus ja vahetu kohaldatavus, et sedalaadi õigusaktis ei tohi sisalduda fakultatiivseid norme(29).

54.      Määruse 2016/679 artikli 80 lõige 2 on sõna „võivad“ kasutamise tõttu näide fakultatiivsest sättest, mis annab liikmesriikidele selle rakendamisel kaalutlusruumi.

55.      See säte on üks paljudest selles määruses sisalduvatest „kaitseklauslitest“, mis muudavad selle klassikalise määrusega võrreldes eripäraseks ja sarnasemaks direktiiviga(30). Nendes sätetes sisalduvad viited liikmesriigi õigusele võivad olla kohustuslikud,(31) kuid kujutavad endast siiski enamasti liikmesriikidele jäetud võimalust(32). Võis täheldada, et need arvukad viited liikmesriikide õigusele tekitavad liidus isikuandmete kaitse korra uue killustumise ohu, mis läheb vastuollu liidu seadusandja väljendatud tahtega saavutada selle korra suurem ühtlustamine, ning mis võib avaldada negatiivset mõju selle kaitse tõhususele ning andmete töötlemise eest vastutava isiku ja volitatud töötlejate kohustuste selgusele(33). Määrusega 2016/679 tehtud ühtlustamise ulatus on seega piiratud paljude selles määruses sisalduvate „kaitseklauslitega“.

56.      On ilmne, et võrreldes olukorraga, millega oli tegemist direktiivi 95/46 puhul, soovis liidu seadusandja määrusega 2016/679 reguleerida laiemalt ja täpsemalt liidu tasandil andmesubjektide esindamisega seotud aspekte, mis võimaldavad esitada järelevalveasutusele kaebuse või kohtule hagi(34). Selle määruse artikli 80 lõigetel 1 ja 2 ei ole siiski sama normatiivne ulatus. Nimelt, kuigi selle artikli lõige 1 on liikmesriikidele kohustuslik,(35) annab selle lõige 2 liikmesriikidele üksnes võimaluse. Seega peavad liikmesriigid selleks, et nimetatud määruse artikli 80 lõikes 2 ette nähtud volituseta esitatud hagi oleks võimalik esitada, kasutama neile selle sättega antud võimalust näha oma riigisiseses õiguses ette andmesubjektide esindamine.

57.      Määruse 2016/679 artikli 80 lõiget 2 ei saa juba selle fakultatiivse iseloomu ja liikmesriikide õiguse võimalike erinevuste tõttu, mida see eeldab, pidada selliseks, millega ühtlustati täielikult ilma volituseta esindushagid isikuandmete kaitse valdkonnas. Liikmesriigid peavad selle sätte rakendamisel oma riigisiseses õiguses siiski järgima tingimusi ja piire, mille raames liidu seadusandja soovis kõnealuses sättes ette nähtud võimaluse kasutamist piirata.

58.      Kuigi raamistik on võrreldes direktiiviga 95/46 sätestatud olukorraga täpsem, jääb liikmesriikidele siiski kaalutlusruum määruse 2016/679 artikli 80 lõike 2 rakendamisel.

59.      Euroopa Kohtu käsutuses olevatest andmetest nähtub, et Saksamaa seadusandja ei ole pärast selle määruse jõustumist vastu võtnud sätet, mille eesmärk oleks konkreetselt rakendada liikmesriigi õiguses selle määruse artikli 80 lõiget 2. Nagu eelotsusetaotluse esitanud kohus Euroopa Kohtult palub, tuleb seejuures siiski analüüsida, kas selle sättega on kooskõlas Saksa õigusnormid, mis annavad tarbijate huve kaitsvale ühingule õiguse esitada hagi sellise tegevuse lõpetamiseks, mis kujutab endast ühtaegu nii määruse 2016/679 sätete kui ka eelkõige tarbijakaitsega seotud normide rikkumist. Teisisõnu, kas enne selle määruse jõustumist kehtinud liikmesriigi õigus on kooskõlas määruse artikli 80 lõikes 2 lubatuga?

60.      Nagu Saksamaa valitsus kohtuistungil täpsustas, kujutavad liikmesriigi õigusnormid, mis annavad sellisele ühendusele nagu tarbijakaitseorganisatsioonide liit õiguse esitada sellist esindushagi, nagu on kõne all põhikohtuasjas, endast direktiivi 2009/22 ülevõtmise meetmeid. Selleks et vastata küsimusele, kas määruse 2016/679 artikli 80 lõige 2 lubab samuti niisugust hagi, ja seega, kas need samad liikmesriigi sätted kuuluvad igale liikmesriigile antud kaalutlusruumi piiresse,(36) tuleb seda artiklit tõlgendada, võttes eelkõige arvesse selle sõnastust ning määruse ülesehitust ja eesmärke.

