TEISINGUMO TEISMO (ketvirtoji kolegija) SPRENDIMAS
2024 m. liepos 11 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 12 straipsnio 1 dalies pirmas sakinys – Skaidrus informavimas – 13 straipsnio 1 dalies c ir e punktai – Duomenų valdytojo pareiga informuoti – 80 straipsnio 2 dalis – Vartotojų interesų gynimo asociacijos atliekamas duomenų subjektų atstovavimas – Atstovaujamasis ieškinys, pareikštas neturint įgaliojimų ir neatsižvelgiant į duomenų subjekto konkrečių teisių pažeidimą – Ieškinys, grindžiamas duomenų valdytojo pareigos informuoti pažeidimu – Duomenų subjekto teisių pažeidimo „tvarkant duomenis“ sąvoka“
Byloje C‑757/22
dėl Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) 2022 m. lapkričio 10 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. gruodžio 15 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Meta Platforms Ireland Ltd, anksčiau – Facebook Ireland Ltd,
prieš
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV
TEISINGUMO TEISMAS (ketvirtoji kolegija),
kurį sudaro kolegijos pirmininkas C. Lycourgos, teisėjai O. Spineanu-Matei, J.-C. Bonichot, S. Rodin ir L. S. Rossi (pranešėja),
generalinis advokatas J. Richard de la Tour,
posėdžio sekretorius D. Dittert, skyriaus vadovas,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. lapkričio 23 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Meta Platforms Ireland Ltd, atstovaujamos Rechtsanwälte M. Braun, H.-G. Kamann ir V. Wettner,
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, atstovaujamos Rechtsanwalt P. Wassermann,
– Vokietijos vyriausybės, atstovaujamos J. Möller ir P.-L. Krüger,
– Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, J. Ramos ir C. Vieira Guerra,
– Europos Komisijos, atstovaujamos A. Bouchagiar, F. Erlbacher ir H. Kranenborg,
susipažinęs su 2024 m. sausio 25 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; toliau – BDAR) 80 straipsnio 2 dalies, siejamos su šio reglamento 12 straipsnio 1 dalies pirmu sakiniu ir 13 straipsnio 1 dalies c ir e punktais, išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant Meta Platforms Ireland Ltd, (anksčiau – Facebook Ireland Ltd), kurios buveinė yra Airijoje, ir Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Federalinė vartotojų centrų ir asociacijų sąjunga, Vokietija, toliau – Federalinė sąjunga) ginčą dėl to, kad Meta Platforms Ireland pažeidė Vokietijos asmens duomenų apsaugos įstatymo nuostatas ir kartu vykdė nesąžiningą komercinę veiklą, taip pat pažeidė Vartotojų teisių apsaugos įstatymą ir draudimą taikyti negaliojančias bendrąsias komercines sąlygas.
Teisinis pagrindas
BDAR
3 BDAR 10, 13, 39, 58, 60 ir 142 konstatuojamosiose dalyse nurodyta:
„(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>
<…>
(13) siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas. <…>
<…>
(39) bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. <…>
<…>
(58) pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Tokia informacija galėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti. Tai ypač svarbu tais atvejais, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu, kaip antai reklama internete. <…>
<…>
(60) pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. <…>
<…>
(142) jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, jis turėtų turėti teisę įgalioti ne pelno įstaigą, organizaciją arba asociaciją, kuri yra įsteigta pagal valstybės narės teisę, kurios įstatais nustatyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, pateikti skundą priežiūros institucijai jo vardu, pasinaudoti teise į teisminę teisių gynimo priemonę duomenų subjektų vardu arba pasinaudoti teise gauti kompensaciją duomenų subjektų vardu, jei ši kompensacija numatyta valstybės narės teisėje[.] Valstybė narė gali numatyti, kad tokia įstaiga, organizacija arba asociacija turi teisę, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje pateikti skundą ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę, kai ji turi priežasčių manyti, kad buvo pažeistos duomenų subjektų teisės, nes tvarkant asmens duomenis buvo pažeistas šis reglamentas. Tai įstaigai, organizacijai ar asociacijai gali būti neleidžiama duomenų subjekto vardu reikalauti kompensacijos nesiremiant duomenų subjekto suteiktais įgaliojimais“.
4 Šio reglamento 1 straipsnio „Dalykas ir tikslai“ 1 dalyje nustatyta:
„Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.“
5 Šio reglamento 4 straipsnio 1, 2, 9 ir 11 punktuose numatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <…>
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<…>
9) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. <…>
<…>
11) duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys“.
