CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

J. RICHARD DE LA TOUR

представено на 2 декември 2021 година(1)

Дело C‑319/20

Facebook Ireland Limited

срещу

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

(Преюдициално запитване, отправено от Bundesgerichtshof (Федерален върховен съд, Германия)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 80, параграф 2 — Право на ефективна съдебна защита — Представителство на субектите на данни от сдружение с нестопанска цел — Активна процесуална легитимация на сдружение за защита на интересите на потребителите“

I. Въведение

1. В съвременната икономика, белязана от възхода на цифровата икономика, обработването на лични данни може да засегне лицата не само в качеството им на физически лица, носители на правата, предоставени от Регламент (ЕС) 2016/679(2), но и в качеството им на потребители.

2. Вследствие на това качество сдруженията за защита на интересите на потребителите все по-често са в основата на искове с цел определени администратори на лични данни да преустановят действия, с които се засягат едновременно права, защитени от този регламент и от други норми на правото на Съюза и на националното право, по-специално в областта на защитата на правата на потребителите и на борбата с нелоялните търговски практики.

3. Преюдициалното запитване по настоящото дело е отправено в рамките на спор между Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Федерация на организациите и сдруженията на потребителите, наричана по-нататък „Федерацията“) и Facebook Ireland Limited, чието седалище е в Ирландия. Федерацията упреква това дружество в нарушение на германското законодателство за защита на личните данни, което едновременно съставлява нелоялна търговска практика, нарушение на закон за защита на потребителите и нарушение на забраната за използване на недействителни общи търговски условия.

4. Това запитване приканва Съда по същество да тълкува член 80, параграф 2 от Регламент 2016/679, за да определи дали тази разпоредба допуска след влизане в сила на посочения регламент сдруженията за защита на интересите на потребителите да запазят предоставената им от националното право процесуална легитимация да предявяват искове за преустановяване на действия, които съставляват както нарушение на правата по посочения регламент, така и нарушение на нормите, чиято цел е защита на правата на потребителите и борба с нелоялните търговски практики. Доколкото такава активна процесуална легитимация е в съответствие с Директива 95/46/ЕО(3) съгласно приетото от Съда(4), сега той ще трябва да реши дали Регламент 2016/679 е променил правното положение по този въпрос.

II. Правна уредба

А. Регламент 2016/679

5. Член 80 от Регламент 2016/679, озаглавен „Представителство на субектите на данни“, гласи следното(5):

„1. Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес, и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.

2. Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.

Б. Германското право

6. Член 3, параграф 1 от Gesetz gegen den unlauteren Wettbewerb (Закон за мерките срещу нелоялната конкуренция)(6) от 3 юли 2004 г., в приложимата му към спора в главното производство редакция, гласи:

„Забраняват се нелоялните търговски практики“.

7. Член 3а от UWG има следния текст:

„Който нарушава законова разпоредба, предназначена в частност да регулира поведението на пазара в интерес на участниците на пазара, и нарушението може да засегне съществено интересите на потребители, на други участници на пазара или на конкуренти, извършва акт на нелоялна конкуренция“.

8. Член 8, параграфи 1 и 3 от UWG гласи:

„(1) Срещу този, който извършва незаконна търговска практика по смисъла на член 3 или член 7, може да бъде предявен иск за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. Правото да се иска забрана на дадена практика, се поражда от момента, в който възникне опасност от такова нарушение на член 3 или член 7.

[…]

(3) Исковете по параграф 1 могат да се предявят от:

[…]

3. компетентни структури, които представят доказателство, че фигурират в списъка на компетентните структури по член 4 от [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Закон за исковете за преустановяване на нарушения във връзка с потребителски и други права(7) от 26 ноември 2001 г., в приложимата му към спора в главното производство редакция)] или в списъка на Европейската комисия по член 4, параграф 3 от Директива 2009/22/ЕО на Европейския парламент и на Съвета от 23 април 2009 година относно исковете за преустановяване на нарушения с цел защитата на интересите на потребителите[(8)];

[…]“.

9. Член 2 от UKlaG предвижда:

„(1) В интерес на потребителите иск за преустановяване на нарушението и иск за забрана на съответните практики може да се предяви срещу всяко лице, което по начин, различен от прилагането или препоръчването на общи търговски условия, нарушава разпоредби, имащи за цел защитата на потребителите (закони за защита на потребителите) […]

(2) По смисъла на тази разпоредба „закони за защита на потребителите“ са по-специално:

[…]

11. разпоредбите относно критериите за законосъобразност на:

a) събирането от страна на търговец на лични данни за даден потребител или

b) обработването или използването от страна на търговец на събраните за даден потребител лични данни,

когато данните се събират, обработват или използват с рекламна цел, за проучване на пазара и за изследване на общественото мнение, за осъществяване на дейност по събиране на информация, за изготвяне на лични и потребителски профили, за търговия с адреси, за търговия с други данни или за сходни търговски цели.

[…]“.

10. Bundesgerichtshof (Федерален върховен съд, Германия) посочва, че по силата на член 3, параграф 1, първо изречение, точка 1 от UKlaG структурите, които имат активна процесуална легитимация по смисъла на тази разпоредба, могат да предявят иск за преустановяване на нарушения на законодателството в областта на защитата на потребителите, в което съгласно член 2, параграф 2, първо изречение, точка 11 от този закон се включват и разпоредбите, отнасящи се до законосъобразността на събирането, обработването и използването от страна на търговец на лични данни на даден потребител с рекламна цел. Нещо повече, също по силата на член 3, параграф 1, първо изречение, точка 1 от UKlaG структурите, които имат активна процесуална легитимация, могат съгласно член 1 от UKlaG да предявяват искове за преустановяване на използването на недействителни общи търговски условия на основание член 307 от Bürgerliches Gesetzbuch (Граждански кодекс), когато считат, че тези общи търговски условия нарушават разпоредба в областта на защитата на личните данни.

11. Член 13, параграф 1 от Telemediengesetz (Закон за електронните медии)(9) от 26 февруари 2007 г. е със следния текст:

„Ако ползвателят все още не е съответно информиран, със започването на процеса на ползване доставчикът на услуги е длъжен по общоразбираем начин да го информира за способа, обхвата и целите на събирането и използването на лични данни, както и за обработването на неговите данни в държави, които не попадат в приложното поле на [Директива 95/46]. В случаите на автоматизирана операция, която позволява последващото идентифициране на ползвателя и подготвя събирането или използването на лични данни, ползвателят трябва да бъде информиран в началото на тази операция. Съдържанието на информацията трябва да е винаги достъпно за ползвателя“.

III. Фактите в главното производство и преюдициалният въпрос

12. Федерацията е включена в списъка на структурите в Германия, които имат активна процесуална легитимация съгласно член 4 от UKlaG. Facebook Ireland използва интернет платформата Facebook на адрес www.facebook.de, която позволява обмен на лични и друг вид данни.

13. На интернет платформата Facebook се намира т.нар. „App-Zentrum“ (център за приложения), където Facebook Ireland по-специално предлага на своите потребители достъп до безплатни игри, предоставени от трети лица. При отварянето на някои от игрите в центъра за приложения на 26 ноември 2012 г., при натискане на бутона „Sofort spielen“ („Играй сега“) се появява информация за ползвателя. По същество от тази информация следва, че използването на съответното приложение позволява на предоставилото игрите дружество да получи определени лични данни и съгласие да публикува от името на ползвателя определена информация, например неговите точки. Използването предполага съгласието на ползвателя с общите търговски условия на приложението и с неговите правила за защита на данните. Освен това за играта Scrabble се посочва, че приложението има право да публикува статуса, снимки и друга информация от името на ползвателя.

