–

за Meta Platforms Ireland Limited, от H.‑G. Kamann, M. Braun и H. Frey, Rechtsanwälte, както и от V. Wettner, Rechtsanwältin,

–

за Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., от P. Wassermann, Rechtsanwalt,

–

за немското правителство, от D. Klebs и J. Möller,

–

за австрийското правителство, от A. Posch, G. Kunnert и J. Schmoll,

–

за португалското правителство, от L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa и L. Medeiros,

–

за Европейската комисия, първоначално от F. Erlbacher, H. Kranenborg и D. Nardi, а впоследствие от F. Erlbacher и H. Kranenborg,

1

Преюдициалното запитване се отнася до тълкуването на член 80, параграфи 1 и 2 и на член 84, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на спор между Meta Platforms Ireland Limited, по-рано Facebook Ireland Limited, със седалище в Ирландия, и Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Федерация на организациите и сдруженията на потребителите, Германия) (наричана по-нататък „Федерацията“) относно нарушаването от страна на Meta Platforms Ireland на германското законодателство за защита на личните данни, което едновременно съставлява нелоялна търговска практика, нарушение на закон за защита на потребителите и нарушение на забраната за използване на недействителни общи търговски условия.

3

Съображения 9, 10, 13 и 142 от ОРЗД гласят:

[…]

[…]

4

Член 1 от този регламент, озаглавен „Предмет и цели“, предвижда в параграф 1:

„С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни“.

5

Съгласно член 4, точка 1 от ОРЗД:

„За целите на настоящия регламент:

6

Глава III от ОРЗД, която включва членове 12—23, е озаглавена „Права на субекта на данни“.

7

Член 12 от този регламент, озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“, предвижда в параграф 1:

„Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства“.

8

Член 13 от ОРЗД, озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“, предвижда в параграф 1, букви в) и д):

„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

[…]

9

Глава VIII от посочения регламент, която включва членове 77—84, е озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“.

10

Член 77 от ОРЗД, озаглавен „Право на подаване на жалба до надзорен орган“, предвижда в параграф 1:

„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.

11

Член 78 от ОРЗД, озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, предвижда в параграф 1:

„Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган“.

12

Член 79 от ОРЗД, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

13

Член 80 от ОРЗД, озаглавен „Представителство на субектите на данни“, гласи следното:

„1.   Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.

2.   Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.

14

Член 82 от този регламент, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграф 1:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

15

Член 84 от ОРЗД, озаглавен „Санкции“, предвижда в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

16

Съгласно член 1 от Директива 2005/29/ЕО на Европейския парламент и на Съвета от 11 май 2005 година относно нелоялни търговски практики от страна на търговци към потребители на вътрешния пазар и изменение на Директива 84/450/ЕИО на Съвета, директиви 97/7/EО, 98/27/EО и 2002/65/EО на Европейския парламент и на Съвета, и Регламент (EО) № 2006/2004 на Европейския парламент и на Съвета („Директива за нелоялни търговски практики“) (ОВ L 149, 2005 г., стр. 22; Специално издание на български език, 2007 г., глава 15, том 14, стр. 260) тя има за цел да допринесе за правилното функциониране на вътрешния пазар и постигане на високо ниво на защита на потребителите чрез сближаване на законовите, подзаконови и административни разпоредби на държавите членки по отношение на нелоялните търговски практики, накърняващи икономическите интереси на потребителите.

17

Съгласно член 5 от Директива 2005/29, озаглавен „Забрана за нелоялни търговски практики“:

„1.   Забраняват се нелоялните търговски практики.

2.   Една търговска практика е нелоялна, ако:

[…]

5.   Приложение I съдържа списъка на тези търговски практики, които се считат за нелоялни при всякакви обстоятелства. […]“.

18

Член 11, параграф 1 от тази директива, озаглавен „Въвеждане в действие“, предвижда:

„1.   Държавите членки осигуряват достатъчни и резултатни средства за борба срещу нелоялни търговски практики, с оглед постигане на съответствие с разпоредбите на настоящата директива в интерес на потребителите.