6 To paties reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <…>
<…>
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
7 BDAR 6 straipsnio „Tvarkymo teisėtumas“ 1 dalies a punkte numatyta:
„Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais“.
8 BDAR III skyrius, kuriame yra 12–23 straipsniai, pavadintas „Duomenų subjekto teisės“.
9 Šio reglamento 12 straipsnio „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ 1 dalyje nustatyta:
„Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.“
10 BDAR 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 1 dalies c ir e punktuose numatyta:
„Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:
<…>
c) duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
<…>
e) jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas“.
11 Minėto reglamento VIII skyrius, kuriame yra 77–84 straipsniai, pavadintas „Teisių gynimo priemonės, atsakomybė ir sankcijos“.
12 BDAR 77 straipsnio „Teisė pateikti skundą priežiūros institucijai“ 1 dalyje nustatyta:
„Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.“
13 Šio reglamento 78 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“ 1 dalyje numatyta:
„Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą [dėl priežiūros institucijos jo atžvilgiu priimto teisiškai privalomo sprendimo].“
14 BDAR 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje nurodyta:
„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“
15 To paties reglamento 80 straipsnis „Atstovavimas duomenų subjektams“ suformuluotas taip:
„1. Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 77, 78 bei 79 straipsniuose, jo vardu naudotis 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.
2. Valstybės narės gali nustatyti, kad bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos.“
16 BDAR 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje nustatyta:
„Bet kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“
17 BDAR 84 straipsnio „Sankcijos“ 1 dalyje nustatyta:
„Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“
Vokietijos teisė
Ieškinių dėl veiksmų nutraukimo įstatymas
18 Pagrindinės bylos aplinkybėms taikytinos redakcijos 2001 m. lapkričio 26 d. Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Ieškinių dėl vartotojų teisės pažeidimų ir kitų pažeidimų nutraukimo įstatymas; BGBl. 2001 I, p. 3138; toliau – Ieškinių dėl veiksmų nutraukimo įstatymas) 2 straipsnyje nurodyta:
„(1) Asmeniui, kuris pažeidžia nuostatas, skirtas vartotojams apsaugoti (įstatymus dėl vartotojų apsaugos), kitaip, nei taikydamas arba rekomenduodamas bendrąsias komercines sąlygas, gali būti nurodyta ateityje arba nedelsiant nutraukti tam tikrus veiksmus siekiant apginti vartotojų interesus. <…>
(2) Pagal šią nuostatą įstatymai dėl vartotojų apsaugos yra:
<…>
11. teisėtumo nuostatos, taikomos:
a) kai verslininkas renka vartotojo asmens duomenis arba
b) kai tvarkomi ar naudojami verslininko surinkti vartotojo asmens duomenys,
jei duomenys renkami, tvarkomi arba naudojami reklamos, rinkos tyrimų ir viešosios nuomonės apklausos tikslais, informacinės agentūros veiklai, kuriant asmeninį ir naudotojo profilį, prekybai duomenimis ar kitais panašiais komerciniais tikslais.“
19 Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) nurodo, kad pagal Ieškinių dėl veiksmų nutraukimo įstatymo 3 straipsnio 1 dalies pirmo sakinio 1 punktą teisę pareikšti ieškinį turinčios įstaigos, kaip tai suprantama pagal šio įstatymo 4 straipsnį, gali, pirma, pagal šio įstatymo 1 straipsnį reikalauti, kad būtų nebetaikomos pagal Bürgerliches Gesetzbuch (Civilinis kodeksas) 307 straipsnį negaliojančios bendrosios komercinės sąlygos, ir, antra, reikalauti nutraukti vartotojų apsaugos įstatymų, kaip tai suprantama pagal šio įstatymo 2 straipsnio 2 dalį, pažeidimą.
