SODBA SODIŠČA (tretji senat)
z dne 28. aprila 2022(*)
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 80 – Zastopanje posameznikov, na katere se nanašajo osebni podatki, s strani nepridobitnega združenja – Zastopniška tožba, ki jo vloži združenje za varstvo interesov potrošnikov brez pooblastila in ne glede na kršitev konkretnih pravic posameznika, na katerega se nanašajo osebni podatki – Tožba na podlagi prepovedi nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev“
V zadevi C‑319/20,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija) z odločbo z dne 28. maja 2020, ki je na Sodišče prispela 15. julija 2020, v postopku
Meta Platforms Ireland Limited, nekdanja Facebook Ireland Limited,
proti
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
SODIŠČE (tretji senat),
v sestavi A. Prechal, predsednica drugega senata v funkciji predsednice tretjega senata, J. Passer, F. Biltgen, sodnika, L. S. Rossi (poročevalka), sodnica, in N. Wahl, sodnik,
generalni pravobranilec: J. Richard de la Tour,
sodna tajnica: M. Krausenböck, administratorka,
na podlagi pisnega postopka in obravnave z dne 23. septembra 2021,
ob upoštevanju stališč, ki so jih predložili:
– za Meta Platforms Ireland Limited H.‑G. Kamann, M. Braun in H. Frey, Rechtsanwälte, ter V. Wettner, Rechtsanwältin,
– za Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. P. Wassermann, Rechtsanwalt,
– za nemško vlado D. Klebs in J. Möller, agenta,
– za avstrijsko vlado A. Posch, G. Kunnert in J. Schmoll, agenti,
– za portugalsko vlado L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa in L. Medeiros, agenti,
– za Evropsko komisijo sprva F. Erlbacher, H. Kranenborg in D. Nardi, nato F. Erlbacher in H. Kranenborg, agenti,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 2. decembra 2021
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 80(1) in (2) ter člena 84(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1; v nadaljevanju: GDPR).
2 Ta predlog je bil vložen v okviru spora med družbo Meta Platforms Ireland Limited, nekdanjo družbo Facebook Ireland Limited, s sedežem na Irskem in Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (zvezno združenje organizacij in združenj za varstvo potrošnikov, Nemčija; v nadaljevanju: zvezno združenje), ker je družba Meta Platforms Ireland kršila nemško zakonodajo o varstvu osebnih podatkov, pri čemer ta kršitev hkrati pomeni nepošteno poslovno prakso, kršitev zakona o varstvu potrošnikov in kršitev prepovedi uporabe neveljavnih splošnih pogojev.
Pravni okvir
Pravo Unije
GDPR
3 V uvodnih izjavah 9, 10, 13 in 142 GDPR je navedeno:
„(9) Cilji in načela Direktive [95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355)] še vedno veljajo, vendar to ni preprečilo razdrobljenosti izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti ali razširjenega javnega mnenja, da so precejšnja tveganja za varstvo posameznikov, zlasti glede spletne dejavnosti. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov, pri obdelavi osebnih podatkov v državah članicah lahko preprečijo prosti pretok osebnih podatkov po celotni Uniji. Te razlike lahko pomenijo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti po pravu Unije. Take različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive [95/46].
(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]
[…]
(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. […]
[…]
(142) Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti telo, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri nadzornem organu, uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali, če je tako določeno v pravu države članice, uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki. Država članica lahko zahteva, da mora tako telo, organizacija ali združenje imeti pravico, da neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici vloži pritožbo, in pravico do učinkovitega pravnega sredstva, kadar utemeljeno meni, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, kršene zaradi obdelave osebnih podatkov, ki krši to uredbo. To telo, organizacija ali združenje ne sme zahtevati odškodnine v imenu posameznika, na katerega se nanašajo osebni podatki, neodvisno od pooblastila posameznika.“
4 Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, v odstavku 1 določa:
„Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.“
5 Člen 4, točka 1, GDPR določa:
„V tej uredbi:
(1) „osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.
6 Poglavje III GDPR, ki vsebuje člene od 12 do 23, je naslovljeno „Pravice posameznika, na katerega se nanašajo osebni podatki“.
7 Člen 12 te uredbe, naslovljen „Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki“, v odstavku 1 določa:
„Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.“
8 Člen 13 GDPR, naslovljen „Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki“, v odstavku 1(c) in (e) določa:
„Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:
[…]
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
[…]
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo […]“
9 Poglavje VIII navedene uredbe, ki vsebuje člene od 77 do 84, je naslovljeno „Pravna sredstva, odgovornost in kazni“.
10 Člen 77 GDPR, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, v odstavku 1 določa:
„Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.“
11 Člen 78 GDPR, naslovljen „Pravica do učinkovitega pravnega sredstva zoper nadzorni organ“, v odstavku 1 določa:
„Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.“
12 Člen 79 GDPR, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:
„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“
13 Člen 80 GDPR, naslovljen „Zastopanje posameznikov, na katere se nanašajo osebni podatki“, določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.
2. Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.“
14 Člen 82 te uredbe, naslovljen „Pravica do odškodnine in odgovornosti“, v odstavku 1 določa:
„Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.“
15 Člen 84 GDPR, naslovljen „Kazni“, v odstavku 1 določa:
„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“
Direktiva 2005/29/ES
16 Namen Direktive Evropskega parlamenta in Sveta 2005/29/ES z dne 11. maja 2005 o nepoštenih poslovnih praksah podjetij v razmerju do potrošnikov na notranjem trgu ter o spremembi Direktive Sveta 84/450/EGS, direktiv Evropskega parlamenta in Sveta 97/7/ES, 98/27/ES in 2002/65/ES ter Uredbe (ES) št. 2006/2004 Evropskega parlamenta in Sveta (Direktiva o nepoštenih poslovnih praksah) (UL 2005, L 149, str. 22) je v skladu z njenim členom 1 prispevati k pravilnemu delovanju notranjega trga in doseči visoko raven varstva potrošnikov s približevanjem zakonov in drugih predpisov držav članic o nepoštenih poslovnih praksah.
17 Člen 5 Direktive 2005/29, naslovljen „Prepoved nepoštenih poslovnih praks“, določa:
„1. Nepoštene poslovne prakse so prepovedane.
2. Poslovna praksa je nepoštena, če:
(a) nasprotuje zahtevam poklicne skrbnosti
in
(b) v zvezi z izdelkom bistveno izkrivlja ali bi lahko izkrivljala ekonomsko obnašanje povprečnega potrošnika, ki ga izdelek doseže ali je nanj usmerjen, ali obnašanje povprečnega člana skupine, če je poslovna praksa usmerjena na določeno skupino potrošnikov.
[…]
5. Priloga I vsebuje seznam poslovnih praks, ki se v vseh okoliščinah štejejo za nepoštene. […]“
18 Člen 11(1) te direktive, naslovljen „Izvrševanje“, določa:
„1. Države članice zagotovijo, da so v interesu potrošnikov z namenom uveljavitve skladnosti z določbami te direktive na voljo ustrezna in učinkovita sredstva za boj proti nepoštenim poslovnim praksam.
Taka sredstva vključujejo predpise, po katerih osebe ali organizacije, ki imajo po nacionalnem pravu upravičen interes za boj proti nepoštenim poslovnim praksam, vključno s konkurenti, lahko:
(a) sprožijo sodni postopek proti takim nepoštenim poslovnim praksam;
in/ali
(b) prijavijo take nepoštene poslovne prakse upravnemu organu, ki odloča o pritožbah ali sproži ustrezne sodne postopke.
Odločitev za eno od teh možnosti in odločitev o tem, ali sodiščem oz. upravnim organom dopustiti, da zahtevajo predhodno zatekanje k drugim predvidenim načinom obravnavanja pritožb, vključno s tistimi iz člena 10, je prepuščena državam članicam. Te možnosti so na razpolago ne glede na to, ali so prizadeti potrošniki na ozemlju države članice, v kateri se nahaja trgovec, ali v drugi državi članici.
[…]“
19 Priloga I k Direktivi 2005/29, ki vsebuje seznam nepoštenih poslovnih praks v vseh okoliščinah, v točki 26 določa:
„Vztrajno in nezaželeno nagovarjanje po telefonu, telefaksu, elektronski pošti ali drugem sredstvu za sporazumevanje na daljavo, razen v okoliščinah in v mejah, upravičenih po nacionalnem pravu, ko se izvršuje pogodbene obveznosti. To ne posega v […] Direktiv[e] 95/46/ES […].“
Direktiva 2009/22/ES
20 Člen 1 Direktive 2009/22/ES Evropskega parlamenta in Sveta z dne 23. aprila 2009 o opustitvenih tožbah zaradi varstva interesov potrošnikov (UL 2009, L 110, str. 30), naslovljen „Področje uporabe“, določa:
„1. Namen te direktive je približati zakone in druge predpise držav članic o opustitvenih tožbah, navedenih v členu 2, s ciljem varstva kolektivnih interesov potrošnikov, vključenih v direktive, ki so naštete v Prilogi I, in tako zagotoviti dobro delovanje notranjega trga.
2. Za namene te direktive kršitev pomeni vsako dejanje, ki je v nasprotju z direktivami, naštetimi v Prilogi I, kakor so bile prenesene v notranji pravni red držav članic, in škoduje kolektivnim interesom, navedenim v odstavku 1.“
21 Člen 7 Direktive 2009/22, naslovljen „Nadaljnja pooblastila za ukrepanje“, določa:
„Ta direktiva državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki kvalificiranim subjektom in vsem drugim zadevnim osebam na nacionalni ravni zagotavljajo širše pravice pri vložitvi tožb.“
22 Priloga I k Direktivi 2009/22 vsebuje seznam direktiv Unije iz člena 1 te direktive. V točki 11 te priloge je navedena Direktiva 2005/29.
Direktiva (EU) 2020/1828
23 V uvodnih izjavah 11, 13 in 15 Direktive (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL 2020, L 409, str. 1) je navedeno:
„(11) Ta direktiva ne bi smela nadomestiti obstoječih nacionalnih postopkovnih mehanizmov za varstvo kolektivnih ali individualnih interesov potrošnikov. Državam članicam prepušča, da ob upoštevanju svojih pravnih tradicij same presodijo, ali naj postopkovni mehanizem za zastopniške tožbe, kot je določen v tej direktivi, zastavijo kot del obstoječega ali bodočega postopkovnega mehanizma za kolektivne opustitvene ukrepe ali ukrepe za povrnitev škode ali kot ločen postopkovni mehanizem, če je vsaj en nacionalni postopkovni mehanizem za zastopniške tožbe skladen s to direktivo. […] Če bi na nacionalni ravni poleg postopkovnega mehanizma, ki ga zahteva ta direktiva, obstajali drugi postopkovni mehanizmi, bi kvalificirani subjekt lahko imel možnost izbrati, kateri postopkovni mehanizem bo uporabil.