14. Федерацията възразява срещу начина на представяне на указанията, които се появяват при натискане на бутона „Играй сега“ в центъра за приложения, като твърди, че те са нелоялни по-специално поради неспазването на правните изисквания за получаване на валидно съгласие от ползвателя съгласно разпоредбите, регламентиращи защитата на данните. Освен това тя счита, че последното указание към играта Scrabble е общо търговско условие, което е неоснователно неблагоприятно за ползвателя.

15. В този контекст Федерацията подава пред Landgericht Berlin (Областен съд Берлин, Германия) иск срещу Facebook Ireland за преустановяване на нарушенията. Запитващата юрисдикция уточнява, че този иск е предявен без оглед на конкретно нарушение на права на субект на данни и без мандат от такъв субект.

16. Федерацията иска на Facebook Ireland да бъде забранено, под страх от периодични имуществени санкции, „да представя игри в рамките на търговски дейности, насочени към потребителите с постоянно местопребиваване в[...] Германия, на уебсайта с адрес www.facebook.com в център за приложения по такъв начин, че като натисне бутон, например „[Играй сега]“, потребителят декларира, че предоставилото играта дружество получава с посредничеството на социалната мрежа, чийто оператор е [Facebook Ireland], информация за съдържащите се в нея лични данни и съгласие да предоставя (публикува) информация от името на потребителя […]“.

17. Федерацията иска също така на Facebook Ireland да се забрани „да включва в споразуменията с потребителите с обичайно местопребиваване в[...] Германия следната клауза или клаузи с идентично съдържание, отнасящи се до употребата на приложения (Apps) в рамките на социална мрежа, както и да се позовава на клаузите относно предаването на данни на доставчиците на игрите: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ [Това приложение може да поства от твое име съобщения за статус, снимки и друга информация]“.

18. Landgericht Berlin (Областен съд Берлин) осъжда Facebook Ireland в съответствие с исканията на Федерацията. Подадената от Facebook Ireland пред Kammergericht Berlin (Висш областен съд Берлин, Германия) въззивна жалба е отхвърлена.

19. Facebook Ireland подава пред запитващата юрисдикция ревизионна жалба срещу решението на въззивния съд.

20. По същество запитващата юрисдикция счита, че въззивният съд с право е приел исканията на Федерацията за основателни. Всъщност, като не е изпълнило задълженията за информация, произтичащи от член 13, параграф 1, първо изречение, първо предложение от TMG, Facebook Ireland е нарушило член 3а от UWG и член 2, параграф 2, първо изречение, точка 11 от UKlaG. Въззивният съд правилно е приел, че разглежданите в случая разпоредби на член 13 от TMG представляват правила за поведение на пазара по смисъла на член 3а от UWG. Освен това става въпрос за разпоредби, които по смисъла на член 2, параграф 2, първо изречение, точка 11, буква а) от UKlaG уреждат законосъобразността на събирането, обработването или използването от страна на търговец на лични данни на потребител, които са събрани, обработени или използвани с рекламна цел. Също така запитващата юрисдикция счита, че като не е изпълнило приложимите в случая задължения за информация в областта на защита на личните данни, Facebook Ireland е използвало недействително общо търговско условие по смисъла на член 1 от UKlaG.

21. Запитващата юрисдикция обаче си поставя въпроса дали въззивният съд основателно е приел, че искът на Федерацията е бил допустим. Всъщност тя се пита дали след влизането в сила на Регламент 2016/679 сдружение за защита на интересите на потребителите, каквото е Федерацията, все още е процесуално легитимирано да предяви иск пред гражданските съдилища за нарушения на този регламент, при това без оглед на конкретно нарушение на права на отделни субекти на данни и без възложен от тях мандат, като се позовава на нарушение на закона по смисъла на член 3а от UWG, нарушение на закон в областта на защитата на потребителите по смисъла на член 2, параграф 2, първо изречение, точка 11 от UKlaG или използването на недействително общо търговско условие на основание член 1 от UKlaG.

22. Запитващата юрисдикция изтъква, че допустимостта на иска е била несъмнена преди влизането в сила на Регламент 2016/679. Всъщност Федерацията е била легитимирана да предявява искове за преустановяване на нарушения пред гражданските съдилища в съответствие с член 8, параграф 3, точка 3 от UWG и член 3, параграф 1, първо изречение, точка 1 от UKlaG.

23. Според същата юрисдикция е възможно този правен режим да е бил изменен с влизането в сила на Регламент 2016/679.

24. По същество тя отбелязва, че разпоредбите на член 13, параграф 1 от TMG вече не са приложими след влизането в сила на този регламент, тъй като занапред са релевантни задълженията за информация по членове 12—14 от Регламент 2016/679. Ето защо според запитващата юрисдикция Facebook Ireland не е изпълнило задължението си по член 12, параграф 1, първо изречение от този регламент да предостави на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език информацията по член 13, параграф 1, букви в) и д) от посочения регламент, отнасяща се до целта на обработването на данните и до получателя на личните данни.

25. Колкото до допустимостта на иска, според запитващата юрисдикция съществува спор дали структурите, които имат активна процесуална легитимация по смисъла на член 4 от UKlaG, след влизане в сила на Регламент 2016/679 и в съответствие с член 8, параграф 3, точка 3 от UWG са процесуално легитимирани да предявяват искове за нарушения на разпоредбите на този регламент, които се прилагат пряко по силата на член 288, втора алинея ДФЕС, като се позовават на нарушение на закона по смисъла на член 3а от UWG.

26. В това отношение запитващата юрисдикция отбелязва наличието на различни гледища по въпроса дали самият Регламент 2016/679 урежда изчерпателно контрола за прилагане на своите разпоредби.

27. По повод текста на Регламент 2016/679 тази юрисдикция отбелязва, че активната процесуална легитимация на структура като Федерацията съгласно член 8, параграф 3, точка 3 от UWG не попада в обхвата на член 80, параграф 1 от този регламент, доколкото разглежданият в главното производство иск за преустановяване на нарушение не е предявен въз основа на предоставен от субект на данни мандат и от негово име с цел защита на неговите лични права. Обратно, става въпрос за активна процесуална легитимация на Федерацията на собствено основание, която ѝ позволява при нарушение на закона по смисъла на член 3а от UWG да предяви иск за нарушения на разпоредбите на посочения регламент като обективно право, без оглед на нарушение на конкретни права на отделни субекти на данни и без мандат от такива субекти.

28. Запитващата юрисдикция изтъква, че активната процесуална легитимация на Федерацията да иска прилагане на правото на защита на личните данни като обективно право не е предвидена в член 80, параграф 2 от Регламент 2016/679. Всъщност макар тази разпоредба наистина да предвижда възможност такава структура да предяви иск независимо от предоставянето на мандат от субект на данни, все пак е необходимо предвидени в този регламент права на субект на данни да са били нарушени при обработването. Следователно, като се има предвид текстът на разпоредбите на член 80, параграф 2 от посочения регламент, те също не допускат активна процесуална легитимация на сдруженията, които се позовават на нарушения на обективното право на защита на личните данни, без оглед на нарушение на субективни права на конкретен субект на данни, като се основават, както в случая, на член 3а и член 8, параграф 3, точка 3 от UWG. Идентичен извод може да бъде направен и от съображение 142, второ изречение от Регламент 2016/679, което също споменава нарушаването на правата на субект на данни като условие за активната процесуална легитимация на сдружение, независимо от предоставен от въпросния субект мандат.

29. Освен това според запитващата юрисдикция активната процесуална легитимация на сдружение като предвидената в член 8, параграф 3 от UWG не може да се изведе от член 84, параграф 1 от Регламент 2016/679, съгласно който държавите членки определят правила за други санкции, приложими за нарушения на този регламент, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Всъщност активната процесуална легитимация на сдружение като посочената в член 8, параграф 3 от UWG не може да се счита за „санкция“ по смисъла на тази разпоредба от посочения регламент.

