–

za Meta Platforms Ireland Limited, H.-G. Kamannem, M. Braunem a H. Freyem, Rechtsanwälte, jakož i V. Wettner, Rechtsanwältin,

–

za Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., P. Wassermannem, Rechtsanwalt,

–

za německou vládu D. Klebsem a J. Möllerem, jako zmocněnci,

–

za rakouskou vládu A. Poschem a G. Kunnertem, jakož i J. Schmoll, jako zmocněnci,

–

za portugalskou vládu L. Inez Fernandesem, jakož i C. Vieira Guerra, P. Barros da Costa a L. Medeiros, jako zmocněnci,

–

za Evropskou komisi původně F. Erlbacherem, H. Kranenborgem a D. Nardim, poté F. Erlbacherem a H. Kranenborgem, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 80 odst. 1 a 2 a čl. 84 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi společností Meta Platforms Ireland Limited, dříve Facebook Ireland Limited, jejíž sídlo se nachází v Irsku, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., (Spolková unie center a sdružení na ochranu zájmů spotřebitelů; dále jen „Spolková unie“), ve věci porušení, ze strany společnosti Meta Platform Ireland, německých právních předpisů v oblasti ochrany osobních údajů, což současně představuje nekalou obchodní praktiku, a dále porušení zákona v oblasti ochrany spotřebitelů a porušení zákazu používání neúčinných všeobecných obchodních podmínek.

3

Body 9, 10, 13 a 142 GDPR zní takto:

[…]

[…]

4

Článek 1 uvedeného nařízení, nadepsaný „Předmět a cíle“ v odstavci 1 stanoví:

„Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.“

5

Článek 4 bod 1 GDPR stanoví:

„Pro účely tohoto nařízení se rozumí:

6

Kapitola III GDPR, která obsahuje články 12 až 23, je nadepsána „Práva subjektu údajů“.

7

Článek 12 tohoto nařízení, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, v odstavci 1 stanoví:

„Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.“

8

Článek 13 GDPR, nadepsaný „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“, v odst. 1 písm. c) a e) stanoví:

„Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

[…]

[…]

9

Kapitola VIII uvedeného nařízení, která obsahuje články 77 až 84, je nadepsána „Právní ochrana, odpovědnost a sankce“.

10

Článek 77 GDPR, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví:

„Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

11

Článek 78 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.“

12

Článek 79 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

13

Článek 80 GDPR, nadepsaný „Zastupování subjektů údajů“, zní takto:

„1.   Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

2.   Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

14

Článek 82 uvedeného nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavci 1 stanoví:

„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

15

Článek 84 GDPR, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

16

Cílem směrnice Evropského parlamentu a Rady 2005/29/ES ze dne 11. května 2005 o nekalých obchodních praktikách vůči spotřebitelům na vnitřním trhu a o změně směrnice Rady 84/450/EHS, směrnic Evropského parlamentu a Rady 97/7/ES, 98/27/ES a 2002/65/ES a nařízení Evropského parlamentu a Rady (ES) č. 2006/2004 (směrnice o nekalých obchodních praktikách) (Úř. věst. 2005, L 149, s. 22) je podle jejího článku 1 přispět k řádnému fungování vnitřního trhu a dosáhnout vysoké úrovně ochrany spotřebitele sblížením právních a správních předpisů členských států týkajících se nekalých obchodních praktik, které poškozují ekonomické zájmy spotřebitelů.

17

Článek 5 směrnice 2005/29, nadepsaný „Zákaz nekalých obchodních praktik“, stanoví:

„1.   Nekalé obchodní praktiky jsou zakázány.

2.   Obchodní praktika je nekalá, pokud

[…]

5.   V příloze I je uveden výčet obchodních praktik, které jsou považovány za nekalé za všech okolností. […]“

18

Článek 11 odst. 1 uvedené směrnice, nadepsaný „Vynucování“, stanoví:

„1.   Členské státy zajistí, aby v zájmu spotřebitelů existovaly vhodné a účinné prostředky pro boj proti nekalým obchodním praktikám v zájmu zajištění souladu s touto směrnicí.

Tyto prostředky zahrnují právní předpisy, jež umožní osobám nebo organizacím, které mají podle vnitrostátních právních předpisů oprávněný zájem na boji proti nekalým obchodním praktikám, včetně soutěžitelů, aby

Každému členskému státu je vyhrazeno rozhodnutí o tom, která z těchto možností bude dostupná a zda umožní soudům nebo správním orgánům požadovat, aby byly nejprve využity jiné stanovené prostředky pro vyřizování stížností, včetně prostředků uvedených v článku 10. Tyto možnosti existují bez ohledu na to, zda jsou postižení spotřebitelé na území členského státu, v němž se obchodník nachází, nebo v jiném členském státě.