[…]
(13) Iz področja uporabe te direktive bi morali biti razvidni zadnji trendi na področju varstva potrošnikov. Ker potrošniki zdaj delujejo na širšem in čedalje bolj digitaliziranem trgu, bi morala ta direktiva zaradi doseganja visoke stopnje varstva potrošnikov ob splošnem potrošniškem pravu zajemati tudi področja, kot so varstvo podatkov, finančne storitve, potovanja in turizem, energija in telekomunikacije. […]
[…]
(15) Ta direktiva ne bi smela posegati v pravne akte iz Priloge I in se zato z njo ne bi smele spreminjati ali širiti v teh pravnih aktih določene opredelitve ali nadomestiti kateri koli mehanizem izvrševanja, ki ga navedeni pravni akti morda določajo. Mehanizmi izvrševanja, določeni v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta ali izhajajoči iz nje, bi se na primer še vedno lahko uporabljali za varstvo kolektivnih interesov potrošnikov, kadar je to primerno.“
24 Člen 2 te direktive, naslovljen „Področje uporabe“, v odstavku 1 določa:
„Ta direktiva se uporablja za zastopniške tožbe, vložene proti trgovcem zaradi kršitev določb prava Unije iz Priloge I, vključno tistih določb, ki so prenesene v nacionalno pravo, ki škodijo ali bi lahko škodile kolektivnim interesom potrošnikov. Ta direktiva ne posega v določbe prava Unije iz Priloge I. […]“
25 Člen 24(1) navedene direktive, naslovljen „Prenos“, določa:
„Države članice sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo, do 25. decembra 2022. O tem takoj obvestijo Komisijo.
Te predpise uporabljajo od 25. junija 2023.
[…]“
26 Priloga I k Direktivi 2020/1828, ki vsebuje seznam določb prava Unije iz člena 2(1) te direktive, v točki 56 navaja GDPR.
Nemško pravo
Zakon o opustitvenih tožbah
27 Člen 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (zakon o opustitvenih tožbah zaradi kršitev potrošniškega prava in drugih kršitev) z dne 26. novembra 2001 (BGBl. 2001 I, str. 3138) v različici, ki se uporablja v sporu o glavni stvari (v nadaljevanju: zakon o opustitvenih tožbah), določa:
„(1) Zoper vsakogar, ki kako drugače kot z uporabo ali priporočanjem splošnih poslovnih pogojev krši določbe za varstvo potrošnikov (zakoni o varstvu potrošnikov), je v interesu varstva potrošnikov mogoče vložiti opustitveno tožbo in tožbo za odpravo posledic te kršitve. […]
(2) Zakoni o varstvu potrošnikov v smislu te določbe so zlasti:
[…]
11. določbe o dopustnosti
(a) zbiranja osebnih podatkov potrošnika s strani podjetnika ali
(b) obdelave ali uporabe osebnih podatkov, ki jih je podjetnik zbral v zvezi s potrošnikom,
če so podatki zbrani, obdelani ali uporabljeni za oglaševanje, tržne in mnenjske raziskave, izvajanje dejavnosti zbiranja informacij, izdelavo osebnostnih in uporabniških profilov, trgovanje z naslovi, druge vrste trgovanja s podatki ali za primerljive poslovne namene.“
28 Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija) navaja, da lahko organi, ki imajo procesno upravičenje v smislu člena 4 zakona o opustitvenih tožbah, na podlagi člena 3(1), prvi stavek, točka 1, tega zakona v skladu s členom 1 navedenega zakona na eni strani zahtevajo prenehanje uporabe neveljavnih splošnih pogojev na podlagi člena 307 Bürgerliches Gesetzbuch (civilni zakonik) in na drugi strani prenehanje kršitev zakonodaje s področja varstva potrošnikov v smislu člena 2(2) istega zakona.
Zakon o preprečevanju nelojalne konkurence
29 Člen 3(1) Gesetz gegen den unlauteren Wettbewerb (zakon o preprečevanju nelojalne konkurence) z dne 3. julija 2004 (BGBl. 2004 I, str. 1414) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: zakon o preprečevanju nelojalne konkurence), določa:
„Nepoštene poslovne prakse so prepovedane.“
30 Člen 3a zakona o preprečevanju nelojalne konkurence določa:
„Nelojalno ravna, kdor krši zakonsko določbo, s katero se med drugim v interesu udeležencev na trgu ureja ravnanje na trgu, če lahko ta kršitev občutno poseže v interese potrošnikov, drugih udeležencev na trgu ali konkurentov.“
31 Člen 8 zakona o preprečevanju nelojalne konkurence določa:
„(1) Zoper vsakogar, čigar poslovno ravnanje je v nasprotju s členom 3 ali 7, je mogoče vložiti tožbo za odpravo ali v primeru ponovitvene nevarnosti opustitveno tožbo. […]
[…]
(3) Tožbi iz odstavka 1 lahko vložijo:
[…]
3. kvalificirani subjekti, ki dokažejo, da so na seznamu kvalificiranih subjektov v skladu s členom 4 [zakona o opustitvenih tožbah] […]“
Zakon o elektronskih medijih
32 Bundesgerichtshof (zvezno vrhovno sodišče) navaja, da se je člen 13(1) Telemediengesetz (zakon o elektronskih medijih) z dne 26. februarja 2007 (BGBl. 2007 I, str. 179) uporabljal do začetka veljavnosti GDPR. Od tega datuma je bila ta določba nadomeščena s členi od 12 do 14 GDPR.
