Language of document : ECLI:EU:C:2021:979

GENERALINIO ADVOKATO

JEAN RICHARD DE LA TOUR IŠVADA,

pateikta 2021 m. gruodžio 2 d.(1)

Byla C319/20

Facebook Ireland Limited

prieš

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

(Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 80 straipsnio 2 dalis – Teisė imtis veiksmingų teisminių teisių gynimo priemonių – Ne pelno asociacijos atstovavimas duomenų subjektams – Vartotojų teisių gynimo asociacijos teisė pareikšti ieškinį“






I.      Įvadas

1.        Šiuolaikinėje ekonomikoje, pasižyminčioje skaitmeninės ekonomikos augimu, asmens duomenų tvarkymas gali paveikti asmenis ne tik kaip fizinius asmenis, turinčius Reglamentu (ES) 2016/679(2) suteikiamas teises, bet ir kaip vartotojus.

2.        Šis statusas lemia tai, kad vartotojų teisių gynimo asociacijos vis dažniau pareiškia ieškinius, kuriais siekiama, kad būtų nutraukti tam tikrų duomenų valdytojų veiksmai, pažeidžiantys tiek šiuo reglamentu, tiek kitomis Sąjungos ir nacionalinėje teisėje nustatytomis taisyklėmis suteikiamas teises, be kita ko, vartotojų teisių apsaugos ir kovos su nesąžininga komercine veikla srityje.

3.        Šis prašymas priimti prejudicinį sprendimą pateiktas nagrinėjant Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Federalinė vartotojų centrų ir asociacijų sąjunga, toliau – Federalinė sąjunga) ir Facebook Ireland Limited, kurios buveinė yra Airijoje, ginčą. Federalinė sąjunga teigia, kad ši bendrovė pažeidė Vokietijos teisės aktus, susijusius su asmens duomenų apsauga, toks pažeidimas kartu reiškia nesąžiningą komercinę veiklą, vartotojų apsaugos teisės akto pažeidimą ir draudimo taikyti negaliojančias bendrąsias komercines sąlygas pažeidimą.

4.        Šiuo prašymu Teisingumo Teismo iš esmės prašoma išaiškinti Reglamento 2016/679 80 straipsnio 2 dalį, siekiant nustatyti, ar pagal šią nuostatą draudžiama, kad, įsigaliojus šiam reglamentui, vartotojų teisių gynimo asociacijos išlaikytų pagal nacionalinę teisę joms suteikiamą teisę pareikšti ieškinį dėl veiksmų nutraukimo, kai šie veiksmai reiškia ir minėtame reglamente įtvirtintų teisių pažeidimą, ir taisyklių, kuriomis siekiama apsaugoti vartotojų teises bei kovoti su nesąžininga komercine veikla, pažeidimą. Kadangi Teisingumo Teismas(3) teisę pareikšti tokį ieškinį pripažino suderinama su Direktyva 95/46/EB(4), jo prašoma nuspręsti, ar Reglamentu 2016/679 šiuo klausimu buvo pakeista teisinė padėtis.

II.    Teisinis pagrindas

A.      Reglamentas 2016/679

5.        Reglamento 2016/679 80 straipsnis „Atstovavimas duomenų subjektams“ suformuluotas taip(5):

„1.      Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 77, 78 bei 79 straipsniuose, jo vardu naudotis 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.

2.      Valstybės narės gali nustatyti, kad bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos.“

B.      Vokietijos teisė

6.        2004 m. liepos 3 d. Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas)(6) pagrindinėje byloje taikytinos redakcijos 3 straipsnio 1 dalyje nustatyta:

„Nesąžininga komercinė veikla draudžiama.“

7.        UWG 3a straipsnis suformuluotas taip:

„Subjektas, pažeidžiantis teisės nuostatą, kuria siekiama, be kita ko, reguliuoti veiklą rinkoje rinkos dalyvių naudai, vykdo nesąžiningą veiklą, jei pažeidimas gali gerokai pakenkti vartotojų, kitų rinkos dalyvių arba konkurentų interesams.“

8.        UWG 8 straipsnio 1 ir 3 dalyse nurodyta:

„(1)      Asmeniui, kuris atlieka pagal 3 arba 7 straipsnius neteisėtus komercinius veiksmus, gali būti pareikštas reikalavimas nedelsiant nutraukti veiksmus, o pakartotinio pažeidimo grėsmės atveju – reikalavimas susilaikyti nuo veiksmų. Teisė reikalauti susilaikyti nuo veiksmų atsiranda jau tuomet, kai kyla tokio pagal 3 arba 7 straipsnius numatyto pažeidimo grėsmė.

<…>

(3)      1 dalyje nurodytus reikalavimus gali pateikti:

<…>

3)      kompetentingi subjektai, kurie įrodo, kad yra įtraukti į kompetentingų subjektų sąrašą pagal [2001 m. lapkričio 26 d. Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Ieškinių dėl veiksmų nutraukimo vartotojų teisių ir kitų pažeidimų atvejais įstatymas)(7)] 4 straipsnį arba Europos Komisijos sąrašą pagal 2009 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2009/22/EB dėl ieškinių dėl uždraudimo ginant vartotojų interesus(8) 4 straipsnio 3 dalį;

<…>“

9.        UKlaG 2 straipsnyje nustatyta:

„(1)      Asmeniui, kuris pažeidžia nuostatas, skirtas vartotojams apsaugoti (įstatymus dėl vartotojų apsaugos), gali būti nurodyta susilaikyti nuo veiksmų arba nedelsiant nutraukti veiksmus siekiant apginti vartotojų interesus <…>

(2)      Pagal šią nuostatą įstatymai dėl vartotojų apsaugos – tai pirmiausia:

<…>

11)      priimtinumo taisyklės, taikomos:

a)      verslininko vykdomam vartotojo asmens duomenų rinkimui arba

b)      verslininko vykdomam surinktų vartotojo asmens duomenų tvarkymui ar naudojimui,

kai duomenys renkami, tvarkomi arba naudojami reklamos, rinkos tyrimų ir viešosios nuomonės apklausos tikslais, informacinės agentūros veiklai, kuriant asmeninį ir naudotojo profilį, prekybai adresais, duomenimis ar kitais panašiais komerciniais tikslais.

<…>“

10.      Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pažymi, kad pagal UklaG 3 straipsnio 1 dalies pirmo sakinio 1 punktą kompetentingi subjektai, kaip jie suprantami pagal šią nuostatą, gali pateikti reikalavimus nutraukti veiksmus pažeidžiant vartotojų apsaugos teisės aktus, prie kurių pagal šio įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktą priskiriamos ir nuostatos, reglamentuojančios verslininko vykdomo vartotojo asmens duomenų rinkimo, tvarkymo arba naudojimo reklamos tikslais leistinumą. Be to, taip pat pagal UKlaG 3 straipsnio 1 dalies pirmo sakinio 1 punktą kompetentingi subjektai, remdamiesi UKlaG 1 straipsniu, gali pareikšti reikalavimą uždrausti taikyti pagal Bürgerliches Gesetzbuch (Civilinis kodeksas) 307 straipsnį negaliojančias komercines bendrąsias sąlygas, jei mano, kad pastarosiomis pažeidžiama duomenų apsaugos srities nuostata.

11.      2007 m. vasario 26 d. Telemediengesetz (Elektroninių paslaugų įstatymas)(9) 13 straipsnio 1 dalis suformuluota taip:

„Prisijungimo operacijos pradžioje paslaugų teikėjas privalo visiems suprantama forma informuoti naudotoją apie asmens duomenų rinkimo ir naudojimo pobūdį, apimtį ir tikslą, taip pat apie jo duomenų tvarkymą valstybėse, kuriose netaikoma [Direktyva 95/46], jei tokios informacijos dar nebuvo pateikta. Naudojant automatizuotą procesą, kuris leidžia vėliau atpažinti naudotoją ir paruošia rinkti ar naudoti asmens duomenis, naudotojui būtina apie tai pranešti prieš prasidedant šiam procesui. Tokio pranešimo turinys turi būti bet kuriuo metu prieinamas naudotojui.“

III. Pagrindinės bylos faktinės aplinkybės ir prejudicinis klausimas

12.      Federalinė sąjunga yra įtraukta Vokietijoje į subjektų, turinčių teisę pareikšti ieškinį pagal UKlaG 4 straipsnį, sąrašą. Facebook Ireland valdo interneto platformą Facebook adresu www.facebook.de, skirtą keistis asmeniniais ir kitais duomenimis.

13.      Interneto platformoje Facebook yra vadinamasis programėlių centras (AppZentrum), kuriame Facebook Ireland savo naudotojams teikia, be kita ko, prieigą prie trečiųjų šalių siūlomų nemokamų žaidimų. Siekdamas žaisti tam tikrus žaidimus naudotojas, 2012 m. lapkričio 26 d. atvėręs programėlių centrą ir spustelėjęs laukelį „Žaisti“ („Sofort spielen“), galėjo pamatyti tam tikrą informaciją. Iš esmės iš tos informacijos buvo matyti, kad atitinkamos programėlės naudojimas leidžia žaidimus siūlančiai bendrovei gauti tam tikrus asmeninius duomenis bei naudotojo vardu skelbti tam tikrą informaciją, pavyzdžiui, jo surinktus taškus. Toks naudojimas reiškia tai, kad naudotojas sutinka su bendrosiomis programėlės sąlygomis ir joje taikoma duomenų apsaugos politika. Be to, žaidimo „Scrabble“ atveju nurodoma, kad programėlė gali naudotojo vardu skelbti būsenos pranešimus, nuotraukas ir kitą informaciją.