Такива средства включват законови разпоредби, съгласно които лица или организации придобили по силата на националното законодателство правен интерес към борбата с нелоялни търговски практики, включително конкуренти, могат:

Всяка държава членка решава кои от тези средства за защита да предостави и дали да даде възможност на съдилищата или административните органи да изискват предварително изчерпване на другите правни инструменти за разглеждане на жалби, включително онези по член 10. Тези средства за защита […] трябва да са достъпни независимо дали засегнатите потребители са на територията на държавата членка, където е регистриран търговеца, или в друга държава членка.

[…]“.

19

Приложение I към Директива 2005/29, което съдържа списъка на търговските практики, които се считат за нелоялни при всички обстоятелства, предвижда в точка 26:

„Извършване на упорито и нежелано увещаване по телефон, факс, електронна поща или други дистанционни медии, освен при обстоятелства и в степен, предвидени от националното законодателство, с оглед изпълнение на договорно задължение. Това е без да се засягат разпоредбите на […] Директива 95/46/ЕО […]“.

20

Съгласно член 1 от Директива 2009/22/ЕО на Европейския парламент и на Съвета от 23 април 2009 година относно исковете за преустановяване на нарушения с цел защита на интересите на потребителите (ОВ L 110, 2009 г., стр. 30), озаглавен „Приложно поле“:

„1.   Целта на настоящата директива е да сближи законовите, подзаконовите и административните разпоредби на държавите членки по отношение на посочените в член 2 искове за преустановяване на нарушения, целящи защита на колективните интереси на потребителите, посочени в директивите, изброени в приложение I, с оглед осигуряване безпрепятственото функциониране на вътрешния пазар.

2.   За целите на настоящата директива нарушение означава всяко действие, противоречащо на директивите, изброени в приложение I, така както са транспонирани в националния правопорядък на държавите членки, което уврежда колективните интереси, посочени в параграф 1“.

21

Член 7 от Директива 2009/22, озаглавен „Разпоредби, предоставящи по-широки права на действие“, гласи следното:

„Настоящата директива не препятства държавите членки да приемат или запазят разпоредби, целящи предоставяне на компетентните структури и на всички други заинтересовани лица на по-широки права на действие на национално равнище“.

22

Приложение I към Директива 2009/22 съдържа списък на директивите на Съюза, посочени в член 1 от нея. В точка 11 от това приложение е посочена Директива 2005/29.

23

Съображения 11, 13 и 15 от Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета от 25 ноември 2020 година относно представителни искове за защита на колективните интереси на потребителите и за отмяна на Директива 2009/22/ЕО (ОВ L 409, 2020 г., стр. 1) гласят:

[…]

[…]

24

Член 2 от тази директива, озаглавен „Обхват“, предвижда в параграф 1:

„Настоящата директива се прилага за представителни искове, предявени срещу нарушения от страна на търговци на разпоредбите на правото на Съюза, посочени в приложение I, включително такива разпоредби, както са транспонирани в националното право, които увреждат или могат да увредят колективните интереси на потребителите. Настоящата директива не засяга разпоредбите на правните актове на Съюза, посочени в приложение I. […]“.

25

Член 24, параграф 1 от посочената директива, озаглавен „Транспониране“, гласи:

„Държавите членки приемат и публикуват до 25 декември 2022 г. законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива. Те незабавно информират Комисията за това.

Те прилагат тези мерки от 25 юни 2023 г.

[…]“.

26

В точка 56 от приложение I към Директива 2020/1828, което съдържа списък с разпоредбите на правните актове на Съюза, посочени в член 2, параграф 1 от нея, е посочен ОРЗД.

27

Съгласно член 2 от Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Закон за исковете за преустановяване на нарушения във връзка с потребителски и други права) от 26 ноември 2001 г. (BGBl. 2001 г. I, стр. 3138), в приложимата му към спора в главното производство редакция (наричан по-нататък „Законът за исковете за преустановяване нарушения“):

„(1)   В интерес на потребителите иск за преустановяване на нарушението и иск за забрана на съответните практики може да се предяви срещу всяко лице, което по начин, различен от прилагането или препоръчването на общи търговски условия, нарушава разпоредби, имащи за цел защитата на потребителите (закони за защита на потребителите). […]

(2)   По смисъла на тази разпоредба „закони за защита на потребителите“ са по-специално:

[…]

11. разпоредбите относно критериите за законосъобразност на:

28

Bundesgerichtshof (Федерален върховен съд, Германия) посочва, че по силата на член 3, параграф 1, първо изречение, точка 1 от Закона за исковете за преустановяване на нарушения структурите, които имат активна процесуална легитимация по смисъла на член 4 от този закон, могат, от една страна, съгласно член 1 от UKlaG да предявяват иск за преустановяване на използването на недействителни общи търговски условия на основание член 307 от Bürgerliches Gesetzbuch (Граждански кодекс) и от друга страна, да предявят иск за преустановяване на нарушения на законодателството в областта на защитата на потребителите по смисъла на член 2, параграф 2 от същия закон.