33 Člen 13(1), prvi stavek, zakona o elektronskih medijih določa:
„Ponudnik storitev mora uporabnika na začetku uporabe na splošno razumljiv način obvestiti o načinu, obsegu in namenu zbiranja in uporabe osebnih podatkov ter o obdelavi njegovih podatkov v državah zunaj področja uporabe Direktive 95/46 […], če taka obvestitev ni bila že opravljena.“
Spor o glavni stvari in vprašanje za predhodno odločanje
34 Družba Meta Platforms Ireland, ki ponuja storitve spletnega družbenega omrežja Facebook v Uniji, je odgovorna za obdelavo osebnih podatkov uporabnikov tega družbenega omrežja v Uniji. Družba Facebook Germany GmbH, ki ima sedež v Nemčiji, pod naslovom www.facebook.de spodbuja prodajo oglasnega prostora. Spletna platforma Facebook med drugim na spletnem naslovu www.facebook.de vsebuje prostor, imenovan „App‑Zentrum“ (center za aplikacije), na katerem družba Meta Platforms Ireland uporabnikom daje na voljo brezplačne igre tretjih ponudnikov. Uporabnik med obiskom centra za aplikacije nekaterih od teh iger vidi podatek, da uporaba zadevne aplikacije družbi za razvoj iger omogoča pridobitev nekega določenega števila osebnih podatkov in ji dovoljuje, da v imenu tega uporabnika objavi podatke, kot so njegov izid in drugi podatki. Posledica te uporabe je, da navedeni uporabnik sprejme splošne pogoje aplikacije in njeno politiko na področju varstva podatkov. Poleg tega je pri določeni igri navedeno, da lahko aplikacija v imenu istega uporabnika objavlja statusna sporočila, fotografije in druge podatke.
35 Zvezno združenje, organizacija, ki ima procesno upravičenje na podlagi člena 4 zakona o opustitvenih tožbah, meni, da vnos podatkov v center za aplikacije, ki poteka prek zadevnih iger, ni dovoljen, zlasti ob upoštevanju nespoštovanja zakonskih pogojev, ki veljajo za pridobitev veljavne privolitve uporabnika na podlagi določb o varstvu podatkov. Poleg tega meni, da je navedba, v skladu s katero aplikacija lahko v imenu uporabnika objavlja nekatere njegove osebne podatke, splošni pogoj, ki uporabnika neupravičeno postavlja v neugoden položaj.
36 V tem okviru je zvezno združenje pri Landgericht Berlin (deželno sodišče v Berlinu, Nemčija) proti družbi Meta Platforms Ireland na podlagi člena 3a zakona o preprečevanju nelojalne konkurence, člena 2(2), prvi stavek, točka 11, zakona o opustitvenih tožbah in civilnega zakonika vložilo opustitveno tožbo. Ta tožba je bila vložena, ne da bi bile posamezniku, na katerega se nanašajo osebni podatki, konkretno kršene pravice do varstva podatkov in brez pooblastila takega posameznika.
37 Landgericht Berlin (deželno sodišče v Berlinu) je družbo Meta Platforms Ireland obsodilo v skladu s predlogi zveznega združenja. Pritožba družbe Meta Platforms Ireland pri Kammergericht Berlin (višje deželno sodišče v Berlinu, Nemčija) je bila zavrnjena. Družba Meta Platforms Ireland je nato pri predložitvenem sodišču vložila revizijo zoper zavrnilno odločbo, ki jo je sprejelo pritožbeno sodišče.
38 Predložitveno sodišče meni, da je tožba zveznega združenja utemeljena, ker je družba Meta Platforms Ireland kršila člen 3a zakona o preprečevanju nelojalne konkurence in člen 2(2), prvi stavek, točka 11, zakona o opustitvenih tožbah ter uporabila neveljaven splošni pogoj v smislu člena 1 zakona o opustitvenih tožbah.
39 Vendar to sodišče dvomi o dopustnosti tožbe zveznega združenja. Meni namreč, da ni izključeno, da je zvezno združenje, ki je imelo ob vložitvi tožbe dejansko procesno upravičenje – na podlagi člena 8(3) zakona o preprečevanju nelojalne konkurence in člena 3(1), prvi stavek, točka 1, zakona o opustitvenih tožbah – med postopkom izgubilo ta status po začetku veljavnosti GDPR ter zlasti člena 80(1) in (2) ter člena 84(1) te uredbe. Če bi bilo tako, bi moralo predložitveno sodišče ugoditi reviziji, ki jo je vložila družba Meta Platforms Ireland, in zavrniti tožbo zveznega združenja, saj mora procesno upravičenje v skladu z upoštevnimi postopkovnimi določbami nemškega prava trajati do konca postopka na zadnji stopnji.
40 Po mnenju predložitvenega sodišča odgovor v zvezi s tem ne izhaja jasno iz presoje besedila, sistematike in cilja določb GDPR.
41 Predložitveno sodišče v zvezi z besedilom določb GDPR poudarja, da obstoj procesnega upravičenja neprofitnega telesa, organizacije ali združenja, ki je ustrezno ustanovljeno v skladu s pravom države članice, na podlagi člena 80(1) GDPR predpostavlja, da je posameznik, na katerega se nanašajo osebni podatki, pooblastil telo, organizacijo ali združenje, da v njegovem imenu izvršuje pravice iz členov od 77 do 79 GDPR in pravico do odškodnine iz člena 82 GDPR, kadar pravo države članice to določa.
