Věc C‑319/20

Meta Platforms Ireland Limited, dříve Facebook Ireland Limited

v.

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V

[žádost o rozhodnutí o předběžné otázce podaná Bundesgerichtshof (Spolkový soudní dvůr, Německo)]

Rozsudek Soudního dvora (třetího senátu) ze dne 28. dubna 2022

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 80 – Zastupování subjektů údajů neziskovým sdružením – Zástupná žaloba podaná sdružením na ochranu zájmů spotřebitelů v případě neexistence pověření a nezávisle na porušení konkrétních práv subjektu údajů – Žaloba založená na porušení zákazu nekalých obchodních praktik, zákona o ochraně spotřebitele nebo zákazu používání neplatných obecných podmínek“

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Zastupování subjektů údajů – Aktivní legitimace – Sdružení na ochranu práv spotřebitelů – Zástupná žaloba podaná sdružením na ochranu zájmů spotřebitelů v případě neexistence pověření a nezávisle na porušení konkrétních práv subjektu údajů – Žaloba založená na porušení pravidel týkajících se ochrany spotřebitele nebo boje proti nekalým obchodním praktikám – Přípustnost – Podmínka

(Nařízení Evropského parlamentu a Rady 2016/679, čl. 80 odst. 2)

(viz body 57–60, 63–79, 83 a výrok)

Shrnutí

Společnost Meta Platforms Ireland, která spravuje nabídku služeb internetové sociální sítě Facebook v Unii, je správcem osobních údajů uživatelů této sociální sítě v Unii. Internetová platforma Facebook obsahuje na internetové adrese www.facebook.de prostor nazvaný „App-Zentrum“ (Centrum aplikací), na kterém společnost Meta Platforms Ireland poskytuje uživatelům bezplatné hry poskytované třetími osobami. Při spuštění některých z uvedených her je uživatel upozorněn, že použití dotčené aplikace opravňuje společnost, která tyto hry poskytla, k získání určitých osobních údajů, jakož i k tomu, aby jménem uživatele zveřejňovala některé informace. Použitím dané aplikace uživatel souhlasí s všeobecnými obchodními podmínkami a pravidly zmíněné společnosti v oblasti ochrany údajů. V případě jedné konkrétní hry je navíc uživatel informován, že aplikace může jeho jménem zveřejňovat fotografie a další informace.

Německá Spolková unie center a sdružení na ochranu zájmů spotřebitelů ( 1 ) měla za to, že informace poskytnuté dotčenými hrami v prostoru Centrum aplikací jsou zavádějící. Spolková unie proto jakožto subjekt, který má aktivní legitimaci k podání návrhu na ukončení porušování právních předpisů v oblasti ochrany spotřebitele ( 2 ), podala žalobu na zdržení se jednání proti společnosti Meta Platforms Ireland. Tato žaloba byla podána nezávisle na konkrétním porušení práv určitého subjektu údajů v oblasti ochrany údajů a bez pověření takového subjektu. Rozhodnutí, kterým bylo této žalobě vyhověno, bylo předmětem odvolání podaného společností Meta Platforms Ireland, která poté, co bylo toto odvolání zamítnuto, podala opravný prostředek k Bundesgerichtshof (Spolkový soudní dvůr, Německo). Vzhledem k tomu, že tento soud má pochybnosti o přípustnosti žaloby Spolkové unie a zejména o její aktivní legitimaci k podání žaloby proti společnosti Meta Platforms Ireland, předložil věc Soudnímu dvoru.

Soudní dvůr ve svém rozsudku rozhodl, že čl. 80 odst. 2 obecného nařízení o ochraně údajů ( 3 ) nebrání tomu, aby sdružení na ochranu zájmů spotřebitelů mohlo podat žalobu při neexistenci zmocnění, které by mu bylo uděleno za tím účelem, a bez ohledu na porušení konkrétních práv dotčených osob, proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že byl porušen zákaz nekalých obchodních praktik, zákon na ochranu spotřebitele nebo zákaz používání neplatných všeobecných obchodních podmínek. Taková žaloba je možná, pokud se dané zpracování údajů může dotknout práv, která identifikovaným nebo identifikovatelným fyzickým osobám vyplývají z GDPR.