29

Член 3, параграф 1 от Gesetz gegen den unlauteren Wettbewerb (Закон за мерките срещу нелоялната конкуренция) от 3 юли 2004 г. (BGBl. 2004 г. I, стр. 1414), в приложимата му към спора в главното производство редакция (наричан по-нататък „Закон за мерките срещу нелоялната конкуренция“), гласи:

„Забраняват се нелоялните търговски практики“.

30

Член 3а от Закона за мерките срещу нелоялната конкуренция има следния текст:

„Който нарушава законова разпоредба, предназначена в частност да регулира поведението на пазара в интерес на участниците на пазара, и нарушението може да засегне съществено интересите на потребители, на други участници на пазара или на конкуренти, извършва акт на нелоялна конкуренция“.

31

Член 8 от Закона за мерките срещу нелоялната конкуренция гласи:

„(1)   Всяка незаконна търговска практика по член 3 или член 7 може да доведе до постановяване на разпореждане за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. […]

[…]

(3)   Исканията за постановяване на разпорежданията по параграф 1 могат да се предявят от:

[…]

32

Bundesgerichtshof (Федерален върховен съд) посочва, че член 13, параграф 1 от Telemediengesetz (Закон за електронните медии) от 26 февруари 2007 г. (BGBl. 2007 г. I, стр. 179), е бил приложим до влизането в сила на ОРЗД. Оттогава посочената разпоредба е заменена с членове 12—14 от ОРЗД.

33

Съгласно член 13, параграф 1, първо изречение от Закона за електронните медии:

„Ако ползвателят все още не е съответно информиран, със започването на процеса на ползване доставчикът на услуги е длъжен по общоразбираем начин да го информира за способа, обхвата и целите на събирането и използването на лични данни, както и за обработването на неговите данни в държави, които не попадат в приложното поле на [Директива 95/46]“.

34

Meta Platforms Ireland, което управлява услугите на онлайн социалната мрежа Facebook в Съюза, е администратор на лични данни на потребителите на тази социална мрежа в Съюза. Facebook Germany GmbH, със седалище в Германия, рекламира на адрес www.facebook.de продажбата на рекламно пространство. На интернет платформата Facebook, и по-специално на интернет адрес www.facebook.de, се намира т.нар. „App-Zentrum“ (център за приложения), където Meta Platforms Ireland предлага на потребителите достъп до безплатни игри, предоставени от трети лица. При отварянето на някои от игрите в центъра за приложения се появява указание, че използването на съответното приложение позволява на дружеството за игри да получи определени лични данни и го оправомощава да публикува от името на потребителя определена информация, като например неговия резултат, както и друга информация. Използването предполага съгласието на потребителя с общите търговски условия на приложението и с неговите правила за защита на данните. Освен това за една конкретна игра се посочва, че приложението има право да публикува статуса, снимки и друга информация от името на потребителя.

35

Според Федерацията, която има активна процесуална легитимация съгласно член 4 от Закона за исковете за преустановяване на нарушения, указанията, предоставяни от съответните игри в центъра за приложения, са нелоялни по-специално поради неспазването на правните изисквания за получаване на валидно съгласие от потребителя съгласно разпоредбите, регламентиращи защитата на данните. Освен това тя счита, че указанието, че приложението има право да публикува определена лична информация от името на потребителя, е неоправдано неблагоприятно за потребителя общо търговско условие.

36

В този контекст Федерацията предявява пред Landgericht Berlin (Областен съд Берлин, Германия) иск за преустановяване на нарушенията срещу Meta platforms Ireland на основание член 3 от Закона за мерките срещу нелоялната конкуренция, член 2, параграф 2, първо изречение, точка 11 от Закона за исковете за преустановяване на нарушения и Гражданския кодекс. Този иск е предявен без оглед на конкретно нарушение на права на субект на данни и без мандат от такъв субект.