[…]“

19

Příloha I směrnice 2005/29, která obsahuje výčet obchodních praktik, jež jsou za všech okolností považovány za nekalé, v bodě 26 stanoví:

„Vytrvalé a nevyžádané nabídky prostřednictvím telefonu, faxu, e-mailu nebo jiných prostředků přenosu na dálku, kromě situací a v rozsahu odůvodněném podle vnitrostátních právních předpisů za účelem vymáhání smluvních závazků. Tím ne[ní] dotčen[a] […] směrnice 95/46/ES[…].“

20

Článek 1 směrnice Evropského parlamentu a Rady 2009/22/ES ze dne 23. dubna 2009 o žalobách na zdržení se jednání v oblasti ochrany zájmů spotřebitelů (Úř. věst. 2009, L 110, s. 30), nadepsaný „Oblast působnosti“, stanoví:

„1.   Cílem této směrnice je sbližování právních a správních předpisů členských států týkajících se žalob na zdržení se jednání ve smyslu článku 2, kterými jsou chráněny kolektivní zájmy spotřebitelů v působnosti směrnice uvedené v příloze I, aby se tak zajistilo řádné fungování vnitřního trhu.

2.   Pro účely této směrnice se porušováním předpisů rozumí každé jednání, které je v rozporu se směrnicemi uvedenými v příloze I tak, jak byly provedeny ve vnitrostátním právním řádu členských států, a které narušuje kolektivní zájmy spotřebitelů podle odstavce 1.“

21

Článek 7 směrnice 2009/22, nadepsaný „Ustanovení poskytující rozsáhlejší oprávnění“, zní takto:

„Tato směrnice nebrání členským státům přijímat nebo ponechat v platnosti ustanovení, která poskytují oprávněným subjektům, jakož i jiným dotčeným osobám na vnitrostátní úrovni rozsáhlejší oprávnění podávat návrhy na zahájení řízení.“

22

Příloha I směrnice 2009/22 obsahuje seznam unijních směrnic podle článku 1 uvedené směrnice. V bodě 11 uvedené přílohy je zmíněna směrnice 2005/29.

23

Body 11, 13 a 15 odůvodnění směrnice Evropského parlamentu a Rady (EU) 2020/1828 ze dne 25. listopadu 2020 o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů a o zrušení směrnice 2009/22 (Úř. věst. 2020, L 409, s. 1) uvádějí:

[…]

[…]

24

Článek 2 uvedené směrnice, nadepsaný „Oblast působnosti“, stanoví v odstavci 1 následující:

„Tato směrnice se použije na zástupné žaloby podané ve věci porušení ustanovení práva Unie uvedených v příloze I ze strany obchodníků, včetně těchto ustanovení provedených ve vnitrostátním právu, která poškozují nebo mohou poškodit kolektivní zájmy spotřebitelů. Touto směrnicí nejsou dotčena ustanovení práva Unie uvedená v příloze I. […]“

25

Článek 24 odst. 1 uvedené směrnice, nadepsaný „Provedení ve vnitrostátním právu“, stanoví:

„1. Členské státy do 25. prosince 2022 přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.

Použijí tyto předpisy ode dne 25. června 2023.

[…]“

26

Příloha I směrnice 2020/1828, která obsahuje seznam ustanovení práva Unie, na něž se odkazuje v čl. 2 odst. 1, uvádí v bodě 56 GDPR.

27

Podle ustanovení § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (zákon o žalobách na zdržení se jednání v oblasti porušování spotřebitelského práva a jiného protiprávního jednání) ze dne 26. listopadu 2001 (BGBl. 2001 I, s. 3138), ve znění použitelném na spor v původním řízení (dále jen „zákon o žalobách na zdržení se jednání“):

„(1)   Proti každému, kdo poruší právní předpisy na ochranu spotřebitele (zákony o ochraně spotřebitele) jinak než za uplatnění nebo doporučení všeobecných prodejních podmínek, může být podána žaloba na zdržení se jednání v zájmu ochrany spotřebitele. […]

(2)   Ve smyslu tohoto ustanovení se zákony o ochraně spotřebitele rozumí zejména

[…]

11. předpisy upravující zákonnost

28

Bundesgerichtshof (Spolkový soudní dvůr, Německo) uvádí, že podle § 3 odst. 1 první věty bodu 1 zákona o žalobách na zdržení se jednání mohou subjekty, které mají aktivní legitimaci ve smyslu ustanovení § 4 tohoto zákona, jednak požadovat podle ustanovení § 1 uvedeného zákona ukončení používání neplatných všeobecných podmínek podle ustanovení § 307 Bürgerliches Gesetzbuch (občanský zákoník) a jednak požadovat ukončení porušování právních předpisů v oblasti ochrany spotřebitele ve smyslu ustanovení § 2 odst. 2 téhož zákona.