30. Запитващата юрисдикция изтъква освен това, че общият дух на Регламент 2016/679 не позволява да се определи със сигурност дали активната процесуална легитимация на структура по силата на член 8, параграф 3, точка 3 от UWG, тоест по силата на разпоредба, предназначена за борба с нелоялната конкуренция, може да се признава и след влизане в сила на този регламент. Според тази юрисдикция от факта, че Регламентът предоставя на надзорните органи широки правомощия в областта на наблюдението, разследването и налагането на корективни мерки, може да се направи извод, че най-вече тези органи трябва да контролират прилагането на разпоредбите на посочения регламент. Този извод не е в подкрепа на разширително тълкуване на член 80, параграф 2 от Регламент 2016/679. Запитващата юрисдикция също така изтъква, че приемането на национални мерки за прилагане на регламент по принцип се допуска само ако е изрично разрешено. Въпреки това вметнатите изрази „[б]ез да се засягат които и да било други […] средства за правна защита“ и „[б]ез да се засягат които и да било други […] средства за защита“, използвани в член 77, параграф 1, член 78, параграфи 1 и 2 и член 79, параграф 1 от този регламент, биха могли да оборят тезата, че посоченият регламент урежда изчерпателно контрола на правоприлагането.

31. Що се отнася до целта на Регламент 2016/679, полезното му действие би могло да бъде в подкрепа на наличието на активна процесуална легитимация на сдруженията по силата на конкурентното право съгласно член 8, параграф 3, точка 3 от UWG независимо от нарушението на конкретни права на субекти на данни, доколкото това би запазило една допълнителна възможност за контрол на правоприлагането с цел гарантиране на възможно най-високо равнище на защита на личните данни в съответствие със съображение 10 от този регламент. Въпреки това би могло да се счита, че признаването на активна процесуална легитимация на сдруженията по силата на конкурентното право противоречи на целта за хармонизация, която си поставя посоченият регламент.

32. Запитващата юрисдикция също така излага своите съмнения относно това дали след влизане в сила на Регламент 2016/679 структурите, посочени в член 3, параграф 1, първо изречение, точка 1 от UKlaG, запазват активна процесуална легитимация да предявяват искове за нарушение на разпоредбите на този регламент на основание на възможността за предявяване на искове за неспазване на закон за защита на потребителите по смисъла на член 2, параграф 2, първо изречение, точка 11 от UKlaG. Същото се отнася и до процесуалната легитимация по член 1 от UKlaG на сдружение за защита на интересите на потребителите да предявява искове за преустановяване на използването на недействителни общи търговски условия съгласно член 307 от Гражданския кодекс.

33. Ако се предположи, че отделните национални разпоредби, на които преди влизане в сила на Регламент 2016/679 се е основавала активната процесуална легитимация на структурите, могат да се считат за изпреварващо прилагане на член 80, параграф 2 от този регламент, според запитващата юрисдикция признаването в случая на активната процесуална легитимация на Федерацията би изисквало тя да се позове на това, че предвидените в посочения регламент права на даден субект на данни са били нарушени във връзка с обработване. Това условие обаче не е изпълнено.

34. Всъщност тази юрисдикция подчертава, че исканията на Федерацията са за абстрактен контрол на представянето на центъра за приложения на Facebook Ireland с оглед на обективното право на защита на данните, без Федерацията да твърди нарушение на права на идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, по смисъла на член 4, точка 1 от Регламент 2016/679.

35. Запитващата юрисдикция посочва, че ако трябва да се приеме, че след влизане в сила на Регламент 2016/679 Федерацията е загубила своята активна процесуална легитимация, основаваща се на цитираните по-горе разпоредби от германското право, тя би трябвало да уважи подадената от Facebook Ireland ревизионна жалба и да отхвърли иска на Федерацията, като се има предвид, че съгласно германското процесуално право активната процесуална легитимация трябва да е налице до приключване на делото пред последната инстанция.

36. По тези съображения Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Допускат ли разпоредбите на глава VIII от Регламент 2016/679, и по-специално тези на член 80, параграфи 1 и 2 и на член 84, параграф 1 от него, национална правна уредба, която — наред с правомощията за намеса на надзорните органи, компетентни за наблюдението и прилагането на Регламента, и възможностите за правна защита на субектите на данни — предоставя, от една страна, на конкуренти и от друга страна, на оправомощени съгласно националното право сдружения, структури и камари правомощие да предявяват граждански искове при нарушения на Регламент 2016/679 — без оглед на конкретно нарушение на права на определени субекти на данни и без възложен от субект на данни мандат — на основание на забраната за нелоялни търговски практики, нарушение на закон за защита на потребителите или забраната да се използват недействителни общи търговски условия?“.

37. Федерацията, Facebook Ireland, австрийското и португалското правителство и Комисията представят писмени становища. Тези страни, с изключение на португалското правителство, и германското правителство представят устните си становища в съдебното заседание, проведено на 23 септември 2021 г.

IV. Анализ

38. С въпроса си запитващата юрисдикция иска по същество да се установи дали Регламент 2016/679, и по-специално член 80, параграф 2 от него, трябва да се тълкува в смисъл, че не допуска национална правна уредба, която позволява на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, като се позовават на забраната за нелоялни търговски практики, на нарушение на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия.

39. Съгласно член 4, точка 1 от Регламент 2016/679 „субект на данни“ по смисъла на този регламент е „идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“. Когато такова лице счита, че неговите лични данни са били обработвани в нарушение на разпоредбите на посочения регламент, то разполага с редица начини на действие.

40. Така например съгласно член 77 от същия регламент субектът на данни има право да подаде жалба до надзорен орган. Освен това съгласно член 78 от Регламент 2016/679 този субект има право на ефективна съдебна защита срещу надзорен орган. В допълнение член 79, параграф 1 от този регламент предоставя на всеки субект на данни правото на ефективна съдебна защита, ако счита, че правата му по посочения регламент са били нарушени в резултат на обработване на личните му данни, което е извършено в нарушение на същия регламент.

41. Разбира се, субектите на данни могат сами да подадат жалба до надзорен орган или да упражнят описаните по-горе способи за съдебна защита. Въпреки това член 80 от Регламент 2016/679 предвижда възможност при определени условия тези лица да бъдат представлявани от структура, организация или сдружение с нестопанска цел. Така освен индивидуалните искове, правото на Съюза предвижда различни възможности за представителни искове, предявявани с посредничеството на структури, оправомощени да представляват субектите на данни(10). Ето защо член 80 от Регламент 2016/679 отразява тенденцията да се развива практиката на представителните искове, предявявани от такива структури с цел защита на общи или колективни интереси, като способ за подобряване на достъпа до правосъдие на лицата, засегнати от нарушения на разглежданите норми(11).

42. Член 80 от Регламент 2016/679, озаглавен „Представителство на субектите на данни“, съдържа два параграфа. Първият се отнася до хипотезата, в която субект на данни възлага на структура, организация или сдружение да го представлява. Вторият се отнася до представителния иск, предявен от структура, независимо от възлагането на мандат от страна на субект на данни.

43. Доколкото предявеният от Федерацията иск не се основава на мандат от субект на данни, в рамките на преюдициалното запитване по настоящото дело релевантен е член 80, параграф 2 от Регламент 2016/679.

А. Решение Fashion ID

44. В решение Fashion ID Съдът се произнася по повод Директива 95/46 по въпрос, подобен на поставения в преюдициалното запитване по настоящото дело. Той постановява съответно, че „членове 22—24 от [тази директива] трябва да се тълкуват в смисъл, че допускат национална правна уредба, която позволява на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни“(12).

