CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

OPINIA RZECZNIKA GENERALNEGO

JEANA RICHARDA DE LA TOURA

przedstawiona w dniu 2 grudnia 2021 r.(1)

Sprawa C‑319/20

Facebook Ireland Limited

przeciwko

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy)]

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 80 ust. 2 – Prawo do skutecznego środka prawnego przed sądem – Reprezentowanie osób, których dane dotyczą, przez stowarzyszenie, które nie ma charakteru zarobkowego – Czynna legitymacja procesowa stowarzyszenia, którego celem jest ochrona interesów konsumentów

I. Wstęp

1. We współczesnej gospodarce, charakteryzującej się rozwojem gospodarki cyfrowej, przetwarzanie danych osobowych może mieć wpływ na ludzi nie tylko jako na osoby fizyczne będące beneficjentami praw przyznanych im w rozporządzeniu (UE) 2016/679(2), lecz także jako na konsumentów.

2. W związku z tym stowarzyszenia, których celem jest ochrona interesów konsumentów, coraz częściej wytaczają powództwa mające na celu zaniechanie pewnych zachowań przez niektórych administratorów danych, którzy jednocześnie naruszają i prawa chronione na mocy tego rozporządzenia, i inne przepisy wynikające zarówno z prawa Unii, jak i z prawa krajowego w tej dziedzinie, w szczególności z zakresu ochrony praw konsumentów i zwalczania nieuczciwych praktyk handlowych.

3. Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony w ramach sporu, jaki powstał między Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (federalnym związkiem organizacji i zrzeszeń konsumenckich – związkiem organizacji konsumenckich, zwanym dalej „związkiem organizacji konsumenckich”) a Facebook Ireland Limited z siedzibą w Irlandii. Związek organizacji konsumenckich zarzuca tej spółce naruszenie niemieckich przepisów o ochronie danych osobowych, stanowiące jednocześnie nieuczciwą praktykę handlową, naruszenie przepisów o ochronie konsumentów oraz naruszenie zakazu stosowania nieważnych ogólnych warunków handlowych.

4. W niniejszym wniosku zwrócono się do Trybunału w istocie o dokonanie wykładni art. 80 ust. 2 rozporządzenia 2016/679 w celu ustalenia, czy przepis ten stoi na przeszkodzie temu, by stowarzyszenia, których celem jest ochrona interesów konsumentów, zachowały po wejściu w życie tego rozporządzenia przysługującą im na mocy prawa krajowego legitymację procesową do domagania się zaniechania zachowań stanowiących zarówno naruszenie praw przyznanych w tym rozporządzeniu, jak i naruszenie przepisów mających na celu ochronę praw konsumentów i zwalczanie nieuczciwych praktyk handlowych. Skoro taka legitymacja została uznana przez Trybunał(3) za zgodną z dyrektywą 95/46/WE(4), do Trybunału też będzie należało rozstrzygnięcie kwestii, czy rozporządzenie 2016/679 zmieniło w tym względzie stan prawny.

II. Ramy prawne

A. Rozporządzenie 2016/679

5. Artykuł 80 rozporządzenia 2016/679, zatytułowany „Reprezentowanie osób, których dane dotyczą”, ma następujące brzmienie(5):

„1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.

2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.

B. Prawo niemieckie

6. Paragraf 3 ust. 1 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji)(6) z dnia 3 lipca 2004 r., w brzmieniu mającym zastosowanie w postępowaniu głównym, stanowi, co następuje:

„Nieuczciwe praktyki handlowe są niedozwolone”.

7. Paragraf 3a UWG ma następujące brzmienie:

„W sposób nieuczciwy działa ten, kto postępuje niezgodnie z przepisem ustawy, który służy również, w interesie uczestników, regulowaniu zachowania na rynku, jeżeli naruszenie może odczuwalnie naruszyć interesy konsumentów, innych uczestników rynku lub podmiotów konkurujących”.

8. Paragraf 8 ust. 1, 3 UWG ma następujące brzmienie:

„(1) Od osoby, która stosuje niedozwolone praktyki handlowe wskazane w § 3 lub § 7, można żądać usunięcia ich skutków, a w wypadku groźby ponowienia praktyk – ich zaniechania. Zaniechania można żądać już wtedy, gdy istnieje groźba tego rodzaju naruszenia §§ 3 lub § 7.

[…]

(3) Prawa z ust. 1 przysługują:

[…]

3. upoważnionym podmiotom, które wykażą, że są wpisane na listę upoważnionych podmiotów, o której mowa w § 4 [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (ustawy w sprawie powództw o zaniechanie naruszeń prawa konsumenckiego i innych naruszeń(7) z dnia 26 listopada 2001 r. w brzmieniu mającym zastosowanie w postępowaniu głównym] lub w wykazie Komisji Europejskiej, o którym mowa w art. 4 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 2009/22/WE z dnia 23 kwietnia 2009 r. w sprawie nakazów zaprzestania szkodliwych praktyk w celu ochrony interesów konsumentów^[(8)^];

[…]”.

9. Paragraf 2 UKlaG stanowi:

„(1) Od tego, kto narusza przepisy mające na celu ochronę konsumentów (ustawy o ochronie konsumentów) w inny sposób niż przez stosowanie lub zalecanie stosowania ogólnych warunków umów, można żądać w interesie ochrony konsumentów zaniechania i usunięcia skutków […].

(2) W rozumieniu niniejszego przepisu »ustawy o ochronie konsumentów« oznaczają w szczególności:

[…]

11. przepisy, które regulują dopuszczalność:

a) gromadzenia przez przedsiębiorcę danych osobowych użytkownika lub

b) przetwarzania lub wykorzystywania przez przedsiębiorcę danych osobowych zgromadzonych na temat użytkownika,

jeżeli dane są gromadzone, przetwarzane lub wykorzystywane do celów reklamy, badań rynkowych lub badania opinii, udzielenia informacji, sporządzania profili osobowych lub użytkownika, handlu adresami, innego handlu danymi lub do podobnych celów komercyjnych.

[…]”.

10. Bundesgerichthof (federalny trybunał sprawiedliwości, Niemcy) stwierdził, że zgodnie z § 3 ust. 1 zdanie pierwsze pkt 1 UKlaG podmioty posiadające legitymację procesową w rozumieniu tego przepisu mogą wnieść powództwo o zaniechanie naruszeń przepisów o ochronie konsumentów, które zgodnie z § 2 ust. 2 zdanie pierwsze pkt 11 tej ustawy obejmują również przepisy odnoszące się do zgodności z prawem gromadzenia, przetwarzania i wykorzystywania danych osobowych konsumenta przez przedsiębiorcę w celach reklamowych. Ponadto, również na podstawie § 3 ust. 1 zdanie pierwsze pkt 1 UKlaG, podmioty posiadające legitymację procesową mogą zgodnie z § 1 UKlaG żądać zaniechania stosowania ogólnych warunków handlowych, które są nieważne na podstawie § 307 Bürgerliches Gesetzbuch (kodeksu cywilnego), jeżeli owe podmioty uważają, że te ogólne warunki handlowe naruszają jakiś przepis o ochronie danych.

11. Paragraf 13 ust. 1 Telemediengesetz (ustawy o mediach elektronicznych)(9) z dnia 26 lutego 2007 r. ma następujące brzmienie:

„Usługodawca informuje użytkownika na początku procesu korzystania w ogólnie zrozumiałej formie o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych oraz o przetwarzaniu jego danych w państwach nieobjętych zakresem zastosowania dyrektywy [95/46/WE], o ile taka informacja nie została przekazana wcześniej. W przypadku zautomatyzowanej procedury, która umożliwia późniejszą identyfikację użytkownika i przygotowuje gromadzenie i wykorzystywanie danych osobowych, użytkownika powiadamia się na początku tej procedury. Treść informacji musi być zawsze dostępna dla użytkownika”.

III. Stan faktyczny w postępowaniu głównym i pytanie prejudycjalne

12. Związek organizacji konsumenckich figuruje w Niemczech na wykazie podmiotów, którym § 4 UKlaG przyznaje czynną legitymację procesową. Facebook Ireland prowadzi platformę internetową Facebook pod adresem www.facebook.de, która umożliwia wymianę danych osobowych i innych.

13. Na platformie internetowej Facebook znajduje się tak zwane „App-Center”, na którym Facebook Ireland udostępnia swoim użytkownikom między innymi bezpłatne gry pochodzące od podmiotów trzecich. Przeglądając gry dostępne w App-Center w dniu 26 listopada 2012 r., użytkownik mógł zauważyć szereg informacji wyświetlanych po kliknięciu na „Sofort spielen” („Zagraj teraz”). Z informacji tych w istocie wynikało, że korzystanie z tej aplikacji umożliwia dostawcy gier uzyskanie pewnych danych osobowych i publikację w imieniu użytkownika pewnych informacji, takich jak uzyskane przez niego w grze wyniki. Korzystanie z aplikacji wiązało się z zaakceptowaniem przez użytkownika jej ogólnych warunków oraz jej polityki w dziedzinie ochrony danych. Ponadto, w przypadku gry w „Scrabble”, wskazano, że użytkownik zezwala na publikowanie poprzez aplikację w jego imieniu swego statusu, zdjęć i innych informacji.

14. Związek organizacji konsumenckich kwestionuje sposób przedstawienia w App-Center informacji pojawiających się po kliknięciu na przyciski „Zagraj teraz” jako nieuczciwych, w szczególności dlatego, że nie spełniają one dotyczących uzyskania ważnej zgody użytkownika wymogów określonych w przepisach o ochronie danych. Ponadto uważa on, że końcowa informacja podawana w przypadku gry „Scrabble” stanowi nadmiernie niekorzystny dla użytkownika warunek ogólny.