14.      Nuorodų, kurios rodomos programėlių centre spustelėjus laukelį „Žaisti“, teikimą Federalinė sąjunga vertina kaip nesąžiningą veiklą, nes, be kita ko, pažeistos duomenų apsaugos teisės aktuose nustatytos teisinės sąlygos, taikomos galiojančiam naudotojo sutikimui gauti. Be to, jos nuomone, baigiamoji nuoroda, pateikiama žaidimo „Scrabble“ atveju, yra naudotojui nepagrįstai nepalanki bendroji komercinė sąlyga.

15.      Šiomis aplinkybėmis Federalinė sąjunga pareiškė ieškinį Landgericht Berlin (Berlyno apygardos teismas, Vokietija), reikalaudama įpareigoti Facebook Ireland nutraukti veiksmus. Prašymą priimti prejudicinį sprendimą pateikęs teismas patikslina, kad šis ieškinys pareikštas nepriklausomai nuo duomenų subjekto konkretaus duomenų apsaugos teisių pažeidimo ir neturint tokio duomenų subjekto įgaliojimų.

16.      Federalinė sąjunga reikalavo, kad Facebook Ireland būtų uždrausta „vykdant komercinę veiklą, skirtą vartotojams, kurių nuolatinė gyvenamoji vieta yra <…> Vokietijoje, pateikti žaidimus interneto svetainėje adresu www.facebook.com, naudojantis programėlių centru taip, kad spustelėjęs laukelį „[Žaisti]“ vartotojas pareiškia, jog žaidimą siūlanti bendrovė per socialinį tinklą, kurį valdo [Facebook Ireland], gauna informaciją apie tame tinkle esančius asmeninius duomenis ir gali vartotojo vardu perduoti (skelbti) tam tikrą informaciją <…>“, o nepaisius šio draudimo būtų skirtos baudos.

17.      Federalinė sąjunga taip pat pareikalavo, kad Facebook Ireland būtų uždrausta „į susitarimus su vartotojais, kurių nuolatinė gyvenamoji vieta yra <…> Vokietijoje, įtraukti tokią nuostatą (arba identiško turinio nuostatas, susijusias su programėlių naudojimu socialiniame tinkle, taip pat remtis nuostatomis, susijusiomis su duomenų perdavimu žaidimus siūlančioms bendrovėms): „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ [Ši programėlė gali skelbti būsenos pranešimus, nuotraukas ir kita tavo vardu]“.

18.      Landgericht Berlin (Berlyno apygardos teismas) įpareigojo Facebook Ireland įvykdyti Federalinės sąjungos reikalavimus. Facebook Ireland apeliacinis skundas, pateiktas Kammergericht Berlin (Berlyno aukštesnysis apygardos teismas, Vokietija), buvo atmestas.

19.      Facebook Ireland prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikė kasacinį skundą dėl apeliacinio teismo sprendimo.

20.      Prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės mano, kad apeliacinis teismas teisingai nusprendė, jog Federalinės sąjungos reikalavimai yra pagrįsti. Iš tikrųjų nevykdydama pareigų informuoti, tenkančių pagal TMG 13 straipsnio 1 dalies pirmo sakinio pirmą dalį, Facebook Ireland pažeidė UWG 3a straipsnį ir UklaG 2 straipsnio 2 dalies pirmo sakinio 11 punktą. Apeliacinis teismas pagrįstai manė, kad byloje nagrinėjamos TMG 13 straipsnio nuostatos yra nuostatos, reglamentuojančios ūkio subjektų veiklą rinkoje, kaip tai suprantama pagal UWG 3a straipsnį. Be to, tai yra nuostatos, kuriomis pagal UKlaG 2 straipsnio 2 dalies pirmo sakinio 11 punkto a papunktį reglamentuojamas verslininko atliekamo vartotojo asmens duomenų (kurie buvo surinkti, tvarkyti arba naudoti reklamos tikslais) rinkimo, tvarkymo arba naudojimo leistinumas. Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat mano, kad nevykdydama šioje byloje taikytinų duomenų apsaugos teisės aktuose nustatytų pareigų informuoti Facebook Ireland taikė negaliojančią bendrąją komercinę sąlygą, kaip tai suprantama pagal UKlaG 1 straipsnį.

21.      Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar apeliacinis teismas pagrįstai nusprendė, kad Federalinės sąjungos ieškinys yra priimtinas. Iš tikrųjų prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, įsigaliojus Reglamentui 2016/679 tebeturi teisę imtis veiksmų dėl šio reglamento pažeidimo, t. y. pareikšti ieškinį civilinių bylų teismuose, nepriklausomai nuo konkretaus atskirų duomenų subjektų teisių pažeidimo ir neturėdama šių subjektų įgaliojimų, tačiau remdamasi teisės pažeidimu, kaip tai suprantama pagal UWG 3a straipsnį, vartotojų apsaugos teisės akto pažeidimu, kaip tai suprantama pagal UklaG 2 straipsnio 2 dalies pirmo sakinio 11 punktą, arba negaliojančios bendrosios komercinės sąlygos taikymu pagal UklaG 1 straipsnį.

22.      Prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad iki Reglamento 2016/679 įsigaliojimo tokio ieškinio priimtinumas nekėlė abejonių. Iš tikrųjų Federalinė sąjunga turėjo teisę pareikšti ieškinį dėl veiksmų nutraukimo civilinių bylų teismuose pagal UWG 8 straipsnio 3 dalies 3 punktą ir UKlaG 3 straipsnio 1 dalies pirmo sakinio 1 punktą.

23.      Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, įsigaliojus Reglamentui 2016/679, ši teisinė padėtis galėjo pasikeisti.

24.      Prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės pažymi, kad, įsigaliojus Reglamentui 2016/679, TMG 13 straipsnio 1 dalies nuostatos nebetaikomos, o atitinkamos pareigos informuoti dabar kyla iš šio reglamento 12–14 straipsnių. Taigi, prašymą priimti prejudicinį sprendimą pateikusio teismo manymu, Facebook Ireland neįvykdė pagal šio reglamento 12 straipsnio 1 dalies pirmą sakinį jai tenkančios pareigos duomenų subjektui glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti minėto reglamento 13 straipsnio 1 dalies c ir e punktuose nurodytą informaciją apie asmens duomenų tvarkymo tikslą ir jų gavėją.

25.      Dėl ieškinio priimtinumo prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad nesutariama, ar, įsigaliojus Reglamentui 2016/679, kompetentingi subjektai, kaip jie suprantami pagal UKlaG 4 straipsnį, pagal UWG 8 straipsnio 3 dalies 3 punktą turi teisę pareikšti ieškinį, pažeidus pagal SESV 288 straipsnio antrą pastraipą tiesiogiai taikomas šio reglamento nuostatas dėl duomenų apsaugos, remdamiesi teisės pažeidimu pagal UWG 3a straipsnį.

26.      Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad esama skirtingų nuomonių dėl to, ar pačiu Reglamentu 2016/679 yra išsamiai reglamentuojama jo nuostatų taikymo kontrolė.

27.      Prašymą priimti prejudicinį sprendimą pateikęs teismas dėl Reglamento 2016/679 formuluotės pažymi, kad subjekto, kaip antai Federalinės sąjungos, teisės pareikšti ieškinį pagal UWG 8 straipsnio 3 dalies 3 punktą neapima šio reglamento 80 straipsnio 1 dalis, nes pagrindinėje byloje aptariamas ieškinys dėl veiksmų nutraukimo nebuvo pareikštas gavus duomenų subjekto įgaliojimą ir jo vardu, siekiant įgyvendinti jo asmenines teises. Priešingai, kalbama apie Federalinės sąjungos teisę pareikšti ieškinį remiantis jos pačios turima teise, kuri jai leidžia, esant teisės pažeidimui, kaip tai suprantama pagal UWG 3a straipsnį, imtis objektyviosios teisės veiksmų dėl minėto reglamento nuostatų pažeidimo, nepriklausomai nuo atskirų duomenų subjektų konkrečių teisių pažeidimo ir jų įgaliojimų.

28.      Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad Federalinės sąjungos teisė pareikšti ieškinį, kuriuo siekiama pagal objektyviąją teisę įgyvendinti teisę, susijusią su asmens duomenų apsauga, nėra numatyta Reglamento 2016/679 80 straipsnio 2 dalyje. Iš tikrųjų, nors šioje nuostatoje numatyta, kad toks subjektas gali pareikšti ieškinį nepriklausomai nuo to, ar duomenų subjektas suteikia įgaliojimą, vis dėlto reikia, kad tvarkant asmens duomenis būtų pažeistos duomenų subjekto teisės, suteiktos pagal šį reglamentą. Taigi, remiantis minėto reglamento 80 straipsnio 2 dalies nuostatų formuluotėmis, asociacijoms, kurios, kaip nagrinėjamu atveju, remdamosi UWG 3a straipsniu ir 8 straipsnio 3 dalies 3 punktu imasi veiksmų dėl objektyvių duomenų apsaugos teisės pažeidimų, nepriklausomai nuo konkretaus duomenų subjekto subjektyviųjų teisių pažeidimo, taip pat nesuteikiama teisės pareikšti ieškinį. Tokia pati išvada darytina remiantis Reglamento 2016/679 142 konstatuojamosios dalies antru sakiniu, kuriame taip pat numatyta, kad turi būti pažeistos duomenų subjekto teisės tam, kad asociacija turėtų teisę pareikšti ieškinį nepriklausomai nuo duomenų subjekto įgaliojimo.

29.      Be to, asociacijos teisė pareikšti ieškinį, kaip numatyta UWG 8 straipsnio 3 dalyje, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, negali būti grindžiama Reglamento 2016/679 84 straipsnio 1 dalimi, pagal kurią valstybės narės nustato taisykles dėl kitų sankcijų už šio reglamento pažeidimus ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendintos. Iš tikrųjų asociacijos teisė pareikšti ieškinį, kaip numatyta UWG 8 straipsnio 3 dalyje, negali būti laikoma „sankcija“, kaip tai suprantama pagal minėtą reglamento nuostatą.