45. За да достигне до този извод, Съдът изхожда от констатацията, че нищо в Директива 95/46 не задължава, нито пък изрично оправомощава държавите членки да предвидят в националното си право възможността сдруженията да представляват пред съда субекти на данни или по свой почин да предявяват искове срещу предполагаемия извършител на посегателство срещу защитата на личните данни(13). Според Съда това все пак не означава, че тази директива не допуска национална правна уредба, позволяваща на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемия извършител на такова посегателство(14). В това отношение Съдът подчертава присъщите на всяка директива характеристики, както и задължението на държавите членки адресати да вземат всички мерки, необходими за осигуряване на пълното действие на директивата, в съответствие с преследваната от нея цел(15).

46. След това Съдът припомня, че сред целите на Директива 95/46 са „да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни“ и „гарантиране на висока степен на защита в [Европейския съюз]“(16). Според Съда фактът, че дадена държава членка може да предвиди в националната си правна уредба възможността сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, допринася за постигането на тези цели(17). Освен това Съдът подчертава, че „държавите членки в много отношения имат свобода на действие при транспонирането на [Директива 95/46]“(18), по-специално що се отнася до членове 22—24 от нея, които „са формулирани общо и не извършват изчерпателна хармонизация на националните разпоредби, отнасящи се до възможната съдебна защита срещу предполагаемия извършител на посегателство срещу защитата на личните данни“(19). Така „[п]редвиждането на възможност за сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни може да се приеме за подходяща по смисъла на [член 24 от тази директива] мярка, която допринася […] за постигането на целите на посочената директива, в съответствие с практиката на Съда“(20).

47. Преюдициалното запитване по настоящото дело приканва Съда да реши дали това, което е било допустимо при действието на Директива 95/46, занапред трябва да бъде забранено в резултат от влизането в сила на Регламент 2016/679. С други думи, има ли член 80, параграф 2 от този регламент за правна последица отнемането на активната процесуална легитимация на сдружение за защита на интересите на потребителите в рамките на иск като разглеждания в главното производство?

48. Съмнение в това възниква още при прочита на точка 62 от решение Fashion ID, в която Съдът изтъква, че фактът, че Регламент 2016/679 „изрично оправомощава в член 80, параграф 2 държавите членки да разрешават на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, изобщо не означава, че държавите членки не са можели да предоставят на въпросните сдружения това право по силата на Директива 95/46, а напротив, потвърждава, че възприетото в настоящото решение тълкуване на същата отразява волята на законодателя на Съюза“(21).

49. По съображенията, които ще развия по-долу, считам, че нито заместването на Директива 95/46 с регламент, нито обстоятелството, че Регламент 2016/679 вече посвещава цял член на представителството на субектите на данни по съдебни искове, могат да поставят под съмнение приетото от Съда в решение Fashion ID, а именно че държавите членки могат да предвидят в националната си правна уредба възможността сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни.

Б. Особените характеристики на Регламент 2016/679

50. Във връзка със заместването на Директива 95/46 с норма от различно естество, а именно Регламент 2016/679, следва да се отбележи, че изборът на законодателя на Съюза да прибегне до правната форма на регламента, който съгласно член 288 ДФЕС е задължителен в своята цялост и се прилага пряко във всички държави членки, се обяснява с неговата воля, изразена в съображение 13 от Регламент 2016/679, да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар. Следователно на пръв поглед изглежда, че този регламент се стреми към пълна хармонизация, като съответно не се ограничава до въвеждане на минимални норми, които държавите членки могат да надградят, и не оставя на тези държави избор дали да дерогират, да допълнят, или да приложат неговите разпоредби, с цел да не бъде застрашено едновременното и еднакво прилагане в Съюза на разпоредбите на посочения регламент.

51. Действителността се оказва по-сложна. Всъщност правното основание на Регламент 2016/679, а именно член 16 ДФЕС(22), е пречка да се счита, че чрез приемането на този регламент Съюзът е обхванал всички възможни разклонения на защитата на личните данни в други области, свързани по-специално с трудовото, конкурентното или потребителското право, и не позволява на държавите членки да приемат конкретни правила в тези области повече или по-малко самостоятелно, в зависимост от това дали става въпрос за област, уредена от правото на Съюза, или не(23). В този смисъл, макар по естеството си защитата на личните данни да е широкообхватна, хармонизацията, извършена с Регламент 2016/679, се ограничава до аспектите, конкретно обхванати от него в тази област. Извън тях държавите членки запазват свободата си да приемат правни норми, доколкото те не засягат съдържанието и целите на посочения регламент.

52. Освен това подробният анализ на разпоредбите на Регламент 2016/679 води до извода, че обхватът на хармонизацията, извършена с този регламент, е различен в зависимост от разглежданите разпоредби. Следователно определянето на нормативния обхват на посочения регламент изисква анализ на всеки отделен случай(24). Макар от последователната линия на съдебната практика по Директива 95/46(25) да може да се направи извод, че Регламент 2016/679 извършва хармонизация, която е „по принцип пълна“, много от разпоредбите на този регламент все пак признават на държавите членки свобода на действие, която трябва или може според случая да бъде използвана от последните при условията и в пределите, предвидени в същите разпоредби(26).

53. Следва да се припомни, че съгласно постоянната практика на Съда „по силата на член 288 ДФЕС и с оглед на самото естество на регламентите и тяхната функция в системата от източници на правото на Съюза разпоредбите на регламентите по общо правило имат непосредствено действие в националните правни системи, без да е необходимо националните органи да приемат мерки за прилагането им. При все това някои от тези разпоредби могат да налагат приемането на национални мерки за прилагане от държавите членки“(27). Прибягването до регламент не предполага непременно липса на всякаква свобода на действие, оставена на субектите на права от разпоредбите на този регламент(28). Освен това обстоятелството, че регламентът е задължителен и пряко приложим, не е пречка акт от този вид да съдържа факултативни правни норми(29).

54. Поради използвания глагол „могат“ член 80, параграф 2 от Регламент 2016/679 е пример за факултативна разпоредба, която дава на държавите членки свобода на преценка при прилагането ѝ.

55. Тази разпоредба е една от многобройните „отворени клаузи“, съдържащи се в този регламент, които го правят по-особен в сравнение с класическите регламенти и го доближават до директива(30). Препратките към националното право, включени в тези клаузи, могат да са задължителни(31), но все пак най-често са възможност, предоставена на държавите членки(32). Изразено е мнението, че тези многобройни препратки към националните законодателства създават риск от ново фрагментиране на режима на защита на личните данни в рамките на Съюза, което е в противоречие с изразената от законодателя на Съюза воля за постигане на засилено уеднаквяване на този режим и може да има отрицателни последици за ефективността на тази защита, както и за възможността администраторите и обработващите лични данни да установят точно задълженията си(33). В този смисъл обхватът на хармонизацията, извършена с Регламент 2016/679, е ограничен от множеството „отворени клаузи“, съдържащи се в този регламент.

56. При сравнение с Директива 95/46 става ясно, че с Регламент 2016/679 законодателят на Съюза е искал да регулира на равнището на Съюза по-широко и по-прецизно аспектите, свързани с представителството на субектите на данни с оглед подаването на жалба пред надзорен орган или предявяване на иск пред съд(34). Параграфи 1 и 2 от член 80 от този регламент обаче нямат един и същ нормативен обхват. Всъщност, докато параграф 1 от този член е задължителен за държавите членки(35), параграф 2 от него предоставя на последните само една възможност. Така, за да може да бъде предявен предвиденият в член 80, параграф 2 от посочения регламент представителен иск без мандат, държавите членки трябва да използват предоставената им от тази разпоредба възможност да предвидят в националното си право условията и реда за такова представителство на субектите на данни.