42 Vendar predložitveno sodišče poudarja, da procesno upravičenje na podlagi člena 8(3), točka 3, zakona o preprečevanju nelojalne konkurence take tožbe na podlagi pooblastila in v imenu posameznika, na katerega se nanašajo osebni podatki, za uveljavljanje njegovih osebnih pravic ne predvideva. Nasprotno, združenju naj bi na podlagi lastne pravice, ki naj bi izhajala iz člena 3(1) in člena 3a zakona o preprečevanju nelojalne konkurence, podeljevalo objektivno procesno upravičenje za izpodbijanje kršitev določb GDPR, ne glede na kršitev konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, in pooblastilo, ki so ga ti podelili.
43 Poleg tega predložitveno sodišče ugotavlja, da člen 80(2) GDPR ne določa procesnega upravičenja združenja za dosego objektivne uporabe pravice do varstva osebnih podatkov, ker se s to določbo predpostavlja, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, ki so določene v GDPR, dejansko kršene zaradi posebne obdelave podatkov.
44 Poleg tega procesno upravičenje združenja, kot je določeno v členu 8(3) zakona o preprečevanju nelojalne konkurence, po mnenju predložitvenega sodišča ne more izhajati iz člena 84(1) GDPR, v skladu s katerim države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Procesnega upravičenja združenja, kot je urejeno v členu 8(3) zakona o preprečevanju nelojalne konkurence, namreč ni mogoče šteti za „kazen“ v smislu te določbe GDPR.
45 Predložitveno sodišče v zvezi s sistematiko določb GDPR meni, da je mogoče iz dejstva, da so bila z njo zlasti usklajena pooblastila nadzornih organov, sklepati, da morajo predvsem ti organi preveriti uporabo določb te uredbe. Vendar bi lahko izraz „[b]rez poseganja v katero koli drugo […] sredstvo“, ki je naveden v členu 77(1), členu 78(1) in (2) ter členu 79(1) te uredbe, ovrgel tezo izčrpne ureditve nadzora nad izvajanjem zakonodaje z navedeno uredbo.
46 Predložitveno sodišče v zvezi s ciljem določb GDPR navaja, da bi lahko polni učinek te uredbe govoril v prid obstoju procesnega upravičenja združenj na podlagi konkurenčnega prava v skladu s členom 8(3), točka 3, zakona o preprečevanju nelojalne konkurence, ne glede na kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, ker bi se s tem ohranila dodatna možnost nadzora nad izvajanjem zakonodaje, da bi se zagotovila čim višja raven varstva osebnih podatkov v skladu z uvodno izjavo 10 GDPR. Kljub temu bi bilo mogoče šteti, da bi bila dopustitev procesnega upravičenja združenj na podlagi konkurenčnega prava v nasprotju s ciljem harmonizacije, ki mu sledi GDPR.
47 V teh okoliščinah je Bundesgerichtshof (zvezno vrhovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:
„Ali določbe iz poglavja VIII, zlasti iz člena 80(1) in (2) ter člena 84(1) [GDPR], nasprotujejo nacionalni ureditvi, ki – poleg pooblastil za poseganje, ki jih priznava nadzornim organom, pristojnim za spremljanje in izvajanje Uredbe, in možnosti pravnega varstva, ki jih priznava posameznikom, na katere se nanašajo osebni podatki – konkurentom, na eni strani, ter združenjem, telesom in zbornicam, ki so do tega upravičeni na podlagi nacionalnega prava, na drugi strani, priznava pravico, da zaradi kršitev [GDPR] neodvisno od kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, in ne da bi jih za to pooblastil posameznik, na katerega se nanašajo osebni podatki, na podlagi prepovedi izvajanja nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev poslovanja proti kršitelju vložijo tožbo pred civilnimi sodišči?“
Vprašanje za predhodno odločanje
48 Najprej je treba poudariti, da spor o glavni stvari, kot izhaja zlasti iz točk 36 in od 41 do 44 te sodbe, obstaja med združenjem za varstvo interesov potrošnikov, kakršno je zvezno združenje, in družbo Meta Platforms Ireland ter se nanaša na vprašanje, ali lahko tako združenje vloži tožbo proti tej družbi brez pooblastila, ki mu je bilo podeljeno za to, in ne glede na kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki.
49 V teh okoliščinah je, kot je Komisija pravilno poudarila v pisnih stališčih, odgovor na vprašanje za predhodno odločanje odvisen le od razlage člena 80(2) GDPR, saj določbe člena 80(1) GDPR in člena 84 GDPR v obravnavanem primeru niso upoštevne. Po eni strani namreč uporaba člena 80(1) GDPR predpostavlja, da je posameznik, na katerega se nanašajo osebni podatki, pooblastil neprofitno telo, organizacijo ali združenje iz te določbe, da v njegovem imenu sprejema pravne ukrepe iz členov od 77 do 79 GDPR. Ni pa sporno, da v okviru postopka v glavni stvari ni tako, ker zvezno združenje deluje neodvisno od kakršnega koli pooblastila posameznika, na katerega se nanašajo osebni podatki. Po drugi strani ni sporno, da se člen 84 GDPR nanaša na upravne in kazenske sankcije, ki se uporabljajo zaradi kršitev te uredbe, kar tudi ni predmet postopka v glavni stvari.