30.      Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat pažymi, kad iš Reglamento 2016/679 sistemos negalima aiškiai nustatyti, ar subjekto teisė pareikšti ieškinį remiantis UWG 8 straipsnio 3 dalies 3 punktu, t. y. nuostata, skirta kovoti su nesąžininga konkurencija, tebegali būti pripažinta įsigaliojus šiam reglamentui. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, jog, atsižvelgiant į tai, kad pagal šį reglamentą priežiūros institucijoms nustatomos plačios stebėsenos pareigos, taip pat suteikiami platūs tyrimo įgaliojimai ir įgaliojimai imtis taisomųjų veiksmų, galima daryti išvadą, kad minėto reglamento nuostatų taikymo kontrolę iš esmės turi įgyvendinti šios priežiūros institucijos. Tai prieštarauja plačiam Reglamento 2016/679 80 straipsnio 2 dalies aiškinimui. Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat pažymi, kad reglamentą įgyvendinančios nacionalinės teisės normos iš esmės gali būti priimamos tik tada, kai tai yra aiškiai leidžiama. Vis dėlto remiantis formuluote „[n]edarant poveikio galimybei imtis kitų <…> teisių gynimo priemonių“, vartojama šio reglamento 77 straipsnio 1 dalyje, 78 straipsnio 1 ir 2 dalyse ir 79 straipsnio 1 dalyje, būtų galima paneigti teiginį dėl teisių įgyvendinimo kontrolės išsamaus sureguliavimo minėtu reglamentu.

31.      Reglamento 2016/679 tikslo veiksmingumu būtų galima grįsti asociacijų teisę pareikšti ieškinį pagal konkurencijos teisę, remiantis UWG 8 straipsnio 3 dalies 3 punktu, neatsižvelgiant į duomenų subjektų konkrečių teisių pažeidimą, nes taip būtų išlaikoma papildoma galimybė kontroliuoti teisių įgyvendinimą, siekiant užtikrinti kuo aukštesnio lygio asmens duomenų apsaugą, kaip nurodyta šio reglamento 10 konstatuojamojoje dalyje. Vis dėlto asociacijų teisė pareikšti ieškinį pagal konkurencijos teisę gali būti laikoma prieštaraujančia suderinimo tikslui, kurio siekiama minėtu reglamentu.

32.      Prašymą priimti prejudicinį sprendimą pateikusiam teismui taip pat kyla abejonių dėl to, ar, įsigaliojus Reglamentui 2016/679, UKlaG 3 straipsnio 1 dalies pirmo sakinio 1 punkte nurodyti subjektai išlaiko teisę imtis veiksmų, pareikšdami ieškinius šio reglamento nuostatų pažeidimo atvejais, remdamiesi įstatymo dėl vartotojų apsaugos, kaip tai suprantama pagal UklaG 2 straipsnio 2 dalies pirmo sakinio 11 punktą, pažeidimu. Tas pats pasakytina ir apie vartotojų teisių gynimo asociacijos teisę pareikšti ieškinį pagal UKlaG 1 straipsnį, siekiant uždrausti taikyti negaliojančias bendrąsias sąlygas, kaip tai suprantama pagal Civilinio kodekso 307 straipsnį.

33.      Darant prielaidą, kad įvairios nacionalinės teisės nuostatos, iki Reglamento 2016/679 įsigaliojimo pagrindžiančios subjektų teisę pareikšti ieškinį, gali būti laikomos iš anksto įgyvendinančiomis šio reglamento 80 straipsnio 2 dalį, tam, kad šioje byloje būtų galima pripažinti Federalinės sąjungos teisę pareikšti ieškinį, reikėtų, kad ji nurodytų, jog tvarkant asmens duomenis buvo pažeistos duomenų subjekto teisės, numatytos minėtame reglamente. Tačiau ši sąlyga nėra įvykdyta.

34.      Iš tikrųjų prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad Federalinės sąjungos reikalavimų dalykas yra abstraktus Facebook Ireland programėlių centre pateikiamos informacijos patikrinimas, atsižvelgiant į objektyviąją duomenų apsaugos teisę – Federalinė sąjunga nenurodė fizinio asmens, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, kaip tai suprantama pagal Reglamento 2016/679 4 straipsnio 1 dalį, teisių pažeidimo.

35.      Jei būtų konstatuota, kad, įsigaliojus Reglamentui 2016/679, Federalinė sąjunga prarado teisę pareikšti ieškinį, grindžiamą minėtomis Vokietijos teisės nuostatomis, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad jis turėtų patenkinti Facebook Ireland pateiktą kasacinį skundą, o Federalinės sąjungos ieškinį atmesti, nes pagal Vokietijos teisę teisė pareikšti ieškinį turi išlikti iki proceso galutinėje instancijoje pabaigos.

36.      Remdamasis tuo, kas išdėstyta, Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:

„Ar pagal Reglamento 2016/679 VIII skyriaus, visų pirma 80 straipsnio 1 ir 2 dalių bei 84 straipsnio 1 dalies, nuostatas draudžiamos nacionalinės teisės nuostatos, kuriomis, be [šio] reglamento taikymui stebėti ir jam įgyvendinti kompetentingų priežiūros institucijų intervencijos teisių ir duomenų subjektų teisinės gynybos priemonių, suteikiama teisė tiek konkurentams, tiek pagal nacionalinės teisės aktus įgaliotoms asociacijoms, įstaigoms ir rūmams Reglamento (ES) 2016/679 pažeidimo atvejais, nepriklausomai nuo pavienių duomenų subjektų konkrečių teisių pažeidimo ir neturint duomenų subjekto įgaliojimų, imtis veiksmų prieš pažeidėją, t. y. pareikšti ieškinį civilinių bylų teismuose, remiantis nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos teisės akto pažeidimu arba draudimu taikyti negaliojančias Bendrąsias komercines sąlygas?“

37.      Federalinė sąjunga, Facebook Ireland, Austrijos ir Portugalijos vyriausybės bei Komisija pateikė rašytines pastabas. Šios šalys, išskyrus Portugalijos vyriausybę, ir Vokietijos vyriausybė pateikė žodines pastabas per 2021 m. rugsėjo 23 d. įvykusį posėdį.

IV.    Analizė

38.      Savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar Reglamentas 2016/679 (pirmiausia jo 80 straipsnio 2 dalis) turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, leidžiantys vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, remiantis nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos teisės akto pažeidimu arba draudimu taikyti negaliojančias bendrąsias komercines sąlygas.

39.      Pagal Reglamento 2016/679 4 straipsnio 1 punktą „duomenų subjektas“, kaip tai suprantama pagal šį reglamentą, – tai „asm[uo], kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“. Jei toks subjektas mano, kad jo asmens duomenys buvo tvarkomi pažeidžiant šio reglamento nuostatas, jis gali imtis kelių veiksmų.

40.      Pavyzdžiui, duomenų subjektas pagal Reglamento 2016/679 77 straipsnį turi teisę pateikti skundą priežiūros institucijai. Pagal šio reglamento 78 straipsnį šis asmuo taip pat turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją. Be to, šio reglamento 79 straipsnio 1 dalimi kiekvienam duomenų subjektui suteikiama teisė imtis veiksmingų teisminių teisių gynimo priemonių, jeigu jis mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.

41.      Duomenų subjektai, žinoma, gali patys pateikti skundą priežiūros institucijai arba imtis minėtų veiksmingų teisminių gynimo priemonių. Tokiomis aplinkybėmis Reglamento 2016/679 80 straipsnyje nurodyta, kad šiems subjektams su tam tikromis sąlygomis gali atstovauti įstaiga, organizacija ar ne pelno asociacija. Taigi Sąjungos teisėje be individualių ieškinių numatytos ir įvairios atstovaujamųjų ieškinių, kuriuos pareiškia duomenų subjektams atstovauti įgalioti subjektai, galimybės(10). Vadinasi, Reglamento 2016/679 80 straipsnis atitinka tendenciją plėtoti atstovaujamųjų ieškinių, kuriuos pareiškia tokie įgalioti subjektai, siekdami ginti bendrus ar kolektyvinius interesus, pareiškimo galimybes, kaip būdą sudaryti geresnes galimybes asmenims, kurie nukentėjo pažeidus aptariamas taisykles, kreiptis į teismą(11).

42.      Reglamento 2016/679 80 straipsnį „Atstovavimas duomenų subjektams“ sudaro dvi dalys. Pirmoji dalis susijusi su atveju, kai duomenų subjektas įgalioja įstaigą, organizaciją ar asociaciją jam atstovauti. Antroji – su atstovaujamuoju ieškiniu, kurį pareiškia kompetentingas subjektas, neatsižvelgiant į duomenų subjekto suteikiamą įgaliojimą.

43.      Kadangi Federalinės sąjungos pareikštas ieškinys nėra grindžiamas duomenų subjekto įgaliojimu, nagrinėjant šį prašymą priimti prejudicinį sprendimą reikšminga būtent Reglamento 2016/679 80 straipsnio 2 dalis.

A.      Sprendimas Fashion ID

44.      Sprendime Fashion ID Teisingumo Teismas, kalbėdamas apie Direktyvą 95/46, pareiškė nuomonę klausimu, kuris panašus į pateiktąjį šiame prašyme priimti prejudicinį sprendimą. Teisingumo Teismas nusprendė, jog „[šios direktyvos] 22–24 straipsniai turi būti aiškinami taip, kad jais nedraudžiamos nacionalinės taisyklės, leidžiančios vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui“(12).