29

Ustanovení § 3 odst. 1 Gesetz gegen den unlauteren Wettbewerb (zákon o zákazu nekalé soutěže), ze dne 3. července 2004, ve znění použitelném na spor v původním řízení (dále jen „zákon o zákazu nekalé soutěže“), stanoví:

„Nekalé obchodní praktiky jsou zakázány.“

30

Ustanovení § 3 zákona proti nekalé soutěži zní takto:

„Nekalého jednání se dopustí ten, kdo jedná v rozporu s právním předpisem, který je určen zejména ke stanovení pravidel chování na trhu v zájmu jeho účastníků, jestliže porušení právního předpisu může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

31

Ustanovení § 8 zákona o nekalé soutěži stanoví:

„(1)   Vůči každému, kdo uplatňuje obchodní praktiky, které jsou podle § 3 nebo § 7 protiprávní, se lze domáhat toho, aby těchto praktik zanechal nebo je v případě hrozící recidivy neopakoval. […]

[…]

(3)   Nároky podle odstavce 1 mohou být uplatněny:

[…]

32

Bundesgerichtshof (Spolkový soudní dvůr) uvádí, že ustanovení § 13 odst. 1 Telemediengesetz (zákon o službách elektronických informací a komunikací) ze dne 26. února 2007 (BGBl. 2007 I, s. 179) bylo použitelné až do nabytí účinnosti GDPR. Od uvedeného data bylo uvedené ustanovení nahrazeno články 12 až 14 GDPR.

33

Podle ustanovení § 13 odst. 1 první věty zákona o elektronických médiích:

„Poskytovatel služeb na začátku využívání těchto služeb uživatele všeobecně srozumitelnou formou poučí o způsobu, rozsahu a účelech shromažďování a používání osobních údajů, jakož i o zpracovávání jeho údajů ve státech, které nespadají do oblasti působnosti směrnice 95/46[…], pokud tak neučinil již dříve.“

34

Společnost Meta Platforms Ireland, která spravuje nabídku služeb internetové sociální sítě Facebook v Unii, je správcem osobních údajů uživatelů této sociální sítě v Unii. Společnost Facebook Germany GmbH, která má sídlo v Německu, propaguje na adrese www.facebook.de prodej reklamního prostoru. Internetová platforma Facebook obsahuje zejména na internetové adrese www.facebook.de prostor nazvaný „App-Zentrum“ (Centrum aplikací), na kterém společnost Meta Platforms Ireland poskytuje uživatelům bezplatné hry poskytované třetími osobami. Při spuštění některých z uvedených her v Centru aplikací se uživatelům zobrazí informace, podle které použití dotčené aplikace opravňuje společnost, která tyto hry poskytla, k získání určitých osobních údajů, jakož i k tomu, aby jménem uživatele zveřejňovala některé informace, například bodové skóre uživatele. Důsledkem tohoto použití je to, že uživatel souhlasí s všeobecnými obchodními podmínkami a pravidly zmíněné společnosti v oblasti ochrany údajů. V případě jedné konkrétní hry bylo navíc uvedeno, že aplikace může jménem uživatele zveřejňovat oznámení o statusu, fotografie a další informace.

35

Spolková unie, která je aktivně legitimována podle ustanovení § 4 zákona o žalobách na zdržení se jednání, má za to, že informace poskytnuté dotčenými hrami v prostoru Centrum aplikací jsou zavádějící, zejména z hlediska nesplnění zákonných podmínek, které platí pro získání platného souhlasu uživatele na základě ustanovení upravujících ochranu údajů. Kromě toho má za to, že informace, podle které se aplikaci povoluje zveřejnit jménem uživatele určité jeho osobní informace, představuje obecnou podmínku, která uživatele nepřiměřeně znevýhodňuje.

36

V této souvislosti podala Spolková unie k Landgericht Berlin (zemský soud v Berlíně, Německo) zdržovací žalobu na zdržení proti společnosti Meta Platforms Ireland na základě ustanovení § 3a zákona o zákazu nekalé soutěže, ustanovení § 2 odst. 2 první věty bodu 11 zákona o žalobách na zdržení se jednání, jakož i na základě občanského zákoníku. Tato žaloba byla podána nezávisle na konkrétním porušení práv určitého subjektu údajů v oblasti ochrany údajů a bez zmocnění uděleného takovým subjektem.

37

V rozhodnutí přijatém proti společnosti Meta Platforms Ireland vyhověl Landgericht Berlin (zemský soud v Berlíně) návrhovým žádáním, jež vznesla Spolková unie. Odvolání, které podala společnost Meta Platforms Ireland ke Kammergericht Berlin (Vrchní zemský soud v Berlíně, Německo), bylo zamítnuto. Společnost Meta Platforms Ireland tedy podala proti zamítavému rozhodnutí odvolacího soudu k předkládajícímu soudu opravný prostředek „Revision“.