50 Poleg tega je treba poudariti, da se v postopku v glavni stvari ne postavlja vprašanje procesnega upravičenja konkurenta. Zato je treba odgovoriti le na tisti del vprašanja, ki se nanaša na procesno upravičenje združenj, organov in zbornic, pooblaščenih na podlagi nacionalnega prava, iz člena 80(2) GDPR.
51 Iz tega sledi, da je treba vprašanje, ki ga je postavilo predložitveno sodišče, razumeti tako, da se z njim v bistvu sprašuje, ali je treba člen 80(2) GDPR razlagati tako, da nasprotuje nacionalni ureditvi, ki združenju za varstvo interesov potrošnikov omogoča, da ob neobstoju pooblastila, ki mu je bilo podeljeno za to, in ne glede na kršitev konkretnih pravic posameznika, na katerega se nanašajo osebni podatki, proti domnevnemu kršitelju varstva osebnih podatkov sproži postopek pred sodiščem, ob zatrjevanju kršitve prepovedi nepoštenih poslovnih praks, zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev.
52 Za odgovor na to vprašanje je treba opozoriti, da je namen GDPR, kot je razvidno iz njene uvodne izjave 10, med drugim zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov v vsej Uniji in odstraniti ovire za prenos osebnih podatkov v njej.
53 V tem okviru poglavje VIII te uredbe med drugim ureja pravna sredstva, ki omogočajo varstvo pravic posameznika, na katerega se nanašajo osebni podatki, kadar so bili osebni podatki, ki se nanj nanašajo, obdelani domnevno v nasprotju z določbami navedene uredbe. Varstvo teh pravic lahko tako zahteva neposredno posameznik, na katerega se nanašajo osebni podatki, ali subjekt, ki je s pooblastilom ali brez njega pooblaščen na podlagi člena 80 GDPR.
54 Tako ima posameznik, na katerega se nanašajo osebni podatki, najprej, pravico, da sam vloži pritožbo pri nadzornem organu države članice ali pravno sredstvo pred nacionalnimi civilnimi sodišči. Natančneje, ta posameznik ima na podlagi člena 77 GDPR pravico do vložitve pritožbe pri nadzornem organu, na podlagi člena 78 GDPR pravico do učinkovitega pravnega sredstva zoper nadzorni organ v skladu s GDPR, na podlagi člena 79 GDPR pravico do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca in na podlagi člena 82 GDPR pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.
55 Dalje, posameznik, na katerega se nanašajo osebni podatki, ima v skladu s členom 80(1) GDPR pravico, da pooblasti neprofitno telo, organizacijo ali združenje, da pod nekaterimi pogoji vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz navedenih členov.
56 Nazadnje, v skladu s členom 80(2) GDPR lahko države članice določijo, da ima katero koli telo, organizacija ali združenje, neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v zadevni državi članici pravico, da v skladu s členom 77 te uredbe vloži pritožbo pri nadzornem organu in da uveljavlja pravice iz členov 78 in 79 navedene uredbe, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave osebnih podatkov v zvezi z njim.
57 V zvezi s tem je treba poudariti, da je namen te uredbe, kot izhaja iz člena 1(1) GDPR v povezavi zlasti z njenimi uvodnimi izjavami 9, 10 in 13, zagotoviti harmonizacijo nacionalnih zakonodaj o varstvu osebnih podatkov, ki je načeloma popolna. Vendar določbe navedene uredbe državam članicam dajejo možnost, da določijo dodatna, strožja ali odstopajoča nacionalna pravila, ki jim puščajo polje proste presoje glede načina, kako se te določbe lahko izvajajo („pomensko odprte določbe“).
58 Spomniti je namreč treba, da imajo v skladu z ustaljeno sodno prakso Sodišča določbe uredb na podlagi člena 288 PDEU ter zaradi same narave uredb in njihove vloge v sistemu virov prava Unije na splošno takojšen učinek v nacionalnih pravnih redih, ne da bi morali nacionalni organi sprejeti izvedbene ukrepe. Vendar je mogoče, da morajo države članice izvedbene ukrepe za izvajanje nekaterih od teh določb vseeno sprejeti (sodba z dne 15. junija 2021, Facebook Ireland in drugi, C‑645/19, EU:C:2021:483, točka 110 in navedena sodna praksa).
59 To velja zlasti za člen 80(2) GDPR, ki državam članicam pušča polje proste presoje v zvezi z njegovim izvajanjem. Da bi bilo mogoče uporabiti zastopniško tožbo brez pooblastila na področju varstva osebnih podatkov iz te določbe, morajo države članice tako uporabiti možnost, ki jim jo ta določba daje, da v svojem nacionalnem pravu določijo ta način zastopanja posameznikov, na katere se nanašajo osebni podatki.
60 Vendar morajo države članice, kot je generalni pravobranilec navedel v točkah 51 in 52 sklepnih predlogov, kadar uresničijo možnost, ki jim je priznana s tako pomensko odprto odločbo, diskrecijsko pravico uporabiti pod pogoji in v mejah, določenih z določbami GDPR, in morajo zato zakone sprejeti tako, da ne posežejo v vsebino in cilje te uredbe.