Závěry Soudního dvora

Soudní dvůr především připomíná, že ačkoli cílem GDPR ( 4 ) je zajistit v zásadě úplnou harmonizaci vnitrostátních právních předpisů týkajících se ochrany osobních údajů, čl. 80 odst. 2 uvedeného nařízení patří mezi ustanovení, která ponechávají členským státům prostor pro uvážení, pokud jde o jejich provedení ( 5 ). Tudíž k tomu, aby bylo možné podat zástupnou žalobu bez pověření v oblasti ochrany osobních údajů stanovenou v tomto ustanovení, musí členské státy využít možnosti, kterou jim poskytuje dané ustanovení, stanovit ve vnitrostátním právu tento způsob zastupování subjektů údajů. Nicméně pokud členské státy využijí této možnosti, musí využít svého prostoru pro uvážení za podmínek a v mezích stanovených GDPR, a vykonávat legislativní činnost způsobem, který nezasáhne do obsahu a cílů uvedeného nařízení.

Soudní dvůr dále zdůrazňuje, že čl. 80 odst. 2 GDPR umožňuje členským státům stanovit mechanismus zástupných žalob vůči údajnému původci porušení ochrany osobních údajů, přičemž stanoví řadu požadavků, které musí být dodrženy. Zaprvé, aktivní legitimace je přiznána subjektu, organizaci nebo sdružení, které splňují kritéria uvedená v GDPR ( 6 ). Takové sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, které sleduje cíl veřejného zájmu spočívající v zajištění práv a svobod subjektů údajů jakožto spotřebitelů, může pod uvedený pojem spadat, jelikož dosažení takového cíle může souviset s ochranou osobních údajů těchto osob. Zadruhé, předpokladem pro použití uvedené zástupné žaloby je, že dotčený subjekt bez ohledu na jakékoli pověření, které mu bylo uděleno, má za to, že práva subjektu údajů stanovená v GDPR byla porušena zpracováním jeho osobních údajů.

Podání zástupné žaloby ( 7 ) tedy nevyžaduje, aby dotčený subjekt provedl předchozí individuální identifikaci osoby konkrétně dotčené zpracováním údajů, které je údajně v rozporu s ustanoveními GDPR. Za tímto účelem může být rovněž dostačující označení kategorie nebo skupiny osob dotčených takovým zpracováním ( 8 ).

Výkon takové žaloby kromě toho není podmíněn existencí konkrétního porušení práv, která osobě vyplývají z GDPR. K přiznání aktivní legitimace subjektu totiž stačí uplatnit, že dotčené zpracování údajů může ovlivnit práva, která pro identifikované nebo identifikovatelné fyzické osoby vyplývají z uvedeného nařízení, aniž by bylo nezbytné prokazovat skutečnou újmu způsobenou subjektu údajů v určité situaci zásahem do jeho práv. S ohledem na cíl sledovaný GDPR tak oprávnění takových sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, podat prostřednictvím mechanismu zástupné žaloby návrhy směřující k ukončení zpracování údajů, které je v rozporu s ustanoveními GDPR, nezávisle na porušení práv osoby individuálně a konkrétně dotčené tímto porušením, přispívá nesporně k posílení práv dotčených osob a k zajištění vysoké úrovně ochrany.

Konečně Soudní dvůr upřesnil, že porušení pravidla týkajícího se ochrany osobních údajů může vést současně k porušení pravidel týkajících se ochrany spotřebitele nebo nekalých obchodních praktik. GDPR ( 9 ) totiž členským státům umožňuje využít možnosti stanovit, že sdružení na ochranu zájmů spotřebitelů jsou oprávněna podat žalobu proti porušování práv stanovených GDPR prostřednictvím pravidel, jejichž cílem je chránit spotřebitele nebo bojovat proti nekalým obchodním praktikám.

( 1 ) – Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (dále jen „Spolková unie“).

( 2 ) – Podle německého práva zahrnují zákony o ochraně spotřebitele rovněž pravidla vymezující zákonnost shromažďování nebo zpracování nebo využívání osobních údajů spotřebitele podnikem nebo podnikatelem.

( 3 ) – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“). Podle čl. 80 odst. 2 „[č]lenské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování [osobních údajů] byla porušena práva subjektu údajů podle tohoto nařízení“.

( 4 ) – Jak vyplývá z čl. 1 odst. 1 ve spojení s body 9, 10 a 13 odůvodnění uvedeného nařízení.

( 5 ) – Na základě „otevřených ustanovení“.

( 6 ) – Zejména v čl. 80 odst. 1 GDPR. Uvedené ustanovení odkazuje na „neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů“.

( 7 ) – Na základě čl. 80 odst. 2 GDPR.

( 8 ) – Zejména s ohledem na dosah pojmu „subjekt údajů“, stanoveného v čl. 4 bodu 1 GDPR, který zahrnuje jak „identifikovanou fyzickou osobu“, tak „identifikovatelnou fyzickou osobu“.

( 9 ) – Zejména čl. 80 odst. 2 GDPR.