45.      Šią išvadą Teisingumo Teismas padarė, remdamasis teiginiu, kad nė vienoje Direktyvos 95/46 nuostatoje valstybėms narėms nenustatyta pareigos ir aiškiai nesuteikta teisės savo nacionalinėje teisėje numatyti galimybę asociacijai atstovauti tokiam asmeniui teisme arba savo iniciatyva pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui(13). Teisingumo Teismo teigimu, vis dėlto tai nereiškia, kad šia direktyva draudžiami nacionalinės teisės aktai, pagal kuriuos vartotojų teisių gynimo asociacijoms leidžiama pareikšti ieškinį tokiam tariamam pažeidėjui(14). Šiuo klausimu Teisingumo Teismas pabrėžė šios direktyvos ypatumus ir valstybėms narėms, kurioms ji skirta, tenkančią pareigą imtis visų būtinų priemonių, kad būtų užtikrintas visiškas atitinkamos direktyvos veiksmingumas, atsižvelgiant į ja siekiamą tikslą(15).

46.      Teisingumo Teismas priminė, kad Direktyva 95/46 siekiama „užtikrinti veiksmingą ir visišką fizinių asmenų pagrindinių laisvių ir teisių, ypač teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis“ ir „aukštą apsaugos lygį [Europos Sąjungoje]“(16). Teisingumo Teismo teigimu, tai, kad valstybė narė savo nacionalinės teisės nuostatose gali numatyti galimybę vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, padeda įgyvendinti šiuos tikslus(17). Be to, Teisingumo Teismas pabrėžė, kad „valstybės narės daugeliu atžvilgių turėtų [turi] diskreciją perkeldamos [Direktyvą 95/46]“(18), be kita ko, dėl šios direktyvos 22–24 straipsnių, kuriuose „vartojamos bendro pobūdžio formuluotės ir kuriais nevisiškai suderinamos nacionalinės nuostatos dėl teisminių teisių gynimo priemonių, kurių gali būti imtasi prieš tariamą asmens duomenų apsaugos pažeidėją“(19). Taigi, „vartotojų teisių gynimo asociacijų galimybė pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui gali būti laikoma tinkama priemone, kaip apibrėžta [šios direktyvos 24 straipsnyje], kuria <…> siekiama įgyvendinti minėtos direktyvos tikslus pagal Teisingumo Teismo jurisprudenciją“(20).

47.      Nagrinėjamu prašymu priimti prejudicinį sprendimą Teisingumo Teismo prašoma nuspręsti, ar tai, kas galėjo būti leidžiama galiojant Direktyvai 95/46, turėtų būti draudžiama įsigaliojus Reglamentui 2016/679. Kitaip tariant, ar šio reglamento 80 straipsnio 2 dalies teisinė pasekmė ta, kad panaikinama vartotojų teisių gynimo asociacijos teisė pareikšti ieškinį, kaip antai aptariamą pagrindinėje byloje?

48.      Tuo galima suabejoti jau vien perskaičius Sprendimo Fashion ID 62 punktą, kuriame Teisingumo Teismas pažymi, jog tai, kad „Reglamento 2016/679 <…> 80 straipsnio 2 dalyje valstybėms narėms aiškiai leidžiama leisti vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, jokiu būdu nereiškia, kad valstybės narės negalėjo joms suteikti šios teisės pagal Direktyvą 95/46, tačiau patvirtina, kad šiame sprendime pateiktas direktyvos aiškinimas atspindi Sąjungos teisės aktų leidėjo valią“(21).

49.      Dėl priežasčių, kurias nurodysiu toliau, manau, kad nei Direktyvos 95/46 pakeitimas reglamentu, nei tai, kad Reglamente 2016/679 dabar yra straipsnis, skirtas atstovauti duomenų subjektams, pareiškiant ieškinius teisme, nepaneigia to, ką Teisingumo Teismas nustatė Sprendime Fashion ID, t. y. to, kad valstybės narės savo nacionalinės teisės aktuose gali numatyti galimybę vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui.

B.      Reglamento 2016/679 ypatumai

50.      Dėl Direktyvos 95/46 pakeitimo kitokio pobūdžio norma, t. y. Reglamentu 2016/679, pažymėtina, jog tai, kad Sąjungos teisės aktų leidėjas kaip teisinę formą pasirinko reglamentą, kuris pagal SESV 288 straipsnį yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse, paaiškinama jo noru, išreikštu Reglamento 2016/679 13 konstatuojamojoje dalyje, užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje. Todėl iš pirmo žvilgsnio atrodo, kad šiuo reglamentu siekiama visiško suderinimo, taigi, neapsiribojant minimalių normų, kurių valstybės narės galėtų laikytis, nustatymu ir nepaliekant valstybėms narėms galimybės nukrypti nuo šio reglamento nuostatų, jas papildyti ar įgyvendinti siekiant, kad nebūtų trukdoma vienu metu ir vienodai jį taikyti Sąjungoje.

51.      Pasirodo, kad tikrovė yra sudėtingesnė. Iš tikrųjų Reglamento 2016/679 teisinis pagrindas, t. y. SESV 16 straipsnis(22), neleidžia manyti, kad Sąjunga, priimdama šį reglamentą, užkirto kelią visoms pasekmėms, kurias asmens duomenų apsauga gali sukelti kitose srityse, susijusiose, be kita ko, su darbo teise, konkurencijos teise ar vartotojų teise, trukdydama valstybėms narėms šiose srityse daugiau ar mažiau savarankiškai nustatyti konkrečias taisykles, atsižvelgiant į tai, ar kalbama apie Sąjungos teisės reglamentuojamą sritį(23). Šiuo klausimu pažymėtina, kad nors asmens duomenų apsauga iš esmės yra universalaus pobūdžio, Reglamentu 2016/679 atliekamas suderinimas apsiriboja aspektais, kuriuos konkrečiai apima šis reglamentas šioje srityje. Dėl kitų aspektų valstybės narės gali laisvai priimti teisės aktus, jeigu jie suderinami su šio reglamento turiniu ir netrukdo įgyvendinti juo siekiamų tikslų.

52.      Be to, įsigilinus į Reglamento 2016/679 nuostatas, reikia konstatuoti, kad šiuo reglamentu atlikto suderinimo apimtis pagal atitinkamas nuostatas skiriasi. Taigi, siekiant nustatyti norminę šio reglamento taikymo sritį, kiekvieną atvejį reikia nagrinėti atskirai(24). Nors atsižvelgiant į jurisprudenciją, susijusią su Direktyva 95/46(25), galima manyti, kad Reglamentu 2016/679 atliktas suderinimas „iš esmės yra išsamus“, vis dėlto įvairiose šio reglamento nuostatose pripažįstama valstybių narių diskrecija, kuria pagal aplinkybes jos gali pasinaudoti, atsižvelgdamos į tose pačiose nuostatose nustatytas sąlygas ir apribojimus(26).

53.      Primintina, kad remiantis Teisingumo Teismo suformuota jurisprudencija „pagal SESV 288 straipsnį ir dėl reglamentų teisinio pobūdžio ir paskirties Sąjungos teisės šaltinių sistemoje reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių. Vis dėlto kai kurioms reglamento nuostatoms įgyvendinti valstybėms narėms gali prireikti priimti nacionalines įgyvendinimo priemones“(27). Tai, kad pasirenkamas reglamentas, nebūtinai reiškia, jog pagal jo nuostatas teisės subjektams visai nepaliekama veiksmų laisvės(28). Be to, nors reglamentas yra privalomas ir tiesiogiai taikomas, tokio pobūdžio teisės akte gali būti neprivalomų taisyklių(29).

54.      Reglamento 2016/679 80 straipsnio 2 dalis, kurioje vartojamas žodis „gali“, yra neprivalomos nuostatos, suteikiančios valstybėms narėms diskreciją ją įgyvendinant, pavyzdys.

55.      Ši nuostata – tai viena iš daugelio „išlygų“, nurodytų šiame reglamente, kuris dėl to tampa išskirtinis, palyginti su įprastu reglamentu ir primena direktyvą(30). Šiose išlygose pateikiamos nuorodos į nacionalinę teisę, gali būti privalomos(31), bet dažniausiai reiškia valstybėms narėms suteikiamą galimybę(32). Galima pažymėti, kad dėl šių gausių nuorodų į valstybių narių nacionalinę teisę kyla grėsmė, jog vėl susiskaidys asmens duomenų apsaugos sistema Sąjungoje, o tai prieštarautų Sąjungos teisės aktų leidėjo išreikštam norui pasiekti, kad ši sistema būtų labiau suvienodinta, ir dėl to gali sumažėti šios apsaugos veiksmingumas, o duomenų valdytojams ir duomenų tvarkytojams gali kilti neaiškumų dėl jiems tenkančių pareigų(33). Taigi Reglamentu 2016/679 atliktą suderinimą apriboja įvairios „išlygos“, nurodytos šiame reglamente.

56.      Aišku, kad palyginti su tuo, kas buvo nustatyta Direktyvoje 95/46, Sąjungos teisės aktų leidėjas, priimdamas Reglamentą 2016/679, norėjo plačiau ir tiksliau Sąjungos lygiu reglamentuoti aspektus, susijusius su atstovavimu duomenų subjektams siekiant pateikti skundą priežiūros institucijai arba kreiptis į teismą(34). Tačiau šio reglamento 80 straipsnio 1 ir 2 dalių norminė taikymo sritis nėra tokia pati. Iš tikrųjų šio straipsnio 1 dalis valstybėms narėms yra privaloma(35), o pagal jo 2 dalį joms tik suteikiama galimybė. Vadinasi, tam, kad būtų galima pareikšti atstovaujamąjį ieškinį be įgaliojimo, numatytą šio reglamento 80 straipsnio 2 dalyje, valstybės narės turi pasinaudoti šioje nuostatoje joms suteikta galimybe nacionalinėje teisėje nurodyti tokį atstovavimo duomenų subjektams būdą.

