NÁVRHY GENERÁLNEHO ADVOKÁTA
JEAN RICHARD DE LA TOUR
prednesené 2. decembra 2021(1)
Vec C‑319/20
Facebook Ireland Limited
proti
Bundesverband der Verbraucherzentralen und
Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[návrh na začatie prejudiciálneho konania, ktorý podal Bundesgerichtshof (Spolkový súdny dvor, Nemecko)]
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 80 ods. 2 – Právo na účinný súdny prostriedok nápravy – Zastupovanie dotknutých osôb neziskovým združením – Aktívna legitimácia združenia na ochranu záujmov spotrebiteľov“
I. Úvod
1. V modernom hospodárstve poznačenom vzostupom digitálneho hospodárstva môže spracovanie osobných údajov ovplyvniť osoby nielen v ich postavení fyzických osôb, ktorým prináležia práva priznané nariadením (EÚ) 2016/679(2), ale aj v ich postavení spotrebiteľov.
2. Toto ich postavenie má za následok, že združenia na ochranu záujmov spotrebiteľov podávajú čoraz častejšie žaloby smerujúce k ukončeniu správania niektorých prevádzkovateľov zasahujúceho do práv chránených týmto nariadením a súčasne aj inými pravidlami vyplývajúcimi tak z práva Únie, ako aj z vnútroštátneho práva najmä v oblasti ochrany práv spotrebiteľov a boja proti nekalým obchodným praktikám.
3. Tento návrh na začatie prejudiciálneho konania bol podaný v rámci sporu medzi Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Spolková únia spotrebiteľských centier a združení, ďalej len „Spolková únia“) na jednej strane a spoločnosťou Facebook Ireland Limited, ktorej sídlo sa nachádza v Írsku, na druhej strane. Spolková únia vytýka tejto spoločnosti porušenie nemeckej právnej úpravy o ochrane osobných údajov, ktoré predstavuje súčasne nekalú obchodnú praktiku, porušenie zákona v oblasti ochrany spotrebiteľov a porušenie zákazu používania neúčinných všeobecných obchodných podmienok.
4. V tomto návrhu bol Súdny dvor v podstate vyzvaný, aby poskytol výklad článku 80 ods. 2 nariadenia 2016/679 na účely určenia, či toto ustanovenie bráni tomu, aby si združenia na ochranu záujmov spotrebiteľov zachovali po nadobudnutí účinnosti tohto nariadenia aktívnu legitimáciu, ktorú im priznáva vnútroštátne právo na účely zastavenia správania, ktoré predstavuje porušenie práv priznaných daným nariadením a súčasne porušenie pravidiel, ktorých cieľom je chrániť práva spotrebiteľov a bojovať proti nekalým obchodným praktikám. V miere, v akej bola táto aktívna legitimácia podľa Súdneho dvora v súlade so smernicou 95/46/ES(3), prislúcha Súdnemu dvoru(4) rozhodnúť o tom, či nariadenie 2016/679 zmenilo právny stav v tejto otázke.
II. Právny rámec
A. Nariadenie 2016/679
5. Článok 80 nariadenia 2016/679, nazvaný „Zastupovanie dotknutých osôb“, stanovuje(5):
„1. Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.
2. Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.“
B. Nemecké právo
6. § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon o nekalej súťaži)(6) z 3. júla 2004, v znení uplatniteľnom na spor vo veci samej, stanovuje:
„Nekalé obchodné praktiky sú zakázané.“
7. § 3a UWG znie:
„Nekalej praktiky sa dopustí ten, kto koná v rozpore s právnym predpisom, ktorý je určený najmä na to, aby v záujme subjektov pôsobiacich na trhu reguloval trhové správanie, ak toto konanie môže citeľne obmedziť záujmy spotrebiteľov, iných subjektov na trhu alebo konkurentov.“
8. § 8 ods. 1 a 3 UWG stanovuje:
„1. Voči osobe, ktorá sa dopustí nekalej obchodnej praktiky v zmysle § 3 alebo § 7, možno podať žalobu na odstránenie protiprávneho stavu a v prípade rizika opakovania aj žalobu o zdržanie sa nedovoleného konania. Právo na zdržanie sa nedovoleného konania existuje už vtedy, ak hrozí také porušenie § 3 alebo § 7.
…
3. Nároky podľa prvého odseku prináležia:
…
(3) oprávneným subjektom, ktoré preukážu, že sú zapísané na zozname oprávnených subjektov podľa § 4 [Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (zákon z 26. novembra 2001 o žalobách na zdržanie sa konania v prípade porušenia práva spotrebiteľov a iných porušení)(7) v znení uplatniteľnom na spor vo veci samej] alebo na zozname Európskej komisie podľa článku 4 ods. 3 smernice Európskeho parlamentu a Rady 2009/22/ES z 23. apríla 2009 o súdnych príkazoch na ochranu spotrebiteľských záujmov[(8)];
…“
9. § 2 UKlaG stanovuje:
„1. Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba na zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov…
2. V zmysle tohto ustanovenia sa zákonmi na ochranu spotrebiteľov rozumejú najmä:
…
(11) pravidlá, ktoré upravujú prípustnosť
a) zozbierania osobných údajov spotrebiteľa zo strany podnikateľa alebo
b) spracovania alebo používania osobných údajov, ktoré boli zozbierané o spotrebiteľovi zo strany podnikateľa,
ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.
…“
10. Bundesgerichsthof (Spolkový súdny dvor, Nemecko) uvádza, že podľa § 3 ods. 1 prvej vety bodu 1 UKlaG môžu subjekty, ktoré majú v zmysle tohto ustanovenia aktívnu legitimáciu, podať žalobu na zdržanie sa konania porušujúceho právnu úpravu v oblasti ochrany spotrebiteľov, ktorá v súlade s § 2 ods. 2 prvou vetou bodom 11 tohto zákona zahŕňa tiež ustanovenia, ktoré sa týkajú zákonnosti zozbierania, spracovania a používania osobných údajov spotrebiteľa zo strany podnikateľa na účely reklamy. Navyše, stále podľa § 3 ods. 1 prvej vety bodu 1 UKlaG, môžu subjekty s aktívnou legitimáciou podať v súlade s § 1 UKlaG žalobu na zdržanie sa používania neúčinných všeobecných obchodných podmienok podľa § 307 Bürgerliches Gesetzbuch (Občiansky zákonník), pokiaľ sa domnievajú, že tieto všeobecné podmienky porušujú ustanovenie v oblasti ochrany údajov.
11. § 13 ods. 1 Telemediengesetz (zákon o elektronických médiách)(9) z 26. februára 2007 znie:
„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje [smernica 95/46], vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo. Pri automatizovanom postupe, ktorý umožňuje neskoršiu identifikáciu používateľa a predstavuje prípravu na zber alebo na použitie osobných údajov, treba používateľa poučiť na začiatku tohto procesu. Používateľ musí mať kedykoľvek možnosť prístupu k obsahu tohto poučenia.“
III. Skutkové okolnosti sporu vo veci samej a prejudiciálna otázka
12. Spolková únia je v Nemecku zapísaná na zozname subjektov s aktívnou legitimáciou podľa § 4 UKlaG. Facebook Ireland prevádzkuje na adrese www.facebook.de platformu Internet Facebook, ktorá umožňuje výmenu osobných a iných údajov.