37

Landgericht Berlin (Областен съд Берлин) осъжда Meta Platforms Ireland в съответствие с исканията на Федерацията. Подадената от Meta Platforms Ireland пред Kammergericht Berlin (Висш областен съд Берлин, Германия) въззивна жалба е отхвърлена. Тогава Meta Platforms Ireland подава пред запитващата юрисдикция ревизионна жалба срещу решението на въззивния съд.

38

Запитващата юрисдикция счита, че искът на Федерацията е основателен, тъй като Meta Platforms Ireland е нарушило член 3а от Закона за мерките срещу нелоялната конкуренция, както и член 2, параграф 2, първо изречение, точка 11 от Закона за исковете за преустановяване на нарушения и е използвало недействително общо търговско условие по смисъла на член 1 от Закона за исковете за преустановяване на нарушения.

39

Запитващата юрисдикция обаче изпитва съмнения относно допустимостта на иска на Федерацията. Всъщност според нея не е изключено Федерацията, която към момента на предявяване на иска си е била процесуално легитимирана на основание член 8, параграф 3 от Закона за мерките срещу нелоялната конкуренция и член 3, параграф 1, първо изречение, точка 1 от Закона за исковете за преустановяване на нарушения, да е загубила тази легитимация в хода на производството след влизането в сила на ОРЗД, и по-специално на член 80, параграфи 1 и 2 и член 84, параграф 1 от него. Ако случаят е такъв, запитващата юрисдикция би трябвало да уважи подадената от Meta Platforms Ireland ревизионна жалба и да отхвърли иска на Федерацията, тъй като съгласно релевантните разпоредби на германското процесуално право активната процесуална легитимация трябва да е налице до приключване на делото пред последната инстанция.

40

Според запитващата юрисдикция преценката на текста, общия дух и целта на разпоредбите на ОРЗД не дава ясен отговор на този въпрос.

41

Що се отнася до текста на разпоредбите на ОРЗД, запитващата юрисдикция посочва, че съгласно член 80, параграф 1 от ОРЗД, за активната процесуална легитимация на структури, организации или сдружения с нестопанска цел, които са надлежно учредени в съответствие с правото на държава членка, е необходимо субектът на данни да е възложил мандат на структура, организация или сдружение да упражнява от негово име правата по членове 77—79 от ОРЗД и правото на обезщетение по член 82 от ОРЗД, когато то е предвидено в правото на държавата членка.

42

Запитващата юрисдикция подчертава обаче, че активната процесуална легитимация по член 8, параграф 3, точка 3 от Закона за мерките срещу нелоялната конкуренция не дава възможност да се предяви такъв иск въз основа на предоставен от субект на данни мандат и от негово име с цел защита на неговите лични права. Напротив, тя предоставяла на сдружение — на собствено основание, което произтича от член 3, параграф 1 и член 3а от Закона за мерките срещу нелоялната конкуренция — обективно конституирана активна процесуална легитимация за предявяване на иск за нарушение на разпоредбите на ОРЗД, независимо дали е налице нарушение на конкретни права на отделни субекти на данни и дали да е възложен мандат от такива субекти.

43

Освен това запитващата юрисдикция посочва, че член 80, параграф 2 от ОРЗД не предвижда обективно конституирана активна процесуална легитимация на сдружение да иска прилагане на правото на защита на личните данни, тъй като тази разпоредба изисква предвидените в ОРЗД права на субекта на данни да са били действително нарушени при обработването на лични данни.

44

Освен това според запитващата юрисдикция активната процесуална легитимация на сдружение като предвидената в член 8, параграф 3 от Закона за мерките срещу нелоялната конкуренция не може да се изведе от член 84, параграф 1 от ОЗДР, съгласно който държавите членки определят правила за други санкции, приложими за нарушения на този регламент, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Всъщност активната процесуална легитимация на сдружение като посочената в член 8, параграф 3 от Закон за мерките срещу нелоялната конкуренция не можела да се счита за „санкция“ по смисъла на тази разпоредба от ОРЗД.