C.      Määruse 2016/679 artikli 80 lõike 2 grammatiline, süsteemne ja teleoloogiline tõlgendamine

61.      Määruse 2016/679 artikli 80 lõike 2 kohaselt on selles artiklis ette nähtud esindushagide esitamise õigus igal selle artikli „lõikes 1 osutatud asutusel, organisatsioonil või ühendusel“. Selle määruse artikli 80 lõikes 1 on nimetatud „mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega“. Niisugust määratlust ei saa minu arvates piirata üksustega, mille ainus eesmärk on isikuandmete kaitse, vaid see hõlmab kõiki üksusi, mis järgivad avalikku huvi teenivat eesmärki, millel on seos isikuandmete kaitsega. Nii on see selliste tarbijate huve kaitsvate ühingute puhul nagu tarbijakaitseorganisatsioonide liit, kes peavad esitama hagi sellise tegevuse lõpetamiseks, mis rikub nimetatud määruse sätteid rikkudes ka tarbijakaitse või ebaausa konkurentsi vastase võitluse valdkonnas kehtivaid õigusnorme(37).

62.      Määruse 2016/679 artikli 80 lõike 2 sõnastuse kohaselt võib esindushagi esitada üksus, mis vastab selle artikli lõikes 1 nimetatud tingimustele, kui ta „leiab, et [selle määruse] kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud“. Vastupidi sellele, mida näib väitvat eelotsusetaotluse esitanud kohus, ei arva ma, et seda viimast lauseosa tuleks tõlgendada kitsalt, nii et selleks, et üksusel oleks õigus tegutseda kooskõlas määruse 2016/679 artikli 80 lõikes 2 sätestatuga, peaks ta eelnevalt tuvastama ühe või mitu isikut, keda kõnealune töötlemine konkreetselt puudutab. Määruse ettevalmistavates materjalides ei ole midagi sellist ette nähtud. Lisaks näib mulle, et mõiste „andmesubjekt“ määratlus määruse artikli 4 punkti 1 tähenduses, st „tuvastatud või tuvastatav füüsiline isik(38)“ on minu arvates vastuolus nõudega, et isikud, kelle andmeid töödeldakse vastuolus määruse 2016/679 sätetega, peavad olema juba tuvastatud, kui esitatakse esindushagi selle määruse artikli 80 lõike 2 alusel. Sellest järeldub loogiliselt, et selle sätte kohaselt ei saa nõuda, et selles sättes ette nähtuga kooskõlas tegutsemiseks peab üksus tõendama individuaalselt määratletud isikutega seotud konkreetsete juhtumite olemasolu.

63.      Leian, et esindushagi määruse 2016/679 artikli 80 lõike 2 tähenduses eeldab üksnes seda, et väidetakse, et on toimunud isikuandmete töötlemine, mis on vastuolus selle üksikisiku õigusi kaitsva määruse sätetega ja mis võib seega kahjustada tuvastatud või tuvastatavate isikute õigusi, ilma et üksuse kaebeõigust kontrollitaks juhtumipõhiselt seoses sellega, kas on rikutud ühe või mitme konkreetse isiku õigusi(39). Kokkuvõttes peab selline hagi tuginema nende õiguste rikkumisele, mis võivad füüsilisel isikul sellest määrusest tuleneda pärast tema isikuandmete töötlemist. Selle hagi eesmärk ei ole kaitsta objektiivset õigust, vaid üksnes subjektiivseid õigusi, mis on andmesubjektidel tulenevalt otseselt määrusest 2016/679(40). Teisisõnu on selle määruse artikli 80 lõikes 2 sisalduva kaitseklausli eesmärk võimaldada pädevatel üksustel lasta järelevalveasutusel või kohtul kontrollida, kas andmete töötlemise eest vastutavad isikud järgivad määruses sisalduvaid andmesubjekte kaitsvaid norme(41). Seda silmas pidades piisab selleks, et üksus saaks selle sätte alusel esitada hagi, viitamisest määruse 2016/679 nende sätete rikkumisele, mille eesmärk on kaitsta andmesubjektide subjektiivseid õigusi.

64.      Nagu komisjon sisuliselt märgib, piiraks määruse 2016/679 artikli 80 lõike 2 selline tõlgendus, mille kohaselt peab üksus esindushagi ilma volituseta esitamiseks tõendama või väitma, et konkreetse isiku õigusi on konkreetses olukorras kahjustatud, liiga oluliselt selle sätte kohaldamisala. Leian samamoodi nagu Portugali valitsus ja komisjon, et selle määruse artikli 80 lõiget 2 tuleks tõlgendada nii, et see säilitab selle lõike soovitav toime sama artikli lõike 1 kõrval. Järelikult tuleb määruse artikli 80 lõiget 2 minu arvates mõista nii, et see läheb kaugemale üksikjuhtude esindamisest, mida käsitleb selle artikli lõige 1, andes võimaluse esindada pädevate üksuste algatusel autonoomselt nende isikute ühiseid huve, kelle isikuandmeid töödeldakse vastuolus määrusega 2016/679. Selle määruse artikli 80 lõike 2 soovitav toime väheneks olulisel määral, kui tuleks asuda seisukohale, et sarnaselt selle artikli lõikes 1 nõutule peab üksus piirama oma tegevust mõlemal juhul üksnes nimeliselt ja individuaalselt määratletud isikute esindamisega.

