Υπόθεση C‑319/20

Meta Platforms Ireland Limited, πρώην Facebook Ireland Limited,

κατά

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(αίτηση του Bundesgerichtshof για την έκδοση προδικαστικής αποφάσεως)

Απόφαση του Δικαστηρίου (τρίτο τμήμα) της 28ης Απριλίου 2022

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 80 – Εκπροσώπηση των υποκειμένων των δεδομένων από μη κερδοσκοπική ένωση – Άσκηση αντιπροσωπευτικής αγωγής εκ μέρους ένωσης για την προστασία των καταναλωτών χωρίς εντολή και ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων του υποκειμένου των δεδομένων – Αγωγή η οποία στηρίζεται στην απαγόρευση αθέμιτων εμπορικών πρακτικών, στην παράβαση της νομοθεσίας περί προστασίας των καταναλωτών ή στην απαγόρευση χρήσεως ανίσχυρων γενικών όρων συναλλαγών»

Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Εκπροσώπηση των υποκειμένων των δεδομένων – Ενεργητική νομιμοποίηση – Ένωση για την προστασία των καταναλωτών – Άσκηση αντιπροσωπευτικής αγωγής εκ μέρους ένωσης για την προστασία των καταναλωτών χωρίς εντολή και ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων του υποκειμένου των δεδομένων – Αγωγή η οποία στηρίζεται στην παράβαση των κανόνων περί προστασίας των καταναλωτών ή στην καταπολέμηση αθέμιτων εμπορικών πρακτικών – Παραδεκτό – Προϋπόθεση

(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 80 § 2)

(βλ. σκέψεις 57-60, 63-79, 83 και διατακτ.)

Σύνοψη

Η Meta Platforms Ireland διαχειρίζεται την παροχή των υπηρεσιών του ηλεκτρονικού μέσου κοινωνικής δικτύωσης Facebook και είναι ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών του εν λόγω μέσου κοινωνικής δικτύωσης στην Ένωση. Η πλατφόρμα Internet Facebook περιλαμβάνει, μεταξύ άλλων στη διαδικτυακή διεύθυνση www.facebook.de, το λεγόμενο «App-Zentrum» (Κέντρο Εφαρμογών), με το οποίο η Meta Platforms Ireland παρέχει στους χρήστες της δωρεάν παιχνίδια από τρίτους παρόχους υπηρεσιών. Κατά την είσοδο σε ορισμένα από τα παιχνίδια αυτά, ο χρήστης βλέπει να εμφανίζεται η ένδειξη ότι η χρήση της συγκεκριμένης εφαρμογής παρέχει στην εταιρία που προσφέρει τα παιχνίδια τη δυνατότητα να συλλέγει ορισμένα δεδομένα προσωπικού χαρακτήρα και της επιτρέπει να δημοσιεύει, εξ ονόματός του, ορισμένες πληροφορίες. Η χρήση αυτή σημαίνει ότι ο εν λόγω χρήστης αποδέχεται τους γενικούς όρους συναλλαγών της εφαρμογής και την πολιτική της σχετικά με την προστασία των δεδομένων. Επιπροσθέτως, στην περίπτωση ενός συγκεκριμένου παιχνιδιού, ο χρήστης ενημερώνεται ότι η εφαρμογή μπορεί να δημοσιεύει φωτογραφίες και άλλα στοιχεία εξ ονόματός του.

Η γερμανική ομοσπονδία των οργανώσεων και των ενώσεων καταναλωτών ( 1 ) θεωρούσε ότι οι ενδείξεις που εμφανίζονται σε σχέση τα εν λόγω παιχνίδια στο Κέντρο Εφαρμογών ήταν αθέμιτες. Ως εκ τούτου, ως φορέας νομιμοποιούμενος ενεργητικώς να ζητήσει την παύση των παραβάσεων της νομοθεσίας περί προστασίας των καταναλωτών ( 2 ), η Ομοσπονδιακή ένωση άσκησε αγωγή παραλείψεως κατά της Meta Platforms Ireland. Η αγωγή αυτή ασκήθηκε ανεξαρτήτως της υπάρξεως συγκεκριμένης προσβολής των δικαιωμάτων προστασίας των δεδομένων ενός υποκειμένου των δεδομένων και χωρίς σχετική εντολή από τέτοιο πρόσωπο. Κατά της αποφάσεως με την οποία έγινε δεκτή η ως άνω αγωγή η Meta Platforms Ireland άσκησε έφεση και, εν συνεχεία, στο μέτρο που η εν λόγω έφεση απορρίφθηκε, αναίρεση ενώπιον του Bundesgerichtshof (Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία). Στον βαθμό που το εν λόγω δικαστήριο διατηρεί αμφιβολίες ως προς το παραδεκτό της αγωγής της Ομοσπονδιακής ένωσης και ιδίως ως προς την ενεργητική νομιμοποίησή της να κινηθεί δικαστικώς κατά της Meta Platforms Ireland, υπέβαλε στο Δικαστήριο προδικαστικό ερώτημα.