Kovos su nesąžininga konkurencija įstatymas
20 Pagrindinės bylos aplinkybėms taikytinos redakcijos 2004 m. liepos 3 d. Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas, BGBl. 2004 I, p. 1414; toliau – Kovos su nesąžininga konkurencija įstatymas) 3 straipsnio 1 dalyje numatyta:
„Nesąžininga komercinė veikla draudžiama.“
21 Kovos su nesąžininga konkurencija įstatymo 3a straipsnis suformuluotas taip:
„Subjektas, pažeidžiantis teisės nuostatą, kuria taip pat siekiama reguliuoti veiklą rinkoje rinkos dalyvių naudai, vykdo nesąžiningą veiklą, jei pažeidimas gali gerokai pakenkti vartotojų, kitų rinkos dalyvių arba konkurentų interesams.“
22 Šio įstatymo 8 straipsnyje nustatyta:
„(1) Asmeniui, kuris atlieka pagal 3 arba 7 straipsnius neleistinus komercinius veiksmus, gali būti pareikštas reikalavimas nedelsiant juos nutraukti, o pakartotinio pažeidimo grėsmės atveju – juos uždrausti. <…>
<…>
(3) 1 dalyje nurodytus reikalavimus gali pareikšti:
<…>
3. kvalifikuoti subjektai, kurie įrodo, kad yra įtraukti į kvalifikuotų subjektų sąrašą pagal [Ieškinių dėl veiksmų nutraukimo įstatymo] 4 straipsnį <…>“
Telemedijų įstatymas
23 Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nurodo, kad 2007 m. vasario 26 d. Telemediengesetz (Telemedijų įstatymas; BGBl. 2007 I, p. 179) 13 straipsnio 1 dalis buvo taikoma iki BDAR įsigaliojimo. Vėliau ši nuostata buvo pakeista BDAR 12–14 straipsniais.
24 Telemedijų įstatymo 13 straipsnio 1 dalies pirmame sakinyje nurodyta:
„Prisijungimo operacijos pradžioje paslaugų teikėjas privalo visiems suprantama forma informuoti naudotoją apie asmens duomenų rinkimo ir naudojimo pobūdį, apimtį ir tikslus, taip pat apie jo duomenų tvarkymą valstybėse, kuriose netaikoma 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355), jei tokia informacija dar nebuvo pateikta.“
Pagrindinė byla ir prejudicinis klausimas
25 Meta Platforms Ireland, kuri Sąjungoje valdo socialinio tinklo Facebook paslaugų pasiūlą, yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Facebook Germany GmbH, kurios buveinė yra Vokietijoje, reklamuoja interneto adresu www.facebook.de reklamos plotų pardavimą. Interneto platformoje Facebook, be kita ko, interneto adresu www.facebook.de, yra vadinamasis programėlių centras „App-Zentrum“, kuriame Meta Platforms Ireland naudotojams teikia prieigą prie trečiųjų asmenų siūlomų nemokamų žaidimų programėlių. Naudotojui besilankant šioje erdvėje, jis buvo informuotas, kad naudodamasis kai kuriomis iš šių programėlių jis leidžia joms rinkti įvairius asmens duomenis ir jo vardu skelbti kai kuriuos iš šių duomenų, pavyzdžiui, jo rezultatą, o viename iš aptariamų žaidimų – jo statusą ir nuotraukas. Jis taip pat buvo informuotas, kad naudodamas atitinkamas programėles jis sutinka su šių programėlių bendrosiomis sąlygomis ir jų duomenų apsaugos politika.
26 Federalinė sąjunga, pagal Ieškinių dėl veiksmų nutraukimo įstatymo 4 straipsnį turinti teisę pareikšti ieškinį įstaiga, nusprendė, kad programėlių centre atitinkamų žaidimų programėlių pateikta informacija yra nesąžininga visų pirma dėl to, kad neatitinka teisinių sąlygų galiojančiam naudotojo sutikimui pagal asmens duomenų apsaugą reglamentuojančias nuostatas gauti. Be to, ji nustatė, kad informacija, pagal kurią šioms programėlėms buvo leista naudotojų vardu skelbti tam tikrus jų asmens duomenis, yra bendra sąlyga, dėl kurios šie naudotojai nepagrįstai atsidūrė nepalankioje padėtyje.
27 Šiomis aplinkybėmis Federalinė sąjunga pareiškė Landgericht Berlin (Berlyno apygardos teismas, Vokietija) ieškinį dėl veiksmų nutraukimo, pagrįstą Kovos su nesąžininga konkurencija įstatymo 3a straipsniu, Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktu, siekdama, be kita ko, uždrausti Meta Platforms Ireland programėlių centre siūlyti tokias žaidimų programėles, kaip nagrinėjamos byloje. Šis ieškinys buvo pareikštas nepriklausomai nuo konkretaus duomenų subjekto duomenų apsaugos teisių pažeidimo ir neturint tokio duomenų subjekto įgaliojimo.
