Дело C‑319/20

Meta Platforms Ireland Limited, по-рано Facebook Ireland Limited

срещу

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V

(Преюдициално запитване, отправено от Bundesgerichtshof)

Решение на Съда (трети състав) от 28 април 2022 година

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 80 — Представителство на субектите на данни от сдружение с нестопанска цел — Представителен иск, предявен от сдружение за защита на интересите на потребителите без мандат и независимо дали са нарушени конкретни права на субект на данни — Иск, основан на забраната за нелоялни търговски практики, на нарушението на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия“

Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Представителство на субекти на данни — Процесуална легитимация — Сдружение за защита на интересите на потребителите — Представителен иск, предявен от това сдружение без мандат и независимо дали са нарушени конкретни права на субект на данни — Иск, основан на нарушение на норми за защитата на потребителите или на норми за борба с нелоялните търговски практики — Допустимост — Условие

(член 80, параграф 2 от Регламент 2016/679 на Европейския парламент и на Съвета)

(вж. т. 57—60, 63—79 и 83 и диспозитива)

Резюме

Meta Platforms Ireland управлява услугите на онлайн социалната мрежа Facebook и е администратор на лични данни на потребителите на тази мрежа в Съюза. На интернет платформата Facebook, на интернет адрес www.facebook.de, се намира т.нар. „App-Zentrum“ (център за приложения), където Meta Platforms Ireland предлага на потребителите достъп до безплатни игри, предоставени от трети лица. При отварянето на някои от тези игри се появява указание, че използването на съответното приложение позволява на дружеството за игри да получи определени лични данни и го оправомощава да публикува от името на потребителя определена информация. Използвайки това приложение, потребителят приема общите търговски условия и политиката в областта на защита на данните. Освен това за една конкретна игра потребителят бива информиран, че приложението има право да публикува снимки и друга информация от негово име.

Германската федерация на организациите и сдруженията на потребителите ( 1 ) счита, че информацията, предоставяна от съответните игри в центъра за приложения, е нелоялна. Ето защо като орган, който има процесуална легитимация да иска преустановяване на нарушенията на законодателството в областта на защитата на потребителите ( 2 ), Федерацията предявява иск за преустановяване на нарушение срещу Meta Platforms Ireland. Този иск е предявен, без да е налице конкретно нарушение на правото на защита на данни на субект на данни и без мандат от такъв субект. Meta Platforms Ireland подава въззивна жалба срещу решението, с което се уважава този иск, а след отхвърлянето на въззивната жалба подава ревизионна жалба пред Bundesgerichtshof (Федерален върховен съд, Германия). Тъй като изпитва съмнения относно допустимостта на иска на Федерацията, и по-специално относно процесуалната легитимация на Meta Platforms Ireland, тази юрисдикция сезира Съда.

В решението си Съдът приема, че член 80, параграф 2 от Общия регламент относно защитата на данните ( 3 ) допуска възможността сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субект на данни — срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като се позове на нарушаване на забраната за нелоялни търговски практики, на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия. Такъв иск е възможен, когато обработването на данни може да засегне правата, които идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани, черпят от ОРЗД.

Съображения на Съда

Най-напред Съдът припомня, че макар по принцип ОРЗД ( 4 ) да цели да осигури пълна хармонизация на националните законодателства за защита на личните данни, член 80, параграф 2 от този регламент е една от разпоредбите, които оставят на държавите членки свобода на преценка относно прилагането му ( 5 ). Така, за да може да бъде предявен предвиденият в тази разпоредба представителен иск без мандат в областта на защита на личните данни, държавите членки трябва да използват предоставената им от тази разпоредба възможност да предвидят в националното си право условията и реда за представителството на субектите на данни. Възползвайки се от тази възможност обаче, държавите членки трябва да използват свободата си на преценка при условията и в пределите, предвидени в ОРЗД, и да приемат законодателство, което да не засяга съдържанието и целите на този регламент.

По-нататък Съдът подчертава, че като дава възможност на държавите членки да предвидят механизъм за представителни искове срещу предполагаемия извършител на посегателство срещу защитата на лични данни, член 80, параграф 2 от ОРЗД предвижда определени изисквания, които трябва да се спазват. Така, първо, активната процесуална легитимация е призната на структура, организация или сдружение, които отговарят на критериите, изброени в ОРЗД ( 6 ). В обхвата на това понятие може да попадне сдружение за защита на интересите на потребителите, каквото е Федерацията, което преследва цел от обществен интерес, а именно да се гарантират правата и свободите на субектите на данни в качеството им на потребители, тогава когато постигането на тази цел може да бъде свързано със защитата на техните лични данни. Второ, за предявяването на посочения представителен иск е необходимо разглежданото образувание — независимо дали има възложен мандат — да счита, че правата, които даден субект на данни черпи от ОРЗД, са били нарушени в резултат на обработването на негови лични данни.

Така, от една страна, предявяването на представителен иск ( 7 ) не изисква разглежданото образувание да идентифицира предварително и конкретно субекта на данни, засегнат от обработване на данни, за което се твърди, че противоречи на разпоредбите на ОРЗД. За тази цел определянето на категория или група лица, засегнати от такова обработване, също може да е достатъчно ( 8 ).

От друга страна, предявяването на подобен иск не изисква наличието на конкретно нарушение на правата, които дадено лице черпи от ОРЗД. Всъщност, за да се признае активна процесуална легитимация на дадено образувание, е достатъчно да се твърди, че съответното обработване на данни може да засегне правата, които идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, черпи от посочения регламент, без да е необходимо да се доказва, че субектът на данни е претърпял действителна и конкретна вреда в резултат на нарушаването на правата му. Така предвид преследваната от ОРЗД цел оправомощаването на сдружения за защита на интересите на потребителите, като Федерацията, да предявяват чрез механизъм за правна защита представителни искове за преустановяване на обработване, което противоречи на разпоредбите на ОРЗД, независимо дали са нарушени правата на лице, което е лично и конкретно засегнато от това нарушение, безспорно допринася за укрепването на правата на субектите на данни и за гарантирането на високо равнище на защита.

Накрая Съдът уточнява, че с нарушаването на норма за защита на лични данни могат същевременно да се нарушат норми за защитата на потребителите или норми относно нелоялните търговски практики. Всъщност ОРЗД ( 9 ) позволява на държавите членки да упражнят правото си да предвидят, че сдруженията за защита на интересите на потребителите са оправомощени да предявят иск за преустановяване на нарушение на предвидените в ОРЗД права посредством норми, които имат за цел защита на потребителите или борба с нелоялните търговски практики.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (наричана по-нататък „Федерацията“).

( 2 ) По силата на германското право законите за защита на потребителите включват и нормите, които определят законосъобразността на събирането, обработването или използването на лични данни на потребител от предприятие или от търговец.

( 3 ) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“). Съгласно член 80, параграф 2 „[д]ържавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от [този] член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно [този] регламент са били нарушени в резултат на обработването на лични данни“.

( 4 ) Както следва от член 1, параграф 1 във връзка със съображения 9, 10 и 13 от този регламент.

( 5 ) В приложение на „отворени клаузи“.

( 6 ) По-специално член 80, параграф 1 от ОРЗД. В тази разпоредба се говори за „структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес, и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни“.

( 7 ) Съгласно член 80, параграф 2 от ОРЗД.

( 8 ) По-специално с оглед на обхвата на понятието „субект на данни“, предвидено в член 4, точка 1 от ОРЗД, което обхваща както „идентифицирано физическо лице“, така и „физическо лице, което може да бъде идентифицирано“.

( 9 ) По-специално член 80, параграф 2 от ОРЗД.