57.      Reglamento 2016/679 80 straipsnio 2 dalis jau vien dėl savo neprivalomojo pobūdžio, taigi, ir dėl galimų neatitikimų nacionalinės teisės sistemose, negali būti laikoma nuostata, kuria atliktas visiškas suderinimas, susijęs su atstovaujamaisiais ieškiniais be įgaliojimo asmens duomenų apsaugos srityje. Vis dėlto taikydamos šią nuostatą pagal savo nacionalinę teisę valstybės narės turi atsižvelgti į sąlygas ir apribojimus, kuriais Sąjungos teisės aktų leidėjas norėjo apibrėžti šioje nuostatoje nurodytos galimybės įgyvendinimą.

58.      Nors palyginti su tuo, kas buvo nustatyta Direktyvoje 95/46, reglamentavimas yra tikslesnis, vis dėlto valstybės narės išlaiko diskreciją, kai įgyvendina Reglamento 2016/679 80 straipsnio 2 dalį.

59.      Iš Teisingumo Teismo turimos bylos medžiagos matyti, kad, įsigaliojus šiam reglamentui, Vokietijos teisės aktų leidėjas nepriėmė nuostatos, kuri būtų konkrečiai skirta pagal nacionalinę teisę įgyvendinti šio reglamento 80 straipsnio 2 dalį. Tokiomis aplinkybėmis, kaip Teisingumo Teismui siūlo prašymą priimti prejudicinį sprendimą pateikęs teismas, reikia nustatyti, ar pirma galiojusios Vokietijos teisės normos, pagal kurias vartotojų teisių gynimo asociacija turi teisę pareikšti ieškinį, siekdama, kad būtų nutraukti veiksmai, reiškiantys ir Reglamento 2016/679 nuostatų pažeidimą, ir taisyklių, kuriomis siekiama, be kita ko, apsaugoti vartotojus, pažeidimą, yra suderinamos su Reglamento 2016/679 80 straipsnio 2 dalimi. Kitaip tariant, ar nacionalinės teisės nuostatos, galiojusios iki šio reglamento įsigaliojimo, atitinka tai, kas leidžiama pagal šio reglamento 80 straipsnio 2 dalį?

60.      Kaip per teismo posėdį patikslino Vokietijos vyriausybė, nacionalinės teisės nuostatos, pagal kurias tokiai asociacijai, kaip Federalinė sąjunga, suteikiama teisė pareikšti atstovaujamąjį ieškinį, kaip antai aptariamą pagrindinėje byloje, yra Direktyvos 2009/22 perkėlimo priemonės. Siekiant atsakyti į klausimą, ar pagal Reglamento 2016/679 80 straipsnio 2 dalį taip pat suteikiama teisė pareikšti tokį ieškinį, taigi, ir ar šios nacionalinės teisės nuostatos patenka į kiekvienos valstybės narės turimos diskrecijos įgyvendinimo sritį(36), reikia išaiškinti šį straipsnį atsižvelgiant pirmiausia į jo formuluotę, taip pat į šio reglamento sistemą ir tikslus.

C.      Reglamento 2016/679 80 straipsnio 2 dalies pažodinis, sisteminis ir teleologinis aiškinimas

61.      Pagal Reglamento 2016/679 80 straipsnio 2 dalį šiame reglamente numatytus atstovaujamuosius ieškinius gali pareikšti „bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija“. Šio reglamento 80 straipsnio 1 dalyje kalbama apie „ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų [jo] asmens duomenų apsauga“. Tokia apibrėžtis, mano nuomone, negali būti taikoma tik subjektams, turintiems vienintelį ir išimtinį tikslą – apsaugoti asmens duomenis, ji taikoma visiems subjektams, siekiantiems viešojo intereso tikslo, susijusio su asmens duomenų apsauga. Tokios yra vartotojų teisių gynimo asociacijos, kaip antai Federalinė sąjunga, kurioms gali tekti pareikšti ieškinį dėl veiksmų, kuriais, pažeidžiant minėto reglamento nuostatas, pažeidžiamos ir vartotojų apsaugos arba kovos su nesąžininga konkurencija taisyklės(37).

62.      Pagal Reglamento 2016/679 80 straipsnio 2 dalies formuluotę atstovaujamąjį ieškinį gali pareikšti subjektas, atitinkantis šio straipsnio 1 dalyje nurodytas sąlygas, jeigu jis „mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos“. Priešingai, nei, atrodo, leidžia manyti prašymą priimti prejudicinį sprendimą pateikęs teismas, nemanau, kad paskutinę šio sakinio dalį reikia aiškinti siaurai, kaip reiškiančią, jog tam, kad subjektas turėtų teisę pareikšti ieškinį, kaip numatyta Reglamento 2016/679 80 straipsnio 2 dalyje, jis iš pradžių turi nustatyti vieną ar kelis asmenis, kuriuos konkrečiai paveikė aptariamas duomenų tvarkymas. Iš šio reglamento parengiamųjų dokumentų to visai nematyti. Be to, pati sąvokos „duomenų subjektas“, kaip tai suprantama pagal minėto reglamento 4 straipsnio 1 punktą, t. y. „fizin[is] asm[uo], kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (38), apibrėžtis, mano manymu, prieštarauja reikalavimui, kad asmenų, kurių duomenys tvarkomi pažeidžiant Reglamento 2016/679 nuostatas, tapatybė jau turėtų būti nustatyta pareiškiant atstovaujamąjį ieškinį pagal šio reglamento 80 straipsnio 2 dalį. Darytina logiška išvada, kad pagal šią nuostatą negali būti reikalaujama, jog tam, kad subjektas turėtų teisę pareikšti ieškinį pagal minėtą nuostatą, jis privalo remtis konkrečiais atskirų asmenų atvejais.

63.      Mano manymu, teisė pareikšti atstovaujamąjį ieškinį pagal Reglamento 2016/679 80 straipsnio 2 dalį reiškia tik tai, kad turi būti nurodytas asmens duomenų tvarkymas, prieštaraujantis šio reglamento nuostatoms, kuriomis apsaugomos individualios teisės, taigi, ir galintis pažeisti asmenų, kurių tapatybė nustatyta arba kurių tapatybę galima nustatyti, teises, nesant nurodytos sąlygos, jog tam, kad subjektas turėtų teisę pareikšti ieškinį, jis privalo kiekvienu konkrečiu atveju patikrinti, ar buvo pažeistos vieno, ar kelių nustatytų asmenų teisės(39). Taigi toks ieškinys turi būti grindžiamas teisių, kurias fizinis asmuo gali turėti pagal minėtą reglamentą, pažeidimu, padarytu tvarkant jo asmens duomenis. Šiuo ieškiniu siekiama apsaugoti ne objektinę teisę, o tik subjektines teises, kurias duomenų subjektai turi tiesiogiai pagal Reglamentą 2016/679(40). Kitaip tariant, išlyga, nurodyta šio reglamento 80 straipsnio 2 dalyje, siekiama leisti kompetentingiems subjektams prašyti, kad priežiūros institucija arba teismas patikrintų, ar duomenų valdytojai laikosi duomenų subjektų apsaugos taisyklių, nustatytų šiame reglamente(41). Vadinasi, tam, kad subjektas turėtų teisę pareikšti ieškinį pagal šią nuostatą, pakanka, kad jis nurodytų Reglamento 2016/679 nuostatų, kuriomis siekiama apsaugoti duomenų subjektų subjektines teises, pažeidimą.

64.      Kaip iš esmės teigia Komisija, Reglamento 2016/679 80 straipsnio 2 dalies aiškinimas, pagal kurį tam, kad galėtų pareikšti atstovaujamąjį ieškinį be įgaliojimo, subjektas turi įrodyti ar nurodyti, jog esant tam tikrai situacijai buvo pažeistos nustatyto asmens teisės, pernelyg apribotų šios nuostatos taikymo sritį. Kaip ir Portugalijos vyriausybė bei Komisija manau, kad šio reglamento 80 straipsnio 2 dalis turėtų būti aiškinama taip, kad nebūtų pakenkta jos veiksmingumui, palyginti su šio straipsnio 1 dalimi. Todėl šio reglamento 80 straipsnio 2 dalis, mano nuomone, turėtų būti suprantama taip, kad ji taikytina ne vien atstovavimo atskiriems asmenims atvejais, kaip numatyta šio straipsnio 1 dalyje, o suteikiant ir galimybę kompetentingų subjektų iniciatyva savarankiškai atstovauti asmenų, kurių asmens duomenys tvarkomi pažeidžiant Reglamentą 2016/679, kolektyviniams interesams. Labai sumažėtų šio reglamento 80 straipsnio 2 dalies veiksmingumas, jei būtų laikomasi požiūrio, kad, kaip reikalaujama pagal šio straipsnio 1 dalį, subjektas abiem atvejais galėtų pareikšti ieškinius atstovaudamas tik konkrečiai ir atskirai nustatytiems asmenims.

65.      Be to, mano siūlomas Reglamento 2016/679 80 straipsnio 2 dalies aiškinimas atitinka ieškinių dėl veiksmų nutraukimo prevencinį pobūdį ir jų atgrasomąjį tikslą, taip pat jų nepriklausomumą nuo bet kokio konkretaus ginčo(42).

66.      Nebent kiltų grėsmė sukurti du skirtingus standartus, susijusius su kompetentingų subjektų teise pareikšti ieškinį dėl veiksmų nutraukimo, atsižvelgiant į tai, ar toks ieškinys grindžiamas nacionaline priemone, patenkančia į Reglamento 2016/679 80 straipsnio 2 dalies, ar į Direktyvos 2020/1828 taikymo sritį, mano manymu, yra nurodyta, nors ši direktyva pagrindinėje byloje netaikytina, atsižvelgti į tai, kad pagal šią direktyvą tokie subjektai turi remtis ne tuo, kad yra konkrečiai ir atskirai nustatytų vartotojų, kurie nukentėjo dėl aptariamo pažeidimo(43), o tuo, kad yra verslininkų padarytų šios direktyvos I priede (kurio 56 punkte, beje, minimas Reglamentas 2016/679) nurodytų Sąjungos teisės nuostatų pažeidimų(44).