65.      Tõlgendus, mille ma määruse 2016/679 artikli 80 lõikele 2 annan, on pealegi kooskõlas rikkumisest hoidumise hagide ennetava laadiga ja hoiatava eesmärgiga ning nende sõltumatusega mis tahes individuaalsest vaidlusest(42).

66.      Kuna vastasel juhul tekiks oht, et luuakse kaks erinevat standardit nende üksuste õiguse kohta, kellel on õigus esitada rikkumisest hoidumise hagi, olenevalt sellest, kas selline hagi põhineb liikmesriigi meetmel, mis kuulub määruse 2016/679 artikli 80 lõike 2 kohaldamisalasse või meetmel, mis kuulub direktiivi 2020/1828 kohaldamisalasse, siis näib mulle, et kuigi see direktiiv ei ole põhikohtuasjas kohaldatav, tuleb arvesse võtta asjaolu, et kõnealune direktiiv nõuab niisugustelt üksustelt mitte selliste konkreetsete tarbijate olemasolu tõendamist, kelle õigusi on selle rikkumisega eiratud,(43) vaid selle tõendamist, et müüjad või teenuseosutajad on rikkunud selle direktiivi I lisas osutatud õigusnorme,(44) mida on samuti nimetatud määruse 2016/679 punktis 56.

67.      Määruse 2016/679 artikli 80 lõike 2 kitsast tõlgendamist pooldav seisukoht takistab minu arvates ekslikult tarbijate ühishuvide kaitset(45) ja iga sellise isiku õiguste kaitset, kelle andmete töötlemine on oletatavalt selle määrusega vastuolus. Nimelt ei välista tarbijate kollektiivsete huvide kaitse minu arvates andmesubjektide selliste subjektiivsete õiguste kaitset, mis tulenevad vahetult määrusest 2016/679, vaid vastupidi, see sisaldab niisugust kaitset.

68.      Lisaks sellele tuleb välja tuua direktiivi 2020/1828 põhjenduses 15, mille kohaselt „võiks […] määruses [2016/679] sätestatud või sellele tuginevaid õigusnormide täitmise tagamise viise tarbijate kollektiivsete huvide kaitsmiseks(46) kohaldatavuse korral endiselt kasutada“, esitatud kinnitus, et kõnealuse määruse artikli 80 lõikes 2 ette nähtud esindushagi abil on võimalik selliseid huve kaitsta.

69.      Järeldan eespool esitatud asjaoludest, et määruse 2016/679 artikli 80 lõikega 2 on minu arvates liikmesriikidel lubatud näha ette pädevate üksuste võimalus esitada ilma asjaomaste isikute volituseta esindushagisid, mille eesmärk on kaitsta tarbijate kollektiivseid huve, kui väidetakse, et rikutud on selle määruse neid sätteid, mille eesmärk on anda andmesubjektidele subjektiivseid õigusi.

70.      Tarbijakaitseorganisatsioonide liidu poolt äriühingu Facebook Ireland vastu esitatud rikkumisest hoidumise hagi puhul on tegemist nimelt sellise olukorraga.

71.      Tuletan nimelt meelde, et eelotsusetaotluse esitanud kohtu väitel ja tarbijakaitseorganisatsioonide liidu järelduste kohaselt ei ole Facebook Ireland täitnud kohustust, mis tuleneb määruse 2016/679 artikli 12 lõike 1 esimesest lausest ja mis seisneb selles, et andmesubjektile esitatakse kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, nimetatud määruse artikli 13 lõike 1 punktides c ja e osutatud teave, mis puudutab andmete töötlemise eesmärki ja isikuandmete vastuvõtjat. Need sätted kuuluvad kindlasti andmesubjektidele subjektiivsed õigusi andvate sätete hulka, mida kinnitab eelkõige tõdemus, et need on esitatud kõnealuse määruse III peatükis „Andmesubjekti õigused“. Seetõttu võivad nende õiguste kaitset nõuda kas otseselt andmesubjektid või määruse 2016/679 artikli 80 lõiget 1 või selle määruse artikli 80 lõiget 2 rakendavate riigisiseste sätete alusel pädev asutus.