Με την απόφασή του, το Δικαστήριο έκρινε ότι το άρθρο 80, παράγραφος 2, του Γενικού Κανονισμού για την Προστασία Δεδομένων ( 3 ) δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε ένωση για την προστασία των καταναλωτών να κινηθεί δικαστικώς, χωρίς εντολή που να της έχει ανατεθεί προς τούτο και ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων ενός υποκειμένου των δεδομένων, κατά του φερόμενου παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, προβάλλοντας την παραβίαση της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, την παράβαση της νομοθεσίας περί προστασίας των καταναλωτών ή την παραβίαση της απαγορεύσεως χρήσεως ανίσχυρων γενικών όρων συναλλαγών. Η άσκηση ενός τέτοιου ενδίκου βοηθήματος είναι δυνατή, εφόσον η επίμαχη επεξεργασία δεδομένων είναι ικανή να θίξει τα δικαιώματα που αντλούν από τον ΓΚΠΔ ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα.

Εκτίμηση του Δικαστηρίου

Καταρχάς, το Δικαστήριο υπενθυμίζει ότι καίτοι ο ΓΚΠΔ ( 4 ) σκοπεί να διασφαλίσει την, καταρχήν πλήρη, εναρμόνιση των εθνικών νομοθεσιών περί προστασίας των δεδομένων προσωπικού χαρακτήρα, το άρθρο 80, παράγραφος 2, του εν λόγω κανονισμού περιλαμβάνεται μεταξύ των διατάξεων οι οποίες καταλείπουν στα κράτη μέλη περιθώριο εκτιμήσεως ως προς τον τρόπο εφαρμογής του ( 5 ). Επομένως, για να είναι δυνατή η προβλεπόμενη στην εν λόγω διάταξη άσκηση της αντιπροσωπευτικής αγωγής στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα χωρίς εντολή, τα κράτη μέλη πρέπει να κάνουν χρήση της δυνατότητας που τους παρέχει η εν λόγω διάταξη και να θεσπίσουν στο εθνικό τους δίκαιο αυτό τον τρόπο εκπροσωπήσεως των υποκειμένων των δεδομένων. Εντούτοις, οσάκις προβαίνουν σε χρήση της δυνατότητας αυτής τα κράτη μέλη οφείλουν να κάνουν χρήση του περιθωρίου εκτιμήσεως που διαθέτουν υπό τις προϋποθέσεις και εντός των ορίων που προβλέπουν οι διατάξεις του ΓΚΠΔ και να νομοθετούν κατά τρόπο που να μη θίγει το περιεχόμενο και τους σκοπούς του εν λόγω κανονισμού.

Εν συνεχεία, το Δικαστήριο υπογραμμίζει ότι το άρθρο 80, παράγραφος 2, του ΓΚΠΔ παρέχει μεν στα κράτη μέλη τη δυνατότητα να προβλέπουν έναν μηχανισμό αντιπροσωπευτικής αγωγής κατά του φερόμενου παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, συγχρόνως όμως θέτει μια σειρά από απαιτήσεις που πρέπει να τηρούνται. Ως εκ τούτου, πρώτον, η ενεργητική νομιμοποίηση αναγνωρίζεται σε φορέα, οργάνωση ή ένωση που πληροί τα κριτήρια τα οποία απαριθμούνται στον ΓΚΠΔ ( 6 ). Μια ένωση για την προστασία των καταναλωτών όπως η Ομοσπονδιακή ένωση μπορεί να εμπίπτει στην έννοια αυτή, καθόσον επιδιώκει σκοπό δημοσίου συμφέροντος ο οποίος συνίσταται στη διασφάλιση των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων ως καταναλωτών, στο μέτρο που η επίτευξη του σκοπού αυτού είναι δυνατό να συνδέεται με την προστασία των δεδομένων προσωπικού χαρακτήρα των εν λόγω προσώπων. Δεύτερον, η άσκηση της εν λόγω αντιπροσωπευτικής αγωγής προϋποθέτει ότι η εν λόγω οντότητα, ανεξάρτητα από τυχόν εντολή που της έχει ανατεθεί, θεωρεί ότι τα δικαιώματα που ένα υποκείμενο των δεδομένων αντλεί από τον ΓΚΠΔ παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων του προσωπικού χαρακτήρα.