67.      Pritariant siauram Reglamento 2016/679 80 straipsnio 2 dalies aiškinimui, mano manymu, klaidingai priešpastatomas vartotojų kolektyvinių interesų gynimas(45) ir kiekvieno asmens, kurio asmens duomenys tvarkomi tariamai pažeidžiant šį reglamentą, teisių apsauga. Iš tikrųjų vartotojų kolektyvinių interesų gynimas, mano nuomone, nepanaikina subjektinių teisių, kurias duomenų subjektai turi tiesiogiai pagal Reglamentą 2016/679, apsaugos, jis, priešingai, apima tokią apsaugą.

68.      Be to, nuorodoje, pateikiamoje Direktyvos 2020/1828 15 konstatuojamojoje dalyje, pagal kurią „[R]eglamente <…> 2016/679<…> numatyti arba juo grindžiami vykdymo užtikrinimo mechanizmai, kai taikytina, galėtų toliau būti naudojami vartotojų kolektyvinių interesų apsaugai“(46), įžvelgiu patvirtinimą, kad šio reglamento 80 straipsnio 2 dalyje nurodytas atstovaujamasis ieškinys gali būti susijęs su tokių interesų gynimu.

69.      Remdamasis tuo, kas išdėstyta, darau išvadą, kad pagal Reglamento 2016/679 80 straipsnio 2 dalį, mano nuomone, valstybėms narėms leidžiama numatyti galimybę kompetentingiems subjektams be duomenų subjektų įgaliojimo reikšti atstovaujamuosius ieškinius siekiant ginti vartotojų kolektyvinius interesus, jei remiamasi šio reglamento, kuriuo siekiama duomenų subjektams suteikti subjektines teises, nuostatų pažeidimu.

70.      Būtent toks yra ieškinys dėl veiksmų nutraukimo, kurį Federalinė sąjunga pareiškė Facebook Ireland.

71.      Iš tikrųjų primintina, kad, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu ir pagal Federalinės sąjungos reikalavimus, Facebook Ireland neįvykdė jai pagal Reglamento 2016/679 12 straipsnio 1 dalies pirmą sakinį tenkančios pareigos duomenų subjektui glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti šio reglamento 13 straipsnio 1 dalies c ir e punktuose nurodytą reikalingą informaciją apie asmens duomenų tvarkymo tikslą ir jų gavėją. Šios nuostatos aiškiai priklauso nuostatų, pagal kurias duomenų subjektams suteikiamos subjektinės teisės, kategorijai; tai patvirtina, be kita, ko, aplinkybė, kad šios nuostatos išdėstytos minėto reglamento III skyriuje „Duomenų subjekto teisės“. Todėl šių teisių apsaugos gali reikalauti arba patys duomenų subjektai, arba kompetentingas subjektas pagal Reglamento 2016/679 80 straipsnio 1 dalį ar nacionalines nuostatas, kuriomis įgyvendinama šio reglamento 80 straipsnio 2 dalis.

72.      Taip pat manau, kad pagal Reglamento 2016/679 80 straipsnio 2 dalį nedraudžiamos nacionalinės teisės nuostatos, kuriomis vartotojų teisių gynimo asociacijai leidžiama pareikšti ieškinį dėl veiksmų nutraukimo, siekiant užtikrinti šiame reglamente nustatytų teisių apsaugą, pasitelkiant taisykles, kuriomis siekiama apsaugoti vartotojus arba kovoti su nesąžininga komercine veikla. Iš tikrųjų tokiose taisyklėse gali būti nuostatų, panašių į minėto reglamento nuostatas, pirmiausia kiek tai susiję su duomenų subjektų informavimu apie jų asmens duomenų tvarkymą(47), o tai reiškia, kad asmens duomenų apsaugos taisyklės pažeidimas kartu gali lemti vartotojų apsaugos arba kovos su nesąžininga komercine veikla taisyklių pažeidimą. Pagal Reglamento 2016/679 80 straipsnio 2 dalies formuluotę niekas netrukdo iš dalies įgyvendinti šią išlygą taip, kad atstovaujamuoju ieškiniu siekiama apsaugoti duomenų subjektų, kaip vartotojų, teises, kurias jiems suteikia šis reglamentas(48).

73.      Toks siūlomas Reglamento 2016/679 80 straipsnio 2 dalies aiškinimas, mano manymu, labiausiai atitinka šiuo reglamentu siekiamus tikslus.

74.      Šiuo klausimu Teisingumo Teismas pažymėjo, kad, „kaip matyti iš Reglamento 2016/679 1 straipsnio 2 dalies, siejamos su jo 10, 11 ir 13 konstatuojamosiomis dalimis, jame Sąjungos institucijoms, įstaigoms ir organams bei kompetentingoms valstybių narių institucijoms nustatyta užduotis užtikrinti aukštą SESV 16 straipsnyje ir [Europos Sąjungos pagrindinių teisių chartijos] 8 straipsnyje garantuojamų teisių apsaugos lygį“(49). Be to, minėtu reglamentu siekiama „užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą, ypač teisės į privatų gyvenimą ir teisės į asmens duomenų apsaugą“(50).

75.      Būtų prieštaraujama tikslui užtikrinti aukštą asmens duomenų apsaugos lygį, jei valstybėms narėms būtų trukdoma įgyvendinti priemones, kuriomis, siekiant vartotojų apsaugos, kartu būtų prisidedama prie asmens duomenų apsaugos tikslo. Kaip ir kalbant apie tai, kas buvo taikytina Direktyvos 95/46 atveju, įsigaliojus Reglamentui 2016/679, galima dar kartą patvirtinti, jog tam tikrų teisių suteikimas vartotojų teisių gynimo asociacijoms siekiant, kad būtų nutraukti veiksmai, kuriais pažeidžiamos šio reglamento nuostatos, padeda stiprinti duomenų subjektų teises, taikant kolektyvinio teisių gynimo sistemą(51).

76.      Taigi, asociacijoms ginant vartotojų kolektyvinius interesus, labai prisidedama siekiant asmens duomenų aukšto lygio apsaugos tikslo. Atsižvelgiant į tai, pažymėtina, kad prevencinės priemonės, kurių imasi šios asociacijos, negalėtų būti įgyvendintos, jei pareiškiant atstovaujamąjį ieškinį, kuris numatytas Reglamento 2016/679 80 straipsnio 2 dalyje, būtų galima remtis tik asmens, individualiai ir konkrečiai nukentėjusio dėl pažeidimo, teisių pažeidimu.

77.      Vadinasi, ieškiniu dėl veiksmų nutraukimo, kurį pareiškia vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, neginčijamai prisidedama prie veiksmingo Reglamentu 2016/679 saugomų teisių įgyvendinimo(52).

78.      Be to, būtų mažų mažiausia paradoksalu, jei asmens duomenų apsaugos taisyklių laikymosi kontrolės priemonių sustiprinimas, kurio siekė Sąjungos teisės aktų leidėjas, priimdamas Reglamentą 2016/679, galiausiai pasireikštų šios apsaugos lygio sumažėjimu, palyginti su tuo lygiu, kurį valstybės narės galėjo užtikrinti galiojant Direktyvai 95/46.

79.      Tiesa, kitaip nei Jungtinių Amerikos Valstijų teisėje, Sąjungos teisėje teisės aktai, susiję, pirma, su nesąžininga komercine veikla, ir, antra, su asmens duomenų apsauga, buvo plėtojami atskirai. Taigi šiose dviejose srityse taikomas skirtingas teisinis reglamentavimas.

80.      Tokiomis aplinkybėmis tarp šių dviejų sričių esama sąsajų, todėl veiksmai, kurie atliekami pagal teisės aktus, susijusius su asmens duomenų apsauga, gali tuo pačiu metu netiesiogiai prisidėti prie kelio nesąžiningai komercinei veiklai užkirtimo. Ir atvirkščiai(53). Be to, asmens duomenų apsaugos, kiek tai susiję su sutikimu tvarkyti šiuos duomenis, ir vartotojų apsaugos ryšys yra nurodytas pačiame Reglamente 2016/679, būtent jo 42 konstatuojamojoje dalyje. Taip pat pažymėtina, kad Komisija yra pabrėžusi Sąjungos teisės aktų asmens duomenų apsaugos srityje ir Direktyvos 2005/29/CE(54) tarpusavio sąsajas.

81.      Sąsajos tarp teisės, susijusios su asmens duomenų apsauga, vartotojų teisės ir konkurencijos teisės yra dažnos ir jų daug, nes tam pačiam veiksmui tuo pačiu metu gali būti taikomos šiose skirtingose srityse nustatytos teisės normos. Tokios tarpusavio sąsajos didina asmens duomenų apsaugos veiksmingumą(55).

82.      Tiesa, Reglamente 2016/679 įtvirtintų teisių turėtojai priklauso ne vien vartotojų kategorijai, nes šiame reglamente remiamasi ne vartojimu grindžiama fizinių asmenų apsaugos tvarkant asmens duomenis samprata(56), o samprata, kad ši apsauga pagal Pagrindinių teisių chartijos 8 straipsnį ir, kaip nurodyta, be kita ko, minėto reglamento 1 konstatuojamojoje dalyje ir 1 straipsnio 2 dalyje, yra pagrindinė teisė(57).

83.      Vis dėlto skaitmeninės ekonomikos amžiuje duomenų subjektai dažnai yra vartotojai. Būtent todėl taisyklės, skirtos apsaugoti vartotojams, dažnai taikomos, siekiant užtikrinti jų apsaugą nuo asmens duomenų tvarkymo, pažeidžiant Reglamento 2016/679 nuostatas.