28 Landgericht Berlin (Berlyno apygardos teismas) patenkino Federalinės sąjungos reikalavimus. Meta Platforms Ireland apeliacinis skundas, pateiktas Kammergericht Berlin (Berlyno aukštesnysis apygardos teismas, Vokietija), buvo atmestas. Tada Meta Platforms Ireland prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikė kasacinį skundą dėl apeliacinio teismo priimto sprendimo atmesti apeliacinį skundą.
29 Prašymą priimti prejudicinį sprendimą pateikęs teismas nustatė, kad Federalinės sąjungos ieškinys yra pagrįstas, nes Meta Platforms Ireland pažeidė Kovos su nesąžininga konkurencija įstatymo 3a straipsnį ir Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnio 2 dalies pirmo sakinio 11 punktą ir taikė negaliojančią bendrąją komercinę sąlygą, kaip tai suprantama pagal Ieškinių dėl veiksmų nutraukimo įstatymo 1 straipsnį.
30 Vis dėlto tam teismui kilo abejonių dėl Federalinės sąjungos ieškinio priimtinumo. Jis teigė, jog neatmestina, kad Federalinė sąjunga, kuri ieškinio pareiškimo dieną turėjo teisę pareikšti ieškinį, remiantis Kovos su nesąžininga konkurencija įstatymo 8 straipsnio 3 dalimi ir Ieškinių dėl veiksmų nutraukimo įstatymo 3 straipsnio 1 dalies pirmo sakinio 1 punktu, neteko šio statuso vykstant procesui po to, kai įsigaliojo BDAR, visų pirma jo 80 straipsnio 1 ir 2 dalys ir 84 straipsnio 1 dalis. Jei taip būtų, prašymą priimti prejudicinį sprendimą pateikęs teismas turėtų patenkinti Meta Platforms Ireland kasacinį skundą ir atmesti Federalinės sąjungos ieškinį, nes pagal atitinkamas Vokietijos proceso teisės nuostatas teisė pareikšti ieškinį turi išlikti iki paskutinės instancijos pabaigos.
31 Taigi 2020 m. gegužės 28 d. nutartimi Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui prejudicinį klausimą dėl BDAR 80 straipsnio 1 ir 2 dalių ir 84 straipsnio 1 dalies išaiškinimo.
32 2022 m. balandžio 28 d. Sprendime Meta Platforms Ireland (C‑319/20, EU:C:2022:322) Teisingumo Teismas atsakė į šį klausimą taip, kad BDAR 80 straipsnio 2 dalis turi būti aiškinama kaip nedraudžianti nacionalinės teisės nuostatų, pagal kurias vartotojų teisių gynimo asociacijai leidžiama tariamam asmens duomenų apsaugos pažeidėjui pareikšti ieškinį neturint jai šiuo tikslu suteikto įgaliojimo ir nepriklausomai nuo konkrečių duomenų subjekto teisių pažeidimo, remiantis tuo, kad buvo pažeistas nesąžiningos komercinės veiklos draudimas, vartotojų apsaugos srities įstatymas arba draudimas taikyti negaliojančias bendrąsias komercines sąlygas, jeigu taip tvarkant duomenis gali būti daroma įtaka iš šio reglamento kildinamoms asmens, kurio tapatybė nustatyta arba gali būti nustatyta, teisėms.
33 Atsižvelgdamas į tą sprendimą, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad įstaigos teisei pareikšti ieškinį, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį, netaikoma sąlyga, kad tokia įstaiga iš anksto individualiai nustatytų duomenų subjektą, kurio duomenų tvarkymo operacija tariamai prieštarauja BDAR nuostatoms. Sąvoka „duomenų subjektas“, kaip ji suprantama pagal BDAR 4 straipsnio 1 punktą, apima ne tik „fizinį asmenį, kurio tapatybė nustatyta“, bet ir fizinį asmenį, „kurio tapatybę galima nustatyti“, t. y. fizinį asmenį, „kurio tapatybę“ tiesiogiai arba netiesiogiai „galima nustatyti“ visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių. Šiomis aplinkybėmis tokio atstovaujamojo ieškinio pareiškimo tikslais taip pat gali pakakti nustatyti asmenų, kurie nukentėjo nuo tokio tvarkymo, kategoriją ar grupę. Nagrinėjamu atveju Federalinė sąjunga nustatė tokią grupę ar kategoriją.
34 Vis dėlto, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, minėtame Teisingumo Teismo sprendime nenagrinėta BDAR 80 straipsnio 2 dalyje nustatyta sąlyga, pagal kurią tam, kad galėtų pasinaudoti šiame reglamente numatytomis teisių gynimo priemonėmis, vartotojų teisių gynimo asociacija turi manyti, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant duomenis“.