38

Předkládající soud má za to, že žaloba Spolkové unie je opodstatněná, jelikož společnost Meta Platforms Ireland porušila ustanovení § 3a zákona o zákazu nekalé soutěže, jakož i ustanovení § 2 odst. 2 první větu bod 11 zákona o žalobách na zdržení se jednání, a použila neplatnou všeobecnou podmínku ve smyslu ustanovení § 1 zákona o žalobách na zdržení se jednání.

39

Uvedený soud má však pochybnosti o přípustnosti žaloby Spolkové unie. Má totiž za to, že není vyloučeno, že Spolková unie, která byla skutečně aktivně legitimována ke dni podání žaloby – na základě ustanovení § 8 odst. 3 zákona o zákazu nekalé soutěže a ustanovení § 3 odst. 1 první věty bodu 1 zákona o žalobách na zdržení se jednání – ztratila aktivní legitimaci v průběhu řízení po vstupu v platnost GDPR, a zejména jeho čl. 80 odst. 1 a 2, jakož i čl. 84 odst. 1. Pokud by tomu tak bylo, musel by předkládající soud vyhovět opravnému prostředku „Revision“ podanému společností Meta Platforms Ireland a zamítnout žalobu Spolkové unie, neboť podle příslušných procesních ustanovení německého práva musí aktivní legitimace trvat až do skončení řízení v posledním stupni.

40

Podle předkládajícího soudu odpověď v tomto ohledu jasně nevyplývá z posouzení znění, systematiky ani cíle ustanovení GDPR.

41

Pokud jde o znění ustanovení GDPR, předkládající soud uvádí, že existence aktivní legitimace neziskových subjektů, organizací nebo sdružení, které byly platně založeny v souladu s právem členského státu na základě čl. 80 odst. 1 GDPR, předpokládá, že subjekt údajů pověřil subjekt, organizaci nebo sdružení k tomu, aby jejím jménem uplatnila práva uvedená v článcích 77 až 79 GDPR a právo na náhradu škody podle článku 82 GDPR, pokud to stanoví právo členského státu.

42

Předkládající soud přitom zdůrazňuje, že aktivní legitimace podle ustanovení § 8 odst. 3 bodu 3 zákona o zákazu nekalé soutěže nepředpokládá takovou žalobu na základě zmocnění a jménem subjektu údajů k uplatnění jeho subjektivních práv. Naopak přiznává sdružení na základě práva, které je mu vlastní a které vyplývá z ustanovení § 3 odst. 1, jakož i z ustanovení § 3a zákona o zákazu nekalé soutěže, aktivní legitimaci za účelem podání žaloby proti porušení ustanovení GDPR bez ohledu na porušení konkrétních práv dotčených osob a jimi udělených zmocnění.

43

Kromě toho předkládající soud poznamenává, že čl. 80 odst. 2 GDPR nestanoví aktivní legitimaci sdružení za účelem objektivního uplatnění práva na ochranu osobních údajů, jelikož toto ustanovení vychází z předpokladu, že práva subjektu údajů stanovená v GDPR byla skutečně porušena v důsledku zvláštního zpracování údajů.

44

Mimoto taková aktivní legitimace sdružení, jako je aktivní legitimace stanovená v § 8 odst. 3 zákona o zákazu nekalé soutěže, nevyplývá podle názoru předkládajícího soudu ani z čl. 84 odst. 1 GDPR, v němž se stanoví, že členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Aktivní legitimaci takového sdružení, jako je sdružení uvedené v ustanovení § 8 odst. 3 zákona o zákazu nekalé soutěže, totiž nelze považovat za „sankci“ ve smyslu tohoto ustanovení GDPR.

45

Pokud jde o systematiku ustanovení GDPR, předkládající soud má za to, že ze skutečnosti, že toto ustanovení harmonizovalo zejména pravomoci orgánů dozoru, lze vyvodit, že je na těchto orgánech, aby prověřovaly dodržování ustanovení tohoto nařízení. Formulace „[a]niž jsou dotčeny jakékoliv jiné prostředky ochrany“, která je uvedena v čl. 77 odst. 1, v čl. 78 odst. 1 a 2 a v čl. 79 odst. 1 GDPR, by mohla vyvrátit hypotézu týkající se vyčerpávající právní úpravy pravidel týkajících se prosazování práva stanovené ve výše uvedeném nařízení.