84.      Užbaigiant šią analizę, reikia konstatuoti, kad gali sutapti Reglamento 2016/679 80 straipsnio 2 dalyje numatytas atstovaujamasis ieškinys ir Direktyvoje 2020/1828 numatytas ieškinys, pareiškiamas siekiant, kad būtų nurodyta nutraukti veiksmus, kai „duomenų subjektai“, kaip jie suprantami pagal šį reglamentą, yra ir „vartotojai“, kaip jie suprantami pagal šios direktyvos 3 straipsnio 1 punktą(58). Mano manymu, tai reiškia, kad teisė, susijusi su asmens duomenų apsauga, papildo kitas teisės sritis, kaip antai vartotojų teisę ir konkurencijos teisę, ir iš dalies su jomis sutampa. Priimdamas minėtą direktyvą Sąjungos teisės aktų leidėjas dar labiau išplėtojo šią tendenciją, aiškiai susiedamas vartotojų kolektyvinius interesus su Reglamento 2016/679 laikymusi. Tai gali tik padidinti šiame reglamente nustatytų taisyklių taikymo veiksmingumą.

V.      Išvada

85.      Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pateiktą prejudicinį klausimą:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių asmenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 80 straipsnio 2 dalis turi būti aiškinama taip, kad pagal ją nedraudžiami nacionalinės teisės aktai, leidžiantys vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, remiantis nesąžiningos komercinės veiklos draudimu, vartotojų apsaugos teisės akto pažeidimu arba draudimu taikyti negaliojančias bendrąsias komercines sąlygas, jei aptariamu atstovaujamuoju ieškiniu siekiama, kad būtų užtikrintos ginčijamo tvarkymo duomenų subjektų tiesiogiai pagal šį reglamentą turimos teisės.

1      Originalo kalba: prancūzų.

2      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymai: OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35).

3      Žr. 2019 m. liepos 29 d. Sprendimą Fashion ID (C‑40/17, EU:C:2019:629, toliau – Sprendimas Fashion ID).

4      1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355).

5      Taip pat žr. šio reglamento 142 konstatuojamąją dalį.

6      BGBl. I, 2004, p. 1414, toliau – UWG.

7      BGBl. I, 2001, p. 3138, 3173, toliau – UKlaG.

8      OL L 110, 2009, p. 30.

9      BGBl. I, 2007, p. 179, toliau – TMG.

10      Atstovavimas duomenų subjektams numatytas ir 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018, p. 39), 67 straipsnyje, taip pat 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo [kuria] panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89; klaidų ištaisymas OL L 127, 2018, p. 6) 55 straipsnyje. Abiem šiais atvejais kalbama apie atstovavimą pagal įgaliojimą.

11      Ši tendencija, sukonkretinta, be kita ko, Direktyvoje 2009/22, neseniai patvirtintoje ir priimant 2020 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyvą (ES) 2020/1828 dėl atstovaujamųjų ieškinių siekiant apsaugoti vartotojų kolektyvinius interesus, kuria panaikinama Direktyva 2009/22/CE (OL L 409, 2020, p. 1). Pastarosios direktyvos perkėlimo terminas – 2022 m. gruodžio 25 d. Šiuo klausimu žr. Pato, A. „Collective Redress Mechanisms in the ES“, Jurisdiction and CrossBorder Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londonas, 2019, p. 45–117. Taip pat žr. Gsell, B. „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward“, Common Market Law Review, 58 t., 5‑asis leidimas, Kluwer Law International, Alfenas prie Reino, 2021, p. 1365–1400.

12      Žr. Sprendimą Fashion ID (63 punktas ir rezoliucinė dalis).

13      Žr. Sprendimo Fashion ID 47 punktą.

14      Žr. Sprendimo Fashion ID 48 punktą.

15      Žr. Sprendimo Fashion ID 49 punktą.

16      Žr. Sprendimo Fashion ID 50 punktą.

17      Žr. Sprendimo Fashion ID 51 punktą.

18      Žr. Sprendimą Fashion ID (56 punktas ir jame nurodyta jurisprudencija).

19      Žr. Sprendimą Fashion ID (57 punktas ir jame nurodyta jurisprudencija).

20      Žr. Sprendimo Fashion ID 59 punktą.

21      Išskirta mano.

22      Kaip Teisingumo Teismas pabrėžė 2021 m. birželio 15 d. Sprendime Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 44 punktas).

23      Iš Reglamento 2016/679 preambulės matyti, kad jis priimtas remiantis SESV 16 straipsniu, kurio 2 dalyje numatyta, be kita ko, kad Europos Parlamentas ir Taryba, spręsdami pagal įprastą teisėkūros procedūrą, nustato, viena vertus, fizinių asmenų apsaugos Sąjungos institucijoms, įstaigoms ir organams bei valstybėms narėms tvarkant asmens duomenis, kai vykdoma veikla yra susijusi su Sąjungos teisės taikymo sritimi, taisykles ir, kita vertus, laisvo duomenų judėjimo taisykles.

24      Vadinasi, siekiant nustatyti norma, kaip antai Reglamentu 2016/679, atlikto suderinimo apimtį, reikia „išnagrinėti <…> konkrečią nuostatą [atlikti mikroanalizę, t. y. išnagrinėti konkrečią taisyklę] arba, geriausiu atveju, konkretų ir aiškiai apibrėžtą ES teisės aspektą“ (žr. generalinio advokato M. Bobek išvadą, pateiktą byloje Dzivev ir kt. (C‑310/16, EU:C:2018:623, 74 punktas)). Taip pat žr. Mišćenić, E. ir Hoffmann, A.‑L. „The Role of Opening Clauses in Harmonization of ES Law: Example of the ES’s General Data Protection Regulation (GDPR)“, ES and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijekas, 2020, 4‑asis leidimas, p. 44–61; šie autoriai pažymi, kad „[i]t is <…> possible for a harmonization measure, either ES directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them“ (p. 49).

25      Žr. 2003 m. lapkričio 6 d. Sprendimą Lindqvist (C‑101/01, EU:C:2003:596, 96 punktas).

26      Dėl Direktyvos 95/46 žr. 2003 m. lapkričio 6 d. Sprendimą Lindqvist (C‑101/01, EU:C:2003:596, 97 punktas). Priešingai, nei kartais manoma, tai, kad Sąjungos teisės aktų leidėjas pasirinko reglamentą, o ne direktyvą, nebūtinai reiškia, jog atitinkama sritis visiškai suderinta. Žr. Mišćenić, E. ir Hoffmann, A.‑L., op. cit., kurie pažymi, kad „an ES directive can lead to a more intensive harmonization if it has a fully harmonizing effect, <…> while an ES regulation can result in a weak degree of harmonization, if it contains many options or derogation rules“ (p. 48).

27      Žr., be kita ko, 2021 m. birželio 15 d. Sprendimą Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 110 punktas ir jame nurodyta jurisprudencija). Dėl srities, kuri pirma buvo direktyvos dalykas, taip pat žr. 2011 m. gruodžio 21 d. Sprendimą Danske Svineproducenter (C‑316/10, EU:C:2011:863, 42 punktas), kuriame Teisingumo Teismas patikslina, jog „aplinkybė, kad Sąjungos teisės normos dėl vežamų gyvūnų apsaugos šiuo metu yra numatytos reglamente, nebūtinai reiškia, jog bet kokia nacionalinė šios teisės normos taikymo priemonė šiuo metu yra draudžiama“.

28      Žr. 1971 m. spalio 27 d. Sprendimą Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29      Taigi Teisingumo Teismas pripažino, kad valstybė narė, pasirinkusi nesinaudoti reglamente numatyta galimybe, nepažeidžia SESV 288 straipsnio (žr. 2015 m. gruodžio 17 d. Sprendimą Imtech Marine Belgium (C‑300/14, EU:C:2015:825, 27–31 punktai). Dėl reglamento, kuriuo nustatomos eksporto grąžinamosios išmokos, kurias valstybės narės gali skirti arba atsisakyti skirti, taip pat žr. 1971 m. spalio 27 d. Sprendimą Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30      Dėl šių išlygų žr. Wagner, J. ir Benecke, A. „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law“, European Data Protection Law Review, Lexxion, Berlynas, 2 t., 3‑iasis leidimas, 2016, p. 353–361.

31      Žr., be kita ko, Reglamento 2016/679 51 ir 84 straipsnius.

32      Žr., be kita ko, Reglamento 2016/679 6 straipsnio 2 ir 3 dalis, 8 straipsnio 1 dalies antrą pastraipą ir 85–89 straipsnius.

33      Šiuo klausimu žr. Mišćenić, E. ir Hoffmann, A.‑L., op. cit., kurie pažymi, kad „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an ES regulation, <…> the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses <…> open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation“ (p. 50 ir 51).

34      Direktyvos 95/46 28 straipsnio 4 dalyje tik buvo numatyta galimybė asociacijai, kreipiantis į priežiūros instituciją, pateikti skundą asmens, teigiančio, kad tvarkant asmens duomenis buvo pažeistos jo teisės, vardu.

35      Vis dėlto išskyrus atstovaujamąjį ieškinį su įgaliojimu, pareiškiamą siekiant gauti kompensaciją duomenų subjekto vardu, toks ieškinys nėra privalomas valstybėms narėms.

36      Pagal analogiją žr. 2011 m. gruodžio 21 d. Sprendimą Danske Svineproducenter (C‑316/10, EU:C:2011:863, 43 punktas).

37      Žr. Pato, A. „The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights“, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Liuksemburgas, 2019, p. 98–106. Šios autorės teigimu, „[t]he number of actors who potentially have standing to sue is broad“ ir „[c]onsumer associations will usually meet those requirements easily“ (p. 99).