15. W tym kontekście związek organizacji konsumenckich wniósł przeciwko Facebook Ireland do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy) powództwo o zaniechanie. Sąd odsyłający wyjaśnia, że powództwo to zostało wniesione niezależnie od konkretnego naruszenia praw do ochrony danych osoby, której dane dotyczą, i bez upoważnienia udzielonego przez taką osobę.

16. Związek organizacji konsumenckich wnosi o zakazanie Facebook Ireland, pod groźbą kary pieniężnej, „prezentowania w »App-Center« w ramach działalności handlowej skierowanej do konsumentów mających miejsce zwykłego pobytu na terenie […] Niemiec, na stronie internetowej znajdującej się pod adresem www.facebook.com, gier w taki sposób, że klikając na taki przycisk jak [»Zagraj teraz«], konsument oświadcza, że dostawca gry uzyskuje, za pośrednictwem sieci społecznościowej obsługiwanej przez [Facebook Ireland], informacje o zawartych w grze danych osobowych i zostaje upoważniony do przekazywania (zamieszczania) informacji w imieniu konsumenta […]”.

17. Związek organizacji konsumenckich zażądał również zakazania Facebook Ireland „włączania do umów z konsumentami, którzy mają miejsce zwykłego pobytu na terenie […] Niemiec, następującego postanowienia lub postanowień o identycznej treści dotyczących korzystania z aplikacji (apps) w ramach sieci społecznościowej, jak również powoływania się na postanowienia dotyczące przekazywania danych dostawcom gier: »Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten« [Ta aplikacja może w Twoim imieniu zamieszczać posty dotyczące Twego statusu, a także zdjęcia i inne informacje]”.

18. Landgericht Berlin (sąd krajowy w Berlinie) uwzględnił powództwo przeciwko Facebook Ireland zgodnie z żądaniami związku organizacji konsumenckich. Apelacja skierowana przez Facebook Ireland do Kammergericht Berlin (wyższego sądu krajowego w Berlinie) została odrzucona.

19. Facebook Ireland wniosła do sądu odsyłającego skargę rewizyjną od orzeczenia sądu apelacyjnego.

20. Co do istoty sprawy sąd odsyłający uważa, że sąd apelacyjny słusznie orzekł, że żądania związku organizacji konsumenckich były zasadne. Naruszając bowiem obowiązki informacyjne określone w § 13 ust. 1 zdanie pierwsze część pierwsza TMG, Facebook Ireland naruszyła § 3a UWG i § 2 ust. 2 zdanie pierwsze pkt 11 UKlaG. Sąd apelacyjny słusznie uznał, że rozpatrywane w niniejszej sprawie przepisy stanowią zgodnie z § 13 TMG przepisy służące regulowaniu zachowania na rynku w rozumieniu § 3a UWG. Ponadto są to przepisy, które zgodnie z § 2 ust. 2 zdanie pierwsze pkt 11 lit. a) UKlaG regulują zgodność z prawem gromadzenia, przetwarzania lub wykorzystywania przez przedsiębiorcę danych osobowych konsumenta, które zostały zgromadzone, przetworzone lub wykorzystane w celach reklamowych. Ponadto sąd odsyłający uważa, że ze względu na naruszenie obowiązków informacyjnych w zakresie ochrony danych mających zastosowanie w niniejszej sprawie Facebook Ireland powołała się na ogólny warunek, który jest nieważny w rozumieniu § 1 UKlaG.

21. Sąd odsyłający zastanawia się jednak, czy sąd apelacyjny słusznie uznał apelację związku organizacji konsumenckich za dopuszczalną. Sąd odsyłający chciałby bowiem ustalić, czy po wejściu w życie rozporządzenia 2016/679 stowarzyszeniu, którego celem jest ochrona interesów konsumentów, takiemu jak związek organizacji konsumenckich, nadal przysługuje prawo do wnoszenia powództw do sądów cywilnych z powodu naruszenia tego rozporządzenia niezależnie od konkretnego naruszenia praw poszczególnych osób, których dane dotyczą, i bez upoważnienia otrzymanego od osoby, której dane dotyczą, powołując się przy tym na naruszenie przepisów prawa, o którym mowa w § 3a UWG, naruszenie przepisów o ochronie konsumentów w rozumieniu § 2 ust. 2 pkt 11 UKlaG czy też stosowanie nieważnego ogólnego warunku w zastosowaniu § 1 UKlaG.

22. Sąd odsyłający zauważa, że przed wejściem w życie rozporządzenia 2016/679 nie było wątpliwości co do dopuszczalności skargi. Związek organizacji konsumenckich był bowiem uprawniony do wystąpienia do sądu cywilnego z powództwem o zaniechanie zgodnie z § 8 ust. 3 pkt 3 UWG i § 3 ust. 1 zdanie pierwsze pkt 1 UKlaG.

23. Zdaniem sądu odsyłającego możliwe jest, że ten reżim prawny uległ zmianie w związku z wejściem w życie rozporządzenia 2016/679.

24. Co do istoty ów sąd zauważa, że przepisy § 13 ust. 1 TMG od momentu wejścia w życie tego rozporządzenia nie mają już zastosowania, a mające zastosowanie obowiązki informacyjne wynikają obecnie z art. 12–14 rozporządzenia 2016/679. Tym samym zdaniem sądu odsyłającego Facebook Ireland uchybiła ciążącemu na niej na mocy art. 12 ust. 1 zdanie pierwsze rozporządzenia 2016/679 obowiązkowi udzielenia osobie, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji określonych w art. 13 ust. 1 lit. c) i e) tego rozporządzenia, dotyczących celu, w jakich dane są przetwarzane, oraz odbiorcy tych danych.

25. W przedmiocie dopuszczalności skargi zdaniem sądu odsyłającego sporne jest to, czy po wejściu w życie rozporządzenia 2016/679 podmioty posiadające czynną legitymację procesową w rozumieniu § 4 UKlaG są na podstawie § 8 ust. 3 pkt 3 UWG uprawnione do występowania na drodze sądowej przeciwko naruszeniom przepisów tego rozporządzenia, które to przepisy na mocy art. 288 akapit drugi TFUE mają bezpośrednie zastosowanie, powołując się na naruszenia prawa w rozumieniu § 3a UWG.

26. W tym względzie sąd odsyłający stwierdza, że istnieją różne poglądy co do tego, czy rozporządzenie 2016/679 jako takie reguluje kwestię wykonywania jego przepisów w sposób wyczerpujący.

27. Co do brzmienia rozporządzenia 2016/679, sąd ten zauważa, że czynna legitymacja procesowa przysługująca na mocy art. 8 ust. 3 pkt 3 UWG podmiotowi takiemu jak związek organizacji konsumenckich nie jest objęta zakresem zastosowania art. 80 ust. 1 tego rozporządzenia, ponieważ będące przedmiotem postępowania głównego powództwo o zaniechanie nie zostało wytoczone na podstawie upoważnienia i w imieniu zainteresowanej osoby w celu dochodzenia praw osobistych tej osoby. Przeciwnie, chodzi tu o czynną legitymację procesową związku organizacji konsumenckich wynikającą z jego własnego prawa, która w przypadku naruszenia prawa w rozumieniu § 3a UWG pozwoliłaby mu na wniesienie powództwa w odniesieniu do naruszeń przepisów tego rozporządzenia w celu istniejącym obiektywnie, niezależnie od naruszenia konkretnych praw poszczególnych osób, których dane dotyczą, oraz od udzielonego przez nie upoważnienia.

28. Sąd odsyłający zauważa jednak, że art. 80 ust. 2 rozporządzenia 2016/679 nie przyznaje związkowi organizacji konsumenckich legitymacji procesowej do egzekwowania prawa dotyczącego ochrony danych osobowych w takim obiektywnym celu. Gdyby nawet bowiem przepis ten rzeczywiście przewidywał możliwość wystąpienia z powództwem przez taki podmiot niezależnie od jakiegokolwiek upoważnienia przez osobę, której dane dotyczą, byłoby jednak konieczne, aby w wyniku przetwarzania danych doszło do przewidzianego w tym rozporządzeniu naruszenia praw osoby, której dane dotyczą. W konsekwencji zdaniem sądu odsyłającego treść przepisów art. 80 ust. 2 tego rozporządzenia również nie pozwala, z uwagi na jego brzmienie, na przyznanie, w oparciu o § 3a i § 8 ust. 3 pkt 3 UWG, jak ma to miejsce w niniejszej sprawie, legitymacji procesowej stowarzyszeniom, które powołują się na obiektywne naruszenia prawa do ochrony danych osobowych, bez względu na to, czy naruszone zostały podmiotowe prawa konkretnej osoby, której dane dotyczą. Identyczny wniosek można wyciągnąć z motywu 142 zdanie drugie rozporządzenia 2016/679, który również wymienia naruszenie praw osoby, której dane dotyczą, jako przesłankę istnienia czynnej legitymacji procesowej stowarzyszenia, niezależnie od udzielenia upoważnienia przez tę osobę.

29. Ponadto zdaniem sądu odsyłającego z art. 84 ust. 1 rozporządzenia 2016/679 nie można wywieść istnienia po stronie stowarzyszenia czynnej legitymacji procesowej takiej jak ta przewidziana w §8 ust. 3 UWG; zgodnie z tym rozporządzeniem państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia tego rozporządzenia oraz podejmują wszelkie środki niezbędne do ich wykonania. Czynna legitymacja procesowa dla stowarzyszenia, taka jak ta, o której mowa w § 8 ust. 3 UWG, nie może zaś być uznana za „sankcję” w rozumieniu tego przepisu rozporządzenia.