45

Що се отнася до общия дух на разпоредбите на ОРЗД, запитващата юрисдикция счита, че от факта, че този регламент хармонизира по-специално правомощията на надзорните органи, може да се заключи, че най-вече тези органи трябва да контролират прилагането на разпоредбите на посочения регламент. Въпреки това вметнатият израз „[б]ез да се засягат които и да било други […] средства за правна защита“, използван в член 77, параграф 1, член 78, параграфи 1 и 2 и член 79, параграф 1 от ОРЗД, би могъл да обори тезата, че посоченият регламент урежда изчерпателно контрола на правоприлагането.

46

Що се отнася до целта на разпоредбите на ОРЗД, запитващата юрисдикция посочва, че полезното му действие би могло да бъде в подкрепа на наличието на активна процесуална легитимация на сдруженията по силата на конкурентното право съгласно член 8, параграф 3, точка 3 от Закон за мерките срещу нелоялната конкуренция независимо от нарушаването на конкретни права на субекти на данни, доколкото това би запазило една допълнителна възможност за контрол на правоприлагането с цел гарантиране на възможно най-високо равнище на защита на личните данни в съответствие със съображение 10 от ОРЗД. Въпреки това би могло да се счита, че признаването на активна процесуална легитимация на сдруженията по силата на конкурентното право противоречи на целта за хармонизация, която си поставя ОРЗД.

47

При тези обстоятелства Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Допускат ли разпоредбите на глава VIII от [ОРЗД], и по-специално тези на член 80, параграфи 1 и 2 и на член 84, параграф 1 от него, национална правна уредба, която — наред с правомощията за намеса на надзорните органи, компетентни за наблюдението и прилагането на Регламента, и възможностите за правна защита на субектите на данни — предоставя, от една страна, на конкуренти и от друга страна, на оправомощени съгласно националното право сдружения, структури и камари правомощие да предявяват граждански искове при нарушения на [ОРЗД] — без оглед на конкретно нарушение на права на определени субекти на данни и без възложен от субект на данни мандат — на основание на забраната за нелоялни търговски практики, нарушение на закон за защита на потребителите или забраната да се използват недействителни общи търговски условия?“.

48

Най-напред трябва да се отбележи, че както следва по-специално от точка 36 и от точки 41—44 от настоящото решение, спорът в главното производство е между сдружение за защита на интересите на потребителите, каквото е Федерацията, и Meta Platforms Ireland и се отнася до въпроса дали такова сдружение може да предяви иск срещу това дружество, без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субекти на данни.

49

При тези обстоятелства, както правилно отбелязва Комисията в писменото си становище, отговорът на преюдициалния въпрос зависи от тълкуването само на член 80, параграф 2 от ОРЗД, тъй като разпоредбите на член 80, параграф 1 от ОРЗД и на член 84 от ОРЗД не са приложими в случая. Всъщност, от една страна, за прилагането на член 80, параграф 1 от ОРЗД е необходимо субектът на данни да е възложил мандат на посочената в тази разпоредба структура, организация или сдружение с нестопанска цел да предприеме от негово име правните мерки, предвидени в членове 77—79 от ОРЗД. Безспорно е обаче, че случаят в главното производство не е такъв, тъй като Федерацията действа, без да ѝ е възложен мандат от субекта на данни. От друга страна, безспорно е, че член 84 от ОРЗД се отнася до налаганите за нарушаването на този регламент административни и наказателни санкции, които също не са предмет на главното производство.

50

Освен това трябва да се отбележи, че в делото в главното производство не се поставя въпросът за активната процесуална легитимация на конкурент. Ето защо следва да се отговори само на тази част от въпроса, която се отнася до активната процесуална легитимация на посочените в член 80, параграф 2 от ОРЗД сдружения, структури и камари, които са оправомощени съгласно националното право.

51

От това следва, че поставеният от запитващата юрисдикция въпрос трябва да се разбира в смисъл, че по същество цели да се установи дали член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че не допуска национална правна уредба, която позволява на сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субект на данни — срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като се позове на нарушаване на забраната за нелоялни търговски практики, на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия.

52

За да се отговори на този въпрос, трябва да се припомни, че както следва от съображение 10 от ОРЗД, той има за цел по-специално да се гарантира последователното и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни и да се премахнат препятствията пред движението на лични данни в Съюза.