72.      Leian samuti, et määruse 2016/679 artikli 80 lõikega 2 ei ole vastuolus liikmesriigi õigusnormid, millega antakse tarbijakaitseühingule õigus esitada rikkumisest hoidumise hagi, et tagada sellest määrusest tulenevate õiguste järgimine normidega, mille eesmärk on kaitsta tarbijaid või võidelda ebaausate kaubandustavade vastu. Nimelt võivad need normid sisaldada selles määruses sisalduvate sätetega sarnaseid sätteid, mis puudutavad eelkõige andmesubjektide teavitamist nende isikuandmete töötlemisel,(47) mis tähendab, et isikuandmete kaitset käsitleva normi rikkumine võib samal ajal kaasa tuua tarbijakaitset või ebaausaid kaubandustavasid käsitlevate normide rikkumise. Miski ei takista määruse 2016/679 artikli 80 lõike 2 sõnastuses selle kaitseklausli osalist rakendamist selles mõttes, et esindushagi eesmärk on kaitsta õigusi, mis andmesubjektidele tarbijatena sellest määrusest tulenevad(48).

73.      Määruse 2016/679 artikli 80 lõike 2 selline tõlgendus on minu arvates parim, et saavutada selle määrusega taotletavad eesmärgid.

74.      Sellega seoses on Euroopa Kohus märkinud, et „nagu tuleneb määruse 2016/679 artikli 1 lõikest 2 koostoimes selle määruse põhjendustega 10, 11 ja 13, kohustab määrus liidu institutsioone, organeid ja asutusi ning liikmesriikide pädevaid asutusi hoolitsema ELTL artikliga 16 ja [Euroopa Liidu põhiõiguste] harta artikliga 8 tagatud õiguste kõrgetasemelise kaitse eest“(49). Lisaks on selle määruse eesmärk „tõhusalt kaitsta füüsiliste isikute põhiõigusi ja ‑vabadusi, eelkõige õigust eraelu puutumatusele ja õigust isikuandmete kaitsele“(50).

75.      Isikuandmete kõrgetasemelise kaitse tagamise eesmärgiga oleks vastuolus see, kui liikmesriike takistataks võtmast meetmeid, mis küll taotlevad tarbijakaitse eesmärki, kuid aitavad ühtlasi kaasa eesmärgi kaitsta isikuandmeid saavutamisele. Sarnaselt seoses direktiiviga 95/46 tõdetuga võib pärast määruse 2016/679 jõustumist veel kinnitada, et tarbijate huve kaitsvate ühenduste volitus lõpetada selle määruse sätetega vastuolus olev töötlemine aitab kaasa andmesubjektide õiguste tugevdamisele kollektiivsete õiguskaitsevahendite abil(51).

76.      Tarbijate kollektiivsete huvide kaitse ühenduste poolt on eriti hästi kokkusobiv eesmärgiga tagada isikuandmete kõrgetasemeline kaitse. Sellest vaatenurgast ei saaks nende ühenduste esitatud hagid ennetavat funktsiooni täita, kui määruse 2016/679 artikli 80 lõikes 2 ette nähtud esindushagi võimaldaks tugineda vaid mõne sellise isiku õiguste rikkumisele, keda see rikkumine isiklikult ja konkreetselt puudutab.

77.      Sellise tarbijate huve kaitsva liidu, nagu seda on tarbijakaitseorganisatsioonide liit, esitatud rikkumisest hoidumise hagi aitab seega vaieldamatult tagada määrusega 2016/679 kaitstud õiguste tõhusat kohaldamist(52).

78.      Peale selle tuleks pidada vähemalt paradoksaalseks, kui isikuandmete kaitset käsitlevate normide kontrollimeetmete tugevdamine, mida liidu seadusandja soovis määruse 2016/679 vastuvõtmisega saavutada, tooks lõpuks kaasa selle kaitse taseme languse võrreldes tasemega, mida liikmesriigid võisid tagada direktiivi 95/46 kehtivusajal.

79.      On tõsi, et erinevalt Ameerika Ühendriikidest on liidu õiguses ühelt poolt ebaausaid kaubandustavasid ja teiselt poolt isikuandmete kaitset käsitlevad õigusnormid välja töötatud eraldi. Seega on nende kahe valdkonna õiguslik raamistik erinev.

80.      Samas on nende kahe valdkonna vahel vastastikused seosed, mistõttu isikuandmete kaitset käsitlevate õigusnormide kohaldamisalasse kuuluvad hagid võivad samal ajal ja kaudselt kaasa aidata ebaausa kaubandustava lõpetamisele. Tõsi on ka vastupidine(53). Pealegi on seos isikuandmete kaitse nende andmete töötlemiseks nõusoleku seisukohast ja tarbijakaitse vahel väljendatud määruses 2016/679 endas, eelkõige selle põhjenduses 42. Lisaks sellele tõi komisjon esile seose isikuandmete kaitset käsitlevate liidu õigusnormide ja direktiivi 2005/29/EÜ vahel(54).