35 Pirma, tas teismas mano, kad iš to sprendimo neaišku, ar iš BDAR 12 straipsnio 1 dalies pirmo sakinio ir 13 straipsnio 1 dalies c ir e punktų kylančios pareigos glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir šių duomenų gavėjus pažeidimas yra „tvarkant duomenis“ padarytas pažeidimas ir ar sąvoka „duomenų tvarkymas“, kaip ji suprantama pagal šio reglamento 4 straipsnio 2 punktą, apima situacijas, susiklosčiusias iki asmens duomenų rinkimo pradžios.
36 Antra, minėtas teismas mano, kad nėra aiškiai nustatyta, ar tokiu atveju, kaip nagrinėjamas pagrindinėje byloje, pareiga pateikti informaciją buvo pažeista „tvarkant“ asmens duomenis, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį. Šiuo klausimu jis pabrėžia, kad nors iš tokios formuluotės būtų galima suprasti, jog atstovaujamąjį ieškinį pareiškęs subjektas tam, kad šis ieškinys būtų priimtinas, turi remtis duomenų subjekto teisių pažeidimu, padarytu atlikus asmens duomenų tvarkymo operaciją, kaip tai suprantama pagal šio reglamento 4 straipsnio 2 punktą, taigi po tokios operacijos, minėto reglamento tikslas užtikrinti, be kita ko, aukštą asmens duomenų apsaugos lygį gali paskatinti išplėsti šio subjekto teisę pareikšti ieškinį, kai pažeidžiama pareiga pateikti informaciją, nors ši pareiga turi būti įvykdyta prieš atliekant bet kokią asmens duomenų tvarkymo operaciją.
37 Tokiomis aplinkybėmis Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar pareiškiama apie [duomenų subjekto] teisių pažeidimą „tvarkant duomenis“, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį, kai vartotojų teisių gynimo asociacija ieškinį grindžia tuo, kad buvo pažeistos duomenų subjekto teisės, nes nebuvo įvykdyta pareiga pateikti informaciją pagal BDAR 12 straipsnio 1 dalies pirmą sakinį, siejamą su BDAR 13 straipsnio 1 dalies c ir e punktais, apie duomenų tvarkymo tikslą ir asmens duomenų gavėją?“
Dėl prejudicinio klausimo
38 Savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 80 straipsnio 2 dalis turi būti aiškinama taip, kad sąlyga, pagal kurią įgaliotasis subjektas, norėdamas pareikšti atstovaujamąjį ieškinį pagal šią nuostatą, turi remtis tuo, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant duomenis“, kaip tai suprantama pagal minėtą nuostatą, yra tenkinama, jei toks ieškinys grindžiamas duomenų valdytojui pagal minėto reglamento 12 straipsnio 1 dalies pirmą sakinį ir 13 straipsnio 1 dalies c ir e punktus tenkančios pareigos glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba ne vėliau kaip renkant asmens duomenis pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir šių duomenų gavėjus pažeidimu.
39 Siekiant atsakyti į šį klausimą, pirmiausia reikia priminti, kad BDAR, be kita ko, reglamentuojamos teisių gynimo priemonės, leidžiančios apsaugoti duomenų subjekto teises, kai jo asmens duomenys buvo tvarkomi tariamai pažeidžiant šio reglamento nuostatas. Taigi šių teisių apsaugos gali tiesiogiai reikalauti duomenų subjektas (jis turi teisę pats pateikti skundą valstybės narės priežiūros institucijai pagal BDAR 77 straipsnį arba kreiptis į nacionalinius teismus pagal šio reglamento 78 ir 79 straipsnius) arba pagal BDAR 80 straipsnį atitinkamą teisę turintis – šiuo tikslu įgaliotasis arba neįgaliotasis – subjektas.
40 Konkrečiai kalbant, BDAR 80 straipsnio 2 dalyje valstybėms narėms atveriama galimybė numatyti atstovaujamųjų ieškinių prieš tariamą asmens duomenų apsaugos pažeidėją mechanizmą, kartu nustatant tam tikrus reikalavimus dėl asmeninės ir dalykinės taikymo srities, kurių šiuo tikslu turi būti laikomasi (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 63 punktas).