46

Pokud jde o cíl ustanovení GDPR, předkládající soud uvádí, že jejich užitečný účinek by mohl hovořit ve prospěch existence aktivní legitimace sdružení vycházející z práva hospodářské soutěže, v souladu s § 8 odst. 3 bodem 3 zákona proti nekalé soutěži, nezávisle na porušení konkrétních práv subjektů údajů, vzhledem k tomu, že by tak zůstala zachována doplňková možnost vymáhání práva, aby v souladu s bodem 10 odůvodnění GDPR byla zajištěna co možná nejvyšší úroveň ochrany osobních údajů. Přípustnost aktivní legitimace sdružení vycházející z práva hospodářské soutěže by nicméně mohla být vnímána jakožto neslučitelná s cílem spočívajícím v harmonizaci, jejž sleduje GDPR.

47

Za těchto podmínek Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku:

„Brání ustanovení obsažená v kapitole VIII, především v čl. 80 odst. 1 a 2, jakož i čl. 84 odst. 1 [RGPD] vnitrostátním ustanovením, která – vedle pravomocí zasáhnout svěřených dozorovým úřadům odpovědným za monitorování a prosazování tohoto nařízení a možností právní ochrany, které mají subjekty údajů – přiznávají jednak konkurentům a jednak sdružením, subjektům a komorám oprávněným podle vnitrostátního práva oprávnění podat pro porušení [RGPD] nezávisle na porušení konkrétních práv jednotlivých subjektů údajů a bez pověření subjektu údajů proti porušiteli u občanskoprávních soudů žalobu založenou na zákazu nekalých obchodních praktik nebo na porušení zákona na ochranu spotřebitelů nebo na zákazu používání neúčinných všeobecných obchodních podmínek?“

48

Úvodem je třeba poznamenat, že jak vyplývá zejména z bodu 36, jakož i z bodů 41 až 44 tohoto rozsudku, spor v původním řízení probíhá mezi takovým sdružením na ochranu zájmů spotřebitelů, jako je Spolková unie, a společností Meta Platforms Ireland, a týká se otázky, zda takové sdružení může podat žalobu proti uvedené společnosti bez zmocnění, které by mu bylo uděleno pro tyto účely, a nezávisle na porušení konkrétních práv dotčených osob.

49

Za těchto podmínek, jak právem uvedla Komise ve svém písemném vyjádření, závisí odpověď na předběžnou otázku pouze na výkladu čl. 80 odst. 2 GDPR, jelikož ustanovení čl. 80 odst. 1 GDPR a čl. 84 GDPR nejsou v projednávaném případě relevantní. Použití čl. 80 odst. 1 GDPR totiž předpokládá, že subjekt údajů pověřil neziskový subjekt, organizaci nebo sdružení uvedené v tomto ustanovení, aby jejím jménem přijala právní opatření stanovená v článcích 77 až 79 GDPR. Je přitom nesporné, že v rámci věci v původním řízení tomu tak není, jelikož Spolková unie jedná nezávisle na jakémkoliv pověření subjektu údajů. Dále je nesporné, že článek 84 GDPR se týká správních a trestních sankcí za porušení uvedeného nařízení, o což se v původním řízení rovněž nejedná.

50

Kromě toho je třeba uvést, že ve věci v původním řízení nevyvstává otázka aktivní legitimace soutěžitele. Proto je třeba odpovědět pouze na část otázky, která se týká aktivní legitimace subjektů, organizací a sdružení oprávněných podle vnitrostátního práva uvedených v čl. 80 odst. 2 GDPR.

51

Z toho vyplývá, že otázka položená předkládajícím soudem musí být chápána tak, že jejím cílem je v podstatě zjistit, zda čl. 80 odst. 2 GDPR musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která umožňuje sdružení na ochranu zájmů spotřebitelů podat žalobu při neexistenci zmocnění, které by mu bylo uděleno za tímto účelem, a nezávisle na porušení konkrétních práv subjektu údajů proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že došlo k porušení zákazu nekalých obchodních praktik, zákona na ochranu spotřebitelů či zákazu použití neplatných všeobecných podmínek.

52

Za účelem odpovědi na tuto otázku je třeba připomenout, jak vyplývá z bodu 10 odůvodnění GDPR, že cílem uvedeného nařízení je zejména zajistit v celé Unii soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů a odstranit překážky bránící pohybu osobních údajů v rámci Unie.

53

V tomto kontextu kapitola VIII uvedeného nařízení upravuje zejména opravné prostředky, které umožňují chránit práva subjektu údajů, pokud osobní údaje, které se ho týkají, byly zpracovány údajně v rozporu s ustanoveními uvedeného nařízení. Ochrana těchto práv tak může být požadována buď přímo subjektem údajů, nebo subjektem oprávněným v případě, že za tímto účelem existuje nebo neexistuje pověření na základě článku 80 GDPR.