81.      Isikuandmete kaitse õiguse, tarbijaõiguse ja konkurentsiõiguse vahelised seosed on sagedased ja arvukad, kuna sama tegevus võib üheaegselt kuuluda nende erinevate valdkondade alla käivate õigusnormide kohaldamisalasse. Sellised suhted aitavad kaasa isikuandmete kaitse tõhustamisele(55).

82.      Määruses 2016/679 ette nähtud õiguste kasutajad ei piirdu küll tarbijate kategooriaga, kuna see määrus ei põhine üksikisikute kaitse tarbijakesksel käsitlusel seoses isikuandmete töötlemisega,(56) vaid sellel, et see kaitse on põhiõiguste harta artikli 8 kohaselt põhiõigus, nagu on märgitud eelkõige selle määruse põhjenduses 1 ja artikli 1 lõikes 2(57).

83.      Samas on ka tõsi, et digitaalmajanduse ajastul on andmesubjektid sageli ka tarbijad. Sel põhjusel kasutatakse tarbijakaitse norme sageli selleks, et tagada tarbijatele kaitse nende isikuandmete sellise töötlemise eest, mis on vastuolus määruse 2016/679 sätetega.

84.      Selle analüüsi lõpus tuleb tõdeda, et määruse 2016/679 artikli 80 lõikes 2 ette nähtud esindushagi võib kattuda direktiivis 2020/1828 ette nähtud rikkumisest hoidumise hagiga, kui „andmesubjektid“ selle määruse tähenduses on samuti „tarbijad“ selle direktiivi artikli 3 punkti 1 tähenduses(58). Ma näen selles märki, et isikuandmete kaitset käsitlev õigus täiendab ja ühtib teiste õigusvaldkondadega, nagu tarbijaõigus ja konkurentsiõigus. Kõnealuse direktiivi vastuvõtmisega viis liidu seadusandja selle suundumuse veelgi kaugemale, sidudes tarbijate kollektiivsete huvide kaitse sõnaselgelt määruse 2016/679 järgimisega. Direktiivis sisalduvate normide tõhus kohaldamine võib seda üksnes tugevdada.

V.      Ettepanek

85.      Kõiki eelpool esitatud kaalutlusi arvestades teen Euroopa Kohtule ettepaneku vastata Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) eelotsuse küsimustele järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset seoses isikuandmete töötlemise ja selliste andmete vaba liikumisega ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (üldine andmekaitsemäärus), artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega ei ole vastuolus liikmesriigi õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu, tuginedes ebaausate kaubandustavade kasutamise keelule, tarbijakaitsenormide rikkumisele või õigustühiste tüüptingimuste kasutamise keelule, kui selle esindushagi eesmärk on tagada selliste õiguste kaitse, mille see direktiiv annab otse isikutele, kelle andmeid vaidlusalune töötlemine puudutab.

1      Algkeel: prantsuse.

2      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).

3      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).

4      Vt 29. juuli 2019. aasta kohtuotsus Fashion ID (C–40/17, edaspidi „kohtuotsus Fashion ID“, EU:C:2019:629).

5      Vt ka määruse 2016/679 põhjendus 142.

6      BGBl. 2004 I, lk 1414, edaspidi „UWG“.

7      BGBl. 2001 I, lk 3138, 3173, edaspidi „UKlaG“.

8      ELT 2009, L 110, lk 30.

9      BGBl. 2007 I, lk 179, edaspidi „TMG“.

10      Andmesubjektide esindamine on ette nähtud ka Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ) (ELT 2018, L 295, lk 39) artiklis 67 ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680 (mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK) (ELT 2016, L 119, lk 89) artiklis 55. Mõlemal juhul on tegemist esindamisega volituse alusel.

11      See suundumus, mida on täpsustatud eelkõige direktiivis 2009/22, väljendub hiljuti vastuvõetud Euroopa Parlamendi ja nõukogu 25. novembri 2020. aasta direktiivis (EL) 2020/1828, mis käsitleb tarbijate kollektiivsete huvide kaitsmise esindushagisid ja millega tunnistatakse kehtetuks direktiiv 2009/22/EÜ (ELT 2020, L 409, lk 1). Viimati nimetatud direktiivi ülevõtmise tähtajaks on määratud 25. detsember 2022. Vt selle kohta Pato, A., „Collective Redress Mechanisms in the EU“, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsmbury Publishing, London, 2019, lk 45–117. Vt ka Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward“, Common Market Law Review, 58. kd, 5. osa, Kluwer Law International, Alphen aan den Rijn, 2021, lk 1365–1400.