41 Šiuo klausimu, pirma, kalbant apie tokio mechanizmo taikymo asmenims sritį, pažymėtina, kad teisė pareikšti ieškinį pripažįstama įstaigai, organizacijai ar asociacijai, kuri atitinka BDAR 80 straipsnio 1 dalyje išvardytus kriterijus. Konkrečiai kalbant, kaip jau yra konstatavęs Teisingumo Teismas, vartotojų teisių gynimo asociacija, kaip antai Federalinė sąjunga, gali patekti į šią sąvoką, nes ji siekia viešojo intereso tikslo – užtikrinti duomenų subjektų, kaip antai vartotojų, teises ir laisves, jei tokio tikslo įgyvendinimas gali būti siejamas su šių asmenų asmens duomenų apsauga (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 64 ir 65 punktai).
42 Antra, dėl minėto mechanizmo materialinės taikymo srities pasakytina, kad BDAR 80 straipsnio 2 dalyje numatytą atstovaujamąjį ieškinį to paties straipsnio 1 dalyje nurodytas sąlygas atitinkantis subjektas, nepriklausomai nuo jam suteikto įgaliojimo, gali pareikšti tik jeigu „mano, kad tvarkant [asmens] duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos“ (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 67 punktas).
43 Šiuo klausimu Teisingumo Teismas yra nustatęs, kad atstovaujamojo ieškinio pareiškimas nesiejamas su „konkrečiu“ teisių, kurias asmuo kildina iš duomenų apsaugos nuostatų, „pažeidimu“, todėl tam, kad būtų pripažinta tokio subjekto teisė pareikšti ieškinį, pakanka nurodyti, kad atitinkamas duomenų tvarkymas gali daryti poveikį teisėms, kurias fiziniai asmenys, kurių tapatybė yra nustatyta arba gali būti nustatyta, kildina iš šio reglamento, nesant būtinybės įrodyti realią žalą, duomenų subjekto patirtą konkrečioje situacijoje pažeidus jo teises (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 70 ir 72 punktai).
44 Vis dėlto, kaip Teisingumo Teismas jau yra nusprendęs, atstovaujamojo ieškinio pareiškimas reiškia, kad atitinkamas subjektas „mano“, kad tvarkant duomenis buvo pažeistos BDAR numatytos duomenų subjekto teisės, todėl tvirtina, kad „duomenų tvarkymas“, jo supratimu, prieštarauja šio reglamento nuostatoms (šiuo klausimu žr. 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 71 punktą), nes, kaip generalinis advokatas pažymėjo išvados 48 punkte, toks duomenų tvarkymas negali būti vien hipotetinis.
45 Konkrečiai kalbant, kaip matyti iš BDAR 80 straipsnio 2 dalies formuluotės, atstovaujamojo ieškinio pareiškimas pagal šią nuostatą reiškia, kad tvarkant asmens duomenis pažeidžiamos duomenų subjekto teisės, jam suteiktos pagal šį reglamentą.
46 Šį aiškinimą patvirtina BDAR 80 straipsnio 2 dalies įvairių kalbinių versijų palyginimas ir jo 142 konstatuojamoji dalis, kurioje nurodyta, kad subjektai, atitinkantys šio reglamento 80 straipsnio 1 dalyje nurodytas sąlygas, turi turėti priežasčių manyti, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos, nes „tvarkant asmens duomenis buvo pažeistas [tas pats] reglamentas“.
47 Tai išsiaiškinus, siekiant atsakyti į prejudicinį klausimą, dar reikia patikrinti, ar BDAR 12 straipsnio 1 dalies pirmame sakinyje ir 13 straipsnio 1 dalies c ir e punktuose nustatytos duomenų valdytojo pareigos glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir tokių duomenų gavėjus vėliausiai tada, kai šie duomenys renkami, pažeidimas yra šio duomenų subjekto teisių pažeidimas „tvarkant duomenis“, kaip tai suprantama pagal BDAR 80 straipsnio 2 dalį.
48 Pirmiausia reikia priminti, kad BDAR tikslas, kaip matyti iš jo 1 straipsnio ir 10 konstatuojamosios dalies, be kita ko, yra užtikrinti aukštą fizinių asmenų pagrindinių teisių ir laisvių, visų pirma jų teisės į privatų gyvenimą tvarkant asmens duomenis, apsaugos lygį (šiuo klausimu žr. 2024 m. kovo 7 d. Sprendimo IAB Europe, C‑604/22, EU:C:2024:214, 53 punktą).