53

В този контекст глава VIII от този регламент урежда по-специално способите за защита на правата на субекта на данни, когато негови лични данни са били подложени на обработване, за което се твърди, че противоречи на разпоредбите на посочения регламент. Така защитата на тези права може да се иска или пряко от субекта на данни, или съгласно член 80 от ОРЗД — от оправомощено образувание, със или без мандат за тази цел.

54

Следователно, най-напред, самият субект на данни има право да подаде жалба пред надзорен орган на държава членка или иск пред националните граждански съдилища. По-конкретно този субект има съответно право да подаде жалба до надзорен орган съгласно член 77 от ОРЗД, право на ефективна съдебна защита срещу надзорен орган съгласно член 78 от ОРЗД, право на ефективна съдебна защита срещу администратор или обработващ лични данни съгласно член 79 от ОРЗД и право да получи от администратора или обработващия лични данни предвиденото в член 82 от ОРЗД обезщетение за претърпените вреди.

55

По-нататък, съгласно член 80, параграф 1 от ОРЗД субектът на данни има право да възложи при определени условия на структура, организация или сдружение с нестопанска цел да подаде жалба от негово име и да упражни от негово име правата по предходните членове.

56

Накрая, съгласно член 80, параграф 2 от ОРЗД държавите членки могат да предвидят всяка структура, организация и сдружение, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно този регламент са били нарушени в резултат на обработването на лични данни.

57

В това отношение следва да се отбележи, че както следва от член 1, параграф 1 от ОРЗД, тълкуван по-специално в светлината на съображения 9, 10 и 13, този регламент цели да осигури пълна хармонизация на националните законодателства за защита на лични данни. Разпоредбите на посочения регламент обаче дават възможност на държавите членки да предвидят допълнителни — по-строги или дерогиращи — национални правила, които им оставят свобода на преценка относно начина на прилагане на тези разпоредби („отворени клаузи“).

58

Всъщност следва да се припомни, че съгласно постоянната практика на Съда по силата на член 288 ДФЕС и с оглед на самото естество на регламентите и тяхната функция в системата от източници на правото на Съюза разпоредбите на регламентите по общо правило имат непосредствено действие в националните правни системи, без да е необходимо националните органи да приемат мерки за прилагането им. При все това някои от тези разпоредби могат да налагат приемането на национални мерки за прилагане от държавите членки (решение от 15 юни 2021 г., Facebook Ireland и др., C‑645/19, EU:C:2021:483, т. 110 и цитираната съдебна практика).

59

Това се отнася по-специално за член 80, параграф 2 от ОРЗД, който оставя на държавите членки свобода на преценка относно неговото прилагане. Така, за да може да бъде предявен предвиденият в тази разпоредба представителен иск без мандат в областта на защита на личните данни, държавите членки трябва да използват предоставената им от тази разпоредба възможност да предвидят в националното си право условията и реда за такова представителство на субектите на данни.

60

Както обаче отбелязва генералният адвокат в точки 51 и 52 от заключението си, когато упражняват предоставената им с такава отворена клауза възможност, държавите членки трябва да използват свободата си на преценка при условията и в пределите, предвидени в разпоредбите на ОРЗД, и следователно трябва да приемат законодателство, което да не засяга съдържанието и целите на този регламент.

61

В случая, както бе потвърдено от германското правителство в съдебното заседание за изслушване на устните състезания по настоящото дело, след влизането в сила на ОРЗД германският законодател не е приел специални разпоредби за прилагане конкретно на член 80, параграф 2 от този регламент в националното право. Всъщност разглежданата в главното производство национална правна уредба, която е приета за транспонирането на Директива 2009/22, вече позволява на сдруженията за защита на интересите на потребителите да предявят иск срещу предполагаемия извършител на посегателство срещу защитата на лични данни. Германското правителство подчертава също, че в решението си от 29 юли 2019 г.Fashion ID (C‑40/17, EU:C:2019:629), което се отнася до тълкуването на разпоредбите на Директива 95/46, Съдът е постановил, че тези разпоредби допускат тази национална правна уредба.

