ĢENERĀLADVOKĀTA ŽANA RIŠĀRA DELATŪRA[JEAN RICHARD DE LA TOUR]

SECINĀJUMI,

sniegti 2021. gada 2. decembrī ( 1 )

Lieta C‑319/20

Facebook Ireland Limited

pret

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(Bundesgerichtshof (Federālā augstākā tiesa, Vācija) lūgums sniegt prejudiciālu nolēmumu)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 80. panta 2. punkts – Tiesības efektīvi celt prasību tiesā – Datu subjektu pārstāvība, ko veic bezpeļņas apvienība – Patērētāju interešu aizstāvības apvienības tiesības celt prasību

I. Ievads

1.

Mūsdienu ekonomikā, ko raksturo digitālās ekonomikas uzplaukums, personas datu apstrāde var ietekmēt datu subjektus ne tikai kā fiziskas personas, kurām piešķirtas tiesības ar Regulu (ES) 2016/679 ( 2 ), bet arī kā patērētājus.

2.

Šī iemesla dēļ patērētāju interešu aizstāvības apvienības arvien biežāk ceļ prasības, kuru mērķis ir izbeigt kādu datu pārziņu rīcību, ar ko vienlaikus tiek aizskartas tiesības, kuras tiek aizsargātas ar šo regulu un citiem noteikumiem, kas izriet gan no Savienības, gan no valsts tiesību aktiem, tostarp patērētāju tiesību aizsardzības un negodīgas komercprakses apkarošanas jomā.

3.

Šis lūgums sniegt prejudiciālu nolēmumu iesniegts saistībā ar strīdu starp Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Federālā patērētāju tiesību organizāciju un asociāciju apvienība; turpmāk tekstā – “Federālā apvienība”) un Facebook Ireland Limited, kuras juridiskā adrese ir Īrijā. Federālā apvienība vaino šo sabiedrību Vācijas tiesību aktu par personas datu aizsardzību pārkāpumā, kas vienlaikus ir negodīga komercprakse, patērētāju tiesību aizsardzības likuma pārkāpums un aizlieguma izmantot spēkā neesošus vispārīgos nosacījumus neievērošana.

4.

Ar šo lūgumu Tiesa būtībā tiek aicināta interpretēt Regulas 2016/679 80. panta 2. punktu, lai noskaidrotu, vai šai tiesību normai ir pretrunā tas, ka pēc šīs regulas stāšanās spēkā patērētāju interešu aizstāvības apvienībām joprojām ir valsts tiesību aktos tām piešķirtās tiesības celt prasību par tādas rīcības izbeigšanu, ar kuru tiek pārkāptas gan minētajā regulā piešķirtās tiesības, gan noteikumi, kuru mērķis ir aizsargāt patērētāju tiesības un apkarot negodīgu komercpraksi. Tā kā šo tiesību celt prasību saderību ar Direktīvu 95/46/EK ( 3 ) Tiesa jau ir atzinusi ( 4 ), tai būs jālemj, vai tiesību stāvoklis šajā ziņā ir vai nav mainījies ar Regulu 2016/679.

II. Atbilstošās tiesību normas

A.   Regula 2016/679

5.

Regulas 2016/679 80. pants “Datu subjektu pārstāvība” ir formulēts šādi ( 5 ):

“1.   Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņ[a] personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.

2.   Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.”

B.   Vācijas tiesības

6.

2004. gada 3. jūlijaGesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu) ( 6 ) – redakcijā, kas piemērojama pamatlietā, – 3. panta 1. punktā ir noteikts:

“Negodīga komercprakse ir prettiesiska.”

7.

UWG 3.a pants ir formulēts šādi:

“Negodīgi rīkojas persona, kas pārkāpj likuma normu, ar kuru īpaši ir paredzēts regulēt uzvedību tirgū tirgus dalībnieku interesēs, ja pārkāpums ievērojami kaitē patērētāju un citu tirgus dalībnieku vai konkurentu interesēm.”

8.

UWG 8. panta 1. un 3. punktā ir noteikts:

“(1)   Pret ikvienu personu, kas piekopj nelikumīgu komercpraksi saskaņā ar 3. vai 7. pantu, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un recidīva draudu gadījumā – rīkojumu par turpmāku tās aizliegumu. Tiesības uz turpmāku aizliegumu rodas brīdī, kad ir draudi, ka var tikt izdarīts 3. vai 7. panta pārkāpums.

[..]

(3)   Šā panta 1. punktā piešķirto tiesību īpašnieki ir:

[..]

3.

tiesīgās iestādes, kas pierāda, ka ir ierakstītas [2001. gada 26. novembraGesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Likums par prasībām par aizliegumiem patērētāju tiesību pārkāpumu un citu pārkāpumu gadījumā), redakcijā, kas piemērojama pamatlietā ( 7 ),] 4. pantā paredzēto tiesīgo personu sarakstā vai Eiropas Parlamenta un Padomes Direktīvas 2009/22/EK (2009. gada 23. aprīlis) par aizliegumiem saistībā ar patērētāju interešu aizsardzību [ ( 8 )] 4. panta 3. punktā paredzētajā Eiropas Komisijas sarakstā;

[..].”

9.

UKlaG 2. pantā ir paredzēts:

“(1)   Pret ikvienu personu, kas pārkāpj patērētāju aizsardzībai paredzētās normas (likumi par patērētāju aizsardzību), izņemot vispārējo tirdzniecības noteikumu piemērošanā vai ieteikšanā, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un rīkojumu par turpmāku tās aizliegumu patērētāju tiesību aizsardzības interesēs [..].

(2)   Šajā normā likumi par patērētāju aizsardzību it īpaši ir:

[..]