30. Sąd odsyłający zauważa ponadto, że systematyka rozporządzenia 2016/679 nie pozwala na jednoznaczne ustalenie, czy czynna legitymacja procesowa przysługująca danemu podmiotowi na podstawie § 8 ust. 3 pkt 3 UWG, tj. na podstawie przepisu mającego na celu zwalczanie nieuczciwej konkurencji, może przysługiwać również po wejściu w życie tego rozporządzenia. Sąd ten uważa, że z faktu, iż rozporządzenie przyznaje organom nadzorczym szerokie uprawnienia w zakresie monitorowania, prowadzenia postępowań wyjaśniających i mających na celu podejmowanie działań naprawczych, można wywnioskować, że egzekwowanie przepisów rozporządzenia należy przede wszystkim do tych organów. Przemawia to przeciwko przyjmowaniu w odniesieniu do art. 80 ust. 2 rozporządzenia 2016/679 wykładni rozszerzającej. Sąd odsyłający przypomniał również, że przyjęcie krajowych przepisów wykonawczych do rozporządzenia jest co do zasady dopuszczalne tylko wtedy, gdy istnieje wyraźne upoważnienie do ich przyjęcia. Jednakże na podstawie znajdującego się w art. 77 ust. 1, art. 78 ust. 1 i 2 oraz art. 79 ust. 1 tego rozporządzenia sformułowania „bez uszczerbku dla […] innych środków” można podważać pogląd, że kwestia egzekwowania prawa została uregulowana w tym rozporządzeniu w sposób wyczerpujący.

31. Jeśli chodzi o cel rozporządzenia 2016/679, jego skuteczność („effet utile”) mogłaby przemawiać za przysługiwaniem stowarzyszeniom w ramach prawa konkurencji czynnej legitymacji procesowej, zgodnie z art. 8 ust. 3 pkt 3 UWG, niezależnie od istnienia naruszenia konkretnych praw osób, których dane dotyczą, gdyby dawało to dodatkową możliwość nadzoru nad egzekwowaniem prawa w celu zapewnienia jak najwyższego poziomu ochrony danych osobowych, zgodnie z motywem 10 tego rozporządzenia. Niemniej jednak można by uznać, że przyznanie stowarzyszeniom czynnej legitymacji procesowej na gruncie prawa konkurencji jest sprzeczne z realizowanym przez rozporządzenie celem harmonizacji.

32. Sąd odsyłający wyraża także swoje wątpliwości co do tego, czy po wejściu w życie rozporządzenia 2016/679 czynna legitymacja podmiotów, o których mowa w § 3 ust. 1 zdanie pierwsze pkt 1 UKlaG, do wytaczania powództw w przypadku naruszenia przepisów tego rozporządzenia istnieje nadal w odniesieniu do powództw wnoszonych z powodu nieprzestrzegania przepisów prawa z zakresu ochrony konsumentów w rozumieniu § 2 ust. 2 pkt 11 zdanie pierwsze UKlaG. To samo dotyczy legitymacji procesowej przysługującej stowarzyszeniom, których celem jest ochrona interesów konsumentów, na podstawie § 1 UKlaG, w ramach której stowarzyszenia te mogą występować z roszczeniem o zaniechanie stosowania nieważnych ogólnych warunków handlowych w rozumieniu art. 307 kodeksu cywilnego.

33. Przyjmując, że różnego rodzaju przepisy krajowe ustanawiające, jeszcze przed wejściem w życie rozporządzenia 2016/679, czynną legitymację procesową dla poszczególnych podmiotów można uznać za antycypację wykonania art. 80 ust. 2 tego rozporządzenia, przyjęcie w niniejszej sprawie, że związkowi organizacji konsumenckich przysługuje taka legitymacja, wymagałoby zdaniem sądu odsyłającego, aby związek ten wykazał, że w wyniku przetwarzania naruszone zostały – przewidziane w tym rozporządzeniu – prawa osoby, której dane dotyczą. Warunek ten nie jest jednak spełniony.

34. Sąd ten podkreśla bowiem, że związek organizacji konsumenckich występuje z żądaniem przeprowadzenia abstrakcyjnej kontroli dotyczącej nadanego App-Center przez Facebook Ireland wyglądu, w nawiązaniu do mającego istnieć obiektywnie prawa ochrony danych, przy czym związek organizacji konsumenckich nie zarzucił naruszenia praw osoby fizycznej, która byłaby zidentyfikowana lub możliwa do zidentyfikowania w rozumieniu art. 4 ust. 1 rozporządzenia 2016/679.

35. Sąd odsyłający zauważa, że w razie stwierdzenia, że związek organizacji konsumenckich utracił w następstwie wejścia w życie rozporządzenia 2016/679 czynną legitymację procesową wynikającą z wyżej wymienionych przepisów prawa niemieckiego, musiałby on uwzględnić wniesioną przez Facebook Ireland skargę rewizyjną i oddalić powództwo związku organizacji konsumenckich, ponieważ zgodnie z niemieckim prawem procesowym czynna legitymacja procesowa powinna przysługiwać aż do zakończenia postępowania w ostatniej instancji.

36. W związku z powyższym Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy przepisy rozdziału VIII rozporządzenia 2016/679, w szczególności jego art. 80 ust. 1 i 2 oraz art. 84 ust. 1, stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania [tego] rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają z jednej strony konkurentom, a z drugiej strony uprawnionym na mocy prawa krajowego stowarzyszeniom, instytucjom [podmiotom] i izbom prawo do występowania w drodze powództwa do sądu cywilnego z powodu naruszenia rozporządzenia 2016/679 niezależnie od naruszenia konkretnych praw poszczególnych osób, których dane dotyczą, i bez upoważnienia otrzymanego od osoby, której dane dotyczą, przeciwko sprawcy, z punktu widzenia [z powodu naruszenia] zakazu stosowania nieuczciwych praktyk handlowych lub naruszenia przepisów o ochronie konsumentów, lub zakazu stosowania bezskutecznych ogólnych warunków handlowych?”.

37. Związek organizacji konsumenckich, Facebook Ireland, rządy austriacki i portugalski oraz Komisja przedstawiły uwagi na piśmie. Strony te, z wyjątkiem rządu portugalskiego, oraz rząd niemiecki przedstawiły swoje stanowiska ustnie na rozprawie w dniu 23 września 2021 r.

IV. Analiza

38. W swoim pytaniu sąd odsyłający zmierza w istocie do ustalenia, czy rozporządzenie 2016/679, a w szczególności jego art. 80 ust. 2, należy interpretować w ten sposób, że stoi ono na przeszkodzie uregulowaniom krajowym, które umożliwiają stowarzyszeniom, których celem jest ochrona interesów konsumentów, występowanie na drodze sądowej przeciwko domniemanemu sprawcy naruszenia reguł ochrony danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych.

39. Zgodnie z art. 4 ust. 1 rozporządzenia 2016/679 „osobą, której dane dotyczą” w rozumieniu tego rozporządzenia jest „zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna”. Jeżeli taka osoba uważa, że jej dane osobowe były przetwarzane niezgodnie z przepisami tego rozporządzenia, dysponuje ona szeregiem środków zaskarżenia.

40. W związku z tym osoba, której dane dotyczą, ma prawo, na podstawie art. 77 tego rozporządzenia, wnieść skargę do organu nadzorczego. Ponadto, zgodnie z art. 78 rozporządzenia 2016/679, osoba ta ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko organowi nadzorczemu. Ponadto art. 79 ust. 1 tego rozporządzenia przyznaje każdej osobie, której dane dotyczą, prawo do skutecznego środka ochrony prawnej, jeżeli osoba ta uzna, że jej prawa wynikające z tego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem tego rozporządzenia.

41. Osoby, których dane dotyczą, mogą oczywiście same złożyć skargę do organu nadzorczego lub skorzystać z opisanych powyżej środków prawnych. Niemniej jednak art. 80 rozporządzenia 2016/679 przewiduje, pod pewnymi warunkami, możliwość reprezentowania tych osób przez podmiot, organizację lub zrzeszenie, które nie mają celów zarobkowych. Poza indywidualnymi skargami prawo Unii przewiduje zatem różne możliwości wytoczenia powództw przedstawicielskich przez podmioty mające za zadanie reprezentację osób, których dane dotyczą(10). Artykuł 80 rozporządzenia 2016/679 wpisuje się zatem w tendencję polegającą na zwiększaniu skali powództw przedstawicielskich wytaczanych przez takie podmioty w celu ochrony ogólnych lub zbiorowych interesów jako środka zwiększającego dostęp do wymiaru sprawiedliwości dla osób dotkniętych naruszeniem danych przepisów(11).

42. Artykuł 80 rozporządzenia 2016/679, zatytułowany „Reprezentowanie osób, których dane dotyczą”, zawiera dwa ustępy. Pierwszy z nich odnosi się do sytuacji, w której dana osoba udziela upoważnienia do reprezentowania jej podmiotowi prawa, organizacji lub zrzeszeniu. Drugi dotyczy powództwa przedstawicielskiego wytaczanego przez dany podmiot niezależnie od udzielenia jakiegokolwiek upoważnienia przez osobę, której dane dotyczą.

43. Ponieważ powództwo wytoczone przez związek organizacji konsumenckich nie zostało oparte na upoważnieniu udzielonym przez osobę, której dane dotyczą, to właśnie art. 80 ust. 2 rozporządzenia 2016/679 ma znaczenie w ramach niniejszego odesłania prejudycjalnego.