12      Vt kohtuotsus Fashion ID (punkt 63 ja resolutsioon).

13      Vt kohtuotsus Fashion ID (punkt 47).

14      Vt kohtuotsus Fashion ID (punkt 48).

15      Vt kohtuotsus Fashion ID (punkt 49).

16      Vt kohtuotsus Fashion ID (punkt 50).

17      Vt kohtuotsus Fashion ID (punkt 51).

18      Vt kohtuotsus Fashion ID (punkt 56 ja seal viidatud kohtupraktika).

19      Vt kohtuotsus Fashion ID (punkt 57 ja seal viidatud kohtupraktika).

20      Vt kohtuotsus Fashion ID (punkt 59).

21      Kohtujuristi kursiiv.

22      Nagu Euroopa Kohus rõhutas oma 15. juuni 2021. aasta otsuses Facebook Ireland jt (C–645/19, EU:C:2021:483, punkt 44).

23      Määruse 2016/679 preambulist nähtub, et see määrus võeti vastu ELTL artikli 16 alusel, mille lõikes 2 on muu hulgas ette nähtud, et Euroopa Parlament ja nõukogu kehtestavad seadusandliku tavamenetluse kohaselt eeskirjad füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liidu institutsioonides, organites ja asutustes ning liikmesriikides liidu õiguse reguleerimisalasse kuuluva tegevuse puhul, samuti selliste andmete vaba liikumise eeskirjad.

24      Niisuguse õigusaktiga, nagu määrus 2016/679, teostatava ühtlustamise ulatuse kindlaksmääramiseks tehtav analüüs on suunatud „mikroanalüüsile, vaadeldes konkreetset reeglit või vähemalt konkreetset ja täpselt määratletud liidu õiguse aspekti“: vt kohtujurist Bobeki ettepanek kohtuasjas Dzivev jt (C–310/16, EU:C:2018:623, punkt 74). Vt ka Mišćenić, E., ja Hoffmann, A.-L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)“, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, 4. osa, lk 44–61, milles on öeldud, et „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them“ (lk 49).

25      Vt 6. novembri 2003. aasta kohtuotsus Lindqvist (C–101/01, EU:C:2003:596, punkt 96).

26      Vt direktiivi 95/46 kohta 6. novembri 2003. aasta kohtuotsus Lindqvist (C–101/01, EU:C:2003:596, punkt 97). Vastupidi mõnedele tavaarvamustele ei tähenda liidu seadusandja valik kasutada pigem määrust kui direktiivi tingimata asjaomase valdkonna täielikku ühtlustamist. Vt Mišćenić, E., ja Hoffmann, A.-L., op. cit., kes märgivad, et „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules“ (lk 48).

27      Vt eelkõige 15. juuni 2021. aasta kohtuotsus Facebook Ireland jt (C–645/19, EU:C:2021:483, punkt 110 ja seal viidatud kohtupraktika). Vt ka direktiivi esemeks oleva valdkonna kohta 21. detsembri 2011. aasta kohtuotsus Danske Svineproducenter (C–316/10, EU:C:2011:863, punkt 42), milles Euroopa Kohus täpsustab, et „[s]eega ei tähenda asjaolu, et loomade kaitset vedamise ajal käsitlevad liidu õigusnormid on praegu sätestatud määruses, tingimata seda, et nende normide rakendamiseks ei tohi enam mingeid siseriiklikke meetmeid võtta“.

28      Vt 27. oktoobri 1971. aasta kohtuotsus Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29      Nii on Euroopa Kohus möönnud, et liikmesriik, kes on otsustanud mitte kasutada määrusega pakutud võimalust, ei riku ELTL artiklit 288: vt 17. detsembri 2015. aasta kohtuotsus Intech Marine Belgium (C–300/14, EU:C:2015:825, punktid 27–31). Vt ka määrus, mis käsitleb eksporditoetusi, mida liikmesriigid võivad anda või keelduda andmast, 27. oktoobri 1971. aasta kohtuotsus Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30      Vt nende kaitseklauslite kohta Wagner, J. ja Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law“, European Data Protection Law Review, Lexxion, Berliin, 2. kd, 3. osa, 2016, lk 353–361.

31      Vt eelkõige määruse 2016/679 artiklid 51 ja 84

32      Vt eelkõige määruse 2016/679 artikli 6 lõiked 2 ja 3, artikli 8 lõike 1 teine lõik ning artiklid 85–89.

33      Vt selle kohta Mišćenić, E., ja Hoffmann, A.-L., op. cit., kes märgivad, et „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation“ (lk 50 ja 51).

34      Direktiivi 95/46 artikli 28 lõikes 4 oli üksnes ette nähtud võimalus, et ühing esitab järelevalveasutusele kaebuse isiku nimel, kes kaebab oma õiguste rikkumise üle isikuandmete töötlemisel.