13. Platforma Internet Facebook obsahuje priestor nazývaný „App‑Zentrum“ (aplikačné centrum), v rámci ktorého Facebook Ireland sprístupňuje svojim používateľom okrem iného aj bezplatné hry tretích poskytovateľov. Pri prihlásení sa do aplikačného centra 26. novembra 2012 sa používateľovi zobrazili určité informácie pod tlačidlom „Sofort spielen“ (hrať). Z týchto informácií v podstate vyplýva, že používanie dotknutej aplikácie umožňovalo spoločnosti, ktorá poskytla hry, získať určité osobné údaje a oprávňovalo ju zverejniť v mene používateľa niektoré informácie, ako napríklad jeho skóre. Toto používanie znamenalo, že používateľ súhlasil so všeobecnými podmienkami aplikácie a jej politikou v oblasti ochrany údajov. Okrem toho v prípade hry „Scrabble“ sa uvádza, že táto aplikácia je oprávnená uverejňovať v mene používateľa status, fotky a iné informácie.
14. Spolková únia kritizuje zobrazenie údajov objavujúcich sa pri kliknutí na tlačidlo „hrať“ v aplikačnom centre z dôvodu, že sú nekalé, najmä z hľadiska nesplnenia zákonných podmienok, ktoré sa uplatňujú na získanie účinného súhlasu používateľa v zmysle ustanovení upravujúcich ochranu údajov. Okrem toho sa domnieva, že záverečné upozornenie v prípade hry Scrabble predstavuje všeobecnú obchodnú podmienku, ktorá neprimerane znevýhodňuje používateľa.
15. Spolková únia v tomto kontexte podala na Landgericht Berlin (Krajinský súd Berlín, Nemecko) žalobu na zdržanie sa konania proti spoločnosti Facebook Ireland. Vnútroštátny súd spresňuje, že táto žaloba bola podaná nezávisle na konkrétnom porušení práv na ochranu údajov dotknutej osoby a bez poverenia dotknutej osoby.
16. Spolková únia navrhuje, aby bolo spoločnosti Facebook Ireland pod hrozbou určitých sankčných opatrení zakázané „zobrazovať hry v rámci obchodných činností určených spotrebiteľom, ktorí majú trvalý pobyt v… Nemecku, na internetovej stránke s adresou www.facebook.com, a to v ‚Aplikačnom centreֹ‘ takým spôsobom, že kliknutím na tlačidlo ‚[hrať]‘ spotrebiteľ prehlasuje, že prevádzkovateľ hry získa prostredníctvom sociálnej siete využívanej spoločnosťou [Facebook Ireland] informácie o osobných údajoch, ktoré sa tam nachádzajú a je oprávnený zverejniť informácie v mene spotrebiteľa…“.
17. Spolková únia tiež navrhla, aby bolo spoločnosti Facebook Ireland zakázané „zahrnúť do dohôd so spotrebiteľmi, ktorí majú miesto obvyklého pobytu v… Nemecku, nasledujúce ustanovenie alebo ustanovenia obdobného obsahu týkajúce sa používania aplikácií v rámci sociálnej siete, ako aj odvolávať sa na ustanovenia o prenose údajov prevádzkovateľom hier: ‚Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten‘ [Táto aplikácia je oprávnená uverejniť tvoj status, fotky a iné informácie v tvojom mene]“.
18. Landgericht Berlin (Krajinský súd Berlín) odsúdil Facebook Ireland v súlade s návrhmi Spolkovej únie. Odvolanie, ktoré Facebook Ireland podala na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), bolo zamietnuté.
19. Facebook Ireland podala opravný prostriedok „Revision“ proti rozhodnutiu odvolacieho súdu.
20. Pokiaľ ide o podstatu veci, vnútroštátny súd sa domnieva, že odvolací súd správne rozhodol, že návrhy Spolkovej únie boli dôvodné. Totiž vzhľadom na to, že Facebook Ireland nesplnila informačné povinnosti vyplývajúce z § 13 ods. 1 prvej časti prvej vety TMG, porušila tak § 3a UWG a § 2 ods. 2 prvú vetu bod 11 UKlaG. Odvolací súd správne usúdil, že ustanovenia § 13 TMG, o ktoré ide vo veci samej, sú zákonnými pravidlami trhového správania subjektov v zmysle § 3a UWG. Okrem toho ide o ustanovenia, ktoré v súlade s § 2 ods. 2 prvou vetou bodom 11 písm. a) UKLaG upravujú prípustnosť zozbierania, spracovania alebo použitia osobných údajov spotrebiteľa podnikateľom, ktoré boli zozbierané, spracované alebo použité na reklamné účely. Vnútroštátny súd sa okrem toho domnieva, že nesplnením informačných povinností v oblasti ochrany údajov, ktoré sú uplatniteľné v prejednávanej veci, Facebook Ireland použila neúčinnú všeobecnú obchodnú podmienku v zmysle § 1 UKlaG.
21. Vnútroštátny súd sa však pýta, či odvolací súd správne usúdil, že žaloba Spolkovej únie bola prípustná. Pýta sa totiž, či také združenie na ochranu záujmov spotrebiteľov, akým je Spolková únia, má aj po nadobudnutí účinnosti nariadenia 2016/679 aktívnu legitimáciu na podanie žaloby na civilné súdy proti porušeniam tohto nariadenia, a to nezávisle na konkrétnom porušení práv dotknutých individuálnych osôb a bez ich poverenia, odkazujúc na porušenie práva v zmysle § 3a UWG, na porušenie zákona v oblasti ochrany spotrebiteľov podľa § 2 ods. 2 prvej vety bodu 11 UKlaG alebo na použitie neúčinnej všeobecnej obchodnej podmienky pri uplatnení § 1 UKlaG.
22. Vnútroštátny súd uvádza, že o prípustnosti žaloby neboli pochybnosti pred nadobudnutím účinnosti nariadenia 2016/679. Spolková únia bola totiž oprávnená podať žalobu na zdržanie sa konania pred civilnými súdmi v súlade s § 8 ods. 3 bodom 3 UWG a § 3 ods. 1 prvou vetou bodom 1 UKlaG.
23. Podľa tohto súdu je možné, že tento právny režim bol zmenený z dôvodu nadobudnutia účinnosti nariadenia 2016/679.
24. Pokiaľ ide o podstatu veci, domnieva sa, že ustanovenia § 13 ods. 1 TMG už nie sú uplatniteľné od uvedeného nadobudnutia účinnosti, keďže relevantnými informačnými povinnosťami sú už tie, ktoré vyplývajú z článkov 12 až 14 nariadenia 2016/679. Podľa vnútroštátneho súdu si tým Facebook Ireland nesplnila povinnosť, ktorá jej vyplýva z článku 12 ods. 1 prvej vety tohto nariadenia a ktorá pozostáva v poskytnutí informácií uvedených v článku 13 ods. 1 písm. c) a e) tohto nariadenia dotknutej osobe v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, pričom tieto informácie sa týkajú účelu spracúvania údajov a príjemcov osobných údajov.