A. Wyrok Fashion ID

44. W wyroku Fashion ID Trybunał orzekał w odniesieniu do dyrektywy 95/46 w kwestii podobnej do tej, która została podniesiona w ramach niniejszego odesłania prejudycjalnego. Trybunał orzekł zatem, że „art. 22–24 [tej dyrektywy] należy interpretować w ten sposób, że nie stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom, których celem jest ochrona interesów konsumentów, na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia [reguł] ochrony danych osobowych”(12).

45. Aby dojść do takiego wniosku, Trybunał oparł się na stwierdzeniu, że żaden z przepisów dyrektywy 95/46 nie nakłada na państwa członkowskie obowiązku ustanowienia – ani wyraźnie ich nie upoważnia do ustanowienia – w prawie krajowym możliwości reprezentowania przez takie stowarzyszenie przed sądem osoby, której dane dotyczą, lub wytoczenia z własnej inicjatywy powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych(13). Zdaniem Trybunału nie wynika z tego wszakże, że ta dyrektywa stoi na przeszkodzie uregulowaniu krajowemu umożliwiającemu stowarzyszeniom, których celem jest ochrona interesów konsumentów, występowanie przed sądem przeciwko domniemanemu sprawcy takiego naruszenia(14). W tym względzie Trybunał podkreślił charakterystyczne cechy dyrektywy, jak również obowiązek przyjęcia przez państwa członkowskie, do których jest skierowana, wszelkich środków niezbędnych do zapewnienia pełnej skuteczności danej dyrektywy, zgodnie z jej celem(15).

46. Trybunał przypomniał następnie, że celem dyrektywy 95/46 było „zapewnienie skutecznej i pełnej ochrony praw podstawowych i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych” oraz „zapewnienie jak najwyższego stopnia ochrony w Unii [Europejskiej]”(16). Tymczasem zdaniem Trybunału okoliczność polegająca na tym, że państwo członkowskie ustanawia w swoim ustawodawstwie krajowym możliwość wytoczenia przez stowarzyszenie, którego celem jest ochrona interesów konsumentów, powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, przyczynia się do osiągnięcia tych celów(17). Trybunał podkreślił ponadto, że „państwa członkowskie dysponują w ramach transpozycji [dyrektywy 95/46] w wielu kwestiach pewnym marginesem działania”(18), w szczególności jeśli chodzi o jej art. 22–24, które „są sformułowane w sposób ogólny i nie dokonują wyczerpującej harmonizacji przepisów krajowych dotyczących środków prawnych, które mogą zostać podjęte w odniesieniu do domniemanego sprawcy naruszenia ochrony danych osobowych”(19). Zatem „ustanowienie możliwości wytoczenia przez stowarzyszenie ochrony interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych może stanowić odpowiedni środek w rozumieniu [art. 24 tej dyrektywy], który […] przyczynia się do realizacji celów wspomnianej dyrektywy zgodnie z orzecznictwem Trybunału”(20).

47. W niniejszym wniosku o wydanie orzeczenia w trybie prejudycjalnym zwrócono się do Trybunału o rozstrzygnięcie, czy to, co było dopuszczalne pod rządami dyrektywy 95/46, powinno być obecnie zakazane w związku z wejściem w życie rozporządzenia 2016/679. Innymi słowy: czy art. 80 ust. 2 tego rozporządzenia wywołuje skutek prawny polegający na pozbawieniu stowarzyszenia, którego celem jest ochrona interesów konsumentów, czynnej legitymacji procesowej w ramach powództwa takiego jak to wytoczone w postępowaniu głównym?

48. Można mieć co do tego wątpliwości już po samym tylko zapoznaniu się z pkt 62 wyroku Fashion ID, w którym Trybunał stwierdził, że okoliczność, iż rozporządzenie 2016/679 „upoważnia wprost w art. 80 ust. 2 państwa członkowskie do umożliwienia stowarzyszeniom ochrony interesów konsumentów występowania przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, w żaden sposób nie oznacza, iż państwa członkowskie nie mogły przyznać im tego prawa pod rządami dyrektywy 95/46, lecz – przeciwnie – potwierdza, że przyjęta w niniejszym wyroku wykładnia tej dyrektywy odzwierciedla wolę prawodawcy Unii”(21).

49. Z powodów, które przedstawię poniżej, uważam, że ani fakt zastąpienia dyrektywy 95/46 rozporządzeniem, ani okoliczność polegająca na tym, że rozporządzenie 2016/679 zawiera obecnie artykuł dotyczący reprezentowania osób, których dane dotyczą, w ramach dochodzenia roszczeń przed sądem, nie mogą stanowić podstawy do zakwestionowania tego, co Trybunał orzekł w wyroku Fashion ID, a mianowicie, że państwo członkowskie może ustanowić w swoim ustawodawstwie krajowym możliwość wystąpienia przez stowarzyszenie, którego celem jest ochrona interesów konsumentów, przed sądem z powództwem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych.

B. Cechy szczególne rozporządzenia 2016/679

50. W odniesieniu do zastąpienia dyrektywy 95/46 aktem innego rodzaju, tj. rozporządzeniem 2016/679, należy zauważyć, że decyzja prawodawcy Unii o zastosowaniu formy prawnej rozporządzenia, które na mocy art. 288 TFUE wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, wynika z wyrażonej w motywie 13 rozporządzenia 2016/679 woli zapewnienia spójnego poziomu ochrony osób fizycznych w całej Unii oraz uniknięcia sytuacji, w której rozbieżności utrudniają swobodny przepływ danych osobowych w ramach rynku wewnętrznego. Dlatego też na pierwszy rzut oka wydaje się, że rozporządzenie to zmierza do pełnej harmonizacji w tym względzie, nie ograniczając się do ustanowienia minimalnych norm, które państwa członkowskie mogłyby przejąć, i nie pozostawiając im wyboru w zakresie wprowadzania odstępstw od przepisów rozporządzenia, ich uzupełniania lub wykonania, tak aby nic nie stanęło na przeszkodzie jednoczesnemu i jednolitemu stosowaniu przepisów tego rozporządzenia w Unii.

51. Rzeczywistość okazuje się bardziej złożona. Biorąc pod uwagę podstawę prawną rozporządzenia 2016/679, a mianowicie art. 16 TFUE(22), nie można bowiem uznać, że Unia, przyjmując to rozporządzenie, uprzedziła wszelkie konsekwencje, jakie ochrona danych osobowych może mieć w innych powiązanych z tą kwestią dziedzinach, w szczególności w dziedzinie prawa pracy, prawa konkurencji czy też prawa konsumenckiego, pozbawiając państwa członkowskie możliwości przyjmowania przepisów szczególnych w tych dziedzinach, i to w sposób mniej lub bardziej autonomiczny, w zależności od tego, czy chodzi o dziedzinę regulowaną przez Unię, czy też nie(23). Dlatego też, mimo że ochrona danych osobowych jest ze swej natury horyzontalna, harmonizacja dokonana w rozporządzeniu 2016/679 ogranicza się do aspektów wyraźnie objętych tym rozporządzeniem w tej dziedzinie. Poza tym państwa członkowskie zachowują swobodę stanowienia prawa, pod warunkiem że nie podważają one treści i celów tego rozporządzenia.

52. Ponadto, gdy zagłębimy się w szczegóły przepisów rozporządzenia 2016/679, okaże się, że zakres harmonizacji dokonanej tym rozporządzeniem różni się w zależności od danej normy. Określenie normatywnego zakresu tego rozporządzenia wymaga zatem przeprowadzenia badania każdej z nich oddzielnie(24). O ile można uznać, zgodnie z orzecznictwem dotyczącym dyrektywy 95/46(25), że rozporządzenie 2016/679 dokonuje harmonizacji, która jest „co do zasady pełna”, o tyle szereg przepisów tego rozporządzenia pozostawia państwom członkowskim margines swobody, który powinien lub może, w zależności od przypadku, być wykorzystywany przez te państwa na warunkach i w granicach przewidzianych w tych przepisach(26).

53. Należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału „na mocy art. 288 TFUE oraz ze względu na charakter i funkcję rozporządzeń w systemie źródeł prawa unijnego, zawarte w nich przepisy mają co do zasady bezpośredni skutek w krajowych porządkach prawnych, bez konieczności przyjmowania przez organy władz krajowych środków wykonawczych. Niemniej jednak wprowadzenie w życie niektórych przepisów rozporządzenia może wymagać przyjęcia przez państwa członkowskie krajowych środków wykonawczych”(27). Zastosowanie rozporządzenia niekoniecznie oznacza niepozostawienie przez przepisy tego rozporządzenia podmiotom praw jakiegokolwiek marginesu działania(28). Ponadto wiążący charakter rozporządzenia i jego bezpośrednie stosowanie nie stoją na przeszkodzie temu, by akt tego rodzaju zawierał przepisy fakultatywne(29).

54. Artykuł 80 ust. 2 rozporządzenia 2016/679, ze względu na użycie słowa „mogą”, jest przykładem przepisu fakultatywnego, dającego państwom członkowskim margines swobody w jego stosowaniu.