11.

normas, kurās ir reglamentēts šādu darbību tiesiskums:

a)

patērētāja personas datu iegūšana, ko veic komersants, vai

b)

par patērētāju iegūtu personas datu apstrāde vai izmantošana, ko veic komersants,

ja šie dati tiek iegūti, apstrādāti vai izmantoti tādiem mērķiem kā reklāma, tirgus izpēte un sabiedriskās domas aptauja, kredītreitinga aģentūras darbība, personīgo un lietotāja profilu izveide, adrešu tirdzniecība, citāda datu tirdzniecība vai līdzīgiem komerciāliem mērķiem.

[..]”

10.

Bundesgerichtshof (Federālā augstākā tiesa, Vācija) norāda, ka saskaņā ar UKlaG 3. panta 1. punkta pirmā teikuma 1. apakšpunktu struktūras, kurām ir tiesības celt prasības šīs tiesību normas izpratnē, var celt prasības izbeigt tiesību aktu par patērētāju tiesību aizsardzību pārkāpumus, kas saskaņā ar šā likuma 2. panta 2. punkta pirmā teikuma 11. apakšpunktu ietver arī tiesību normas, kuras attiecas uz tādas patērētāju personas datu vākšanas, apstrādes un izmantošanas tiesiskumu, ko veic uzņēmējs reklāmas nolūkā. Turklāt atbilstoši UKlaG 3. panta 1. punkta pirmā teikuma 1. apakšpunktam ar prasības celšanas tiesībām apveltītās struktūras atbilstoši UKlaG 1. pantam var pieprasīt izbeigt tādu vispārīgo nosacījumu izmantošanu, kuri nav spēkā saskaņā ar Bürgerliches Gesetzbuch (Civilkodekss) 307. pantu, ja tās uzskata, ka šie vispārīgie nosacījumi ir pretrunā kādai tiesību normai par datu aizsardzību.

11.

2007. gada 26. februāraTelemediengesetz (Elektronisko mediju likums) ( 9 ) 13. panta 1. punkts ir formulēts šādi:

“Pakalpojumu sniedzējam pirms lietošanas sākšanas vispārēji saprotami ir jāinformē lietotājs par personas datu iegūšanas un izmantošanas veidu, apjomu un mērķiem, kā arī par viņa datu apstrādi valstīs, kurās [Direktīva 95/46] nav piemērojama, ja vien šāda informēšana nav veikta jau agrāk. Automatizētā procedūrā, kura ļauj vēlāk identificēt lietotāju un ar kuru sagatavo personas datu iegūšanu vai izmantošanu, lietotājs ir jāinformē šīs procedūras sākumā. Šīs informācijas saturam ir jābūt lietotājam pieejamam jebkurā laikā.”

III. Pamatlietas fakti un prejudiciālais jautājums

12.

Federālā apvienība Vācijā ir reģistrēta to struktūru sarakstā, kurām ir tiesības celt prasības atbilstoši UKlaG 4. pantam. Facebook Ireland tīmekļvietnē www.facebook.de uztur interneta platformu Facebook, kas ļauj veikt personas un citu datu apmaiņu.

13.

Interneta platformā Facebook atrodas tā sauktais App‑Zentrum (lietotņu centrs), kurā Facebook Ireland saviem lietotājiem dara pieejamas tostarp trešo pakalpojumu sniedzēju bezmaksas spēles. 2012. gada 26. novembrī lietotājs, izvēloties lietotņu centrā dažas spēles un nospiežot pogu Sofort spielen (“Spēlēt tūlīt”), varēja ieraudzīt noteiktu informāciju. No šīs informācijas būtībā izriet, ka spēles piedāvājušajai sabiedrībai attiecīgās lietotnes izmantošana ļauj iegūt konkrētus personas datus un lietotāja vārdā publicēt noteiktu informāciju, piemēram, viņa iegūto punktu skaitu. Lai lietotni varētu izmantot, lietotājam bija jāpiekrīt tās vispārīgajiem nosacījumiem un politikai datu aizsardzības jomā. Turklāt spēles Scrabble gadījumā bija norādīts, ka lietotne drīkst lietotāja vārdā publicēt statusa ziņojumus, fotoattēlus un citu informāciju.

14.

Federālā apvienība kritizē norādes, kas sniegtas, nospiežot lietotņu centra pogu “Spēlēt tūlīt”, jo tās esot negodīgas, it īpaši tādēļ, ka neesot ievēroti likumiskie nosacījumi par lietotāja derīgas piekrišanas iegūšanu saskaņā ar datu aizsardzības tiesību normām. Turklāt tā uzskata, ka spēles Scrabble gadījumā noslēguma norāde esot vispārīgs nosacījums, kas nepamatoti rada lietotājam nelabvēlīgāku situāciju.

15.

Šajos apstākļos Federālā apvienība cēla Landgericht Berlin (Berlīnes apgabaltiesa, Vācija) prasību par noteiktu darbību veikšanas aizliegumu pret Facebook Ireland. Iesniedzējtiesa precizē, ka šī prasība ir celta nesaistīti ne ar vienu konkrētu datu subjekta datu aizsardzības tiesību pārkāpuma un bez šāda subjekta pilnvarojuma.

16.

Federālā apvienība lūdza – piedraudot ar piespiedu līdzekļu piemērošanu ‑ aizliegt Facebook Ireland“tās komercdarbības ietvaros piedāvāt patērētājiem, kuru pastāvīgā dzīvesvieta ir Vācijā, spēles tīmekļvietnes www.facebook.com “lietotņu centrā” tādējādi, ka, noklikšķinot tādu pogu kā“[Spēlēt tūlīt]”, patērētājs paziņo, ka spēles uzturētājs ar sociālā tīkla, ko uztur [Facebook Ireland], starpniecību drīkst iegūt informāciju par tajā norādītajiem personas datiem un nosūtīt (publicēt) informāciju patērētāja vārdā [..]”.