25. Pokiaľ ide o prípustnosť žaloby, podľa vnútroštátneho súdu existuje diskusia o tom, či subjekty, ktoré majú aktívnu legitimáciu podľa § 4 UKlaG, sú od nadobudnutia účinnosti nariadenia 2016/679 a v súlade s § 8 ods. 3 bodom 3 UWG oprávnené podať žalobu proti porušeniam ustanovení tohto nariadenia, ktoré sú priamo uplatniteľné podľa článku 288 druhého odseku ZFEÚ, poukazujúc na porušenie práva v zmysle § 3a UWG.
26. Vnútroštátny súd v tejto súvislosti poukazuje na existenciu odlišných hľadísk, pokiaľ ide o otázku, či samotné nariadenie 2016/679 upravuje vyčerpávajúcim spôsobom kontrolu uplatňovania svojich ustanovení.
27. Tento súd v súvislosti so znením nariadenia 2016/679 uvádza, že na aktívnu legitimáciu takého subjektu, akým je Spolková únia, podľa § 8 ods. 3 bodu 3 UWG sa nevzťahuje článok 80 ods. 1 tohto nariadenia v rozsahu, v akom predmetná žaloba na zdržanie sa protiprávneho konania vo veci samej nebola podaná na základe poverenia a v mene dotknutej osoby na účely uplatnenia jej osobných práv. Ide naopak o aktívnu legitimáciu Spolkovej únie na základe jej vlastného práva, ktorá jej umožní v prípade porušenia práva v zmysle § 3a UWG konať proti porušeniam ustanovení tohto nariadenia objektívne, nezávisle na porušení konkrétnych práv individuálnych dotknutých osôb a poverení zo strany týchto osôb.
28. Vnútroštátny súd uvádza, že aktívna legitimácia Spolkovej únie na účely uplatnenia práva týkajúceho sa ochrany osobných údajov na objektívnom základe nie je stanovená v článku 80 ods. 2 nariadenia 2016/679. Hoci toto ustanovenie stanovuje možnosť podať žalobu týmto subjektom nezávisle na poverení od dotknutej osoby, aj napriek tomu je potrebné, aby práva dotknutej osoby, ktoré sú stanovené v tomto nariadení, boli porušené v dôsledku spracúvania. Na základe toho ani ustanovenia článku 80 ods. 2 tohto nariadenia z hľadiska ich znenia nepovoľujú aktívnu legitimáciu združení, ktoré nezávisle na porušení subjektívnych práv konkrétnej dotknutej osoby poukazujú na objektívne porušenia práva týkajúceho sa ochrany osobných údajov, pričom sa odvolávajú, tak ako v prejednávanej veci, na § 3a a § 8 ods. 3 bod 3 UWG. Rovnaký záver by mohol byť vyvodený z odôvodnenia 142 druhej vety nariadenia 2016/679, ktoré tiež uvádza porušenie práv dotknutej osoby ako podmienku aktívnej legitimácie združenia nezávisle na poverení od tejto osoby.
29. Okrem toho aktívna legitimácia združenia, ako je uvedené v zmysle § 8 ods. 3 UWG, nemôže podľa vnútroštátneho súdu vyplývať z článku 84 ods. 1 nariadenia 2016/679, podľa ktorého členské štáty stanovia pravidlá pre iné sankcie uplatniteľné v prípade porušenia tohto nariadenia a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Aktívnu legitimáciu združenia v zmysle § 8 ods. 3 UWG totiž nemožno považovať za „sankciu“ v zmysle tohto ustanovenia daného nariadenia.
30. Vnútroštátny súd okrem toho uvádza, že štruktúra nariadenia 2016/679 neumožňuje s istotou určiť, či aktívna legitimácia subjektu podľa § 8 ods. 3 bodu 3 UWG, teda podľa ustanovenia určeného na boj proti nekalej hospodárskej súťaži, môže byť uznaná aj po nadobudnutí účinnosti tohto nariadenia. Tento súd sa domnieva, že zo skutočnosti, že toto nariadenie priznáva dozorným orgánom široké právomoci v oblasti dohľadu, vyšetrovania a na účely prijatia nápravných opatrení, vyplýva, že predovšetkým týmto orgánom prislúcha kontrolovať uplatňovanie ustanovení uvedeného nariadenia. To by bolo v rozpore s extenzívnym výkladom článku 80 ods. 2 nariadenia 2016/679. Vnútroštátny súd tiež uvádza, že prijatie vnútroštátnych opatrení na výkon nariadenia je v zásade možné len vtedy, ak je výslovne povolené. Vsuvka „bez toho, aby boli dotknuté akékoľvek iné… prostriedky nápravy“ uvedená v článku 77 ods. 1, článku 78 ods. 1 a 2, ako aj v článku 79 ods. 1 tohto nariadenia by však mohla vyvrátiť tézu o vyčerpávajúcej právnej úprave kontroly uplatňovania práva týmto nariadením.
31. Pokiaľ ide o cieľ nariadenia 2016/679, jeho potrebný účinok by mohol svedčiť v prospech existencie aktívnej legitimácie združení na základe práva hospodárskej súťaže v súlade s § 8 ods. 3 bodom 3 UWG, a to nezávisle na porušení konkrétnych práv dotknutých osôb, pokiaľ by to ponechalo doplňujúcu možnosť kontroly uplatňovania práva na účely zabezpečenia čo možno najvyššej úrovne ochrany osobných údajov v súlade s odôvodnením 10 tohto nariadenia. Uznanie aktívnej legitimácie združení na základe práva hospodárskej súťaže by však mohlo byť považované za odporujúce cieľu harmonizácie, ktorý sleduje toto nariadenie.
32. Vnútroštátny súd uvádza tiež svoje pochybnosti o tom, že po nadobudnutí účinnosti nariadenia 2016/679 bola zachovaná aktívna legitimácia subjektov, ktoré sú uvedené v § 3 ods. 1 prvej vete bode 1 UKlaG, na účely podania žalôb v prípade porušenia ustanovení tohto nariadenia, v súvislosti so žalobami podanými z dôvodu porušenia zákona v oblasti ochrany spotrebiteľov v zmysle § 2 ods. 2 prvej vety bodu 11 UKlaG. To isté platí, pokiaľ ide o aktívnu legitimáciu združenia na ochranu záujmov spotrebiteľov v súlade s § 1 UKlaG s cieľom dosiahnuť zákaz používania neúčinných všeobecných obchodných podmienok v zmysle § 307 Občianskeho zákonníka.
33. Za predpokladu, že jednotlivé vnútroštátne ustanovenia zakladajúce pred nadobudnutím účinnosti nariadenia 2016/679 aktívnu legitimáciu subjektov možno považovať za ustanovenia vopred vykonávajúce článok 80 ods. 2 tohto nariadenia, uznanie aktívnej legitimácie Spolkovej únie v prejednávanej veci by podľa vnútroštátneho súdu vyžadovalo, aby sa táto únia odvolávala na to, že práva dotknutej osoby stanovené týmto nariadením boli porušené dôsledkom spracúvania. Táto podmienka však nie je splnená.
34. Tento vnútroštátny súd totiž zdôrazňuje, že návrhy Spolkovej únie sa týkajú abstraktnej kontroly zobrazenia aplikačného centra spoločnosťou Facebook Ireland z hľadiska objektívneho práva na ochranu údajov bez toho, aby Spolková únia uvádzala porušenie práv identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 bodu 1 nariadenia 2016/679.