54

Subjekt údajů má tedy především právo podat sám stížnost k orgánu dozoru členského státu nebo podat žalobu k vnitrostátním civilním soudům. Konkrétně má tento subjekt právo podat stížnost orgánu dozoru v souladu s článkem 77 GDPR, právo na účinnou soudní ochranu proti orgánu dozoru na základě článku 78 GDPR, právo na účinnou soudní ochranu proti správci nebo zpracovateli podle článku 79 GDPR a právo získat od správce nebo zpracovatele náhradu utrpěné újmy podle článku 82 GDPR.

55

Dále podle čl. 80 odst. 1 GDPR má dotyčná osoba právo pověřit za určitých podmínek neziskový subjekt, organizaci nebo sdružení k tomu, aby podávaly stížnost nebo uplatnil práva uvedená ve výše uvedených článcích jejím jménem.

56

Konečně podle čl. 80 odst. 2 GDPR mohou členské státy stanovit, že každý subjekt, organizace nebo sdružení bez ohledu na pověření udělené subjektem údajů má v dotčeném členském státě právo podat stížnost orgánu dozoru podle článku 77 tohoto nařízení a vykonávat práva uvedená v článcích 78 a 79 tohoto nařízení, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.

57

V tomto ohledu je třeba uvést, že jak vyplývá z čl. 1 odst. 1 GDPR ve spojení zejména s bodem 9, 10 a 13 odůvodnění, cílem uvedeného nařízení je zajistit v zásadě úplnou harmonizaci vnitrostátních právních předpisů týkajících se ochrany osobních údajů. Ustanovení uvedeného nařízení však členským státům dávají možnost stanovit další přísnější nebo odchylná vnitrostátní pravidla, která ponechávají členským státům prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována („ustanovení o výjimce“).

58

Je totiž třeba připomenout, že podle ustálené judikatury Soudního dvora mají ustanovení nařízení – na základě článku 288 SFEU a z důvodu samotné povahy nařízení a jejich funkce v systému pramenů unijního práva – ve vnitrostátních právních řádech obecně bezprostřední účinek, aniž je třeba, aby vnitrostátní orgány přijaly prováděcí opatření. Nicméně některá z těchto ustanovení mohou pro účely svého uplatnění vyžadovat přijetí prováděcích opatření členskými státy (rozsudek ze dne 15. června 2021, Facebook Ireland a další, C‑645/19, EU:C:2021:483, bod 110, jakož i citovaná judikatura).

59

Tak je tomu zejména v případě čl. 80 odst. 2 GDPR, který ponechává členským státům prostor pro uvážení, pokud jde o jeho provedení. K tomu, aby bylo možné podat zástupnou žalobu bez pověření v oblasti ochrany osobních údajů stanovené v tomto ustanovení, musí členské státy využít možnosti, kterou jim poskytuje dané ustanovení, stanovit ve vnitrostátním právu tento způsob zastupování subjektů údajů.

60

Jak však uvedl generální advokát v bodech 51 a 52 svého stanoviska, pokud členské státy využijí možnosti, kterou jim přiznává takové otevřené ustanovení, musí využít svého prostoru pro uvážení za podmínek a v mezích stanovených ustanoveními GDPR a musí vykonávat legislativní činnost způsobem, který nezasáhne do obsahu a cílů uvedeného nařízení.

61

V projednávané věci, jak potvrdila německá vláda na jednání v projednávané věci, německý zákonodárce po vstupu GDPR v platnost nepřijal zvláštní ustanovení specificky směřující k provedení čl. 80 odst. 2 tohoto nařízení do vnitrostátního práva. Vnitrostátní právní úprava dotčená ve věci v původním řízení, přijatá za účelem zajištění provedení směrnice 2009/22, již totiž umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému původci porušení ochrany osobních údajů. Uvedená vláda kromě toho zdůrazňuje, že Soudní dvůr v rozsudku ze dne 29. července 2019, Fashion ID (C‑40/17, EU:C:2019:629), který se týkal výkladu ustanovení směrnice 95/46, rozhodl, že uvedená ustanovení nebrání této vnitrostátní právní úpravě.

62

Za těchto podmínek, jak uvedl generální advokát v bodě 60 svého stanoviska, je třeba v podstatě ověřit, zda vnitrostátní pravidla dotčená ve věci v původním řízení spadají do prostoru pro uvážení přiznaného každému členskému státu ustanovením čl. 80 odst. 2 GDPR, a vykládat tak toto ustanovení s ohledem na jeho znění, jakož i systematiku a cíle uvedeného nařízení.