35      Välja arvatud volitusega esindushagi korral, millega soovitakse saada hüvitist andmesubjektide nimel, mis on liikmesriikidele fakultatiivne.

36      Vt analoogia alusel 21. detsembri 2011. aasta kohtuotsus Danske Svineproducenter (C–316/10, EU:C:2011:863, punkt 43).

37      Vt Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxembourg, 2019, lk 98–106. Selle autori väitel, „[t]he number of actors who potentially have standing to sue is broad“ ja „[c]onsumer associations will usually meet those requirements easily“ (lk 99).

38      Kohtujuristi kursiiv. Samas sättes on määratletud, et „tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“. Nagu märgib N. Martial-Braz oma artiklis „Le champ d'application du RPGD“ (RPGD kohaldamisala) kogumikus Bensamoun, A. ja Bertrand, B., „Le règlement général sur la protection des données, Aspects institutionnels et matériels“, Mare et Martin, Pariis, 2020, lk 19–33, „[i]dentifitseerimise valdkonda tuleb mõista väga laialt, sest isiku tuvastamise kriteerium hõlmab kõiki mõistlikult kasutatavaid vahendeid, mida võib isikutuvastamiseks rakendada“ (lk 24). Vt eelkõige mõiste „tuvastatav isik“ kohta direktiivi 95/46 artikli 2 punkti a tähenduses 19. oktoobri 2016. aasta kohtuotsus Breyer (C–582/14, EU:C:2016:779).

39      Vt Boehm, F., „Artikel 80 Vertretung von betroffenen Personen“, kogumikus Simitis, S., Hornung, G., ja Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, eelkõige punkt 13.

40      Vt Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen“, kogumikus Paal, B. P. ja Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz,3. väljaanne, C.H. Beck, München, 2021, eelkõige punkt 11, ning Kreße, B., „Artikel 80 Vertretung von betroffenen Personen“, kogumikus Sydow, G., Europäische Datenschutzverordnung, 2. väljaanne, Nomos, Baden-Baden, 2018, eelkõige punkt 13.

41      Vt Moos, F. ja Schefzig, J., „Art. 80 Vertretung von betroffenen Personen“, kogumikus Taeger, J. ja Gabel, D., Kommentar DSGVO – BDSG, 3. väljaanne, Deutscher Fachverlag, Frankfurt-am-Main, 2019, eelkõige punkt 22.

42      Vt eelkõige ebaõiglaste tingimuste kohta müüjate või teenusteosutajate ja tarbijate vahel sõlmitud lepingutes 14. aprilli 2016. aasta kohtuotsus Sales Sinués ja Drame Ba (C–381/14 ja C–385/14, EU:C:2016:252, punkt 29).

43      Vt direktiivi 2020/1828 põhjendus 33 ja artikli 8 lõike 3 punkt a, mille kohaselt „[p]ädev üksus ei ole kohustatud tõendama […] artikli 2 lõikes 1 osutatud rikkumisest mõjutatud üksiktarbijale tekkinud tegelikku kahju“. Lisaks, kuigi kõnealuse direktiivi artikli 7 lõige 2 paneb kvalifitseeritud üksusele kohustuse anda kohtule või haldusasutusele „piisavalt teavet esindushagist puudutatud tarbijate kohta“, nähtub direktiivi põhjendusest 34, et see teave, mille üksikasjalikkuse aste võib sõltuvalt kvalifitseeritud üksuse taotletud meetmest olla erinev, ei ole suunatud mitte üksiktarbijate määratlemisele, keda kõnealune rikkumine mõjutab, vaid pigem sellise teabe nagu tarbijaid kahjustava sündmuse toimumise koht või tarbijate rühma määratlemine, keda esindushagi puudutab (vt ka direktiivi 2020/1828 põhjendus 65). Samuti tuleb märkida, et isegi kui esindushagi eesmärk on parandusmeetmete võtmine, on direktiivi 2020/1828 põhjenduses 49 märgitud, et „[p]ädevalt üksuselt ei tohiks esindushagi algatamiseks nõuda kõikide esindushagiga liitunud tarbijate individuaalset tuvastamist“. Vt selle kohta Gsell, B., op. cit., eelkõige lk 1370.

44      Vt direktiivi 2020/1828 artikli 2 lõige 1.

45      Vt direktiivi 2009/22 põhjendus 3, milles on täpsustatud, et direktiivi kohaldamisalasse kuuluvate rikkumisest hoidumise hagide eesmärk on kaitsta „tarbijate ühishuve“, kusjuures „[ü]hishuvid ei tähenda rikkumiste tõttu kahju kannatanud inimeste huvide summat“. Direktiivi 2020/1828 artikli 3 punktis 3 on mõiste „tarbijate kollektiivsed huvid“ määratletud kui „tarbijate üldised huvid ning eelkõige õiguskaitsemeetmete kohaldamise eesmärgil tarbijate rühma huvid“.