35. Ak by malo byť konštatované, že Spolková únia v nadväznosti na nadobudnutie účinnosti nariadenia 2016/679 stratila aktívnu legitimáciu opierajúcu sa o vyššie citované ustanovenia nemeckého práva, vnútroštátny súd uvádza, že by mal vyhovieť opravnému prostriedku „Revision“, ktorý podala Facebook Ireland a zamietnuť žalobu Spolkovej únie vzhľadom na to, že podľa nemeckého procesného práva musí aktívna legitimácia existovať až do skončenia konania na poslednom stupni.
36. Vzhľadom na tieto úvahy Bundesgerichsthof (Spolkový súdny dvor, Nemecko) rozhodol prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:
„Bránia ustanovenia kapitoly VIII nariadenia (EÚ) 2016/679, a to najmä článok 80 ods. 1 a 2, ako aj článok 84 ods. 1 tohto nariadenia, vnútroštátnej právnej úprave, ktorá okrem intervenčných právomocí dozorných orgánov poverených dozorom nad vykonávaním nariadenia a možností právnej ochrany dotknutých osôb, priznáva konkurentom na jednej strane a združeniam, subjektom a komorám oprávneným podľa vnútroštátnych právnych predpisov na druhej strane právo odvolávať sa voči porušiteľovi práv na rozpor s ustanoveniami nariadenia 2016/679 – nezávisle od porušenia konkrétnych práv jednotlivých dotknutých osôb a bez poverenia dotknutej osoby – podaním žaloby na civilné súdy, ktorá sa opiera o zákaz nekalých obchodných praktík alebo porušenie zákona na ochranu spotrebiteľov alebo zákaz používania neúčinných všeobecných obchodných podmienok?“
37. Spolková únia, Facebook Ireland, rakúska a portugalská vláda, ako aj Komisia predložili písomné pripomienky. Títo účastníci konania s výnimkou portugalskej vlády, ako aj nemecká vláda boli vypočutí na pojednávaní, ktoré sa konalo 23. septembra 2021.
IV. Analýza
38. Vnútroštátny súd sa svojou otázkou v podstate pýta, či sa nariadenie 2016/679 a predovšetkým článok 80 ods. 2 tohto nariadenia má vykladať v tom zmysle, že bráni takej vnútroštátnej právnej úprave, ktorá priznáva združeniam na ochranu záujmov spotrebiteľov aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov, odvolávajúc sa na zákaz nekalých obchodných praktík, na porušenie zákona v oblasti ochrany spotrebiteľov alebo na zákaz používania neúčinných všeobecných obchodných podmienok.
39. Podľa článku 4 bodu 1 nariadenia 2016/679 „dotknutá osoba“ v zmysle tohto nariadenia je „identifikovaná alebo identifikovateľná fyzická osoba“. Pokiaľ sa táto osoba domnieva, že jej osobné údaje boli predmetom spracúvania, ktoré odporuje ustanoveniam uvedeného nariadenia, má k dispozícii viacero prostriedkov nápravy.
40. Dotknutá osoba má tak podľa článku 77 toho istého nariadenia právo podať sťažnosť dozornému orgánu. Okrem toho podľa článku 78 nariadenia 2016/679 má táto osoba právo na účinný súdny prostriedok nápravy proti dozornému orgánu. Článok 79 ods. 1 tohto nariadenia okrem toho priznáva každej dotknutej osobe právo na účinný súdny prostriedok nápravy, pokiaľ sa domnieva, že práva, ktoré jej zveruje toto nariadenie, boli porušené v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením.
41. Dotknuté osoby môžu samozrejme samy podať sťažnosť dozornému orgánu alebo podať vyššie uvedený súdny prostriedok nápravy. Článok 80 nariadenia 2016/679 stanovuje za istých podmienok týmto osobám možnosť nechať sa zastupovať neziskovým subjektom, organizáciou alebo združením. Právo Únie tak okrem individuálnych žalôb stanovuje rôzne možnosti žalôb v zastúpení podaných prostredníctvom subjektov poverených zastupovať dotknuté osoby.(10) Článok 80 nariadenia 2016/679 sa teda radí do trendu rozvoja žalôb v zastúpení, podaných týmito subjektmi s cieľom obhajovať všeobecné alebo kolektívne záujmy, ako prostriedkov posilnenia prístupu k spravodlivosti osôb dotknutých porušením predmetných pravidiel.(11)
42. Článok 80 nariadenia 2016/679, nazvaný „Zastupovanie dotknutých osôb“, obsahuje dva odseky. Prvý sa týka situácie, v ktorej dotknutá osoba dáva poverenie subjektu, organizácii alebo združeniu na účely jej zastupovania. Druhý odsek sa týka žaloby v zastúpení podanej určitým subjektom nezávisle na akomkoľvek poverení dotknutou osobou.
43. Keďže žaloba podaná Spolkovou úniou sa neopiera o poverenie dotknutej osoby, je to článok 80 ods. 2 nariadenia 2016/679, ktorý je relevantný v rámci tohto návrhu na začatie prejudiciálneho konania.
A. Rozsudok Fashion ID
44. Súdny dvor vo svojom rozsudku Fashion ID rozhodoval v súvislosti so smernicou 95/46 o podobnej otázke, ako je tá, ktorá je položená v rámci tohto návrhu na začatie prejudiciálneho konania. Rozhodol, že „články 22 až 24 [tejto] smernice sa majú vykladať v tom zmysle, že nebránia vnútroštátnej právnej úprave, ktorá združeniam na ochranu záujmov spotrebiteľov priznáva aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov“(12).
45. Súdny dvor dospel k tomuto záveru tak, že vychádzal z konštatovania, že žiadne ustanovenie smernice 95/46 neukladá členským štátom povinnosť stanoviť, ani ich výslovne neoprávňuje stanoviť vo vnútroštátnom práve možnosť združenia zastupovať dotknutú osobu alebo z vlastnej iniciatívy podať žalobu proti údajnému pôvodcovi porušenia ochrany osobných údajov.(13) Podľa Súdneho dvora však z toho nevyplýva, že táto smernica bránila vnútroštátnej právnej úprave, ktorá by združeniam na ochranu záujmov spotrebiteľov priznávala aktívnu legitimáciu na konanie proti údajnému pôvodcovi takéhoto porušenia.(14) Súdny dvor v tejto súvislosti zdôraznil znaky, ktoré sú vlastné smernici, ako aj povinnosť uloženú členským štátom, ktorým je smernica určená, prijať všetky opatrenia potrebné na zabezpečenie plného účinku dotknutej smernice v súlade s cieľom, ktorý smernica sleduje.(15)
46. Súdny dvor pripomenul, že smernica 95/46 má za cieľ „zabezpečiť účinnú a úplnú ochranu základných práv a slobôd fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov“ a „zabezpečenie vysokej úrovne ochrany v [Európskej únii]“(16). Podľa Súdneho dvora skutočnosť, že členský štát vo svojej vnútroštátnej právnej úprave stanovuje možnosť združenia na ochranu záujmov spotrebiteľov podať žalobu proti údajnému pôvodcovi zásahu do ochrany osobných údajov, prispieva k dosiahnutiu týchto cieľov.(17) Súdny dvor okrem toho zdôraznil, že „členské štáty majú pri preberaní uvedenej [smernice 95/46] rozhodovací priestor“(18), predovšetkým pokiaľ ide o jej články 22 až 24, „ktoré sú… formulované všeobecne a nevykonávajú úplnú harmonizáciu vnútroštátnych ustanovení týkajúcich sa súdnych prostriedkov nápravy, ktoré by mohli byť použité voči údajnému pôvodcovi porušenia ochrany osobných údajov“(19). Preto „stanovenie možnosti združenia na ochranu záujmov spotrebiteľov podať žalobu proti údajnému pôvodcovi porušenia ochrany osobných údajov sa javí ako vhodné opatrenie v zmysle [článku 24 tejto smernice], ktoré… prispieva k dosiahnutiu cieľov uvedenej smernice v súlade s judikatúrou Súdneho dvora“(20).