61 V obravnavanem primeru, kot je potrdila nemška vlada na obravnavi v tej zadevi, nemški zakonodajalec po začetku veljavnosti GDPR ni sprejel posebnih določb, s katerimi bi se v nacionalnem pravu izvajal člen 80(2) te uredbe. Nacionalna ureditev iz postopka v glavni stvari, sprejeta zaradi zagotovitve prenosa Direktive 2009/22, namreč združenjem za varstvo interesov potrošnikov že omogoča, da vložijo tožbo zoper domnevnega kršitelja varstva osebnih podatkov. Ta vlada poleg tega poudarja, da je Sodišče v sodbi z dne 29. julija 2019, Fashion ID (C‑40/17, EU:C:2019:629), ki se je nanašala na razlago določb Direktive 95/46, razsodilo, da te ne nasprotujejo tej nacionalni ureditvi.
62 V teh okoliščinah je treba, kot je generalni pravobranilec navedel v točki 60 sklepnih predlogov, v bistvu preveriti, ali nacionalna pravila iz postopka v glavni stvari spadajo v okvir diskrecijske pravice, ki je vsaki državi članici priznana v členu 80(2) GDPR, in tako to določbo razlagati ob upoštevanju njenega besedila ter sistematike in ciljev te uredbe.
63 V zvezi s tem je treba poudariti, da člen 80(2) GDPR državam članicam omogoča, da določijo mehanizem zastopniške tožbe zoper domnevnega kršitelja varstva osebnih podatkov, hkrati pa določa nekatere zahteve na ravni osebnega in materialnega področja uporabe, ki jih je treba za to spoštovati.
64 Prvič, v zvezi z osebnim področjem uporabe takega mehanizma se procesno upravičenje prizna telesu, organizaciji ali združenju, ki izpolnjuje merila iz člena 80(1) GDPR. Natančneje, ta določba se nanaša na „neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov“.
65 Ugotoviti pa je treba, da je lahko združenje za varstvo interesov potrošnikov, kakršno je zvezno združenje, zajeto s tem pojmom, ker sledi cilju v javnem interesu, ki je zagotoviti pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, kot potrošnikov, saj je uresničitev takega cilja lahko povezana z varstvom osebnih podatkov teh posameznikov.
66 Kršitev pravil, katerih cilj je varstvo potrošnikov ali boj proti nepoštenim poslovnim praksam – kršitev, ki jo združenje za varstvo interesov potrošnikov, kot je zvezno združenje, želi preprečiti in sankcionirati zlasti z uporabo opustitvenih tožb, ki jo določa nacionalna zakonodaja, ki se uporabi – je namreč lahko, kot v obravnavanem primeru, povezana s kršitvijo pravil na področju varstva osebnih podatkov teh potrošnikov.
67 Drugič, glede stvarnega področja uporabe navedenega mehanizma se za to, da subjekt, ki izpolnjuje pogoje iz odstavka 1 tega člena, vloži zastopniško tožbo iz člena 80(2) GDPR, predpostavlja, da ta subjekt ne glede na pooblastila, ki so mu bila podeljena, „meni, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave“ njegovih osebnih podatkov.
68 V zvezi s tem je treba pojasniti, prvič, da za vložitev zastopniške tožbe v smislu člena 80(2) GDPR od takega subjekta ni mogoče zahtevati, da predhodno posamično identificira posameznika, na katerega se posebej nanaša obdelava podatkov, ki naj bi bila v nasprotju z določbami GDPR.
69 Zadostuje namreč poudariti, da pojem „posameznik, na katerega se nanašajo osebni podatki“ v smislu člena 4, točka 1, te uredbe ne zajema le „določenega posameznika“, temveč tudi „določljivega posameznika“, in sicer posameznika, „ki ga je mogoče neposredno ali posredno določiti“ z navedbo identifikatorja, kot je med drugim ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator. V teh okoliščinah lahko določitev kategorije ali skupine oseb, na katere se nanaša taka obdelava, zadostuje tudi za vložitev take zastopniške tožbe.
70 Drugič, v skladu s členom 80(2) GDPR za vložitev zastopniške tožbe prav tako ne velja obstoj konkretne kršitve pravic, ki jih ima posameznik na podlagi pravil s področja varstva podatkov.
71 Kot namreč izhaja iz te določbe, na katero je bilo opozorjeno v točki 67 te sodbe, vložitev zastopniške tožbe predpostavlja le, da zadevni subjekt „meni“, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, kršene zaradi obdelave njegovih osebnih podatkov, in torej zatrjuje obstoj obdelave podatkov, ki je v nasprotju z določbami te uredbe.
72 Iz tega sledi, da za priznanje procesnega upravičenja takemu subjektu na podlagi navedene določbe zadostuje navedba, da zadevna obdelava podatkov lahko vpliva na pravice, ki jih imajo določeni ali določljivi posamezniki na podlagi navedene uredbe, ne da bi bilo treba dokazati dejansko škodo, ki jo je v določenem položaju utrpel posameznik, na katerega se nanašajo osebni podatki, s kršitvijo njegovih pravic.
73 Taka razlaga je v skladu z zahtevami, ki izhajajo iz člena 16 PDEU in člena 8 Listine Evropske unije o temeljnih pravicah, ter tako s ciljem, ki mu sledi GDPR, in sicer zagotoviti učinkovito varstvo temeljnih pravic in svoboščin fizičnih oseb ter zlasti zagotoviti visoko raven varstva pravice vsakogar do varstva osebnih podatkov, ki se nanašajo nanj (glej v tem smislu sodbo z dne 15. junija 2021, Facebook Ireland in drugi, C‑645/19, EU:C:2021:483, točke 44, 45 in 91).