57. Дори и само поради факултативния му характер и свързаните с това потенциални различия между националните правни уредби, не може да се счита, че член 80, параграф 2 от Регламент 2016/679 въвежда пълна хармонизация на представителните искове без мандат в областта на защитата на личните данни. Все пак, когато прилагат тази разпоредба в националното си право, държавите членки трябва да спазват условията и пределите, които законодателят на Съюза е искал да постави за упражняването на възможността, предвидена в посочената разпоредба.

58. Макар рамките да са по-точни в сравнение с Директива 95/46, държавите членки въпреки всичко запазват свобода на преценка при прилагането на член 80, параграф 2 от Регламент 2016/679.

59. Видно от данните, с които разполага Съдът, след влизане в сила на този регламент германският законодател не е приел разпоредба, специално предназначена да приложи член 80, параграф 2 от посочения регламент в националното право. При все това е необходимо, както запитващата юрисдикция приканва Съда, да се провери дали действащите дотогава норми от германското право, които предоставят на сдружение за защита на интересите на потребителите активна процесуална легитимация да предявява искове за преустановяване на действия, които нарушават както разпоредби на Регламент 2016/679, така и норми, които имат по-специално за цел защитата на потребителите, са съвместими с тази разпоредба. С други думи, дали националното право, действащо до влизането в сила на този регламент, съответства на разрешеното с член 80, параграф 2 от посочения регламент.

60. Както германското правителство уточнява в съдебното заседание, националните разпоредби, които оправомощават сдружение, каквото е Федерацията, да предяви представителен иск като разглеждания в главното производство, са мерки за транспониране на Директива 2009/22. За да се даде отговор на въпроса дали член 80, параграф 2 от Регламент 2016/679 също допуска такъв иск и следователно дали същите национални разпоредби попадат в пределите на свободата на преценка, призната на всяка държава членка(36), е необходимо този член да се тълкува, като се вземе предвид по-специално неговият текст, както и общият дух и целите на този регламент.

В. Буквално, систематично и телеологично тълкуване на член 80, параграф 2 от Регламент 2016/679

61. Съгласно текста на член 80, параграф 2 от Регламент 2016/679 предвидените в него представителни искове могат да бъдат предявени от „всяка структура, организация и сдружение по параграф 1“ от този член. Член 80, параграф 1 от този регламент има предвид „структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес, и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни“. Според мен такова определение не може да се ограничи до структури, чиято единствена и изключителна цел е защитата на личните данни, а обхваща всички структури, преследващи цели от обществен интерес, които имат връзка със защитата на личните данни. Такъв е случаят със сдруженията за защита на интересите на потребителите, каквото е Федерацията, които може да се наложи да предявяват искове за преустановяване на действия, които, като нарушават разпоредбите на посочения регламент, нарушават и правилата за защита на потребителите или за борба с нелоялната конкуренция(37).

62. Съгласно текста на член 80, параграф 2 от Регламент 2016/679 представителен иск може да бъде предявен от структура, която отговаря на условията по параграф 1 от този член, ако тя „счита, че правата на субект на данни съгласно [този регламент] са били нарушени в резултат на обработването на лични данни“. Противно на това, което запитващата юрисдикция дава да се разбере, аз не считам, че тази последна част от изречението трябва да се тълкува ограничително, а именно в смисъл, че за да има процесуална легитимация да предяви иск в съответствие с предвиденото в член 80, параграф 2 от Регламент 2016/679, дадена структура трябва да индивидуализира предварително един или няколко субекта на данни, които са конкретно засегнати от въпросното обработване. Подготвителните дейности по приемането на този регламент изобщо не са в този смисъл. Нещо повече, струва ми се, че самото определение на понятието „субект на данни“ по член 4, точка 1 от посочения регламент, тоест „идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“(38), е в противоречие с изискването лицата, чиито данни са били обработени в нарушение на разпоредбите на Регламент 2016/679, вече да са били идентифицирани при предявяването на представителен иск на основание член 80, параграф 2 от този регламент. От това логично следва, че по силата на тази разпоредба не може да се изисква дадена структура да твърди наличие на конкретни случаи във връзка с индивидуално определени субекти, за да има процесуална легитимация да предяви иск в съответствие с предвиденото в посочената разпоредба.

63. Считам, че предявяването на представителен иск по силата на член 80, параграф 2 от Регламент 2016/679 предполага единствено да се твърди обработване на лични данни, което е в противоречие с разпоредбите на този регламент, защитаващи индивидуални права, и следователно може да засегне права на лица, които са или могат да бъдат идентифицирани, без активната процесуална легитимация на дадена структура да се проверява във всеки отделен случай с оглед на това дали са били нарушени правата на едно или няколко определени лица(39). В обобщение, такъв иск трябва да се основава на нарушение на права, които физическо лице може да черпи от посочения регламент в резултат от обработване на негови лични данни. Този иск няма за цел да защити едно обективно право, а само субективните права, които субектите на данни черпят пряко от Регламент 2016/679(40). С други думи, отворената клауза в член 80, параграф 2 от този регламент има за цел да позволи на процесуално легитимираните структури да поискат от надзорен орган или от съд да провери дали администраторите спазват съдържащите се в посочения регламент правила за защита на субектите на данни(41). От тази гледна точка за активната процесуална легитимация на дадена структура по силата на тази разпоредба е достатъчно тя да посочи нарушение на разпоредбите на Регламент 2016/679, които имат за цел защитата на субективните права на субектите на данни.

64. Както Комисията изтъква по същество, тълкуване на член 80, параграф 2 от Регламент 2016/679 в смисъл, че за да може да предяви представителен иск без мандат, дадена структура трябва да докаже или да твърди, че правата на определено лице са били нарушени в дадена ситуация, би ограничило твърде много приложното поле на тази разпоредба. Подобно на португалското правителство и Комисията аз също считам, че член 80, параграф 2 от този регламент трябва да бъде тълкуван по начин, който запазва неговото полезно действие спрямо параграф 1 от същия член. Следователно според мен член 80, параграф 2 от посочения регламент би трябвало да се разбира в смисъл, че надхвърля представителството по индивидуални случаи, което е предмет на параграф 1 от този член, и предоставя възможност самостоятелно, по инициатива на легитимираните структури да бъдат представлявани колективните интереси на лицата, чиито лични данни са били обработени в противоречие с Регламент 2016/679. Полезното действие на член 80, параграф 2 от този регламент би било до голяма степен ограничено, ако се приеме, подобно на изискването по параграф 1 от този член, че активната процесуална легитимация на дадена структура и в двата случая се ограничава до представителството на поименно и индивидуално определени лица.

65. Впрочем възприетото от мен тълкуване на член 80, параграф 2 от Регламент 2016/679 съответства на превантивния характер и възпиращата цел на исковете за преустановяване на нарушения, както и на тяхната независимост от всякакви индивидуални спорове(42).

66. За да се избегне рискът от създаване на два различни стандарта за активна процесуална легитимация на структурите, оправомощени да предявяват искове за преустановяване на нарушения, в зависимост от това дали такъв иск се основава на национална мярка в обхвата на приложното поле на член 80, параграф 2 от Регламент 2016/679, или в това на Директива 2020/1828, според мен е уместно, въпреки че тази директива не е приложима по спора в главното производство, да бъде взет предвид фактът, че последната не изисква такива структури да се позовават на наличието на отделни поименно посочени потребители, засегнати от разглежданото нарушение(43), а да се позовават на наличието на извършени от търговци или доставчици нарушения на разпоредбите на правото на Съюза, посочени в приложение I към посочената директива(44), в точка 56 от което впрочем се споменава Регламент 2016/679.

67. Тезата, клоняща към ограничително тълкуване на член 80, параграф 2 от Регламент 2016/679, според мен противопоставя погрешно защитата на колективните интереси на потребителите(45) и защитата на правата на всяко лице, чиито данни се предполага, че са били обработвани в нарушение на този регламент. Всъщност защитата на колективните интереси на потребителите според мен не изключва защитата на субективните права, които субектите на данни черпят пряко от Регламент 2016/679, а напротив, тя включва такава защита.