62

При тези обстоятелства, както посочва генералният адвокат в точка 60 от заключението си, по същество трябва да се провери дали разглежданите в главното производство национални разпоредби попадат в пределите на свободата на преценка, призната на всяка държава членка с член 80, параграф 2 от ОРЗД, и следователно тази разпоредба трябва да се тълкува, като се вземат предвид по-специално нейният текст, както и общият дух и целите на този регламент.

63

В това отношение трябва да се посочи, че член 80, параграф 2 от ОРЗД предоставя възможност на държавите членки да предвидят механизъм за представителни искове срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като същевременно определя редица изисквания за персоналния и материалния обхват, които трябва да бъдат спазвани за тази цел.

64

На първо място, що се отнася до персоналния обхват на такъв механизъм, активната процесуална легитимация е призната на структура, организация или сдружение, които отговарят на критериите по член 80, параграф 1 от ОРЗД. В член 80, параграф 1 от този регламент се говори за „структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес, и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни“.

65

Следва да се констатира обаче, че сдружение за защита на интересите на потребителите, каквото е Федерацията, може да попадне в обхвата на това понятие, тъй като то преследва цел от обществен интерес, а именно да се гарантират правата и свободите на субектите на данни в качеството им на потребители, тогава когато постигането на тази цел може да бъде свързано със защитата на техните лични данни.

66

Всъщност нарушението на правилата за защита на потребителите или за борба с нелоялните търговски практики — нарушение, което сдружение за защита на интересите на потребителите, каквото е Федерацията, се стреми да предотврати и да санкционира по-специално чрез предвидения в приложимата национална правна уредба иск за преустановяване на нарушение — може да бъде свързано, както в случая, с нарушение на правилата за защита на личните данни на тези потребители.

67

На второ място, що се отнася до материалния обхват на посочения механизъм, за предявяването на представителния иск по член 80, параграф 2 от ОРЗД от образувание, което отговаря на условията по параграф 1 от същия член, е необходимо това образувание, независимо дали има възложен мандат, да „счита, че правата на субект на данни съгласно [този] регламент са били нарушени в резултат на обработването на лични данни“.

68

В това отношение следва да се уточни, първо, че за целите на предявяване на представителен иск по член 80, параграф 2 от ОРЗД не може да се изисква от това образувание да идентифицира предварително и конкретно субекта на данни, засегнат от обработване на данни, за което се твърди, че противоречи на разпоредбите на ОРЗД.

69

Всъщност достатъчно е да се посочи, че понятието „субект на данни“ по смисъла на член 4, точка 1 от този регламент обхваща не само „идентифицирано физическо лице“, но и „физическо лице, което може да бъде идентифицирано“, тоест физическо лице, „което може да бъде идентифицирано“, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение или онлайн идентификатор. При тези обстоятелства определянето на категория или група лица, засегнати от такова обработване, също може да е достатъчно за предявяването на такъв представителен иск.

70

Второ, съгласно член 80, параграф 2 от ОРЗД за предявяването на представителен иск не е необходимо да е налице конкретно нарушение на правата, които дадено лице черпи от правните норми за защита на данни.

71

Всъщност, както следва от самия текст на тази разпоредба, припомнен в точка 67 от настоящото решение, за предявяването на представителен иск е необходимо само посоченото образувание да „счита“, че предвидените в този регламент права на субект на данни са били нарушени в резултат на обработването на неговите лични данни, и следователно да твърди, че е налице обработване на данни в нарушение на разпоредбите на този регламент.

72

От това следва, че за да се признае активна процесуална легитимация на такова образувание по силата на посочената разпоредба, е достатъчно да се твърди, че съответното обработване на данни може да засегне правата, които идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, черпи от посочения регламент, без да е необходимо да се доказва, че субектът на данни е претърпял действителна и конкретна вреда в резултат на нарушаването на правата му.

73

Подобно тълкуване е в съответствие с изискванията, произтичащи от член 16 ДФЕС и член 8 от Хартата на основните права на Европейския съюз, а по този начин и с целта на ОРЗД, а именно да се осигури ефективна защита на основните парва и свободи на физическите лица, и в частност да се гарнира високо равнище на защита на правото на всяко лице на защита на неговите лични данни (вж. в този смисъл решение от 15 юни 2021 г., Facebook Ireland и др., C‑645/19, EU:C:2021:483, т. 44, 45 и 91).