55. Przepis ten jest jedną z wielu zawartych w tym rozporządzeniu „klauzul upoważniających”, których występowanie odróżnia je od klasycznego rozporządzenia i zbliża do dyrektywy(30). Zawarte w tych klauzulach odesłania do prawa krajowego mogą być obowiązkowe(31), ale zazwyczaj kwestia wykorzystania upoważnienia pozostawiana jest w gestii państw członkowskich(32). Można było zauważyć, że te liczne odesłania do przepisów krajowych pociągają za sobą ryzyko ponownego rozdrobnienia systemu ochrony danych osobowych w Unii, co jest sprzeczne z wyrażoną przez prawodawcę Unii wolą osiągnięcia większej jednolitości tego systemu i może mieć negatywny wpływ na skuteczność tej ochrony, podobnie jak na czytelność obowiązków spoczywających na administratorach i podmiotach przetwarzających(33). Zakres harmonizacji dokonanej przez rozporządzenie 2016/679 jest więc ograniczony przez szereg zawartych w tym rozporządzeniu „klauzul upoważniających”.

56. Jest oczywiste, że w porównaniu z dyrektywą 95/46 prawodawca Unii zamierzał w rozporządzeniu 2016/679 uregulować na poziomie Unii aspekty związane z reprezentowaniem osób, których dane dotyczą, w celu wniesienia skargi do organu nadzorczego lub wystąpienia do sądu z powództwem w sposób szerszy i bardziej precyzyjny(34). Ustępy 1 i 2 art. 80 tego rozporządzenia nie mają jednak takiej samej mocy normatywnej. Podczas bowiem gdy ust. 1 tego artykułu jest dla państw członkowskich wiążący(35), ust. 2 tego artykułu przyznaje państwom członkowskim jedynie możliwość regulacji. W związku z tym do tego, aby istniała możliwość wystąpienia z przewidzianym w art. 80 ust. 2 tego rozporządzenia powództwem przedstawicielskim bez upoważnienia, konieczne jest skorzystanie przez państwa członkowskie z przyznanej im przez ten przepis możliwości przewidzenia w prawie krajowym takiego sposobu reprezentowania osób, których dane dotyczą.

57. Nie można uznać, że art. 80 ust. 2 rozporządzenia 2016/679, choćby ze względu na jego fakultatywny charakter i wynikające z tego potencjalne rozbieżności między przepisami krajowymi, doprowadził w dziedzinie ochrony danych osobowych do pełnej harmonizacji w zakresie powództw przedstawicielskich bez upoważnienia. Jednakże przy wdrażaniu tego przepisu w swoim prawie krajowym państwa członkowskie powinny przestrzegać warunków i ograniczeń jakimi prawodawca Unii chciał obwarować korzystanie z możliwości przewidzianej w tym przepisie.

58. Choć w porównaniu z dyrektywą 95/46 ramy są tu wytyczone bardziej precyzyjnie, to państwa członkowskie dysponują mimo wszystko przy stosowaniu art. 80 ust. 2 rozporządzenia 2016/679 pewnym zakresem uznania.

59. Z informacji, którymi dysponuje Trybunał, wynika, że po wejściu w życie tego rozporządzenia ustawodawca niemiecki nie przyjął żadnego specjalnego przepisu mającego na celu wdrożenie do prawa krajowego art. 80 ust. 2 tego rozporządzenia. W związku z powyższym należy – o co zwraca się do Trybunału sąd odsyłający – zbadać, czy zgodne z tym uregulowaniem są istniejące już wcześniej przepisy prawa niemieckiego przyznające stowarzyszeniu, którego celem jest ochrona interesów konsumentów, legitymację procesową w celu wyegzekwowania zaniechania zachowania stanowiącego naruszenie zarówno przepisów rozporządzenia 2016/679, jak i przepisów, których celem jest w szczególności ochrona konsumentów. Innymi słowy: czy prawo krajowe obowiązujące przed wejściem w życie tego rozporządzenia jest adekwatne do tego, na co zezwala art. 80 ust. 2 tego rozporządzenia?

60. Jak wyjaśnił rząd niemiecki w trakcie rozprawy, przepisy krajowe, które upoważniają stowarzyszenie takie jak związek organizacji konsumenckich do wniesienia powództwa przedstawicielskiego takiego jak w postępowaniu głównym, stanowią środki transpozycji dyrektywy 2009/22. W celu udzielenia odpowiedzi na pytanie, czy art. 80 ust. 2 rozporządzenia 2016/679 zezwala również na wniesienie takiego powództwa, a zatem czy te same przepisy krajowe są objęte zakresem swobody przyznanym każdemu państwu członkowskiemu(36), artykuł ten należy interpretować z uwzględnieniem w szczególności jego brzmienia oraz systematyki i celów tego rozporządzenia.

C. Wykładnia językowa, systemowa i celowościowa art. 80 ust. 2 rozporządzenia 2016/679

61. Zgodnie z brzmieniem art. 80 ust. 2 rozporządzenia 2016/679 przewidziane w nim powództwa przedstawicielskie mogą być wnoszone przez „[każdy] podmiot, organizacj[ę] lub zrzeszenie, o których mowa w ust. 1” tego artykułu. Artykuł 80 ust. 1 tego rozporządzenia dotyczy „podmiot[u], organizacj[i] lub zrzeszeni[a] – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych”. Taka definicja nie może moim zdaniem ograniczać się do podmiotów, których jedynym i wyłącznym celem jest ochrona danych osobowych, lecz obejmuje wszystkie podmioty, które realizują leżący w interesie publicznym cel mający związek z ochroną danych osobowych. Tak jest w przypadku stowarzyszeń, których celem jest ochrona interesów konsumentów, takich jak związek organizacji konsumenckich, które mają wnosić powództwa o zaniechanie zachowań, które, uchybiając przepisom tego rozporządzenia, naruszają również przepisy z zakresu ochrony konsumentów lub zwalczania nieuczciwej konkurencji(37).

62. Zgodnie z brzmieniem art. 80 ust. 2 rozporządzenia 2016/679, powództwo przedstawicielskie może wnieść podmiot spełniający warunki wymienione w ust. 1 tego artykułu, jeżeli „uzn[a], że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”. Wbrew temu, co zdaje się sugerować sąd odsyłający, nie uważam, żeby wykładni tego ostatniego członu zdania należało dokonywać w sposób zawężający, jako oznaczającego, że aby być uprawnionym do działania zgodnie z uregulowaniem zawartym w art. 80 ust. 2 rozporządzenia 2016/679, podmiot musiałby uprzednio zindywidualizować jedną lub więcej konkretnych osób, których dane były przedmiotem przetwarzania. Treść prac przygotowawczych poprzedzających przyjęcie tego rozporządzenia w żaden sposób nie potwierdza tego poglądu. Co więcej, sama definicja „osoby, której dane dotyczą” w rozumieniu art. 4 pkt 1 tego rozporządzenia, czyli „zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna”(38), wydaje mi się sprzeczna z wymogiem, aby osoby, których dane były przetwarzane w sposób niezgodny z przepisami rozporządzenia 2016/679, miały być zidentyfikowane już w momencie wnoszenia powództwa przedstawicielskiego na podstawie art. 80 ust. 2 tego rozporządzenia. Logicznie wynika stąd, że do tego, aby być uprawnionym do działania w sposób zgodny z tym przepisem, na mocy tego przepisu można wymagać, aby dany podmiot powoływał się na istnienie konkretnych przypadków dotyczących indywidualnie wskazanych osób.

63. Uważam, że wniesienie powództwa przedstawicielskiego na podstawie art. 80 ust. 2 rozporządzenia 2016/679 wiąże się jedynie z założeniem, że podniesiony zostanie zarzut przetwarzania danych osobowych w sposób sprzeczny z przepisami tego rozporządzenia, które chroni prawa indywidualne, a zatem – w sposób mogący mieć wpływ na prawa osób zidentyfikowanych lub możliwych do zidentyfikowania, zaś czynna legitymacja procesowa danego podmiotu nie podlega w każdym indywidualnym przypadku kontroli pod kątem tego, czy doszło do naruszenia praw jednej lub kilku określonych osób(39). Podsumowując, powództwo to musi być oparte na naruszeniu praw, jakie osoba fizyczna może wywieść z tego rozporządzenia w następstwie przetwarzania jej danych osobowych. Celem tego powództwa nie jest ochrona prawa obiektywnego, a jedynie ochrona praw podmiotowych, które osoby, których dane dotyczą, wywodzą bezpośrednio z rozporządzenia 2016/679(40). Innymi słowy, zawarta w art. 80 ust. 2 tego rozporządzenia klauzula upoważniająca ma umożliwić uprawnionym podmiotom sprawdzenie przez organ nadzorczy lub też sąd, czy administratorzy danych przestrzegają zawartych w rozporządzeniu przepisów chroniących osoby, których dane dotyczą(41). W tym kontekście do tego, aby danemu podmiotowi przysługiwała czynna legitymacja procesowa na podstawie tego przepisu, wystarczy, aby ów podmiot wykazał naruszenie przepisów rozporządzenia 2016/679, które mają na celu ochronę praw podmiotowych osób, których dane dotyczą.

64. Jak wskazuje w istocie Komisja, wykładnia art. 80 ust. 2 rozporządzenia 2016/679, zgodnie z którą, aby podmiot mógł wytoczyć powództwo przedstawicielskie bez upoważnienia, musi on wykazać lub udowodnić, że w danej sytuacji doszło do naruszenia praw konkretnej osoby, zbyt znacząco ogranicza zakres stosowania tego przepisu. Podobnie jak rząd portugalski i Komisja uważam, że wykładni art. 80 ust. 2 rozporządzenia należy dokonywać w taki sposób, aby zachować jego skuteczność (effet utile) w odniesieniu do ust. 1 tego samego artykułu. Dlatego też art. 80 ust. 2 tego rozporządzenia należy moim zdaniem rozumieć jako wykraczający poza reprezentowanie w indywidualnych przypadkach, które jest przedmiotem regulacji zawartej w ust. 1 tego artykułu, stwarzając możliwość reprezentowania, z inicjatywy uprawnionych podmiotów i w sposób autonomiczny, zbiorowych interesów osób, których dane osobowe są przetwarzane z naruszeniem rozporządzenia 2016/679. Skuteczność (effet utile) art. 80 ust. 2 rozporządzenia zostałaby znacznie ograniczona, gdyby uznać, że podobnie jak w przypadku wymogu ustanowionego w ust. 1 tego artykułu, dany podmiot mógłby w obu przypadkach wytoczyć powództwo ograniczające się do reprezentacji imiennie i indywidualnie wskazanych osób.