38      Išskirta mano. Pagal minėtą nuostatą „fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, kultūrinės ar socialinės tapatybės požymius“. Kaip pažymi Martial‑Braz, N. „Le champ d’application du RGPD“ leidinyje Bensamoun, A. ir Bertrand, B. Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paryžius, 2020, p. 19–33, „tapatybės nustatomumas suprantamas labai plačiai, nes asmens tapatybės nustatymas apima įvairius būdus, kuriuos pagrįstai galima taikyti siekiant nustatyti asmens tapatybę“ (p. 24). Dėl sąvokos „asmuo, kurio tapatybė gali būti nustatyta“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio a punktą, žr., be kita ko, 2016 m. spalio 19 d. Sprendimą Breyer (C‑582/14, EU:C:2016:779).

39      Žr. Boehm, F. „Artikel 80 Vertretung von betroffenen Personen“ leidinyje Simitis, S., Hornung, G. ir Spiecker Döhmann, I. Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden Badenas, 2019, pirmiausia 13 punktas.

40      Žr. Frenzel, E. M. „Art. 80 Vertretung von betroffenen Personen“ leidinyje Paal, B. P. ir Pauly, D. A. DatenschutzGrundverordnung, Bundesdatenschutzgesetz, 3‑iasis leidimas, C. H. Beck, Miunchenas, 2021, pirmiausia 11 punktas, taip pat Kreße, B. „Artikel 80 Vertretung von betroffenen Personen“ leidinyje Sydow, G. Europäische Datenschutzverordnung, 2‑asis leidimas, Nomos, Baden Badenas, 2018, pirmiausia 13 punktas.

41      Žr. Moos, F. ir Schefzig, J. „Art. 80 Vertretung von betroffenen Personen“ leidinyje Taeger, J. ir Gabel, D. Kommentar DSGVO – BDSG, 3‑iasis leidimas, Deutscher Fachverlag, Frankfurtas prie Maino, 2019, pirmiausia 22 punktas.

42      Dėl nesąžiningų sąlygų sutartyse su vartotojais žr., be kita ko, 2016 m. balandžio 14 d. Sprendimą Sales Sinués ir Drame Ba (C‑381/14 ir C‑385/14, EU:C:2016:252, 29 punktas).

43      Žr. Direktyvos 2020/1828 33 konstatuojamąją dalį ir 8 straipsnio 3 dalies a punktą, pagal kurį „kompetentingo subjekto nereikalaujama įrodyti, kad <…> nuo pažeidimo, kaip nurodyta 2 straipsnio 1 dalyje, nukentėję atskiri vartotojai patyrė faktinius nuostolius ar faktinę žalą“. Be to, nors pagal šios direktyvos 7 straipsnio 2 dalį kompetentingas subjektas teismui ar administracinei institucijai privalo pateikti „pakankamai informacijos apie atstovaujamuoju ieškiniu suinteresuotus vartotojus“, iš šios direktyvos 34 konstatuojamosios dalies matyti, kad ši informacija, kurios išsamumo lygis gali skirtis priklausomai nuo priemonės, kurią prašo taikyti kompetentingas subjektas, neapima atskirų vartotojų, nukentėjusių dėl aptariamo pažeidimo, nurodymo, ji veikiau apima vietos, kurioje įvyko žalą lėmęs įvykis arba vartotojų, susijusių su atstovaujamuoju ieškiniu, grupės nurodymą (taip pat žr. Direktyvos 2020/1828 65 konstatuojamąją dalį). Taip pat pažymėtina, kad net atstovaujamojo ieškinio dėl teisių gynimo priemonių atveju Direktyvos 2020/1828 49 konstatuojamojoje dalyje nurodyta, kad „turėtų būti nereikalaujama [neturėtų būti reikalaujama], kad kompetentingas subjektas atskirai nurodytų kiekvieno atstovaujamuoju ieškiniu suinteresuoto vartotojo tapatybę, kad galėtų inicijuoti atstovaujamąjį ieškinį“. Šiuo klausimu žr. Gsell, B., op. cit., pirmiausia p. 1370.

44      Žr. Direktyvos 2020/1828 2 straipsnio 1 dalį.

45      Žr. Direktyvos 2009/22 3 konstatuojamąją dalį, kurioje patikslinama, kad atstovaujamaisiais ieškiniais, patenkančiais į šios direktyvos taikymo sritį, siekiama ginti „vartotojų kolektyvinius interesus“, o šie apibrėžiami kaip „interesai, kurie nėra vien dėl pažeidimų nukentėjusių asmenų interesų visuma“. Direktyvos 2020/1828 3 straipsnio 3 punkte sąvoka „vartotojų kolektyviniai interesai“ apibrėžiama kaip „vartotojų bendrasis interesas ir, visų pirma teisių gynimo priemonių tikslais, vartotojų grupės interesai“.

46      Išskirta mano.

47      Žr. Helberger, N., Zuiderveen Borgesius, F. ir Reyna, A. „The Perfect Match? A Closer Look at the Relationship Between ES Consumer Law and Data Protection Law“, Common Market Law Review, 54 t., 5‑asis leidimas, Kluwer Law International, Alfenas prie Reino, 2017, p. 1427–1465; šie autoriai pažymi, kad „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual“ (p. 1437).

48      Žr. Neun, A. ir Lubitzsch, K. „Die neue ES‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz“, BetriebsBerater, Deutscher Fachverlag, Frankfurtas prie Maino, 2017, p. 2563–2569, pirmiausia p. 2567.

49      Žr. 2021 m. birželio 15 d. Sprendimą Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 45 punktas).

50      Žr. 2021 m. birželio 15 d. Sprendimą Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 91 punktas).

51      Žr. generalinio advokato M. Bobek išvadą, pateiktą byloje Fashion ID (C‑40/17, EU:C:2018:1039, 33 punktas).

52      Dėl vartotojų teisių gynimo asociacijų pareikštų ieškinių pavyzdžių žr. Helberger, N., Zuiderveen Borgesius, F. ir Reyna, A., op. cit., pirmiausia p. 1452 ir 1453.

53      Dėl veiksmų, susijusių su asmens duomenų apsauga, ir veiksmų, kuriais siekiama užkirsti kelią nesąžiningai komercinei veiklai, tarpusavio papildomumo žr. van Eijk, N., Hoofnagle, C. J. ir Kannekens, E. „Unfair Commercial Practices: A Complementary Approach to Privacy Protection“, European Data Protection Law Review, Lexxion, Berlynas, 3 t., 3‑iasis leidimas, 2017, p. 325–337; šie autoriai pažymi, kad „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective“ (p. 336).

54      2005 m. gegužės 11 d. Europos Parlamento ir Tarybos direktyva dėl nesąžiningos įmonių komercinės veiklos vartotojų atžvilgiu vidaus rinkoje ir iš dalies keičianti Tarybos direktyvą 84/450/EEB, Europos Parlamento ir Tarybos direktyvas 97/7/EB, 98/27/EB bei 2002/65/EB ir Europos Parlamento ir Tarybos reglamentą (EB) Nr. 2006/2004 („Nesąžiningos komercinės veiklos direktyva“) (OL L 149, 2005, p. 22). Žr. Komisijos tarnybų darbinį dokumentą – Nesąžiningos komercinės veiklos direktyvos 2005/29/EB įgyvendinimo ir taikymo gairės, – pridedamą prie Komisijos komunikato Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui. Europos piliečiams ir įmonėms naudingas visapusiškas tarpvalstybinės e. prekybos skatinimo metodas (SWD(2016) 163 final), pirmiausia 1.4.10 punktą, p. 26–31. Komisija jame pabrėžia būtinybę sąžiningai tvarkyti duomenis, reiškiančią, kad duomenų subjektui turi būti pateikta atitinkama informacija, pirmiausia susijusi su aptariamų asmens duomenų tvarkymo tikslais (p. 28). Komisija taip pat pažymi, jog „tai, kad prekybininkas pažeidžia [Direktyvą 95/46] ar [2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvą 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514)], ne visada savaime reikš, kad jo veikla taip pažeidžiama [Direktyva 2005/29]“. Tačiau, Komisijos teigimu, „į šiuos duomenų apsaugos pažeidimus reikėtų atsižvelgti vertinant bendrą komercinės veiklos nesąžiningumą pagal [Direktyvą 2005/29], visų pirma tais atvejais, kai prekybininkas tvarko vartotojų duomenis, pažeisdamas duomenų apsaugos reikalavimus, t. y. tiesioginės rinkodaros tikslais ar siekdamas bet kokių kitų komercinių tikslų, pavyzdžiui, profiliavimo, asmeninės kainodaros ar didžiųjų duomenų taikomųjų programų“ (p. 30).

55      Šiuo klausimu žr., be kita ko, Helberger, N., Zuiderveen Borgesius, F. ir Reyna, A., op. cit., kurie pažymi, kad „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets“ (p. 1429). Taip pat žr. van Eijk, N., Hoofnagle, C. J. ir Kannekens, E., op. cit., pirmiausia p. 336. Kaip taisyklių, susijusių su asmens duomenų apsauga elektroninių ryšių sektoriuje, ir taisyklių, kuriomis draudžiama nesąžininga įmonių komercinė veikla vartotojų atžvilgiu, savitarpio papildomumo pavyzdį žr. mano išvadą, pateiktą byloje StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56      Žr. Martial‑Braz, N., op. cit., pirmiausia p. 23.

57      Žr. 2021 m. birželio 15 d. Sprendimą Facebook Ireland ir kt. (C‑645/19, EU:C:2021:483, 44 punktas).

58      Žr. Direktyvos 2020/1828 14 konstatuojamąją dalį, pagal kurią „fizinių asmenų, kuriems [I priede nurodytais Sąjungos teisės nuostatų pažeidimais] buvo padaryta žala ar gali būti padaryta žala, interesai šia direktyva turėtų būti saugomi tik tuo atveju, jeigu tie asmenys yra vartotojai pagal šią direktyvą“.