63

V tomto ohledu je třeba uvést, že čl. 80 odst. 2 GDPR umožňuje členským státům stanovit mechanismus zástupných žalob vůči údajnému původci porušení ochrany osobních údajů, přičemž stanoví řadu požadavků na úrovni osobní a věcné působnosti, které musí být za tímto účelem dodrženy.

64

Pokud jde zaprvé o osobní působnost takového mechanismu, aktivní legitimace je přiznána subjektu, organizaci nebo sdružení, které splňují kritéria uvedená v čl. 80 odst. 1 GDPR. Konkrétně toto ustanovení odkazuje na „neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů“.

65

Je přitom třeba konstatovat, že takové sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, může pod tento pojem spadat, jelikož sleduje cíl veřejného zájmu spočívající v zajištění práv a svobod subjektů údajů jakožto spotřebitelů, jelikož dosažení takového cíle může souviset s ochranou osobních údajů těchto osob.

66

Porušení pravidel určených k ochraně spotřebitelů nebo k boji proti nekalým obchodním praktikám – porušení, kterým se sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, snaží předcházet a která se snaží sankcionovat, zejména podáním žaloby na zdržení se jednání podle platných vnitrostátních právních předpisů – může být totiž spojeno, jako v projednávaném případě, s porušením pravidel na ochranu osobních údajů uvedených spotřebitelů.

67

Pokud jde zadruhé o věcnou působnost uvedeného mechanismu, předpokladem pro použití zástupné žaloby podle čl. 80 odst. 2 GDPR subjektem, který splňuje podmínky uvedené v odstavci 1 téhož článku, je, že tento subjekt bez ohledu na jakékoli pověření, které mu bylo uděleno, „má za to, že práva subjektu údajů stanovená v [tomto] nařízení byla porušena zpracováním“ jeho osobních údajů.

68

V tomto ohledu je třeba zaprvé upřesnit, že pro účely podání zástupné žaloby ve smyslu čl. 80 odst. 2 GDPR nelze po takovém subjektu požadovat, aby provedl předchozí individuální identifikaci subjektu konkrétně dotčeného zpracováním údajů, které je údajně v rozporu s ustanoveními GDPR.

69

Stačí totiž uvést, že pojem „subjekt údajů“ ve smyslu čl. 4 bodu 1 uvedeného nařízení zahrnuje nejen „identifikovanou fyzickou osobu“, ale rovněž „identifikovatelnou fyzickou osobu“, tj. fyzickou osobu, „kterou lze přímo či nepřímo identifikovat“ s použitím takového identifikátoru, jako je zejména jméno, identifikační číslo, lokalizační údaje nebo identifikační údaj on-line. Za těchto podmínek může být označení kategorie nebo skupiny osob dotčených takovým zpracováním rovněž dostačující pro účely podání takové zástupné žaloby.

70

Zadruhé podle čl. 80 odst. 2 GDPR není výkon zástupné žaloby podmíněn ani existencí konkrétního porušení práv, která osobě vyplývají z pravidel v oblasti ochrany údajů.

71

Jak totiž vyplývá ze samotného znění daného ustanovení, připomenutého v bodě 67 tohoto rozsudku, podání zástupné žaloby předpokládá pouze to, že uvedený subjekt „má za to“, že práva subjektu údajů stanovená v uvedeném nařízení byla porušena v důsledku zpracování jeho osobních údajů, a poukazuje tedy na existenci zpracování údajů, které je v rozporu s ustanoveními uvedeného nařízení.

72

Z toho vyplývá, že k tomu, aby byla takovému subjektu přiznána aktivní legitimace na základě uvedeného ustanovení, stačí uvést, že dotčené zpracování údajů může ovlivnit práva, která pro identifikované nebo identifikovatelné fyzické osoby vyplývají z uvedeného nařízení, aniž by bylo nezbytné prokazovat skutečnou újmu způsobenou subjektu údajů v určité situaci zásahem do jeho práv.

73

Takový výklad je v souladu s požadavky vyplývajícími z článku 16 SFEU a z článku 8 Listiny základních práv Evropské unie, a tedy s cílem sledovaným GDPR, který spočívá v zajištění účinné ochrany základních práv a svobod fyzických osob, jakož i zejména v zajištění vysoké úrovně ochrany práva každého na ochranu osobních údajů, které se ho týkají (v tomto smyslu viz rozsudek ze dne 15. června 2021, Facebook Ireland a další, C‑645/19, EU:C:2021:483, body 44, 45 a 91).

74

Oprávnění takových sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, podat prostřednictvím mechanismu zástupné žaloby směřující k ukončení zpracování údajů, které je v rozporu s ustanoveními daného nařízení, nezávisle na porušení práv osoby individuálně a konkrétně dotčené tímto porušením, přispívá nesporně k posílení práv dotčených osob a k zajištění vysoké úrovně ochrany.