65. Przyjęta przeze mnie wykładnia art. 80 ust. 2 rozporządzenia 2016/679 jest zresztą zgodna z prewencyjnym charakterem i odstraszającym celem powództw o zaniechanie, jak również zbieżna z okolicznością polegającą na tym, że są one niezależne od wszelkich konkretnych sporów indywidualnych(42).

66. Jeśli nie chcemy ryzykować stworzenia dwóch różnych standardów dla legitymacji procesowej podmiotów uprawnionych do wytoczenia powództwa o zaniechanie w zależności od tego, czy podstawą takiego powództwa jest środek krajowy objęty zakresem stosowania art. 80 ust. 2 rozporządzenia 2016/679, czy też zakresem stosowania dyrektywy 2020/1828, to pomimo że dyrektywa ta nie ma zastosowania w postępowaniu głównym, wydaje mi się słuszne, aby uwzględnić okoliczność, że dyrektywa ta nie ustanawia w odniesieniu do takich podmiotów wymogu, żeby opierały się one na istnieniu indywidualnych wskazanych imiennie konsumentów, których dotyczy dane naruszenie(43), lecz stawia im wymóg, aby podmioty te powoływały się na istnienie popełnionych przez przedsiębiorców naruszeń przepisów prawa unijnego wymienionych w załączniku I do tej dyrektywy(44), w którego pkt 56 zostało ponadto zawarte nawiązanie do rozporządzenia 2016/679.

67. Moim zdaniem, przyjmując tezę przemawiającą za przyjęciem zawężającej wykładni art. 80 ust. 2 rozporządzenia 2016/679, błędnie przeciwstawiamy sobie ochronę zbiorowych interesów konsumentów(45) i ochronę praw poszczególnych osób, których dane są przetwarzane niezgodnie z tym rozporządzeniem. Obrona zbiorowych interesów konsumentów nie wyklucza bowiem moim zdaniem ochrony praw podmiotowych, które osoby, których dane dotyczą, wywodzą bezpośrednio z rozporządzenia 2016/679, lecz raczej jest w stosunku do tej ochrony pojęciem nadrzędnym.

68. Zwracam również uwagę na stwierdzenie zawarte w motywie 15 dyrektywy 2020/1828, że „mechanizmy egzekwowania prawa ustanowione w rozporządzeniu […] 2016/679 […] lub na nim oparte mogą, w stosownych przypadkach, nadal być wykorzystywane do ochrony zbiorowych interesów konsumentów”(46), co przemawia za tym, że powództwo przedstawicielskie, o którym mowa w art. 80 ust. 2 tego rozporządzenia, może mieć na celu ochronę takich interesów.

69. Z powyższego wnioskuję, że art. 80 ust. 2 rozporządzenia 2016/679 upoważnia moim zdaniem państwa członkowskie do wprowadzenia możliwości wnoszenia przez uprawnione podmioty powództw przedstawicielskich bez upoważnienia osób, których dane dotyczą, w celu ochrony zbiorowych interesów konsumentów, w przypadku gdy podnoszony jest zarzut naruszenia przepisów tego rozporządzenia przyznających prawa podmiotowe osobom, których dane dotyczą.

70. Jest to zaś właśnie przypadek powództwa o zaniechanie wniesionego przez związek organizacji konsumenckich przeciwko Facebook Ireland.

71. Przypominam bowiem, że zdaniem sądu odsyłającego i zgodnie z żądaniami związku organizacji konsumenckich Facebook Ireland nie wywiązała się z wynikającego z art. 12 ust. 1 zdanie pierwsze rozporządzenia 2016/679 obowiązku dotyczącego udzielenia osobie, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, informacji, o których mowa w art. 13 ust. 1 lit. c) i e) tego rozporządzenia, które dotyczą celu przetwarzania danych oraz odbiorcy danych osobowych. Przepisy te z pewnością należą do kategorii przepisów, które przyznają osobom, których dane dotyczą, prawa podmiotowe, o czym świadczy między innymi to, że znajdują się one w rozdziale III tego rozporządzenia, zatytułowanym właśnie „Prawa osoby, której dane dotyczą”. Dlatego też ochrony tych praw mogą domagać się albo bezpośrednio osoby, których dane dotyczą, albo podmiot uprawniony na podstawie art. 80 ust. 1 rozporządzenia 2016/679 lub na podstawie przepisów krajowych wdrażających art. 80 ust. 2 tego rozporządzenia.

72. Uważam również, że art. 80 ust. 2 rozporządzenia 2016/679 nie stoi na przeszkodzie przepisom krajowym, które uprawniają stowarzyszenia, których celem jest ochrona interesów konsumentów, do wytoczenia powództwa o zaniechanie w celu zapewnienia przestrzegania praw przyznanych w tym rozporządzeniu w drodze przepisów, których celem jest ochrona konsumentów lub zwalczanie nieuczciwych praktyk handlowych. Regulacje takie mogą bowiem zawierać przepisy podobne do przepisów zawartych we wspomnianym rozporządzeniu, w szczególności w odniesieniu do informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych(47), co oznacza, że naruszenie przepisu dotyczącego ochrony danych osobowych może jednocześnie prowadzić do naruszenia przepisów dotyczących ochrony konsumentów lub nieuczciwych praktyk handlowych. W treści art. 80 ust. 2 rozporządzenia 2016/679 nie ma niczego, co by stało na przeszkodzie temu, aby stosować taką klauzulę upoważniającą częściowo, skoro powództwo przedstawicielskie ma na celu ochronę praw, które osoby, których dane dotyczą – a które występują w charakterze konsumenta – wywodzą z tego rozporządzenia(48).

73. Tak więc zaproponowana wykładnia art. 80 ust. 2 rozporządzenia 2016/679 jest w mojej ocenie najwłaściwsza dla osiągnięcia celów założonych w tym rozporządzeniu.

74. W tym względzie Trybunał wskazał, że „jak wynika z art. 1 ust. 2 RODO w związku z motywami 10, 11 i 13 tego rozporządzenia, nakłada ono na instytucje, organy i jednostki organizacyjne Unii oraz na właściwe organy państw członkowskich obowiązek zapewnienia wysokiego poziomu ochrony praw zagwarantowanych w art. 16 TFUE i w art. 8 karty [praw podstawowych Unii Europejskiej](49)”. Ponadto wspomniane rozporządzenie ma na celu „zapewnieni[e] skutecznej ochrony swobód i praw podstawowych osób fizycznych, w szczególności ich prawa do życia prywatnego i do ochrony danych osobowych”(50).

75. Uniemożliwienie państwom członkowskim wprowadzenia środków, które realizując cel ochrony konsumentów, przyczyniają się jednocześnie do osiągnięcia celu ochrony danych osobowych, byłoby sprzeczne z celem, jakim jest zapewnienie wysokiego poziomu ochrony danych osobowych. Podobnie jak miało to miejsce w przypadku dyrektywy 95/46, po wejściu w życie rozporządzenia 2016/679 nadal można twierdzić, że przysługujące stowarzyszeniom, których celem jest ochrona interesów konsumentów, uprawnienie mające na celu położenie kresu przetwarzaniu sprzecznego z przepisami tego rozporządzenia przyczynia się do wzmocnienia praw osób, których dane dotyczą, z wykorzystaniem powództwa zbiorowego(51).

76. Obrona przez stowarzyszenia zbiorowych interesów konsumentów jest szczególnie odpowiednia do realizacji celu polegającego na wprowadzeniu wysokiego poziomu ochrony danych osobowych. Przyjmując tę perspektywę, funkcja prewencyjna powództw wytaczanych przez te stowarzyszenia nie mogłaby zostać zapewniona, gdyby w ramach przewidzianego w art. 80 ust. 2 rozporządzenia 2016/679 powództwa przedstawicielskiego można było powołać się jedynie na naruszenie praw osoby indywidualnie i konkretnie dotkniętej tym naruszeniem.

77. Powództwo o zaniechanie wniesione przez stowarzyszenie, którego celem jest ochrona interesów konsumentów, takie jak związek organizacji konsumenckich, przyczynia się zatem niezaprzeczalnie do zapewnienia skutecznego egzekwowania praw chronionych rozporządzeniem 2016/679(52).

78. Ponadto byłoby co najmniej paradoksalne, gdyby wzmocnienie środków służących egzekucji przepisów dotyczących ochrony danych osobowych, do którego zmierzał prawodawca Unii poprzez przyjęcie rozporządzenia 2016/679, pociągało za sobą w ostatecznym rozrachunku obniżenie poziomu tej ochrony w porównaniu z poziomem, który państwa członkowskie mogły zapewnić pod rządami dyrektywy 95/46.

79. Prawdą jest, że w przeciwieństwie do Stanów Zjednoczonych Ameryki w prawie Unii przepisy dotyczące nieuczciwych praktyk handlowych z jednej strony i ochrony danych osobowych z drugiej strony rozwijały się jako oddzielne dziedziny prawa. Są one zatem ujęte w różnych ramach normatywnych.