49 Šiuo tikslu šio reglamento II skyriuje nustatyti asmens duomenų tvarkymo principai, o III skyriuje numatytos duomenų subjekto teisės, kurių turi būti paisoma tvarkant asmens duomenis. Konkrečiai kalbant, nepažeidžiant minėto reglamento 23 straipsnyje numatytų išimčių, bet koks asmens duomenų tvarkymas turi, pirma, atitikti to paties reglamento 5 straipsnyje įtvirtintus su tokių duomenų tvarkymu susijusius principus ir 6 straipsnyje išvardytas teisėtumo sąlygas ir, antra, būti atliekamas paisant šio reglamento 12–22 straipsniuose numatytų duomenų subjekto teisių (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 208 punktą ir 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 50 ir 61 punktus ir juose nurodytą jurisprudenciją).
50 Šiuo klausimu reikia pažymėti, kad pagal BDAR 5 straipsnio 1 dalies a punktą asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtai, sąžiningai ir skaidriai. Be to, pagal šio 5 straipsnio 1 dalies b punktą šie duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu.
51 Dėl BDAR 5 straipsnio 1 dalies b punkto aiškinimo Teisingumo Teismas yra nusprendęs, kad pagal šią nuostatą, be kita ko, reikalaujama, kad duomenų tvarkymo tikslai būtų aiškiai nurodyti ir nustatyti ne vėliau kaip renkant asmens duomenis (2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 64 ir 65 punktai).
52 Be to, pagal BDAR 5 straipsnio 2 dalį pareiga įrodyti, kad duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir kad duomenų subjekto atžvilgiu jie tvarkomi teisėtai, sąžiningai ir skaidriai, tenka duomenų valdytojui.
53 Taigi iš BDAR 5 straipsnio matyti, kad asmens duomenų tvarkymas, be kita ko, turi atitikti konkrečius skaidrumo reikalavimus duomenų subjekto, kurio duomenys tvarkomi, atžvilgiu. Šiuo tikslu BDAR III skyriuje, pirma, numatytos tikslios duomenų valdytojo pareigos ir, antra, pripažįstamos įvairios duomenų subjekto teisės tvarkant asmens duomenis, tarp kurių, be kita ko, yra teisė iš duomenų valdytojo gauti informaciją apie tokio tvarkymo tikslus ir konkrečius gavėjus, kuriems buvo arba bus atskleisti su juo susiję asmens duomenys (2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21, EU:C:2023:501, 48 punktas).
54 Konkrečiai kalbant, BDAR 13 straipsnio 1 dalies c ir e punktuose numatyta duomenų valdytojo pareiga, kai asmens duomenys renkami iš duomenų subjekto, informuoti duomenų subjektą apie duomenų tvarkymo tikslus, kurių siekiama šiais duomenimis, ir tokio tvarkymo teisinį pagrindą, taip pat apie tokių duomenų gavėjus arba jų kategorijas.
55 Be to, pagal šio reglamento 12 straipsnio 1 dalį reikalaujama, kad duomenų valdytojas imtųsi tinkamų priemonių, kad, be kita ko, pirmesniame punkte minėta duomenų subjektui pateikta informacija būtų glausta, skaidri, suprantama ir lengvai prieinama, pateikta aiškia ir paprasta kalba.
56 Kaip yra nusprendęs Teisingumo Teismas, BDAR 12 straipsnio 1 dalimi, kurioje išreiškiamas skaidrumo principas, siekiama užtikrinti, kad duomenų subjektas galėtų visapusiškai suprasti jam skirtą informaciją (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 38 punktas).
57 Pareigos pateikti informaciją laikymosi svarba taip pat patvirtinta BDAR 60 konstatuojamojoje dalyje, kurioje nurodyta, jog pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, o duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 36 punktas).
58 Iš to, kas išdėstyta, matyti, pirma, kad duomenų valdytojui tenkanti pareiga informuoti duomenų subjektus tvarkant asmens duomenis išplaukia iš šiems asmenims BDAR 12 ir 13 straipsniuose pripažintos teisės gauti informaciją, kuri yra viena iš teisių, kurias siekiama apsaugoti minėto reglamento 80 straipsnio 2 dalyje numatytu atstovaujamuoju ieškiniu. Be to, kaip matyti iš šio sprendimo 56 ir 57 punktų, šios pareigos laikymasis apskritai užtikrina BDAR 5 straipsnio 1 dalyje numatytų skaidrumo ir sąžiningumo principų paisymą.