47. V tomto návrhu na začatie prejudiciálneho konania sa od Súdneho dvora žiada, aby rozhodol, či to, čo mohlo byť prípustné v období pôsobnosti smernice 95/46, by už malo byť zakázané po nadobudnutí účinnosti nariadenia 2016/679. Inak povedané, je právnym účinkom článku 80 ods. 2 tohto nariadenia zrušenie aktívnej legitimácie združenia na ochranu záujmov spotrebiteľov v rámci takej žaloby, o akú ide vo veci samej?
48. Možno o tom pochybovať už vzhľadom na samotné znenie bodu 62 rozsudku Fashion ID, v ktorom Súdny dvor uviedol, že skutočnosť, že nariadenie 2016/679 „výslovne vo svojom článku 80 ods. 2 povoľuje členským štátom, aby umožnili združeniam na ochranu záujmov spotrebiteľov aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov, vôbec neznamená, že členské štáty im nemohli priznať toto právo v čase účinnosti smernice 95/46, ale naopak potvrdzuje, že výklad danej smernice uvedený v tomto rozsudku zodpovedá vôli normotvorcu Únie“(21).
49. Z dôvodov, ktoré teraz rozviniem, sa domnievam, že ani nahradenie smernice 95/46 nariadením, ani okolnosť, že nariadenie 2016/679 už venuje jeden článok zastupovaniu dotknutých osôb v súdnych konaniach, nie sú takej povahy, aby spochybnili to, čo Súdny dvor rozhodol vo svojom rozsudku Fashion ID, a síce, že členské štáty môžu vo svojej vnútroštátnej právnej úprave priznať združeniam na ochranu záujmov spotrebiteľov aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov.
B. Osobitné charakteristiky nariadenia 2016/679
50. Pokiaľ ide o nahradenie smernice 95/46 normou odlišnej povahy, a síce nariadením 2016/679, treba uviesť, že voľba normotvorcu Únie využiť právnu formu nariadenia, ktoré je podľa článku 288 ZFEÚ záväzné vo svojej celistvosti a je priamo uplatniteľné vo všetkých členských štátoch, sa vysvetľuje jeho vôľou vyjadrenou v odôvodnení 13 nariadenia 2016/679, a to zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu. Z tohto dôvodu sa na prvý pohľad zdá, že dané nariadenie smeruje k úplnej harmonizácii, neobmedzujúc sa teda na stanovenie minimálnych ustanovení, ktoré by členské štáty mohli prebrať, a neponechávajúc členským štátom voľbu odchýliť sa, doplniť alebo vykonať jeho ustanovenia, aby nedošlo k ohrozeniu súčasného a jednotného uplatňovania ustanovení tohto nariadenia v Únii.
51. Skutočnosť sa zdá byť zložitejšia. Právny základ nariadenia 2016/679, teda článok 16 ZFEÚ(22), bráni tomu, aby bol prijatý záver, že Únia prijatím tohto nariadenia predvídala všetky dôsledky, ktoré môže mať ochrana osobných údajov v iných oblastiach týkajúcich sa najmä pracovného práva, práva hospodárskej súťaže alebo spotrebiteľského práva, a tým zbavila členské štáty možnosti prijať osobitné pravidlá v týchto oblastiach, a to viac alebo menej samostatným spôsobom podľa toho, či ide o oblasť upravenú právom Únie.(23) V tomto zmysle hoci je ochrana osobných údajov svojou povahou prierezová, harmonizácia vykonaná nariadením 2016/679 je obmedzená na aspekty osobitne upravené týmto nariadením v tejto oblasti. Mimo nich môžu členské štáty naďalej prijímať právne predpisy, pokiaľ nezasahujú do obsahu alebo cieľov uvedeného nariadenia.
52. Okrem toho, pokiaľ sa budú brať do úvahy detaily ustanovení nariadenia 2016/679, bude treba konštatovať, že rozsah harmonizácie vykonanej týmto nariadením sa mení podľa posudzovaných ustanovení. Určenie normatívneho dosahu tohto nariadenia teda vyžaduje preskúmanie od prípadu k prípadu.(24) Hoci v súlade s judikatúrou týkajúcou sa smernice 95/46(25) možno konštatovať, že nariadenie 2016/679 vykonáva harmonizáciu, ktorá je „v zásade úplná“, viaceré ustanovenia tohto nariadenia členským štátom priznávajú rozhodovací priestor, ktorý musí alebo môže byť podľa jednotlivých prípadov členskými štátmi využitý za podmienok a v medziach stanovených týmito ustanoveniami.(26)
53. Treba pripomenúť, že v súlade s ustálenou judikatúrou Súdneho dvora, „podľa článku 288 ZFEÚ a z dôvodu povahy nariadení a ich funkcie v systéme prameňov práva Únie majú ustanovenia nariadení vo všeobecnosti bezprostredný účinok vo vnútroštátnych právnych poriadkoch, a to bez toho, aby vnútroštátne orgány museli prijať vykonávacie predpisy. Niektoré ustanovenia nariadení však na svoje vykonávanie môžu vyžadovať prijatie vykonávacích predpisov členskými štátmi“(27). Použitie nariadenia nemusí nevyhnutne znamenať absenciu akéhokoľvek priestoru na konanie ponechaného subjektom práv ustanoveniami tohto nariadenia.(28) Okrem toho záväzný a priamo uplatniteľný charakter nariadenia nebráni tomu, aby takýto akt obsahoval aj dispozitívne normy.(29)
54. Článok 80 ods. 2 nariadenia 2016/679 predstavuje z dôvodu použitia slova „môžu“ príklad dispozitívneho ustanovenia ponúkajúceho členským štátom určitú mieru voľnej úvahy pri jeho vykonaní.
55. Toto ustanovenie je súčasťou mnohých „ustanovení o otvorení“ obsiahnutých v tomto nariadení, ktoré mu dávajú osobitý charakter v porovnaní s klasickým nariadením a približujú ho k smernici.(30) Odkazy na vnútroštátne právo nachádzajúce sa v týchto ustanoveniach môžu byť záväzné.(31) predstavujú však najčastejšie možnosť ponechanú členským štátom.(32) Bolo možné konštatovať, že tieto časté odkazy na vnútroštátne právne poriadky predstavujú riziko nového členenia režimu ochrany osobných údajov v rámci Únie, keďže idú proti vôli vyjadrenej normotvorcom Únie dosiahnuť väčšiu jednotnosť tohto režimu a môžu mať negatívne následky na účinnosť tejto ochrany, rovnako ako na čitateľnosť ich povinností subjektmi zodpovednými za spracovanie a sprostredkovateľmi.(33) Dosah harmonizácie vykonanej nariadením 2016/679 je tak obmedzený mnohými „ustanoveniami o otvorení“ nachádzajúcimi sa v tomto nariadení.