74

Оправомощаването на сдружения за защита на интересите на потребителите, като Федерацията, да предявяват чрез механизъм за правна защита представителни искове за преустановяване на обработване, което противоречи на разпоредбите на този регламент, независимо дали са нарушени правата на лице, което е лично и конкретно засегнато от това нарушение, безспорно допринася за укрепването на правата на субектите на данни и за гарантирането на високо равнище на защита.

75

Освен това следва да се отбележи, че доколкото позволява да се предотвратят множество нарушения на правата на субектите на данни поради обработването на личните им данни, предявяването на такъв представителен иск може да се окаже по-ефективно от иска, който едно-единствено лице, което е лично и конкретно засегнато от нарушаването на правото му на защита на неговите лични данни, може да предяви срещу извършителя на това нарушение.

76

Всъщност, както отбелязва генералният адвокат в точка 76 от заключението си, превантивната функция на исковете, предявявани от сдружения за защита на интересите на потребителите, като Федерацията, не би могла да се гарантира, ако представителният иск, предвиден в член 80, параграф 2 от ОРДЗ, позволява да се изтъква само нарушението на правата на лице, което е лично и конкретно засегнато от това нарушение.

77

На трето място, следва също така да се провери, както иска запитващата юрисдикция, дали член 80, параграф 2 от ОРЗД не допуска предявяването на представителен иск, независимо дали е налице конкретно нарушение на право на субект на данни и възложен от него мандат, когато нарушаването на правилата за защита на данните е изтъкнато в рамките на иск за контрол върху прилагането на други правни норми, предназначени да гарантират защитата на потребителите.

78

В това отношение най-напред трябва да се посочи, че както бе отбелязано по същество в точка 66 от настоящото решение, с нарушаването на норма за защита на лични данни могат същевременно да се нарушат норми за защитата на потребителите или норми относно нелоялните търговски практики.

79

Ето защо, както отбелязва генералният адвокат в точка 72 от заключението си, тази разпоредба допуска държавите членки да упражнят предоставената им от нея възможност, като сдруженията за защита на интересите на потребителите бъдат оправомощени да предявят иск за преустановяване на нарушение на предвидените в ОРЗД права, което оправомощаване може да се извърши и чрез норми, които имат за цел защита на потребителите или борба с нелоялните търговски практики като предвидените в Директива 2005/29 и Директива 2009/22.

80

Впрочем това тълкуване на член 80, параграф 2 от ОРЗД се подкрепя от Директива 2020/1828, която, считано от 25 юни 2023 г., отменя и заменя Директива 2009/22. В този контекст следва да се отбележи, че съгласно член 2, параграф 1 от Директива 2020/1828 тя се прилага за представителни искове, предявени във връзка с извършени от търговци или доставчици нарушения на разпоредбите на правото на Съюза, посочени в приложение I към тази директива, в точка 56 от което се споменава ОРЗД.

81

Вярно е, че Директива 2020/1828 не е приложима към спора по главното производство, а срокът за транспонирането ѝ все още не е изтекъл. Тя обаче съдържа редица елементи, които потвърждават, че член 80 от ОРЗД не е пречка за предявяването на допълнителни представителни искове в областта на защитата на потребителите.

82

Всъщност, макар, както следва от съображение 11 от тази директива, все пак да е възможно да се предвидят процесуален механизъм за допълнителни представителни искове за защита на потребителите, механизмите за прилагане, предвидени или основаващи се на ОРЗД, като предвидения в член 80 от този регламент, не могат да бъдат заменени или изменени, както се уточнява в съображение 15 от посочената директива, и следователно могат да се използват за защита на колективните интереси на потребителите.

83

С оглед на всички изложени по-горе съображения на поставения въпрос следва да се отговори, че член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че допуска национална правна уредба, която позволява на сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субекти на данни — срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като се позове на нарушаване на забраната за нелоялни търговски практики, на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия, когато съответното обработване на данни може да засегне правата, които идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани, черпят от този регламент.

84

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

Член 80, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че допуска национална правна уредба, която позволява на сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субекти на данни — срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като се позове на нарушаване на забраната за нелоялни търговски практики, на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия, когато съответното обработване на данни може да засегне правата, които идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани, черпят от този регламент.