68. Впрочем в указанието в съображение 15 от Директива 2020/1828, че „механизмите за изпълнение, които са предвидени в Регламент […] 2016/679 […] или се основават на него, могат, ако е приложимо, да продължат да бъдат използвани за защита на колективните интереси на потребителите“(46), аз откривам потвърждение, че представителният иск, предвиден в член 80, параграф 2 от този регламент, наистина може да цели защитата на такива интереси.

69. От гореизложените съображения достигам до извода, че член 80, параграф 2 от Регламент 2016/679 според мен дава право на държавите членки да предвидят възможност оправомощените структури да предявяват представителни искове с цел защита на колективните интереси на потребителите, без да имат мандат от страна на субектите на данни, доколкото се твърди нарушение на разпоредбите на този регламент, които имат за цел да предоставят субективни права на субектите на данни.

70. Именно такъв е случаят с иска за преустановяване на нарушение, предявен от Федерацията срещу Facebook Ireland.

71. Припомням всъщност, че според запитващата юрисдикция и съгласно исканията на Федерацията Facebook Ireland не е изпълнило задължението си по член 12, параграф 1, първо изречение от Регламент 2016/679 да предостави на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език информацията по член 13, параграф 1, букви в) и д) от този регламент, която се отнася до целта на обработването на данни и получателя на личните данни. Тези разпоредби със сигурност са от категорията на разпоредбите, които предоставят субективни права на субектите на данни, което се потвърждава по-специално от констатацията, че те се съдържат в глава III от посочения регламент, озаглавена „Права на субекта на данни“. Ето защо защита на тези права може да се иска или пряко от субектите на данни, или от структура, която е оправомощена по силата на член 80, параграф 1 от Регламент 2016/679 или по силата на националните разпоредби за прилагане на член 80, параграф 2 от този регламент.

72. Считам също така, че член 80, параграф 2 от Регламент 2016/679 допуска национални разпоредби, които оправомощават сдружение за защита на интересите на потребителите да предяви иск за преустановяване на нарушение с цел да се осигури спазването на предоставените от този регламент права посредством норми, които имат за цел защита на потребителите или борба с нелоялните търговски практики. Всъщност такива норми могат да съдържат разпоредби, подобни на съдържащите се в посочения регламент, в частност що се отнася до информирането на субектите на данни за обработването на техните лични данни(47), което предполага, че нарушението на норма, отнасяща се до защитата на личните данни, може едновременно да доведе до нарушение на норми, отнасящи се до защитата на потребителите или до нелоялните търговски практики. В текста на член 80, параграф 2 от Регламент 2016/679 няма никакви пречки за частичното прилагане на тази отворена клауза, в смисъл че представителният иск има за цел да защити правата, които субектите на данни в качеството си на потребители черпят от този регламент(48).

73. Според мен така предложеното тълкуване на член 80, параграф 2 от Регламент 2016/679 най-добре позволява да бъдат постигнати преследваните с този регламент цели.

74. В това отношение Съдът отбелязва, че „както следва от член 1, параграф 2 от Регламент 2016/679 във връзка със съображения 10, 11 и 13 от този регламент, последният налага на институциите, органите, службите и агенциите на Съюза, както и на компетентните органи на държавите членки задачата да осигурят високо ниво на защита на правата, гарантирани в член 16 ДФЕС и член 8 от Хартата на [основните права на Европейския съюз]“(49). Освен това посоченият регламент има за цел да „се осигури ефективна защита на свободите и основните права на физическите лица, и в частност на правото им на защита на личния живот и на защита на личните данни“(50).

75. Да се попречи на държавите членки да въвеждат искове, които не само преследват целта за защита на потребителите, но и допринасят за постигане на целта за защита на личните данни, би било в противоречие с целта да се осигури високо ниво на защита на личните данни. Все още може да се твърди, и след влизане в сила на Регламент 2016/679, че оправомощаването на сдруженията за защита на интересите на потребителите да искат преустановяване на обработването в нарушение на разпоредбите на този регламент, допринася за укрепване на правата на субектите на данни чрез средствата за колективна правна защита, което е било валидно и за Директива 95/46(51).

76. В този смисъл защитата на колективните интереси на потребителите от страна на сдружения е особено пригодена за целта да се въведе високо ниво на защита на личните данни. От тази гледна точка превантивната функция на исковете, предявявани от тези сдружения, не би могла да се гарантира, ако представителният иск, предвиден в член 80, параграф 2 от Регламент 2016/679, позволява да се изтъква само нарушението на правата на лице, което е лично и конкретно засегнато от това нарушение.

77. Следователно иск за преустановяване на нарушение, предявен от сдружение за защита на интересите на потребителите, каквото е Федерацията, безспорно допринася за осигуряването на ефективното прилагане на правата, защитени от Регламент 2016/679(52).

78. Освен това би било най-малкото парадоксално, ако търсеното от законодателя на Съюза с приемането на Регламент 2016/679 засилване на способите за контрол на нормите относно защитата на личните данни в крайна сметка се изрази в намаляване на нивото на тази защита в сравнение с нивото, което държавите членки са можели да осигурят при действието на Директива 95/46.

79. Наистина за разлика от Съединените американски щати в правото на Съюза правната уредба относно, от една страна, нелоялните търговски практики и от друга страна, защитата на личните данни се е развила поотделно. Така двете области са предмет на различна нормативна рамка.

80. Въпреки това между тези две области има взаимодействие, поради което исковете, вписващи се в рамката на правната уредба на защитата на личните, могат същевременно да допринесат косвено за преустановяване на нелоялна търговска практика. Обратното също е вярно(53). Освен това връзката между защитата на личните данни, от перспективата на съгласието за обработване на тези данни, и защитата на потребителите, намира израз в самия Регламент 2016/679, и по-специално в съображение 42 от него. В допълнение Комисията изтъква взаимодействието между правната уредба на Съюза в областта на защитата на личните данни и Директива 2005/29/ЕО(54).

81. Взаимодействията между законодателството за защита на личните данни, потребителското право и конкурентното право са чести и многобройни, доколкото едно и също поведение може да попадне едновременно в обхвата на правни норми, принадлежащи към тези отделни области. Такива взаимодействия допринасят защитата на личните данни да стане по-ефективна(55).

82. Наистина носителите на правата по Регламент 2016/679 не се ограничават до категорията „потребители“, тъй като този регламент не се основава на концепцията за потребление при защита на физическите лица във връзка с обработването на лични данни(56), а на концепцията, че съгласно член 8 от Хартата на основните права тази защита е основно право, както се посочва по-специално в съображение 1 и в член 1, параграф 2 от посочения регламент(57).

83. Въпреки това в епохата на цифровата икономика субектите на данни често имат качеството „потребители“. Това е причината, поради която нормите, чиято цел е защита на потребителите, често се прилагат, за да гарантират на последните защита срещу обработване на техните лични данни в нарушение на разпоредбите на Регламент 2016/679.

84. В края на този анализ се налага изводът, че е възможно припокриване между представителния иск, предвиден в член 80, параграф 2 от Регламент 2016/679, и иска, предвиден в Директива 2020/1828 за налагане на мерки за преустановяване на нарушение, когато „субектите на данни“ по смисъла на този регламент имат и качеството „потребител“ по смисъла на член 3, точка 1 от тази директива(58). В това аз виждам знак за тяхното взаимно допълване и за сближаването между законодателството за защита на личните данни и други правни отрасли, като потребителското право и конкурентното право. С приемането на посочената директива законодателят на Съюза ускорява това сближаване, като експлицитно свързва защитата на колективните интереси на потребителите със спазването на Регламент 2016/679. Това може само да засили ефективното прилагане на правилата, съдържащи се в последния.