56. Je jasné, že v porovnaní s tým, o čo išlo v prípade smernice 95/46, chcel normotvorca Únie nariadením 2016/679 upraviť na úrovni Únie širším a presnejším spôsobom aspekty týkajúce sa zastupovania dotknutých osôb na účely podania sťažnosti dozornému orgánu alebo podania žaloby.(34) Odseky 1 a 2 článku 80 tohto nariadenia však nemajú rovnaký normatívny dosah. Zatiaľ čo odsek 1 tohto článku je pre členské štáty záväzný,(35) jeho odsek dva ponúka týmto štátom iba možnosť. Preto na účely podania žaloby v zastúpení bez poverenia, stanovenej v článku 80 ods. 2 tohto nariadenia, musia členské štáty využiť možnosť, ktorú im ponúka toto ustanovenie a síce stanoviť vo svojom vnútroštátnom právnom poriadku tento spôsob zastúpenia dotknutých osôb.
57. Článok 80 ods. 2 nariadenia 2016/679 nemožno, hoci len z dôvodu jeho fakultatívneho charakteru a potenciálnych rozdielov medzi vnútroštátnymi právami, ku ktorým vedie, považovať za článok zabezpečujúci úplnú harmonizáciu v súvislosti so žalobami v zastúpení bez poverenia v oblasti ochrany osobných údajov. Pokiaľ však členské štáty vykonávajú toto ustanovenie vo svojom vnútroštátnom práve, musia dodržať podmienky a obmedzenia, v rámci ktorých chcel normotvorca Únie upraviť výkon možnosti stanovenej týmto ustanovením.
58. Hoci v porovnaní s prípadom smernice 95/46 je právna úprava presnejšia, členské štáty si napriek tomu zachovávajú určitú mieru voľnej úvahy pri vykonávaní článku 80 ods. 2 nariadenia 2016/679.
59. Zo skutočností, ktoré má Súdny dvor k dispozícii vyplýva, že nemecký zákonodarca neprijal po nadobudnutí účinnosti tohto nariadenia ustanovenie, ktoré by bolo konkrétne určené na vykonanie článku 80 ods. 2 tohto nariadenia v jeho vnútroštátnom práve. Z tohto dôvodu treba preskúmať – ako to aj vnútroštátny súd navrhuje Súdnemu dvoru –, či sú predtým existujúce pravidlá nemeckého práva, ktoré priznávajú združeniu na ochranu záujmov spotrebiteľov aktívnu legitimáciu na účely ukončenia konania predstavujúceho porušenie ustanovení nariadenia 2016/679 a súčasne pravidiel, ktorých predmetom je najmä ochrana spotrebiteľov, súlade s týmto ustanovením. Inak povedané, je vnútroštátne právo existujúce pred nadobudnutím účinnosti tohto nariadenia v súlade s tým, čo umožňuje článok 80 ods. 2 tohto nariadenia?
60. Ako spresnila nemecká vláda na pojednávaní, vnútroštátne ustanovenia, ktoré oprávňujú také združenie, akým je Spolková únia, podať žalobu v zastúpení, o akú ide vo veci samej, predstavujú opatrenia preberajúce smernicu 2009/22. Na účely odpovede na otázku, či aj článok 80 ods. 2 nariadenia 2016/679 oprávňuje podať túto žalobu, a teda či tie isté vnútroštátne ustanovenia spadajú do rámca voľnej úvahy priznanej každému štátu,(36) treba tento článok vykladať najmä s ohľadom na jeho znenie, ako aj na štruktúru a ciele tohto nariadenia.
C. Doslovný, systematický a teleologický výklad článku 80 ods. 2 nariadenia 2016/679
61. Podľa článku 80 ods. 2 nariadenia 2016/679 môže žaloby v zastúpení, ktoré sú v ňom stanovené, podať „akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1“ tohto článku. Článok 80 ods. 1 tohto nariadenia uvádza „neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov“. Táto definícia nemôže byť podľa môjho názoru obmedzená na subjekty, ktoré majú za jediný a výlučný cieľ ochranu osobných údajov, ale rozširuje sa na všetky subjekty, ktoré sledujú cieľ verejného záujmu súvisiaci s ochranou osobných údajov. To je prípad združení na ochranu záujmov spotrebiteľov, ako je Spolková únia, ktoré majú aktívnu legitimáciu na podanie žalôb na zdržanie sa konania, ktoré popri zásahu do ustanovení tohto nariadenia porušuje aj pravidlá v oblasti ochrany spotrebiteľov alebo boja proti nekalej hospodárskej súťaži.(37)
62. Podľa znenia článku 80 ods. 2 nariadenia 2016/679 môže žalobu v zastúpení podať subjekt zodpovedajúci podmienkam uvedeným v odseku 1 tohto článku, ak „sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania“. Na rozdiel od toho, čo uvádza vnútroštátny súd, si nemyslím, že táto posledná časť vety sa má vykladať reštriktívne v tom zmysle, že na účely aktívnej legitimácie v súlade s ustanovením článku 80 ods. 2 nariadenia 2016/679 by daný subjekt mal predtým individuálne určiť jednu alebo viacero osôb konkrétne dotknutých v dôsledku predmetného spracúvania. Prípravné práce pred prijatím tohto nariadenia neuvádzajú nič v tomto zmysle. Navyše samotná definícia pojmu „dotknutá osoba“ v zmysle článku 4 bodu 1 tohto nariadenia, teda „identifikovaná alebo identifikovateľná osoba“(38), sa mi zdá byť v rozpore s požiadavkou, podľa ktorej osoby, ktoré sú predmetom zaobchádzania odporujúceho ustanoveniam nariadenia 2016/679, by mali byť identifikované už pri podaní žaloby v zastúpení podľa článku 80 ods. 2 tohto nariadenia. Z toho logicky vyplýva, že v zmysle tohto ustanovenia nemožno požadovať, aby určitý subjekt uvádzal existenciu konkrétnych prípadov o individuálne určených osobách na účely toho, aby mohol byť oprávnený konať v súlade s tým, čo uvádza toto ustanovenie.