80. Ponieważ jednak między tymi dwiema dziedzinami zachodzą interakcje, powództwa wytaczane w oparciu o regulacje dotyczące ochrony danych osobowych mogą jednocześnie i pośrednio przyczyniać się do powstrzymywania nieuczciwych praktyk handlowych. Działa to w obie strony(53). Co więcej, istnienie związku pomiędzy ochroną danych osobowych w zakresie zgody na ich przetwarzanie a ochroną konsumentów znajduje swój wyraz już w samym rozporządzeniu 2016/679, w szczególności w jego motywie 42. Ponadto Komisja zwróciła uwagę na interakcje, jakie zachodzą między unijnymi przepisami dotyczącymi ochrony danych osobowych a dyrektywą 2005/29/WE(54).

81. Do interakcji między prawem ochrony danych osobowych, prawem konsumenckim i prawem konkurencji dochodzi często i są one liczne, ponieważ to samo zachowanie może jednocześnie wchodzić w zakres przepisów prawa należących do tych różnych dziedzin. Takie interakcje przyczyniają się do zwiększenia skuteczności ochrony danych osobowych(55).

82. Niewątpliwie prawdą jest, że beneficjentami praw określonych w rozporządzeniu 2016/679 są nie tylko podmioty należące do kategorii konsumentów, ponieważ rozporządzenie to jest oparte nie na konsumenckiej koncepcji ochrony osób fizycznych w zakresie przetwarzania danych osobowych(56), lecz na koncepcji, zgodnie z którą ochrona ta jest, zgodnie z art. 8 karty praw podstawowych i jak wskazują w szczególności motyw 1 oraz art. 1 ust. 2 tego rozporządzenia, prawem podstawowym(57).

83. Nie zmienia to faktu, że w dobie gospodarki cyfrowej osoby, których dane dotyczą, często mają status konsumentów. Z tego powodu przepisy o ochronie konsumentów są często powoływane w celu zapewnienia tym ostatnim ochrony przed przetwarzaniem ich danych osobowych niezgodnie z przepisami rozporządzenia 2016/679.

84. Na zakończenie tej analizy należy zauważyć, że powództwo przedstawicielskie przewidziane w art. 80 ust. 2 rozporządzenia 2016/679 może się pokrywać z powództwem przedstawicielskim przewidzianym w dyrektywie 2020/1828 w sprawie środków nakazujących zaprzestanie szkodliwych praktyk, jeżeli „osoby, których dane dotyczą” w rozumieniu tego rozporządzenia posiadają również status „konsumenta” w rozumieniu art. 3 pkt 1 tej dyrektywy(58). Postrzegam to jako oznakę komplementarności i zbieżności prawa ochrony danych osobowych z innymi dziedzinami prawa, takimi jak prawo konsumenckie i prawo konkurencji. Wraz z przyjęciem wspomnianej dyrektywy prawodawca Unii poszedł dalej, wyraźnie wiążąc ochronę zbiorowych interesów konsumentów z przestrzeganiem przepisów rozporządzenia 2016/679. Spowoduje to, że przepisy zawarte w tym ostatnim dokumencie będą stosowane w jeszcze bardziej skuteczny sposób.

V. Wnioski

85. W świetle całości powyższych rozważań proponuję, aby Trybunał odpowiedział na pytanie prejudycjalne przedstawione przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) w następujący sposób:

Artykuł 80 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że nie stoi ono na przeszkodzie uregulowaniom krajowym, które przyznają stowarzyszeniom, których celem jest ochrona interesów konsumentów, legitymację procesową do występowania na drodze sądowej przeciwko domniemanemu sprawcy naruszenia reguł ochrony danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, o ile dane powództwo przedstawicielskie ma na celu egzekwowanie praw wywodzonych przez osoby, których dane przetwarzane są w kwestionowany sposób, bezpośrednio z tego rozporządzenia.

1 Język oryginału: francuski.

2 Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).

3 Zobacz wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, zwany dalej „wyrokiem Fashion ID”, EU:C:2019:629).

4 Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

5 Zobacz także motyw tego 142 rozporządzenia.

6 BGBl. 2004 I, s. 1414, zwanej dalej „UWG”.

7 BGBl. 2001 I, s. 3138, 3173, zwana dalej „UKlaG”.

8 Dz.U. 2009, L 110, s. 30.

9 BGBl. 2007 I, s. 179, zwanej dalej „TMG”.

10 Reprezentowanie osób, których dane dotyczą, jest również przewidziane w art. 67 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. 2018, L 295, s. 39), a także w art. 55 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89). W obu tych przypadkach chodzi o reprezentowanie na podstawie upoważnienia.

11 Tendencja ta, skonkretyzowana w szczególności w dyrektywie 2009/22, doprowadziła niedawno do przyjęcia dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylającej dyrektywę 2009/22/WE (Dz.U. 2020, L 409, s. 1). Termin transpozycji tej ostatniej dyrektywy upływa 25 grudnia 2022 r. Zobacz w tym względzie A. Pato, Collective Redress Mechanisms in the EU, w: Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsmbury Publishing, Londyn 2019, s. 45–117. Zobacz także B. Gsell, The New European Directive on Representative Actions for the Collective Interests of consumers – A Huge, but Blurry Step Forward, w: Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin 2021, s. 1365–1400.

12 Zobacz wyrok Fashion ID (pkt 63 i sentencja).

13 Zobacz wyrok w sprawie Fashion ID (pkt 47).

14 Zobacz wyrok Fashion ID (pkt 48).

15 Zobacz wyrok Fashion ID (pkt 49).

16 Zobacz wyrok Fashion ID (pkt 50).

17 Zobacz wyrok Fashion ID (pkt 51).

18 Zobacz wyrok Fashion ID (pkt 56 i przytoczone tam orzecznictwo).

19 Zobacz wyrok Fashion ID (pkt 57 i przytoczone tam orzecznictwo).

20 Zobacz wyrok Fashion ID (pkt 59).

21 Wyróżnienie moje.

22 Jak podkreślił Trybunał w wyroku z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 44)

23 Z preambuły rozporządzenia 2016/679 wynika, że zostało ono przyjęte na podstawie art. 16 TFUE, którego ust. 2 przewiduje w szczególności, że Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają z jednej strony zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a z drugiej strony zasady swobodnego przepływu danych.

24 Określenie zakresu harmonizacji dokonanej przez normę taką jak rozporządzenie 2016/679 wymaga zatem przeprowadzenia „mikroanalizy, polegającej na badaniu szczególnego przepisu lub, w najlepszym przypadku, specyficznego i dobrze zdefiniowanego aspektu prawa Unii”: zob. opinia rzecznika generalnego M. Bobeka w sprawie Dzivev i in. (C‑310/16, EU:C:2018:623, pkt 74). Zobacz także E. Mišćenić, A.-L. Hoffmann, The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR), w: EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek 2020, Issue 4, s. 44–61, gdzie wskazano, że „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (s. 49).

25 Zobacz wyrok z dnia 6 listopada 2003 r., Lindqvist (C‑101/01, EU:C:2003:596, pkt 96).

26 Zobacz, w odniesieniu do dyrektywy 95/46, wyrok z dnia 6 listopada 2003 r., Lindqvist (C‑101/01, EU:C:2003:596, pkt 97). Wbrew niektórym przekonaniom dokonany przez prawodawcę Unii wybór i skorzystanie raczej z rozporządzenia niż z dyrektywy niekoniecznie przekłada się na pełną harmonizację danej dziedziny. Zobacz E. Mišćenić, A.-L. Hoffmann, op.cit., którzy stwierdzają, że „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (s. 48).

27 Zobacz w szczególności wyrok z dnia 15 czerwca 2021 r. Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 110 i przytoczone tam orzecznictwo). Zobacz, w odniesieniu do dziedziny, która także wcześniej była uregulowana w dyrektywie, wyrok z dnia 21 grudnia 2011 r., Danske Svineproducenter (C‑316/10, EU:C:2011:863, pkt 42), w którym Trybunał wyjaśnił, że „okoliczność, że uregulowania Unii w dziedzinie ochrony zwierząt podczas transportu zawarte są obecnie w rozporządzeniu, niekoniecznie oznacza, by aktualnie każdy krajowy środek wykonawczy do tego rozporządzenia był zakazany”.

28 Zobacz wyrok z dnia 27 października 1971 r. Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 W ten sposób Trybunał przyznał, że państwo członkowskie, które postanowiło nie wykonywać uprawnienia przyznanego przez rozporządzenie, nie narusza art. 288 TFUE: zob. wyrok z dnia 17 grudnia 2015 r., Imtech Marine Belgium (C‑300/14, EU:C:2015:825, pkt 27–31). Zobacz także, w odniesieniu do rozporządzenia wprowadzającego refundacje wywozowe, które państwa członkowskie mogą przyznać lub których przyznania mogą odmówić, wyrok z dnia 27 października 1971 r., Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 Zobacz na temat tych klauzul upoważniających J. Wagner, A. Benecke, National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law, w: European Data Protection Law Review, Lexxion, Berlin, vol. 2, Issue 3, 2016, s. 353–361.

31 Zobacz w szczególności art. 51 i 84 rozporządzenia 2016/679.

32 Zobacz w szczególności: art. 6 ust. 2, 3, art. 8 ust. 1 akapit drugi, art. 85–89 rozporządzenia 2016/679.

33 Zobacz na ten temat E. Mišćenić, A.-L. Hoffmann, op.cit., zdaniem których „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (s. 50, 51).