17.

Federālā apvienība arī lūdza aizliegt Facebook Ireland“savos līgumos ar patērētājiem, kuru pastāvīgā dzīvesvieta ir [Vācijā], paredzēt šādu noteikumu vai noteikumus ar identisku saturu attiecībā uz lietotņu (apps) lietošanu sociālajā tīklā, kā arī atsaukties uz noteikumiem par datu pārsūtīšanu spēļu uzturētājiem: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [Šī lietotne Tavā vārdā drīkst publicēt statusa ziņojumus, fotoattēlus un citu informāciju]”.

18.

Landgericht Berlin (Berlīnes apgabaltiesa) apmierināja Federālās apvienības prasījumus pret Facebook Ireland. Apelācijas sūdzība, ko Facebook Ireland iesniedza Kammergericht Berlin (Berlīnes Augstākā tiesa, Vācija), tika noraidīta.

19.

Par apelācijas tiesas nolēmumu Facebook Ireland iesniedzējtiesā iesniedza revīzijas sūdzību.

20.

Attiecībā uz lietas būtību iesniedzējtiesa uzskata, ka apelācijas tiesa ir pareizi atzinusi Federālās apvienības prasījumus par pamatotiem. Proti, tā kā netika izpildīts TMG 13. panta 1. punkta pirmā teikuma pirmajā daļā paredzētais informēšanas pienākums, Facebook Ireland pārkāpa UWG 3.a pantu un UKlaG 2. panta 2. punkta pirmā teikuma 11. apakšpunktu. Apelācijas tiesa pamatoti uzskatīja, ka lietā aplūkotie TMG 13. panta noteikumi ir tiesību normas, kas reglamentē saimnieciskās darbības subjektu rīcību tirgū UWG 3.a panta izpratnē. Turklāt tie ir noteikumi, kas saskaņā ar UKlaG 2. panta 2. punkta pirmā teikuma 11. apakšpunkta a) punktu attiecas uz to patērētāju personas datu vākšanas, apstrādes vai lietošanas likumību, kurus komersants vāc, apstrādā vai izmanto reklāmas nolūkā. Iesniedzējtiesa arī uzskata, ka, nepildot šajā lietā piemērojamos pienākumus sniegt informāciju datu aizsardzības jomā, Facebook Ireland ir izmantojusi spēkā neesošu vispārīgu nosacījumu UKlaG 1. panta izpratnē.

21.

Iesniedzējtiesa tomēr prāto, vai apelācijas tiesa ir pamatoti atzinusi Federālās apvienības prasību par pieņemamu. Proti, tā vēlas noskaidrot, vai tādai patērētāju interešu aizstāvības apvienībai kā Federālā apvienība kopš Regulas 2016/679 stāšanās spēkā joprojām ir tiesības celt prasību civillietu tiesās par šīs regulas pārkāpumiem neatkarīgi no konkrētu atsevišķu datu subjektu tiesību pārkāpumiem un bez datu subjekta pilnvarojuma, atsaucoties uz tiesību pārkāpumu UWG 3.a panta izpratnē, patērētāju tiesību aizsardzības likuma pārkāpumu UKlaG 2. panta 2. punkta pirmā teikuma 11. apakšpunkta izpratnē vai arī spēkā neesoša vispārīga nosacījuma izmantošanu UKlaG 1. panta izpratnē.

22.

Iesniedzējtiesa norāda, ka pirms Regulas 2016/679 stāšanās spēkā par prasības pieņemamību nebūtu bijis šaubu. Proti, Federālajai apvienībai saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu un UKlaG 3. panta 1. punkta pirmā teikuma 1. apakšpunktu būtu bijušas tiesības civillietu tiesās celt prasības par noteikumu izmantošanas izbeigšanu.

23.

Pēc šīs tiesas domām, iespējams, ka šis tiesiskais regulējums ir grozīts Regulas 2016/679 stāšanās spēkā dēļ.

24.

Saistībā ar lietas būtību tā norāda, ka kopš šīs spēkā stāšanās TMG 13. panta 1. punkta noteikumi vairs nav piemērojami, jo pienākums sniegt atbilstošu informāciju tagad ir paredzēts Regulas 2016/679 12.–14. pantā. Tādējādi, pēc iesniedzējtiesas domām, Facebook Ireland nav izpildījusi pienākumu, kas tai noteikts šīs regulas 12. panta 1. punkta pirmajā teikumā, proti, izmantojot skaidru un vienkāršu valodu, kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā sniegt datu subjektam šīs regulas 13. panta 1. punkta c) un e) apakšpunktā minēto informāciju, kas attiecas uz datu apstrādes mērķi un personas datu saņēmēju.

25.

Kā norāda iesniedzējtiesa, jautājumā par prasības pieņemamību notiek debates par to, vai kopš Regulas 2016/679 stāšanās spēkā brīža un saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu struktūras, kurām ir tiesības celt prasības UKlaG 4. panta izpratnē, ir tiesīgas, atsaucoties uz tiesību aktu pārkāpumu UWG 3.a panta izpratnē, celt prasības par šīs regulas tiesību normu – kuras saskaņā ar LESD 288. panta otro daļu ir tieši piemērojamas – pārkāpumu.

26.

Šajā ziņā iesniedzējtiesa norāda uz atšķirīgiem viedokļiem par to, vai Regula 2016/679 izsmeļoši reglamentē šo tiesību normu piemērošanas uzraudzību.

27.