46      Kohtujuristi kursiiv.

47      Vt Helberger, N., Zuiderveen Borgesius, F. ja Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law“, Common Market Law Review, 54. kd, 5. osa, Kluwer Law International, Alphen aan den Rijn, 2017, lk 1427–1465, kes märgivad, et „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual“ (lk 1437).

48      Vt Neun, A., ja Lubitzsch, K., „Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz“, Betriebs-Berater, Deutscher Fachverlag, Frankfurt-am-Main, 2017, lk 2563–2569, eelkõige lk 2567.

49      Vt 15. juuni 2021. aasta kohtuotsus Facebook Ireland jt (C–645/19, EU:C:2021:483, punkt 45).

50      Vt 15. juuni 2021. aasta kohtuotsus Facebook Ireland jt (C–645/19, EU:C:2021:483, punkt 91).

51      Vt kohtujurist Jacobsi ettepanek kohtuasjas Fashion ID (C–40/17, EU:C:2018:1039, punkt 33).

52      Näidetena tarbijate huve kaitsvate ühingute algatatud hagidest vt Helberger, N., Zuiderveen Borgesius F. ja Reyna, A., op. cit., eelkõige lk 1452 ja 1453.

53      Vt isikuandmete kaitse ja ebaausate kaubandustavade lõpetamisega seotud hagide täiendavuse kohta van Eijk, N., Hoofnagle, C. J. ja Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection“, European Data Protection Law Review, Lexxion, Berliin, 3. kd, 3. osa, 2017, lk 325–337, kes märgivad, et „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective“ (lk 336).

54      Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiiv, mis käsitleb ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 („ebaausate kaubandustavade direktiiv“) (ELT 2005, L 149, lk 22). Vt komisjoni talituste töödokument – Ebaausaid kaubandustavasid käsitleva direktiivi 2005/29/EÜ rakendamise/kohaldamise suunised, mis on lisatud dokumendile „Komisjoni teatis Euroopa Parlamendile, nõukogule, Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele. Terviklik lähenemisviis piiriülese e-kaubanduse ergutamisele Euroopa kodanike ja äriühingute jaoks“ (SWD(2016) 163 final), eelkõige punkt 1.4.10, lk 26–31. Komisjon rõhutab selles andmete õiglase töötlemise vajadust, mis eeldab, et andmesubjektile antakse teatud hulk asjakohast teavet, eelkõige asjaomaste isikuandmete töötlemise eesmärkide kohta (lk 28). Komisjon märgib samuti, et „[k]ui ettevõtja rikub direktiivi [95/46] või [Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ] isikuandmete töötlemise ja eraelu puutumatuse kaitse kohta elektroonilise side sektoris] (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37)), ei tähenda see iseenesest alati seda, et sellise tegevusega rikutaks ka [direktiivi 2005/29]“. Siiski leiab komisjon, et „selliseid andmekaitsealaseid rikkumisi [tuleks] arvesse võtta siis, kui hinnatakse direktiivi [2005/29] alusel kaubandustavade üldist ebaausust, eriti olukorras, kus ettevõtja rikub tarbijate andmeid töödeldes andmekaitsenõudeid, töödeldes andmeid näiteks otseturustuse eesmärgil või mõnel muul ärilisel otstarbel, nagu profiilianalüüs, personaalne hinnakujundus või suurandmerakendused“ (lk 30).

55      Vt selle kohta eelkõige Helberger, N., Zuiderveen Borgesius, F., ja Reyna, A., op. cit., kes märgivad, et „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets“ (lk 1429). Vt ka van Eijk, N., Hoofnagle, C. J. ja Kannekens, E., op. cit., eelkõige lk 336. Näitena isikuandmete kaitset käsitlevate õigusnormide ja ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid keelavate normide täiendavuse kohta vt minu ettepanek kohtuasjas StWL Städtische Werke Lauf a.d. Pegnitz (C–102/20, EU:C:2021:518).

56      Vt Martial-Braz, N., op. cit., eelkõige lk 23.

57      Vt 15. juuni 2021. aasta kohtuotsus Facebook Ireland jt (C–645/19, EU:C:2021:483, punkt 44).

58      Vt direktiivi 2020/1828 põhjendus 14, mille kohaselt peaks see direktiiv “siiski kaitsma üksnes selliste füüsiliste isikute huve, kellele on [I lisas viidatud Euroopa Liidu õiguse sätete] rikkumisega tekitatud kahju või kellele võib sellega kahju tekitada kui füüsilist isikut käsitatakse [selle] direktiivi kohaselt tarbijana“.