Επομένως, αφενός, για την άσκηση αντιπροσωπευτικής αγωγής ( 7 ) δεν απαιτείται μια τέτοια οντότητα να προβεί προηγουμένως στην ατομική ταυτοποίηση του υποκειμένου το οποίο αφορά ειδικώς η επεξεργασία δεδομένων, η οποία φέρεται ως αντίθετη προς τις διατάξεις του ΓΚΠΔ. Συναφώς, ο προσδιορισμός μιας κατηγορίας ή ομάδας προσώπων που θίγονται από την επεξεργασία αυτή μπορεί επίσης να αρκεί ( 8 ).

Αφετέρου, η άσκηση της εν λόγω αγωγής δεν εξαρτάται ούτε από την ύπαρξη συγκεκριμένης προσβολής των δικαιωμάτων που ένα πρόσωπο αντλεί από τον ΓΚΠΔ. Συγκεκριμένα, προκειμένου να αναγνωριστεί η ενεργητική νομιμοποίηση μιας τέτοιας οντότητας αρκεί να υποστηριχθεί ότι η οικεία επεξεργασία δεδομένων είναι ικανή να θίξει τα δικαιώματα που αντλούν από τον εν λόγω κανονισμό ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα, χωρίς να απαιτείται να αποδειχθεί πραγματική ζημία την οποία υπέστη το υποκείμενο των δεδομένων, σε συγκεκριμένη περίπτωση, από την προσβολή των δικαιωμάτων. Ως εκ τούτου, λαμβανομένου υπόψη του επιδιωκόμενου από τον ΓΚΠΔ σκοπού, το γεγονός ότι ενώσεις για την προστασία των καταναλωτών, όπως η Ομοσπονδιακή ένωση, έχουν τη δυνατότητα, μέσω ενός μηχανισμού αντιπροσωπευτικής αγωγής, να ασκούν αγωγές με αίτημα την παύση επεξεργασίας δεδομένων αντίθετης προς τις διατάξεις του εν λόγω κανονισμού, ανεξάρτητα από την προσβολή των δικαιωμάτων ενός προσώπου το οποίο αφορά ατομικά και συγκεκριμένα η επεξεργασία αυτή, συμβάλλει αναμφισβήτητα στην ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και στη διασφάλιση σε αυτά υψηλού επιπέδου προστασίας.

Τέλος, το Δικαστήριο διευκρινίζει ότι η παράβαση κανόνα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να συνεπάγεται ταυτόχρονα την παράβαση κανόνων σχετικών με την προστασία των καταναλωτών ή με τις αθέμιτες εμπορικές πρακτικές. Πράγματι, ο ΓΚΠΔ ( 9 ) παρέχει στα κράτη μέλη τη δυνατότητα να προβλέπουν ότι οι ενώσεις για την προστασία των καταναλωτών επιτρέπεται να κινούνται δικαστικώς κατά των προσβολών των δικαιωμάτων που προβλέπονται από τον ΓΚΠΔ, μέσω, κατά περίπτωση, κανόνων που έχουν ως αντικείμενο την προστασία των καταναλωτών ή την καταπολέμηση αθέμιτων εμπορικών πρακτικών.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (στο εξής: Ομοσπονδιακή ένωση).

( 2 ) Βάσει του γερμανικού δικαίου, οι νόμοι περί προστασίας των καταναλωτών περιλαμβάνουν επίσης τους κανόνες που καθορίζουν το νόμιμο της συλλογής ή της επεξεργασίας ή της χρήσης των προσωπικών δεδομένων ενός καταναλωτή από μια επιχείρηση ή έναν επιχειρηματία.

( 3 ) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγία 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ). Βάσει του άρθρου 80, παράγραφος 2, «[τ]α κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του άρθρου [αυτού] έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του κανονισμού [αυτού] παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας [δεδομένων προσωπικού χαρακτήρα που το αφορούν]».

( 4 ) Όπως προκύπτει από το άρθρο 1, παράγραφος 1, ερμηνευόμενο υπό το πρίσμα των αιτιολογικών σκέψεων 9, 10 και 13 του κανονισμού αυτού.

( 5 ) Κατ’ εφαρμογήν των «ρητρών ανοίγματος».

( 6 ) Ειδικότερα, στο άρθρο 80 παράγραφος 1, του ΓΚΠΔ. Η εν λόγω διάταξη κάνει λόγο για «μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα».

( 7 ) Βάσει του άρθρου 80, παράγραφος 2, του ΓΚΠΔ.

( 8 ) Υπό το πρίσμα, ιδίως, της έννοιας του «υποκειμένου των δεδομένων» που προβλέπεται στο άρθρο 4, παράγραφος 1, του ΓΚΠΔ, η οποία καλύπτει όχι μόνον το «ταυτοποιημένο φυσικό πρόσωπο», αλλά και το «ταυτοποιήσιμο φυσικό πρόσωπο».

( 9 ) Ιδίως το άρθρο 80, παράγραφος 2, του ΓΚΠΔ.