Attiecībā uz Regulas 2016/679 formulējumu šī tiesa norāda, ka šīs regulas 80. panta 1. punkts neattiecas uz tādas struktūras kā Federālā apvienība tiesībām celt prasības saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu, ciktāl pamatlietā aplūkotā prasība par noteikumu izmantošanas izbeigšanu nav celta pēc datu subjekta pilnvarojuma un viņa vārdā, lai aizstāvētu viņa personiskās tiesības. Gluži pretēji, Federālā apvienība var celt prasību, pamatojoties uz īpašajām tiesībām, ar kurām tā ir apveltīta un kuras tai ļauj tiesību pārkāpuma gadījumā UWG 3.a panta izpratnē objektīvi un nesaistīti no atsevišķu datu subjektu konkrētu tiesību pārkāpumiem un bez datu subjektu pilnvarojuma celt prasību par minētās regulas tiesību normu pārkāpumu.

28.

Tomēr iesniedzējtiesa norāda, ka Regulas 2016/679 80. panta 2. punktā Federālajai apvienībai nav paredzētas tiesības celt prasības, lai objektīvi piemērotu personas datu aizsardzības tiesību aktus. Proti, lai arī šajā tiesību normā šādai struktūrai ir paredzēta iespēja celt prasību neatkarīgi no jebkāda datu subjekta pilnvarojuma, tomēr apstrādes rezultātā ir jābūt pārkāptām tādām datu subjekta tiesībām kā šajā regulā paredzētās. Tādējādi, ņemot vērā minētās regulas 80. panta 2. punkta noteikumu formulējumu, apvienībām, kas uz UWG 3.a panta un 8. panta 3. punkta 3. apakšpunkta pamata atsaucas uz personas datu aizsardzības tiesību aktu objektīviem pārkāpumiem neatkarīgi no konkrēta datu subjekta subjektīvo tiesību pārkāpumiem, kā tas ir šajā lietā, nav piešķirtas tiesības celt prasību. Tāds pats secinājums izriet no Regulas 2016/679 142. apsvēruma otrā teikuma, kurā arī ir minēts datu subjekta tiesību pārkāpums kā nosacījums, lai kāda apvienība varētu celt prasību neatkarīgi no attiecīgā datu subjekta pilnvarojuma.

29.

Turklāt, pēc iesniedzējtiesas domām, tādas apvienības tiesības celt prasību kā UWG 8. panta 3. punktā paredzētās nevar izrietēt no Regulas 2016/679 84. panta 1. punkta, saskaņā ar kuru dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, un veic visus nepieciešamos pasākumus, lai nodrošinātu to īstenošanu. Proti, tādas apvienību tiesības celt prasības kā UWG 8. panta 3. punktā paredzētās nevar uzskatīt par “sankciju” šīs minētās regulas tiesību normas izpratnē.

30.

Iesniedzējtiesa turklāt norāda, ka no Regulas 2016/679 sistēmas nav droši secināms, vai pēc šīs regulas stāšanās spēkā var atzīt struktūras tiesības celt prasību saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu, proti, saskaņā ar tiesību normu par negodīgas konkurences apkarošanu. Šī tiesa uzskata, ka no tā, ka uzraudzības iestādēm tajā ir piešķirtas plašas pilnvaras uzraudzības un izmeklēšanas jomā, kā arī novēršanas pasākumu veikšanas nolūkā, var secināt, ka šīm iestādēm galvenokārt ir jāuzrauga minētās regulas tiesību normu piemērošana. Tas būtu pretrunā Regulas 2016/679 80. panta 2. punkta plašai interpretācijai. Iesniedzējtiesa arī norāda, ka principā noteikt regulas īstenošanas pasākumus valstij ir pieļaujams tikai tad, kad tas ir skaidri atļauts. Tomēr šīs regulas 77. panta 1. punktā, 78. panta 1. un 2. punktā, kā arī 79. panta 1. punktā rodamā ievadfrāze “neskarot jebkādus citus [..] tiesību aizsardzības līdzekļus” var atspēkot apgalvojumu, ka minētās regulas regulējums par tiesību īstenošanas uzraudzību ir izsmeļošs.

31.

Runājot par Regulas 2016/679 mērķi, apvienību tiesības celt prasību konkurences tiesību jomā saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu neatkarīgi no datu subjektu konkrētu tiesību pārkāpuma varētu pastāvēt šīs regulas lietderīgās iedarbības interesēs, ciktāl tādējādi būtu sniegta papildu iespēja uzraudzīt tiesību aktu piemērošanu, lai saskaņā ar šīs regulas 10. apsvērumu nodrošinātu cik vien iespējams augstu personas datu aizsardzības līmeni. Tomēr apvienību tiesību celt prasības konkurences tiesību jomā atzīšanu varētu uzskatīt par nesaderīgu ar minētajā regulā izvirzīto saskaņošanas mērķi.

32.

Iesniedzējtiesa arī pauž šaubas par to, vai pēc Regulas 2016/679 stāšanās spēkā UKlaG 3. panta 1. punkta pirmā teikuma 1. apakšpunktā minētajām struktūrām joprojām ir tiesības celt prasību par šīs regulas tiesību normu pārkāpumiem, pamatojoties uz patērētāju tiesību aizsardzības likuma neievērošanu UKlaG 2. panta 2. punkta pirmā teikuma 11. apakšpunkta izpratnē. Tas ir attiecināms arī uz patērētāju interešu aizstāvības apvienības tiesībām celt prasību saskaņā ar UKlaG 1. pantu, lai pieprasītu izbeigt saskaņā ar Civilkodeksa 307. pantu spēkā neesošu vispārīgu nosacījumu izmantošanu.

33.