74 To, da so združenja za varstvo interesov potrošnikov, kot je zvezno združenje, pooblaščena, da z mehanizmom zastopniške tožbe vlagajo tožbe za opustitev ravnanj, ki so v nasprotju z določbami te uredbe, ne glede na kršitev pravic posameznika, na katerega se ta kršitev posamično in konkretno nanaša, pa nedvomno prispeva h krepitvi pravic posameznikov, na katere se nanašajo osebni podatki, in k zagotavljanju visoke ravni varstva.
75 Poleg tega je treba poudariti, da bi se vložitev take zastopniške tožbe, ker omogoča preprečitev velikega števila kršitev pravic posameznikov, na katere se nanaša obdelava njihovih osebnih podatkov, lahko izkazala za učinkovitejšo od tožbe, ki jo lahko ena sama oseba, na katero se posamično in konkretno nanaša kršitev njene pravice do varstva osebnih podatkov, vloži zoper storilca te kršitve.
76 Kot je namreč generalni pravobranilec navedel v točki 76 sklepnih predlogov, preventivna funkcija dejanj združenj za varstvo interesov potrošnikov, kot je zvezno združenje, ne bi mogla biti zagotovljena, če bi se bilo na podlagi zastopniške tožbe iz člena 80(2) GDPR mogoče sklicevati le na kršitev pravic posameznika, na katerega se ta kršitev posamično in konkretno nanaša.
77 Tretjič, preveriti je treba še, kot predlaga predložitveno sodišče, ali člen 80(2) GDPR preprečuje vložitev zastopniške tožbe ne glede na konkretno kršitev pravice posameznika, na katerega se nanašajo osebni podatki, in pooblastilo, ki ga ta podeljuje, če je bila kršitev pravil s področja varstva podatkov zatrjevana v okviru tožbe za nadzor nad uporabo drugih pravnih pravil za zagotovitev varstva potrošnikov.
78 V zvezi s tem je treba najprej poudariti, da lahko kršitev pravila o varstvu osebnih podatkov, kot je bilo v bistvu ugotovljeno v točki 66 te sodbe, hkrati povzroči kršitev pravil o varstvu potrošnikov ali nepoštenih poslovnih praksah.
79 Zato ta določba, kot je generalni pravobranilec navedel v točki 72 sklepnih predlogov, ne nasprotuje temu, da države članice možnost, ki jim jo ponuja, uporabijo tako, da združenja za varstvo interesov potrošnikov lahko ukrepajo proti kršitvam pravic, ki jih določa GDPR, po potrebi s pravili, katerih cilj je varstvo potrošnikov ali boj proti nepoštenim poslovnim praksam, kot so določena v Direktivi 2005/29 in Direktivi 2009/22.
80 Ta razlaga člena 80(2) GDPR je poleg tega podprta z Direktivo 2020/1828, s katero bo 25. junija 2023 razveljavljena in nadomeščena Direktiva 2009/22. V tem okviru je treba ugotoviti, da se Direktiva 2020/1828 v skladu s svojim členom 2(1) uporablja za zastopniške tožbe, vložene proti trgovcem zaradi kršitev določb prava Unije iz Priloge I k tej direktivi, pri čemer je v točki 56 te priloge navedena GDPR.
81 Res je, da se Direktiva 2020/1828 ne uporablja v okviru spora o glavni stvari in rok za njen prenos še ni potekel. Vendar vsebuje več elementov, ki potrjujejo, da člen 80 GDPR ne preprečuje vlaganja dopolnilnih zastopniških tožb na področju varstva potrošnikov.
82 Čeprav namreč, kot je razvidno iz uvodne izjave 11 te direktive, še vedno obstaja možnost, da se določi procesni mehanizem dopolnilnih zastopniških tožb na področju varstva potrošnikov, izvedbenih mehanizmov, določenih v GDPR ali ki temeljijo na njej, kot je mehanizem, določen v členu 80 te uredbe, ni mogoče nadomestiti ali spremeniti, kot je navedeno v uvodni izjavi 15 navedene direktive, in jih je zato mogoče uporabiti za varstvo kolektivnih interesov potrošnikov.
83 Glede na vse zgoraj navedene preudarke je treba na postavljeno vprašanje odgovoriti, da je treba člen 80(2) GDPR razlagati tako, da ne nasprotuje nacionalni ureditvi, ki združenju za varstvo interesov potrošnikov omogoča, da ob neobstoju pooblastila, ki mu je bilo podeljeno za to, in ne glede na kršitev konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, proti domnevnemu kršitelju varstva osebnih podatkov sproži postopek pred sodiščem, ob zatrjevanju kršitve prepovedi nepoštenih poslovnih praks, zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev, če zadevna obdelava podatkov lahko vpliva na pravice, ki jih imajo določeni ali določljivi posamezniki na podlagi te uredbe.
Stroški
84 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (tretji senat) razsodilo:
Člen 80(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da ne nasprotuje nacionalni ureditvi, ki združenju za varstvo interesov potrošnikov omogoča, da ob neobstoju pooblastila, ki mu je bilo podeljeno za to, in ne glede na kršitev konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, proti domnevnemu kršitelju varstva osebnih podatkov sproži postopek pred sodiščem, ob zatrjevanju kršitve prepovedi nepoštenih poslovnih praks, zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev, če zadevna obdelava podatkov lahko vpliva na pravice, ki jih imajo določeni ali določljivi posamezniki na podlagi te uredbe.
Podpisi