V. Заключение

85. С оглед на всички гореизложени съображения предлагам на поставения от Bundesgerichtshof (Федерален върховен съд, Германия) преюдициален въпрос да се отговори по следния начин:

„Член 80, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че допуска национална правна уредба, която позволява на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, като се позовават на забраната за нелоялни търговски практики, нарушението на закон за защита на потребителите или забраната за използване на недействителни общи търговски условия, доколкото с разглеждания представителен иск се цели да бъдат спазени права, които лицата, чиито данни са били предмет на спорно обработване, черпят пряко от този регламент“.

1 Език на оригиналния текст: френски.

2 Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2).

3 Директива на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., p. 31; Специално издание на български език, 2007 г., глава 13, том 10, стр. 10).

4 Вж. решение от 29 юли 2019 г., Fashion ID (С‑40/17, наричано по-нататък „решение Fashion ID“, EU:C:2019:629).

5 Вж. също съображение 142 от този регламент.

6 BGBl. 2004 I, стр. 1414, наричан по-нататък „UWG“.

7 BGBl. 2001 I, стр. 3138, 3173, наричан по-нататък „UklaG“.

8 ОВ L 110, 2009 г., стр. 30.

9 BGBl. 2007 I, стp. 179, наричан по-нататък „TMG“.

10 Представителството на субектите на данни е предвидено и в член 67 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 2018 г., стр. 39), както и в член 55 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89). В тези два случая става въпрос за представителство по възложен мандат.

11 Тази тенденция, конкретизирана по-специално в Директива 2009/22, намира израз в приемането неотдавна на Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета от 25 ноември 2020 година относно представителни искове за защита на колективните интереси на потребителите и за отмяна на Директива 2009/22/ЕО (ОВ L 409, 2020 г., стр. 1). Срокът за транспониране на тази директива е 25 декември 2022 г. Вж. на тази тема Pato, A. Collective Redress Mechanisms in the EU. Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective. Bloomsbury Publishing, London, 2019, 45—117. Вж. още Gsell, B. The New European Directive on Representative Actions for the Collective Interests of Consumers — A Huge, but Blurry Step Forward. — Common Market Law Review, Vol. 58, No 5, Kluwer Law International, Alphen aan den Rijn, 2021, 1365—1400.

12 Вж. решение Fashion ID (т. 63 и диспозитива).

13 Вж. решение Fashion ID (т. 47).

14 Вж. решение Fashion ID (т. 48).

15 Вж. решение Fashion ID (т. 49).

16 Вж. решение Fashion ID (т. 50).

17 Вж. решение Fashion ID (т. 51).

18 Вж. решение Fashion ID (т. 56 и цитираната съдебна практика).

19 Вж. решение Fashion ID (т. 57 и цитираната съдебна практика).

20 Вж. решение Fashion ID (т. 59).

21 Курсивът е мой.

22 Както подчертава Съдът в решение от 15 юни 2021 г., Facebook Ireland и др. (C‑645/19, EU:C:2021:483, т. 44).

23 Видно от преамбюла на Регламент 2016/679, той е приет на основание член 16 ДФЕС, параграф 2 от който предвижда по-специално че Европейският парламент и Съветът, като действат в съответствие с обикновената законодателна процедура, определят правилата, от една страна, за защита на физическите лица по отношение на обработката на личните данни от институциите, органите, службите и агенциите на Съюза, както и от държавите членки при извършване на дейности, които попадат в обхвата на правото на Съюза, и от друга страна, за свободното движение на данните.

24 Ето защо определянето на обхвата на хармонизацията, извършена с норма като Регламент 2016/679, предполага да се извърши „микроанализ, като се разглежда конкретна норма или в най-добрия случай конкретен и ясно определен аспект от правото на Съюза“, вж. заключението на генералния адвокат Bobek по дело Дзивев и др. (C‑310/16, EU:C:2018:623, т. 74). Вж. още Mišćenić, E. et Hoffmann, A.‑L. The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR). — EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Nos 4, 44—61, които отбелязват, че „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them“ (p. 49).

25 Вж. решение от 6 ноември 2003 г., Lindqvist (C‑101/01, EU:C:2003:596, т. 96).

26 По повод Директива 95/46 вж. решение от 6 ноември 2003 г., Lindqvist (C‑101/01, EU:C:2003:596, т. 97). Противно на някои предразсъдъци, изборът на законодателя на Съюза да прибегне по-скоро до регламент, отколкото до директива, не се проявява непременно в пълна хармонизация на разглежданата област. Вж. Mišćenić, E. et Hoffmann, A.‑L., op. cit., които посочват, че „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules“ (p. 48).

27 Вж. по-специално решение от 15 юни 2021 г., Facebook Ireland и др. (C‑645/19, EU:C:2021:483, т. 110 и цитираната съдебна практика). Що се отнася до област, която преди е била уредена с директива, вж. още решение от 21 декември 2011 г., Danske Svineproducenter (C‑316/10, EU:C:2011:863, т. 42), в което Съдът уточнява, че „обстоятелството, че законодателството на Съюза относно защитата на животните при транспортиране към момента се съдържа в регламент, не означава непременно, че понастоящем всяка национална мярка за прилагане на това законодателство би била забранена“.

28 Вж. решение от 27 октомври 1971 г., Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Така Съдът приема, че държава членка, която е избрала да не упражни възможност, предоставена ѝ с регламент, не нарушава член 288 ДФЕС: вж. решение от 17 декември 2015 г., Imtech Marine Belgium (C‑300/14, EU:C:2015:825, т. 27—31). Във връзка с регламент, който въвежда възстановяване при износ, което държавите членки могат да предоставят или да откажат да предоставят, вж. още решение от 27 октомври 1971 г., Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 За отворените клаузи вж. Wagner, J. et Benecke, A. National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law. — European Data Protection Law Review. Lexxion, Berlin, Vol. 2, No 3, 2016, 353—361.

31 Вж. по-специално членове 51 и 84 от Регламент 2016/679.

32 Вж. по-специално член 6, параграфи 2 и 3, член 8, параграф 1, втора алинея, както и членове 85—89 от Регламент 2016/679.

33 На тази тема вж. Mišćenić, E. et Hoffmann, A.‑L., op. cit., които отбелязват, че „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation“ (p. 50 et 51).

34 В член 28, параграф 4 от Директива 95/46 се предвижда единствено възможността сдружение да поеме задължението да подаде иск пред надзорен орган от името на лице, което твърди, че неговите права са нарушени при обработването на лични данни.

35 Все пак с изключение на представителния иск, предявен вследствие на възложен мандат и с цел получаване на обезщетение от името на субектите на данни, който остава факултативен за държавите членки.

36 Вж. по аналогия решение от 21 декември 2011 г., Danske Svineproducenter (C‑316/10, EU:C:2011:863, т. 43).

37 Вж. Pato, A. The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights. National Adaptations of the GDPR. Blogdroiteuropen, Collection Open Access Book, Luxembourg, 2019, 98—106. Според тази авторка „[t]he number of actors who potentially have standing to sue is broad“ и „[c]onsumer associations will usually meet those requirements easily“ (p. 99).

38 Курсивът е мой. Съгласно същата разпоредба „физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност“. Както посочва Martial-Braz, N. Le champ d’application du RGPD. — In: Bensamoun, A. et Bertrand, B. Le règlement général sur la protection des données, Aspects institutionnels et matériels. Mare et Martin, Paris, 2020, 19—33, „възможността за идентифициране се схваща много широко, тъй като критерият за идентифициране на лицето се извежда от всички средства, които разумно могат да бъдат приложени, за да бъде идентифицирано лицето“ (р. 24). Относно понятието „подлежащо на идентификация лице“ по смисъла на член 2, буква а) от Директива 95/46 вж. по-специално решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779).