59 Antra, kaip generalinis advokatas pažymėjo išvados 47 punkte, tariamas duomenų subjektų teisės būti pakankamai informuotiems apie visas asmens duomenų tvarkymo aplinkybes, be kita ko, apie duomenų tvarkymo tikslą ir šių duomenų gavėją, pažeidimas gali kliudyti „tinkamai informuotam“, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, duomenų subjektui išreikšti sutikimą, todėl toks tvarkymas gali tapti neteisėtas, kaip tai suprantama pagal šio reglamento 5 straipsnio 1 dalį.
60 Iš tiesų duomenų subjekto sutikimo galiojimas priklauso, be kita ko, nuo to, ar šis asmuo iš anksto gavo informaciją apie visas su atitinkamų duomenų tvarkymu susijusias aplinkybes – tokią informaciją jis turėjo teisę gauti pagal BDAR 12 ir 13 straipsnius ir ji jam leidžia duoti sutikimą žinant visas faktines aplinkybes.
61 Kadangi asmens duomenų tvarkymas pažeidžiant duomenų subjekto teisę į informaciją pagal BDAR 12 ir 13 straipsnius neatitinka šio reglamento 5 straipsnyje nustatytų reikalavimų, šios teisės į informaciją pažeidimas turi būti laikomas duomenų subjekto teisių pažeidimu „tvarkant duomenis“, kaip tai suprantama pagal minėto reglamento 80 straipsnio 2 dalį.
62 Vadinasi, iš BDAR 12 straipsnio 1 dalies pirmo sakinio ir 13 straipsnio 1 dalies c ir e punktų kylanti duomenų subjekto, kurio asmens duomenys tvarkomi, teisė gauti iš duomenų valdytojo glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateiktą informaciją apie tokio duomenų tvarkymo tikslą ir duomenų gavėjus yra teisė, kurią pažeidus galima pasinaudoti šio reglamento 80 straipsnio 2 dalyje numatytu atstovaujamųjų ieškinių mechanizmu.
63 Tokį aiškinimą patvirtina, pirma, šio sprendimo 48 punkte primintas BDAR tikslas užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą, visų pirma aukštą kiekvieno asmens teisės į privatų gyvenimą apsaugos lygį, tvarkant jo asmens duomenis.
64 Antra, toks aiškinimas taip pat atitinka vartotojų teisių gynimo asociacijos, šiuo atveju – Federalinės sąjungos, pareikšto atstovaujamojo ieškinio prevencinę funkciją, numatytą BDAR 80 straipsnio 2 dalyje (2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 76 punktas).
65 Atsižvelgiant į tai, kas išdėstyta, į prejudicinį klausimą reikia atsakyti: BDAR 80 straipsnio 2 dalis turi būti aiškinama taip, kad sąlyga, pagal kurią įgaliotasis subjektas, norėdamas pareikšti atstovaujamąjį ieškinį pagal šią nuostatą, turi remtis tuo, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant duomenis“, kaip tai suprantama pagal minėtą nuostatą, yra tenkinama, jei toks subjektas teigia, kad tokio duomenų subjekto teisės pažeidžiamos tvarkant asmens duomenis, o pažeidimas padarytas dėl duomenų valdytojui pagal minėto reglamento 12 straipsnio 1 dalies pirmą sakinį ir 13 straipsnio 1 dalies c ir e punktus tenkančios pareigos ne vėliau kaip renkant asmens duomenis glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir šių duomenų gavėjus nepaisymo.
Dėl bylinėjimosi išlaidų
66 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti tas teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (ketvirtoji kolegija) nusprendžia:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 80 straipsnio 2 dalis
turi būti aiškinama taip:
sąlyga, pagal kurią įgaliotasis subjektas, norėdamas pareikšti atstovaujamąjį ieškinį pagal šią nuostatą, turi remtis tuo, kad šiame reglamente numatytos duomenų subjekto teisės buvo pažeistos „tvarkant duomenis“, kaip tai suprantama pagal minėtą nuostatą, yra tenkinama, jei toks subjektas teigia, kad tokio duomenų subjekto teisės pažeidžiamos tvarkant asmens duomenis, o pažeidimas padarytas dėl duomenų valdytojui pagal minėto reglamento 12 straipsnio 1 dalies pirmą sakinį ir 13 straipsnio 1 dalies c ir e punktus tenkančios pareigos ne vėliau kaip renkant asmens duomenis glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikti duomenų subjektui informaciją apie asmens duomenų tvarkymo tikslą ir šių duomenų gavėjus nepaisymo.
Parašai.