34 Artykuł 28 ust. 4 dyrektywy 95/46 przewidywał jedynie możliwość wystąpienia przez stowarzyszenie do organu nadzorczego ze skargą powództwem w imieniu osoby, która skarży się na naruszenie swoich praw w związku z przetwarzaniem danych osobowych.

35 Z wyłączeniem jednakże powództwa przedstawicielskiego na podstawie upoważnienia w celu uzyskania odszkodowania w imieniu osób, których dane dotyczą; przewidzenie tego powództwa pozostaje w gestii państw członkowskich.

36 Zobacz podobnie wyrok z dnia 21 grudnia 2011 r. Danske Svineproducenter (C‑316/10, EU:C:2011:863, pkt 43).

37 Zobacz A. Pato, The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, w: National Adaptions of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxembourg 2019, s. 98–106. Według tego autora „[t]he number of actors who potentially have standing to sue is broad” oraz „[c]onsumer associations will usually meet those requirements easily” (s. 99).

38 Wyróżnienie moje. Zgodnie z tym samym przepisem „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Jak podnosi N. Martial-Braz, Le champ d’application du RGPD, w: A. Bensamoun i B. Bertrand, Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris 2020, s. 19–33, „możliwość zidentyfikowania osoby jest bardzo szeroko rozumiana, ponieważ kryterium identyfikacji osoby obejmuje wszystkie racjonalnie dostępne środki, jakie można zastosować w celu zidentyfikowania osoby” (s. 24). Zobacz, w szczególności w przedmiocie pojęcia „osoby możliwej do zidentyfikowania” w rozumieniu art. 2 lit. a) dyrektywy 95/46, wyrok z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779).

39 Zobacz F. Boehm, Artikel 80 Vertretung von betroffenen Personen, w: S. Simitis, G. Hornung, G. Hornung i I. Spiecker Döhmann, Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden 2019, w szczególności pkt 13.

40 Zobacz E.M. Frenzel, Art. 80 Vertretung von betroffenenen Personen, w: B.P. Paal, D.A.Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3^rd ed, C.H. Beck, Monachium 2021, w szczególności pkt 11, a także B. Kreße, Artikel 80 Vertretung von betroffenen Personen, w: G. Sydow, Europäische Datenschutzverordnung, 2^nd edn, Nomos, Baden-Baden 2018, w szczególności pkt 13.

41 Zobacz F. Moos, J. Schefzig, Artykuł 80 Vertretung von betroffenen Personen, w: J. Taeger i D. Gabel, Kommentar DSGVO – BDSG,^3rd edn, Deutscher Fachverlag, Frankfurt am Main, 2019, w szczególności pkt 22.

42 Zobacz w szczególności, w odniesieniu do nieuczciwych warunków w umowach zawieranych pomiędzy przedsiębiorcami a konsumentami, wyrok z dnia 14 kwietnia 2016 r., Sales Sinués i Drame Ba (C‑381/14 i C‑385/14, EU:C:2016:252, pkt 29).

43 Zobacz motyw 33 oraz art. 8 ust. 3 lit. a) dyrektywy 2020/1828, zgodnie z którym „[u]poważniony podmiot nie jest zobowiązany udowodnić […] rzeczywistej straty lub szkody poniesionych przez konsumentów indywidualnych, których dotyczy naruszenie, o którym mowa art. 2 ust. 1”. Ponadto, choć art. 7 ust. 2 tej dyrektywy nakłada na upoważniony podmiot obowiązek przedstawienia sądowi lub organowi administracji „wystarczających informacji na temat konsumentów, których dotyczy dane powództwo przedstawicielskie”, to z motywu 34 tej dyrektywy wynika, że te informacje, których szczegółowość może być różna w zależności od tego, o zastosowanie jakiego środka wnosi upoważniony podmiot, mają polegać nie na wskazaniu indywidualnych konsumentów dotkniętych omawianym naruszeniem, lecz raczej na podaniu danych takich jak miejsce zdarzenia wywołującego szkodę lub wskazanie grupy konsumentów, których dotyczy powództwo przedstawicielskie. Ponadto pragnę zauważyć, że nawet jeśli powództwo przedstawicielskie ma na celu zarządzenie środków naprawczych, to w motywie 49 dyrektywy 2020/1828 wskazano, że „[u]poważniony podmiot nie powinien mieć obowiązku zidentyfikowania każdego konsumenta, którego dotyczy powództwo przedstawicielskie, aby wytoczyć to powództwo przedstawicielskie”. Zobacz na ten temat B. Gsell, op.cit., w szczególności s. 1370.

44 Zobacz art. 2 ust. 1 dyrektywy 2020/1828.

45 Zobacz motyw 3 dyrektywy 2009/22, w którym wyjaśniono, że powództwa o zaniechanie objęte zakresem jej stosowania mają na celu ochronę „zbiorowych interesów konsumentów”, które są definiowane jako „interesy, które nie stanowią jedynie kumulacji interesów jednostek, które ucierpiały na skutek szkodliwej praktyki”. W art. 3 pkt 3 dyrektywy 2020/1828 pojęcie „zbiorowych interesów konsumentów” zostało zdefiniowane jako „ogólny interes konsumentów, i – w szczególności do celów środków naprawczych – interesy grupy konsumentów”.

46 Wyróżnienie moje.

47 Zobacz N. Helberger, F. Zuiderveen Borgesius, F. i A. Reyna, „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, w: Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen-on-the-Rhine 2017, s. 1427–1465, którzy zauważają, że „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (s. 1437).

48 Zobacz A. Neun i K. Lubitzsch, Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz, w: Betriebs-Berater, Deutscher Fachverlag, Francfort-sur-le-Main 2017, s. 2563–2569, w szczególności s. 2567.

49 Zobacz wyrok z dnia 15 czerwca 2021 r. Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 45).

50 Zobacz wyrok z dnia 15 czerwca 2021 r. Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 91).

51 Zobacz opinia rzecznika generalnego M. Bobeka w sprawie Fashion ID (C‑40/17, EU:C:2018:1039, pkt 33).

52 W celu zapoznania się z przykładami powództw wniesionych przez stowarzyszenia, których celem jest ochrona interesów konsumentów, zob. N. Helberger, F. Zuiderveen Borgesius, i A. Reyna, op.cit., w szczególności s. 1452, 1453.

53 Na temat komplementarności powództw w zakresie ochrony danych osobowych i tych mających na celu zaniechanie nieuczciwych praktyk handlowych zob. N. van Eijk, C.J. Hoofnagle, E. Kannekens, Unfair Commercial Practices: A Complementary Approach to Privacy Protection, w: European Data Protection Law Review, Lexxion, Berlin, vol. 3, Issue 3, 2017, s. 325–337, które wskazują, że „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (s. 336).

54 Dyrektywa Parlamentu Europejskiego i Rady z dnia 11 maja 2005 r. dotycząca nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów na rynku wewnętrznym oraz zmieniająca dyrektywę Rady 84/450/EWG, dyrektywy 97/7/WE, 98/27/WE i 2002/65/WE Parlamentu Europejskiego i Rady oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady („dyrektywa o nieuczciwych praktykach handlowych”) (Dz.U. 2005, L 149, s. 22). Zobacz dokument roboczy służb Komisji – Wytyczne dotyczące wykonania/stosowania dyrektywy 2005/29/WE w sprawie nieuczciwych praktyk handlowych [SWD(2016) 163 final] dołączony do Komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów: Kompleksowe podejście na rzecz ożywienia transgranicznego handlu elektronicznego z korzyścią dla europejskich obywateli i przedsiębiorstw [SWD(2016) 163 final], w szczególności pkt 1.4.10, s. 26–31. Komisja kładzie w nim nacisk na konieczność rzetelnego przetwarzania danych, co oznacza, że osobie, której dane dotyczą, dostarczane są pewne istotne w tym względzie informacje, w szczególności te dotyczące celów, w których te dane są przetwarzane (s. 28). Komisja stwierdza również, że „naruszenie przez przedsiębiorcę dyrektywy [95/46] lub dyrektywy [2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37)] nie zawsze będzie samo w sobie oznaczać, że dana praktyka narusza również [dyrektywę 2005/29]”. Jednakże zdaniem Komisji „takie naruszenia ochrony danych powinny być brane pod uwagę przy ocenie ogólnej nieuczciwości praktyk handlowych w świetle [dyrektywy 2005/29], zwłaszcza w sytuacji, gdy przedsiębiorca przetwarza dane konsumentów z naruszeniem wymogów ochrony danych, tzn. do celów marketingu bezpośredniego lub wszelkich innych celów handlowych, takich jak profilowanie, wyceny zindywidualizowane ulub aplikacje big data [zarządzające dużymi ilościami danych]” (s. 30).

55 Zobacz w szczególności N. Helberger, F. Zuiderveen Borgesius, A. Reyna, op.cit., którzy podnoszą, że „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (s. 1429). Zobacz także N. van Eijk, C.J. Hoofnagle,E. Kannekens, op.cit., w szczególności s. 336. W celu zobrazowania komplementarności między przepisami dotyczącymi ochrony danych osobowych w sektorze łączności elektronicznej a przepisami zakazującymi nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów zob. moja opinia w sprawie StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Zobacz N. Martial-Braz, op.cit., w szczególności s. 23.

57 Zobacz wyrok z dnia 15 czerwca 2021 r. Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 44).

58 Zobacz motyw 14 dyrektywy 2020/1828, zgodnie z którym dyrektywa ta „powinna […] chronić wyłącznie interesy osób fizycznych, które zostały lub mogą być poszkodowane w wyniku [naruszeń przepisów prawa Unii określonych w załączniku I], jeżeli osoby te są konsumentami w rozumieniu [tej] dyrektywy”.