63. Domnievam sa, že podanie žaloby v zastúpení podľa článku 80 ods. 2 nariadenia 2016/679 predpokladá len uvádzanie existencie spracovania osobných údajov, ktoré odporuje ustanoveniam tohto nariadenia chrániacim individuálne práva, a teda ktoré môže zasiahnuť do práv identifikovaných alebo identifikovateľných osôb, bez toho, aby aktívna legitimácia subjektu podliehala overeniu od prípadu k prípadu z hľadiska toho, či boli porušené určité práva jednej alebo viacerých osôb.(39) V skratke, táto žaloba sa musí zakladať na porušení práv, ktoré môže fyzická osoba vyvodiť z daného nariadenia v nadväznosti na spracovanie jej osobných údajov. Táto žaloba nemá za cieľ chrániť objektívne právo, ale len subjektívne práva, ktoré dotknuté osoby vyvodzujú priamo z nariadenia 2016/679.(40) Inými slovami cieľom ustanovenia o otvorení uvedeného v článku 80 ods. 2 tohto nariadenia je umožniť oprávneným subjektom dať dozornému orgánu alebo súdu overiť, či prevádzkovatelia dodržiavajú pravidlá chrániace dotknuté osoby uvedené v tomto nariadení.(41) Na účely zabezpečenia aktívnej legitimácie subjektu v zmysle tohto ustanovenia v tomto zmysle stačí, aby nahlásil porušenie ustanovení nariadenia 2016/679, ktorých cieľom je chrániť subjektívne práva dotknutých osôb.
64. Ako v podstate uvádza Komisia, výklad článku 80 ods. 2 nariadenia 2016/679, podľa ktorého by mal subjekt na účely podania žaloby v zastúpení bez poverenia preukázať alebo namietnuť, že určitá osoba bola v danej situácii poškodená vo svojich právach, by príliš obmedzil rozsah pôsobnosti tohto ustanovenia. Podobne ako portugalská vláda a Komisia sa domnievam, že článok 80 ods. 2 tohto nariadenia by mal byť predmetom výkladu, ktorý zachová jeho potrebný účinok vo vzťahu k odseku 1 tohto článku. Z tohto dôvodu by sa článok 80 ods. 2 daného nariadenia mal podľa mňa chápať v tom zmysle, že ide nad rámec zastupovania individuálnych prípadov, ktoré je predmetom odseku 1 tohto článku, pričom sa otvára možnosť zastupovania – z iniciatívy oprávnených subjektov a samostatne – kolektívnych záujmov osôb, ktorých sa týka spracovanie ich osobných údajov v rozpore s nariadením 2016/679. Článok 80 ods. 2 tohto nariadenia by mal svoj potrebný účinok vo veľkej miere obmedzený, ak by sa konštatovalo, tak ako je to vyžadované v odseku 1 tohto článku, že daný subjekt má možnosť podania žaloby v oboch prípadoch obmedzenú na zastupovanie osôb menovite a individuálne určených.
65. Výklad, ktorý zastávam v súvislosti s článkom 80 ods. 2 nariadenia 2016/679, je okrem toho v súlade s preventívnou povahou a odstrašujúcim účelom žalôb na zdržanie sa konania, ako aj s ich nezávislosťou od akéhokoľvek individuálneho sporu.(42)
66. Okrem rizika vytvorenia dvoch odlišných štandardov týkajúcich sa aktívnej legitimácie subjektov oprávnených podať žalobu na zdržanie sa konania podľa toho, či je táto žaloba založená na vnútroštátnom opatrení patriacom do pôsobnosti článku 80 ods. 2 nariadenia 2016/679 alebo smernice 2020/1828, považujem za vhodné, hoci táto smernica nie je uplatniteľná v rámci sporu vo veci samej, zohľadniť skutočnosť, že táto smernica nevyžaduje od daných subjektov uviesť existenciu menovite určených spotrebiteľov dotknutých predmetným porušením,(43) ale uviesť existenciu porušení ustanovení práva Únie uvedených v prílohe I tejto smernice(44) spáchaných obchodníkmi, ktorá sa napokon v bode 56 odvoláva na nariadenie 2016/679.
67. Téza v prospech reštriktívneho výkladu článku 80 ods. 2 nariadenia 2016/679 bráni podľa mňa nesprávnym spôsobom obrane kolektívnych záujmov spotrebiteľov(45) a ochrane práv každej osoby, ktorej sa týka spracovanie údajov, ktoré je údajne v rozpore s týmto nariadením. Obrana kolektívnych záujmov spotrebiteľov totiž podľa mňa nevylučuje ochranu subjektívnych práv, ktoré dotknuté osoby vyvodzujú priamo z nariadenia 2016/679, ale naopak zahŕňa túto ochranu.
68. Okrem toho z odôvodnenia 15 smernice 2020/1828, podľa ktorého „by sa v relevantnom prípade mohol na ochranu kolektívnych záujmov spotrebiteľov stále použiť mechanizmus presadzovania práva stanovený v nariadení… 2016/679… alebo založený na uvedenom nariadení“(46), vyvodzujem potvrdenie toho, že žaloba v zastúpení stanovená v článku 80 ods. 2 tohto nariadenia môže skutočne sledovať ochranu týchto záujmov.
69. Z vyššie uvedených skutočností vyvodzujem, že článok 80 ods. 2 nariadenia 2016/679 podľa môjho názoru oprávňuje členské štáty stanoviť možnosť pre oprávnené subjekty podať – bez poverenia dotknutých osôb – žaloby v zastúpení sledujúce ochranu kolektívnych záujmov spotrebiteľov v prípade údajného porušenia ustanovení tohto nariadenia, ktorých predmetom je priznanie subjektívnych práv dotknutým osobám.
70. To je prípad žaloby na zdržanie sa konania, ktorú podala Spolková únia proti spoločnosti Facebook Ireland.
71. Pripomínam totiž, že podľa vnútroštátneho súdu a v súlade s návrhmi Spolkovej únie si Facebook Ireland nesplnila povinnosť, ktorá jej vyplýva z článku 12 ods. 1 prvej vety nariadenia 2016/679, podľa ktorej má poskytnúť dotknutej osobe v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie uvedené v článku 13 ods. 1 písm. c) a e), ktoré sa týkajú účelu spracúvania údajov a príjemcu osobných údajov. Tieto ustanovenia nepochybne patria do kategórie tých, ktoré priznávajú dotknutým osobám subjektívne práva, čo potvrdzuje najmä konštatovanie, že sa nachádzajú v kapitole III daného nariadenia, nazvanej „Práva dotknutej osoby“. Ochrany týchto práv sa preto môžu domáhať buď priamo dotknuté osoby, alebo subjekt, ktorý je oprávnený podľa článku 80 ods. 1 nariadenia 2016/679 alebo podľa vnútroštátnych ustanovení vykonávajúcich článok 80 ods. 2 tohto nariadenia.
72. Domnievam sa tiež, že článok 80 ods. 2 nariadenia 2016/679 nebráni vnútroštátnym právnym ustanoveniam, ktoré oprávňujú združenie na ochranu záujmov spotrebiteľov podať žalobu na zdržanie sa konania na účely zabezpečenia dodržiavania práv priznaných týmto nariadením prostredníctvom pravidiel, ktorým cieľom je chrániť spotrebiteľov alebo bojovať proti nekalým obchodným praktikám. Tieto pravidlá totiž môžu obsahovať ustanovenia podobné tým, ktoré sú obsiahnuté v uvedenom nariadení, predovšetkým pokiaľ ide o informovanie dotknutých osôb o spracúvaní ich osobných údajov,(47) čo znamená, že porušenie pravidla týkajúceho sa ochrany osobných údajov môže zároveň viesť k porušeniu pravidiel týkajúcich sa ochrany spotrebiteľov alebo nekalých obchodných praktík. Zo znenia článku 80 ods. 2 nevyplýva nič, čo by bránilo čiastočnému vykonaniu tohto ustanovenia o otvorení v tom zmysle, že žaloba v zastúpení sleduje ochranu práv osôb v ich postavení spotrebiteľov, ktoré dotknuté osoby vyvodzujú z tohto nariadenia.(48)
73. Takto navrhovaný výklad článku 80 ods. 2 nariadenia 2016/679 môže podľa mňa najlepšie dosiahnuť ciele sledované týmto nariadením.