Pat pieņemot, ka dažādās valsts tiesību normas, kas pamato struktūru tiesības celt prasības pirms Regulas 2016/679 stāšanās spēkā, varētu uzskatīt par agrīnu šīs regulas 80. panta 2. punkta īstenošanu, Federālajai apvienībai – ja tā vēlas panākt, ka tiek atzītas tās tiesības celt prasību šajā lietā –, pēc iesniedzējtiesas domām, būtu jāatsaucas uz to, ka, veicot apstrādi, ir izdarīts šajā regulā paredzēto datu subjekta tiesību pārkāpums. Tomēr šis nosacījums neesot izpildīts.

34.

Proti, šī tiesa uzsver, ka Federālās apvienības prasījumi attiecas uz Facebook Ireland veiktā lietotņu centra noformējuma abstraktu uzraudzību attiecībā uz objektīvām datu aizsardzības tiesībām, Federālajai apvienībai neatsaucoties uz identificētas vai identificējamas fiziskas personas tiesību pārkāpumu Regulas 2016/679 4. panta 1. punkta izpratnē.

35.

Ja būtu jākonstatē, ka Federālā apvienība pēc Regulas 2016/679 stāšanās spēkā ir zaudējusi tiesības celt prasību saskaņā ar iepriekš minētajām Vācijas tiesību normām, iesniedzējtiesa norāda, ka tai būtu jāapmierina Facebook Ireland celtā revīzijas sūdzība un jānoraida Federālās apvienības prasība, jo saskaņā ar Vācijas procesuālajām tiesību normām tiesībām celt prasību ir jāsaglabājas līdz brīdim, kad ir pabeigta tiesvedība pēdējā instancē.

36.

Ņemot vērā šos apsvērumus, Bundesgerichtshof (Federālā augstākā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādu prejudiciālu jautājumu:

“Vai tiesību normas, kas ietvertas Regulas [2016/679] VIII nodaļā, it īpaši 80. panta 1. un 2. punktā, kā arī 84. panta 1. punktā, nepieļauj tādu valsts tiesisko regulējumu, kurš – līdztekus iejaukšanās pilnvarām, kas piemīt uzraudzības iestādēm, kuru kompetencē ir regulas piemērošanas uzraudzība un izpilde, un datu subjektu tiesību aizsardzības līdzekļiem – neatkarīgi no individuālu datu subjektu konkrētu tiesību pārkāpumiem un bez datu subjekta pilnvarojuma par Regulas [2016/679] pārkāpumiem piešķir konkurentiem, no vienas puses, un atbilstoši valsts tiesībām pilnvarotām apvienībām, struktūrām un kamerām, no otras puses, tiesības vērsties pret pārkāpēju ar civilprasību tiesā jautājumos, kas skar negodīgas komercprakses aizlieguma neievērošanu vai tiesību aktu patērētāju tiesību aizsardzības jomā pārkāpumu, vai aizliegumu izmantot spēkā neesošus vispārējos darījumu nosacījumus?”

37.

Federālā apvienība, Facebook Ireland, Austrijas un Portugāles valdības, kā arī Komisija iesniedza rakstveida apsvērumus. Šie lietas dalībnieki, izņemot Portugāles valdību, kā arī Vācijas valdība sniedza mutvārdu apsvērumus tiesas sēdē, kas notika 2021. gada 23. septembrī.

IV. Vērtējums

38.

Ar savu jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Regula 2016/679, it īpaši tās 80. panta 2. punkts, ir jāinterpretē tādējādi, ka tai pretrunā ir tāds valsts tiesiskais regulējums, ar ko patērētāju interešu aizstāvības apvienībām ir atļauts celt prasību pret datu aizsardzības tiesību aktu iespējamo pārkāpēju, atsaucoties uz negodīgas komercprakses aizliegumu, tiesību aktu par patērētāju tiesību aizsardzību pārkāpumu vai spēkā neesošu vispārīgu nosacījumu izmantošanas aizlieguma neievērošanu.

39.

Atbilstoši Regulas 2016/679 4. panta 1. punktam “datu subjekts” šīs regulas izpratnē ir “identificēta vai identificējama fiziska persona”. Ja šāda persona uzskata, ka tās personas dati ir apstrādāti, pārkāpjot minētās regulas tiesību normas, tai ir vairākas iespējas rīkoties.

40.

Tādējādi datu subjektam saskaņā ar tās pašas regulas 77. pantu ir tiesības iesniegt sūdzību uzraudzības iestādei. Turklāt saskaņā ar Regulas 2016/679 78. pantu šai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā, vēršoties pret uzraudzības iestādi. Arī saskaņā ar šīs regulas 79. panta 1. punktu katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.

41.

Iesniegt sūdzību uzraudzības iestādē vai celt iepriekš minētās prasības tiesā, protams, var arī datu subjekti paši. Tomēr Regulas 2016/679 80. pantā ar zināmiem nosacījumiem ir paredzēta arī iespēja, ka šīs personas pārstāv bezpeļņas struktūra, organizācija vai apvienība. Līdz ar to Savienības tiesībās ir paredzētas ne tikai individuālas prasības, bet arī dažādas iespējas celt pārstāvības prasības ar tādu struktūru starpniecību, kas ir pilnvarotas pārstāvēt datu subjektus ( 10 ). Tāpēc Regulas 2016/679 80. pantā atspoguļojas tendence veicināt šādu struktūru celtas pārstāvības prasības vispārējo vai kolektīvo interešu aizstāvībai kā līdzekli, ar ko nodrošināt tiesu pieejamību personām, kuras skar attiecīgo noteikumu pārkāpums ( 11 ).

42.

Regulas 2016/679 80. pantam “Datu subjektu pārstāvība” ir divi punkti. Pirmais punkts attiecas uz situāciju, kad datu subjekts pilnvaro bezpeļņas struktūru, organizāciju vai apvienību viņu pārstāvēt. Otrais punkts attiecas uz pārstāvības prasību, kuru struktūra ceļ neatkarīgi no datu subjekta dotā pilnvarojuma.