75

Kromě toho je třeba uvést, že podání takové zástupné žaloby, která umožňuje předejít velkému počtu porušení práv subjektů dotčených zpracováním jejich osobních údajů, by mohlo být účinnější než žaloba, kterou může podat jediná osoba individuálně a konkrétně dotčená porušením svého práva na ochranu svých osobních údajů proti původci daného porušení.

76

Jak totiž uvedl generální advokát v bodě 76 svého stanoviska, preventivní funkce žalob podávaných takovými sdruženími na ochranu zájmů spotřebitelů, jako je Spolková unie, by nemohla být zajištěna, pokud by zástupná žaloba upravená v čl. 80 odst. 2 GDPR umožnila dovolávat se pouze porušení práv osoby individuálně a konkrétně dotčené daným porušením.

77

Zatřetí je třeba ještě ověřit, jak žádá předkládající soud, zda čl. 80 odst. 2 GDPR brání podání zástupné žaloby nezávisle na konkrétním porušení práva subjektu údajů a zmocnění uděleném tímto subjektem údajů, pokud bylo porušení pravidel v oblasti ochrany údajů tvrzeno v rámci žaloby usilující o přezkum použití jiných právních pravidel, jejichž cílem je zajistit ochranu spotřebitele.

78

V tomto ohledu je třeba bez dalšího uvést, jak bylo v podstatě poznamenáno v bodě 66 tohoto rozsudku, že porušení pravidla týkajícího se ochrany osobních údajů může vést současně k porušení pravidel týkajících se ochrany spotřebitele nebo k nekalým obchodním praktikám.

79

Jak uvedl generální advokát v bodě 72 stanoviska, dané ustanovení tedy nebrání tomu, aby členské státy využily možnosti, kterou jim nabízí, v tom smyslu, že sdružení na ochranu zájmů spotřebitelů jsou oprávněny podat žalobu proti porušování práv stanovených GDPR případně prostřednictvím pravidel, jejichž cílem je chránit spotřebitele nebo bojovat proti nekalým obchodním praktikám, jako jsou praktiky stanovené směrnicí 2005/29 a směrnicí 2009/22.

80

Tento výklad čl. 80 odst. 2 GDPR je dále potvrzen směrnicí 2020/1828, která ke dni 25. června 2023 zrušuje a nahrazuje směrnici 2009/22. V tomto kontextu je třeba poznamenat, že v souladu s čl. 2 odst. 1 směrnice 2020/1828, se uvedená směrnice se použije na zástupné žaloby podané ve věci porušení ze strany obchodníků právních předpisů Unie uvedených v příloze I, která v bodě 56 uvádí GDPR.

81

Je pravda, že směrnice 2020/1828 není v rámci sporu v původním řízení použitelná a lhůta pro její provedení ještě neuplynula. Obsahuje však několik formulací, které potvrzují, že článek 80 GDPR nebrání podávání doplňujících zástupných žalob v oblasti ochrany spotřebitele.

82

Jak totiž vyplývá z bodu 11 odůvodnění uvedené směrnice, i když je možné stanovit doplňující procesní mechanismy zástupných žalob v oblasti ochrany spotřebitele, prováděcí mechanismy stanovené v GDPR nebo založené na něm, jako je mechanismu stanovený v článku 80 uvedeného nařízení, nemohou být nahrazeny ani změněny, jak upřesňuje bod 15 odůvodnění dané směrnice, a mohou být použity za účelem ochrany kolektivních zájmů spotřebitelů.

83

S ohledem na všechny výše uvedené úvahy je třeba na položenou otázku odpovědět tak, že čl. 80 odst. 2 GDPR musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružení na ochranu zájmů spotřebitelů podat žalobu při neexistenci zmocnění, které by mu bylo uděleno za tím účelem, a bez ohledu na porušení konkrétních práv dotčených osob, proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že byl porušen zákaz nekalých obchodních praktik, zákon na ochranu spotřebitele nebo zákaz používání neplatných všeobecných obchodních podmínek, pokud se dané zpracování údajů může dotknout práv, která identifikovaným nebo identifikovatelným fyzickým osobám vyplývají z tohoto nařízení.

84

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto:

Článek 80 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů) musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružení na ochranu zájmů spotřebitelů podat žalobu při neexistenci zmocnění, které by mu bylo uděleno za tím účelem, a bez ohledu na porušení konkrétních práv dotčených osob, proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že byl porušen zákaz nekalých obchodních praktik, zákon na ochranu spotřebitele nebo zákaz používání neplatných všeobecných obchodních podmínek, pokud se dané zpracování údajů může dotknout práv, která identifikovaným nebo identifikovatelným fyzickým osobám vyplývají z tohoto nařízení.