74. Súdny dvor v tejto súvislosti uviedol, že „ako vyplýva z článku 1 ods. 2 nariadenia 2016/679 v spojení s jeho odôvodneniami 10, 11 a 13, toto nariadenie ukladá inštitúciám, orgánom, úradom a agentúram Únie, ako aj príslušným orgánom členských štátov povinnosť zabezpečiť vysokú úroveň ochrany práv zaručených v článku 16 ZFEÚ a článku 8 Charty [základných práv Európskej únie]“(49). Okrem toho cieľom sledovaným týmto nariadením je „zaručiť účinnú ochranu základných práv a slobôd fyzických osôb, najmä ich práva na súkromie a na ochranu osobných údajov“(50).
75. Bolo by v rozpore s cieľom zabezpečenia vysokej úrovne ochrany osobných údajov brániť členským štátom zaviesť konania, ktoré spolu so sledovaním cieľa ochrany spotrebiteľov prispievajú tiež k dosiahnutiu cieľa ochrany osobných údajov. Podobne, ako to platilo v prípade smernice 95/46, možno totiž aj po nadobudnutí účinnosti nariadenia 2016/679 stále tvrdiť, že oprávnenie združení na ochranu záujmov spotrebiteľov na účely zastavenia spracúvania údajov odporujúceho ustanoveniam tohto nariadenia prispieva prostredníctvom kolektívneho uplatňovania nárokov na nápravu k posilneniu práv dotknutých osôb.(51)
76. Ochrana kolektívnych záujmov spotrebiteľov združeniami je osobitne prispôsobená cieľu sledujúcemu zavedenie vysokej úrovne ochrany osobných údajov. Z tohto hľadiska by preventívna funkcia činností uskutočňovaných týmito združeniami nemohla byť zabezpečená, pokiaľ by žaloba v zastúpení stanovená v článku 80 ods. 2 nariadenia 2016/679 umožňovala namietať iba porušenie práv osoby, ktorá bola individuálne a konkrétne dotknutá týmto porušením.
77. Žaloba na zdržanie sa konania podaná združením na ochranu záujmov spotrebiteľov, akým je Spolková únia, teda nepopierateľne prispieva k zabezpečeniu účinného uplatňovania práv chránených nariadením 2016/679.(52)
78. Okrem toho by bolo prinajmenšom paradoxné, keby sa posilnenie prostriedkov kontroly pravidiel týkajúcich sa ochrany osobných údajov sledovanej normotvorcom Únie prijatím nariadenia 2016/679 napokon prejavilo znížením úrovne tejto ochrany v porovnaní s tou, ktorú mohli členské štáty zabezpečiť za pôsobnosti smernice 95/46.
79. Je pravda, že na rozdiel od Spojených štátov amerických sa v práve Únie právne úpravy týkajúce sa na jednej strane nekalých obchodných praktík a na druhej strane ochrany osobných údajov vyvinuli oddelene. Tieto dve oblasti sú tak predmetom odlišných normatívnych rámcov.
80. Existujú však prepojenia medzi týmito dvoma oblasťami, takže konania, ktoré patria do rámca právnej úpravy týkajúcej sa ochrany osobných údajov, môžu súčasne a nepriamym spôsobom prispievať k ukončeniu nekalej obchodnej praktiky. Platí to aj opačne.(53) Napokon väzba medzi ochranou osobných údajov z hľadiska súhlasu so spracovaním týchto údajov a ochranou spotrebiteľov je vyjadrená v samotnom nariadení 2016/679, najmä v jeho odôvodnení 42. Okrem toho Komisia vyzdvihla prepojenia medzi právnou úpravou Únie v oblasti ochrany osobných údajov a smernicou 2005/29/ES(54).
81. Prepojenia medzi právom týkajúcim sa ochrany osobných údajov, právom na ochranu spotrebiteľov a právom hospodárskej súťaže sú časté a početné, keďže na to isté správanie sa môžu súčasne vzťahovať právne normy z týchto jednotlivých oblastí. Tieto prepojenia prispievajú k tomu, že ochrana osobných údajov je účinnejšia(55).
82. Oprávnené subjekty s právami stanovenými nariadením 2016/679 sa nepochybne neobmedzujú na kategóriu spotrebiteľov, keďže toto nariadenie nie je založené na spotrebiteľskej koncepcii ochrany fyzických osôb vo vzťahu k spracúvaniu osobných údajov(56), ale na koncepcii, podľa ktorej je táto ochrana v súlade s článkom 8 Charty základných práv, a ako uvádza najmä odôvodnenie 1, ako aj článok 1 ods. 2 tohto nariadenia, základným právom.(57)
83. Faktom zostáva, že v dobe digitálneho hospodárstva majú dotknuté osoby často postavenie spotrebiteľov. To je dôvod, pre ktorý sú pravidlá určené na ochranu spotrebiteľov často uplatňované na účely zabezpečenia ochrany týmto spotrebiteľom proti spracúvaniu ich osobných údajov v rozpore s ustanoveniami nariadenia 2016/679.
84. V zmysle tejto analýzy treba konštatovať, že môže existovať prekrývanie medzi žalobou v zastúpení stanovenou v článku 80 ods. 2 nariadenia 2016/679 a žalobou, ktorú stanovuje smernica 2020/1828 na účely zabezpečenia opatrení na zdržanie sa konania, pokiaľ „dotknuté osoby“ v zmysle tohto nariadenia majú zároveň postavenie „spotrebiteľa“ v zmysle článku 3 bodu 1 tejto smernice.(58) Vidím v tom znak komplementárnosti a konvergencie práva týkajúceho sa ochrany osobných údajov s inými oblasťami práva, akými sú spotrebiteľské právo a právo hospodárskej súťaže. Prijatím tejto smernice normotvorca Únie posunul toto smerovanie ešte ďalej výslovným prepojením ochrany kolektívnych záujmov spotrebiteľov s dodržiavaním nariadenia 2016/679. Účinné uplatňovanie pravidiel obsiahnutých v tomto nariadení tým môže byť iba posilnené.
V. Návrh
85. Vzhľadom na všetky predchádzajúce úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálnu otázku, ktorú položil Bundesgerichtshof (Spolkový súdny dvor, Nemecko) takto:
Článok 80 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá umožňuje združeniam na ochranu záujmov spotrebiteľov podať žalobu proti údajnému pôvodcovi zásahu do ochrany osobných údajov, pričom sa tieto združenia zároveň odvolávajú na zákaz nekalých obchodných praktík, na porušenie zákona v oblasti ochrany spotrebiteľov alebo na zákaz používania neúčinných všeobecných obchodných podmienok, pokiaľ cieľom predmetnej žaloby v zastúpení je zabezpečenie dodržania práv, ktoré osoby dotknuté namietaným spracúvaním údajov vyvodzujú priamo z tohto nariadenia.