39 Вж. Boehm, F. Artikel 80 Vertretung von betroffenen Personen. — In: Simitis, S., Hornung, G. et Spiecker Döhmann, I. Datenschutzrecht, DSGVO mit BDSG. Nomos, Baden-Baden, 2019, в частност точка 13.

40 Вж. Frenzel, E. M. Art. 80 Vertretung von betroffenen Personen. — In: Paal, B. P. et Pauly, D. A. Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. ed, C.H. Beck, Munich, 2021, в частност точка 11, както и Kreße, B. Artikel 80 Vertretung von betroffenen Personen .— In: Sydow, G. Europäische Datenschutzverordnung, 2. ed., Nomos, Baden-Baden, 2018, в частност точка 13.

41 Вж. Moos, F., et Schefzig, J. Art. 80 Vertretung von betroffenen Personen. — In: Taeger, J. et Gabel, D. Kommentar DSGVO — BDSG. 3. ed., Deutscher Fachverlag, Frankfurt am Main, 2019, в частност точка 22.

42 По повод неравноправните клаузи в договори между продавачи или доставчици и потребители вж. по-специално решение от 14 април 2016 г., Sales Sinués и Drame Ba (C‑381/14 и C‑385/14, EU:C:2016:252, т. 29).

43 Вж. съображение 33 и член 8, параграф 3, буква а) от Директива 2020/1828, съгласно който „[о]т компетентната структура не се изисква да доказва […] действителна загуба или вреда за отделните потребители, засегнати от нарушението, както е предвидено в член 2, параграф 1“. Освен това, макар член 7, параграф 2 от тази директива да изисква от компетентната структура да предостави на съда или административния орган „достатъчно информация относно заинтересованите от представителния иск потребители“, от съображение 34 от посочената директива следва, че тази информация, чиято степен на подробност може да се различава в зависимост от мярката, която компетентната структура иска, не включва посочването на отделни потребители, засегнати от разглежданото нарушение, а по-скоро информация за мястото, където е настъпило вредоносното събитие, или за групата потребители, заинтересовани от представителния иск (вж. още съображение 65 от Директива 2020/1828). Отбелязвам впрочем, че дори когато представителният иск има за цел да бъдат наложени мерки за обезщетение, съображение 49 от Директива 2020/1828 посочва, че „[о]т компетентната структура не следва да се изисква индивидуално да определи всеки потребител, заинтересован от представителния иск, за да предяви представителен иск“. На тази тема вж. Gsell, B., op. cit., в частност р. 1370.

44 Вж. член 2, параграф 1 от Директива 2020/1828.

45 Вж. съображение 3 от Директива 2009/22, в което се уточнява, че исковете за преустановяване на нарушения, попадащи в нейния обхват, имат за цел защита на „колективните интереси на потребителите“, определени като „интереси, които не представляват обикновен сбор от интереси на отделни лица, които са засегнати от нарушение“. В член 3, точка 3 от Директива 2020/1828 понятието „колективни интереси на потребителите“ е определено като „общия интерес на потребителите, и по-специално за целите на мерките за обезщетение — интересите на група потребители“.

46 Курсивът е мой.

47 Вж. Helberger, N., Zuiderveen Borgesius, F. et Reyna, A. The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law. — Common Market Law Review. Vol. 54, No 5, Kluwer Law International, Alphen aan den Rijn, 2017, 1427—1465, които изтъкват, че „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual“ (p. 1437).

48 Вж. Neun, A. et Lubitzsch, K. Die neue EU-Datenschutz-Grundverordnung — Rechtsschutz und Schadensersatz. Betriebs-Berater, Deutscher Fachverlag, , Frankfurt am Main,, 2017, 2563—2569, в частност p. 2567.

49 Вж. решение от 15 юни 2021 г., Facebook Ireland и др. (C‑645/19, EU:C:2021:483, т. 45).

50 Вж. решение от 15 юни 2021 г., Facebook Ireland и др. (C‑645/19, EU:C:2021:483, т. 91).

51 Вж. заключението на генералния адвокат Bobek по дело Fashion ID (C‑40/17, EU:C:2018:1039, т. 33).

52 За примери на искове, предявени от сдружения за защита на интересите на потребителите, вж. Helberger, N., Zuiderveen Borgesius, F. et Reyna, A., op. cit., в частност p. 1452 et 1453.

53 Относно взаимното допълване между исковете, свързани със защитата на личните данни, и исковете за преустановяване на нелоялни търговски практики вж. van Eijk, N., Hoofnagle, C. J. et Kannekens, E. Unfair Commercial Practices: A Complementary Approach to Privacy Protection. — European Data Protection Law Review. Lexxion, Berlin, Vol. 3, No 3, 2017, 325—337, които изтъкват, че „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective“ (p. 336).

54 Директива на Европейския парламент и на Съвета от 11 май 2005 година относно нелоялни търговски практики от страна на търговци към потребители на вътрешния пазар и изменение на Директива 84/450/ЕИО на Съвета, директиви 97/7/ЕО, 98/27/ЕО и 2002/65/ЕО на Европейския парламент и на Съвета, и Регламент (ЕО) № 2006/2004 на Европейския парламент и на Съвета („Директива за нелоялни търговски практики“) (ОВ L 149, 2005 г., стр. 22; Специално издание на български език, 2007 г., глава 15, том 14, стр. 260). Вж. Работен документ на службите на Комисията — Насоки за въвеждането/прилагането на Директива 2005/29/ЕО относно нелоялните търговски практики, придружаващ Съобщение на Комисията до Европейския парламент, Съвета, Икономическия и социален комитет и Комитета на регионите. Всеобхватен подход за стимулиране на трансграничната електронна търговия в полза на европейските потребители и предприятия (SWD(2016) 163 final), и по-специално точка 1.4.10, стр. 26—31. В него Комисията слага ударение на необходимостта от почтено обработване на данни, което предполага на субекта на данни да се предоставя определена целесъобразна информация, по-специално за целта на разглежданото обработване на данни (стр. 28). Комисията посочва още, че „[н]арушението от страна на търговец на Директива[ 95/46] или на Директива[ 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63)] само по себе си не винаги означава, че практиката е в нарушение и на [Директива 2005/29]“. Въпреки това според Комисията „такива нарушения на защитата на личните данни следва да се вземат предвид при оценката на нелоялността като цяло на търговските практики съгласно [Директива 2005/29], особено в случаите, когато търговецът обработва лични данни на потребителите в нарушение на изискванията за защита на личните данни, т.е. за целите на директен маркетинг или други търговски цели, като например профилиране, формиране на индивидуална цена или приложения за големи информационни масиви“ (стр. 30).

55 На тази тема вж. по-специално Helberger, N., Zuiderveen Borgesius, F. et Reyna, A., op. cit., които отбелязват, че „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets“ (p. 1429). Вж. още van Eijk, N., Hoofnagle, C. J. et Kannekens, E., op. cit., по-специално p. 336. Пример за взаимното допълване между нормите относно защитата на личните данни в сектора на електронните комуникации и нормите, които забраняват нелоялни търговски практики от страна на търговци към потребители, вж. в заключението ми по дело StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Вж. Martial-Braz, N., op. cit., по-конкретно p. 23.

57 Вж. решение от 15 юни 2021 г., Facebook Ireland и др. (C‑645/19, EU:C:2021:483, т. 44).

58 Вж. съображение 14 от Директива 2020/1828, съгласно което тя „следва да защитава само интересите на физически лица, които са били увредени[ от нарушения на разпоредбите на правни актове на Съюза, посочени в приложение I,] или могат да бъдат увредени от тези нарушения, ако тези лица са потребители по смисъла на [тази ]директива“.