43.

Tā kā Federālās apvienības prasība nav balstīta uz datu subjekta pilnvarojumu, saistībā ar šo lūgumu sniegt prejudiciālu nolēmumu ir piemērojams Regulas 2016/679 80. panta 2. punkts.

A.   Spriedums Fashion ID

44.

Spriedumā Fashion ID Tiesa saistībā ar Direktīvu 95/46 lēma par jautājumu, kas ir līdzīgs šajā lūgumā sniegt prejudiciālu nolēmumu uzdotajam. Tādējādi tā ir nospriedusi, ka “[šīs direktīvas] 22.–24. pants ir jāinterpretē tādējādi, ka tiem nav pretrunā valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām ir ļauts celt prasību tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju” ( 12 ).

45.

Lai to secinātu, Tiesa ir balstījusies uz konstatējumu, ka nevienā no Direktīvas 95/46 tiesību normām dalībvalstīm nebija noteikts pienākums – nedz arī skaidri piešķirtas pilnvaras – paredzēt savās valsts tiesībās iespēju apvienībai šādu subjektu pārstāvēt tiesā vai pēc savas ierosmes celt prasību tiesā pret datu aizsardzības tiesību aktu iespējamo pārkāpēju ( 13 ). Pēc Tiesas domām, tas tomēr nenozīmē, ka šai direktīvai būtu pretrunā tāds valsts tiesiskais regulējums, kurā patērētāju interešu aizstāvības apvienībām ir atļauts celt prasību tiesā pret šādu iespējamo pārkāpēju ( 14 ). Šajā ziņā Tiesa ir uzsvērusi direktīvai raksturīgās iezīmes, kā arī katras dalībvalsts, kurai tā adresēta, pienākumu veikt visus vajadzīgos pasākumus, lai nodrošinātu attiecīgās direktīvas pilnīgu iedarbību atbilstoši tās mērķim ( 15 ).

46.

Turpinājumā Tiesa ir atgādinājusi, ka Direktīvas 95/46 mērķis ir “nodrošināt fizisko personu pamattiesību un brīvību, tostarp viņu tiesību uz privātās dzīves neaizskaramību, pilnīgu un efektīvu aizsardzību saistībā ar personas datu apstrādi” un “nodrošināt augstu aizsardzības līmeni [Eiropas] Savienībā” ( 16 ). Tas, ka dalībvalsts savā tiesiskajā regulējumā paredz patērētāju interešu aizstāvības apvienībai iespēju celt prasību tiesā pret datu aizsardzības tiesību aktu iespējamo pārkāpēju, pēc Tiesas domām, sekmē šo mērķu sasniegšanu ( 17 ). Tiesa arī ir uzsvērusi, ka “dalībvalstīm daudzējādā ziņā ir rīcības brīvība [Direktīvas 95/46] transponēšanā” ( 18 ), it īpaši attiecībā uz 22.–24. pantu, kuri “ir formulēti vispārīgi un ar kuriem netiek izsmeļoši saskaņotas valstu tiesību normas jautājumā par to, kā tiesā var vērsties pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju” ( 19 ). Tādējādi “tas, ka tiek paredzēta iespēja patērētāju interešu aizsardzības apvienībai celt prasību tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju, var būt atbilstošs pasākums [šīs direktīvas 24. panta] – [kas] sekmē minētās direktīvas mērķu sasniegšanu atbilstoši Tiesas judikatūrā noteiktajam – izpratnē” ( 20 ).

47.

Ar šo lūgumu sniegt prejudiciālu nolēmumu Tiesa ir aicināta lemt par to, vai pēc Regulas 2016/679 stāšanās spēkā būtu jāaizliedz tas, kas varēja tikt atļauts laikā, kad bija spēkā Direktīva 95/46. Citiem vārdiem, vai šīs regulas 80. panta 2. punkta tiesisko seku rezultātā tiek atceltas patērētāju interešu aizstāvības apvienības tiesības celt tādu prasību kā pamatlietā aplūkotā?

48.

To apšaubīt ir iespējams, kaut vai tikai lasot sprieduma Fashion ID 62. punktu, kurā Tiesa ir norādījusi – tas, ka Regulas 2016/679 “80. panta 2. punktā skaidri ir ļauts dalībvalstīm atļaut patērētāju interešu aizsardzības apvienībām vērsties tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju, nebūt nenozīmē, ka dalībvalstis nevarēja tām šādas tiesības piešķirt saskaņā ar Direktīvu 95/46, bet, gluži pretēji, apstiprina, ka šajā spriedumā par pareizu atzītā šīs direktīvas interpretācija atspoguļo Savienības likumdevēja gribu” ( 21 ).

49.

Turpinājumā izklāstīto iemeslu dēļ uzskatu, ka ne Direktīvas 95/46 aizstāšana ar regulu, ne apstāklis, ka Regulā 2016/679 tagad ir iekļauts pants par datu subjektu pārstāvību, ceļot prasības tiesās, neliek apšaubīt to, ko Tiesa lēmusi spriedumā Fashion ID, proti, ka dalībvalstis savā valsts tiesiskajā regulējumā var paredzēt iespēju patērētāju interešu aizstāvības apvienībām celt prasību pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju.

B.   Regulas 2016/679 īpašās iezīmes

50.

Attiecībā uz Direktīvas 95/46 aizstāšanu ar cita veida tiesību aktu, proti, Regulu 2016/679, ir jānorāda, ka Savienības likumdevēja izvēle izmantot regulas – kas saskaņā ar LESD 288. pantu uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs – juridisko formu ir izskaidrojama ar Regulas 2016/679 13. apsvērumā pausto vēlmi nodrošināt fizisku personu konsekventu aizsardzību visā Savienībā un novērst atšķirības, kas kavē personas datu brīvu apriti iekšējā tirgū. Tādējādi pirmšķietami šī regula ir vērsta uz pilnīgu saskaņošanu – proti, tā neaprobežojas ar tādu minimālo prasību noteikšanu, kuras dalībvalstis varētu paplašināt, un nedod šīm valstīm iespēju atkāpties no tās normām, šīs normas papildināt vai transponēt, – tālab, lai netiktu apdraudēta minētās regulas tiesību normu vienlaicīga un vienveidīga piemērošana Savienībā.

51.

Realitāte ir daudz sarežģītāka. Proti, Regulas 2016/679 juridiskais pamats, proti, LESD 16. pants ( 22 ), neļauj uzskatīt, ka, pieņemot šo regulu, Savienība ir novērsusi jebkādu personas datu aizsardzības iespējamo ietekmi uz citām ar to saistītajām jomām, konkrēti – darba tiesību, konkurences tiesību vai patērētāju tiesību jomu, liedzot dalībvalstīm īpašus noteikumus minētajās jomās pieņemt vairāk vai mazāk autonomi atkarībā no tā, vai attiecīgo jomu reglamentē Savienības tiesības ( 23 ). Šajā ziņā, lai arī personas datu aizsardzība pēc būtības ir transversāla, ar Regulu 2016/679 veiktā saskaņošana aptver tikai tos aspektus, uz kuriem īpaši attiecas šī regula šajā jomā. Atskaitot šos aspektus, dalībvalstis joprojām var brīvi pieņemt tiesību aktus ar nosacījumu, ka tiek respektēts minētās regulas saturs un tajā izvirzītie mērķi.

52.

Turklāt, iedziļinoties Regulas 2016/679 tiesību normu niansēs, ir jākonstatē, ka ar šo regulu veiktās saskaņošanas apjoms atšķiras atkarībā no aplūkotajiem noteikumiem. Tādējādi, lai noteiktu minētās regulas normatīvo tvērumu, ir jāizvērtē katrs atsevišķais gadījums ( 24 ). Lai arī saskaņā ar judikatūru attiecībā uz Direktīvu 95/46 ( 25 ) var uzskatīt, ka ar Regulu 2016/679 ir veikta saskaņošana, kas “principā ir pilnīga”, tomēr vairākās šīs regulas tiesību normās dalībvalstīm ir dota rīcības brīvība, ko tām ir pienākums vai – attiecīgi – tiesības izmantot, ievērojot šajās tiesību normās paredzētos ierobežojumus un nosacījumus ( 26 ).

53.

Jāatgādina, ka saskaņā ar Tiesas iedibināto judikatūru “atbilstoši LESD 288. pantam un ņemot vērā pašu regulu raksturu un to funkciju Savienības tiesību avotu sistēmā, regulu normas vispārīgi ir nepastarpināti piemērojamas valstu tiesību sistēmās un valstu iestādēm nav jāpieņem piemērošanas pasākumi. Taču dažu šo normu īstenošanai dalībvalstīm tomēr ir jānosaka piemērošanas pasākumi” ( 27 ). Regulas izmantošana ne vienmēr nozīmē, ka šīs regulas tiesību normu subjektiem nav nekādas rīcības brīvības ( 28 ). Turklāt tas, ka regulas ir saistošas un tieši piemērojamas, neliedz šādā tiesību aktā iekļaut fakultatīvus noteikumus ( 29 ).

54.

Ņemot vērā darbības vārda “var” lietojumu, Regulas 2016/679 80. panta 2. punkts ir piemērs dispozitīvai normai, ar ko dalībvalstīm ir dota rīcības brīvība tās īstenošanā.

55.

Šī tiesību norma ir viena no daudzajām šajā regulā iekļautajām “atvērējklauzulām”, kas padara to savdabīgu salīdzinājumā ar klasisko regulu un tuvina to direktīvai ( 30 ). Šajās klauzulās iekļautās atsauces uz valsts tiesību aktiem var būt saistošas ( 31 ), tomēr bieži vien tajās dalībvalstīm ir dota izvēles iespēja ( 32 ). Ir ticis atzīmēts, ka šīs daudzās atsauces uz valsts tiesību aktiem rada risku, ka pretēji Savienības likumdevēja paustajai gribai panākt šā tiesiskā regulējuma turpmāku unifikāciju Savienībā atkal tiks sadrumstalots tiesiskais regulējums par personas datu aizsardzību, un tas var nelabvēlīgi ietekmēt šīs aizsardzības efektivitāti, kā arī to pienākumu skaidrību, kuri ir jāpilda personas datu pārziņiem un apstrādātājiem ( 33 ). Tādējādi ar Regulu 2016/679 veiktās saskaņošanas apjomu ierobežo vairākas šajā regulā iekļautās “atvērējklauzulas”.

56.

Ir skaidrs, ka salīdzinājumā ar Direktīvu 95/46 Savienības likumdevējs Regulā 2016/679 ir vēlējies Savienības līmenī plašāk un precīzāk reglamentēt aspektus attiecībā uz datu subjektu pārstāvību, lai iesniegtu sūdzību uzraudzības iestādē vai celtu prasību tiesā ( 34 ). Tomēr šīs regulas 80. panta 1. un 2. punkta normatīvais tvērums nav vienāds. Proti, šā panta 1. punkts dalībvalstīm ir saistošs ( 35 ), savukārt tā 2. punktā tām ir piedāvāta tikai izvēles iespēja. Tādējādi, lai varētu bez pilnvarojuma celt šīs regulas 80. panta 2. punktā paredzēto pārstāvības prasību, dalībvalstīm ir jāizmanto ar šo tiesību normu tām dotā iespēja savos valsts tiesību aktos paredzēt šo datu subjektu pārstāvības veidu.

57.

Regulas 2016/679 80. panta 2. punktu, kaut vai tikai tā dispozitivitātes un tās rezultātā iespējami radīto valsts tiesību aktu atšķirību dēļ, nevar uzskatīt par tādu, ar ko ir veikta pilnīga saskaņošana attiecībā uz pārstāvības prasībām, kuras personas datu aizsardzības jomā tiek celtas bez pilnvarojuma. Tomēr, transponējot šo tiesību normu valsts tiesībās, dalībvalstīm ir jāievēro nosacījumi un ierobežojumi, ko Savienības likumdevējs ir vēlējies noteikt attiecībā uz minētajā tiesību normā paredzētās iespējas izmantošanu.

58.

Lai arī salīdzinājumā ar Direktīvu 95/46 šis ietvars ir precīzāks, dalībvalstis Regulas 2016/679 80. panta 2. punkta īstenošanā tomēr saglabā rīcības brīvību.

59.

No Tiesas rīcībā esošās informācijas izriet, ka Vācijas likumdevējs pēc šīs regulas stāšanās spēkā nav pieņēmis tiesību normu, ar ko valsts tiesībās būtu īpaši paredzēts transponēt minētās regulas 80. panta 2. punktu. Tādējādi – kā iesniedzējtiesa aicina Tiesu to darīt – ir jāpārbauda, vai Vācijas tiesībās esošie noteikumi, ar kuriem patērētāju interešu aizstāvības apvienībām ir piešķirtas tiesības celt prasību izbeigt rīcību, ar ko vienlaikus tiek pārkāptas Regulas 2016/679 tiesību normas un noteikumi, kuri it īpaši attiecas uz patērētāju tiesību aizsardzību, ir saderīgi ar šo tiesību normu. Citiem vārdiem, vai valsts tiesību akti, kas pastāvēja pirms šīs regulas stāšanās spēkā, atbilst tam, kas ir atļauts ar minētās regulas 80. panta 2. punktu?

60.

Kā tiesas sēdē precizēja Vācijas valdība, valsts tiesību normas, ar ko tādai apvienībai kā Federālā apvienība ir piešķirtas tiesības celt tādu pārstāvības prasību kā pamatlietā aplūkotā, ir Direktīvas 2009/22 transponēšanas pasākumi. Lai atbildētu uz jautājumu, vai ar Regulas 2016/679 80. panta 2. punktu arī ir atļauts celt šādu prasību un tādējādi vai šīs valsts tiesību normas ir pieņemtas, īstenojot katrai dalībvalstij atzīto rīcības brīvību ( 36 ), šis pants ir jāinterpretē, ņemot vērā tostarp tā formulējumu, kā arī šīs regulas sistēmu un mērķus.

C.   Regulas 2016/679 80. panta 2. punkta gramatiskā, sistēmiskā un teleoloģiskā interpretācija

61.

Atbilstoši Regulas 2016/679 80. panta 2. punktam tiesības celt tajā paredzētās pārstāvības prasības ir “jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai”. Šīs regulas 80. panta 1. punkts attiecas uz “bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā”. Šāda definīcija, manuprāt, ir attiecināma ne tikai uz tādām struktūrām, kuru mērķis ir tikai un vienīgi personas datu aizsardzība, bet arī uz tādām struktūrām, kuras īsteno ar personas datu aizsardzību saistītus sabiedrības interešu mērķus. Tas ir sakāms par tādām patērētāju interešu aizstāvības apvienībām kā Federālā apvienība, kuras ceļ prasību izbeigt rīcību, ar ko, pārkāpjot minētās regulas tiesību normas, vienlaikus netiek ievēroti noteikumi par patērētāju tiesību aizsardzību vai negodīgas konkurences apkarošanu ( 37 ).

62.

Atbilstoši Regulas 2016/679 80. panta 2. punkta formulējumam pārstāvības prasību var celt struktūra, kura atbilst šā panta 1. punktā minētajiem nosacījumiem, “ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu”. Pretēji tam, ko šķiet apgalvojam iesniedzējtiesa, neuzskatu, ka šī pēdējā teikuma daļa būtu jāinterpretē šauri, proti, lai iegūtu tiesības celt prasību saskaņā ar Regulas 2016/679 80. panta 2. punktā noteikto, struktūrai būtu iepriekš jāindividualizē viena vai vairākas personas, kuras konkrēti ietekmē attiecīgā apstrāde. Šīs regulas sagatavošanas darbi par to nekādi neliecina. Turklāt pat ar jēdziena “datu subjekts” definīciju minētās regulas 4. panta 1. punkta izpratnē, proti, “identificēta vai identificējama fiziska persona” ( 38 ), manuprāt, nav savietojama prasība, ka personām, kuru dati tiek apstrādāti, pārkāpjot Regulas 2016/679 tiesību normas, jau būtu jābūt identificētām, kad tiek celta pārstāvības prasība saskaņā ar šīs regulas 80. panta 2. punktu. No tā loģiski izriet, ka saskaņā ar šo tiesību normu struktūrai nevar prasīt norādīt konkrētus gadījumus attiecībā uz individuāli norādītām personām, lai tā būtu pilnvarota celt prasību atbilstoši minētās tiesību normas noteikumiem.

63.

Uzskatu, ka, lai varētu celt pārstāvības prasību saskaņā ar Regulas 2016/679 80. panta 2. punktu, ir vienīgi jāapgalvo, ka personas datu apstrāde esot veikta, neievērojot šīs regulas tiesību normas par individuālo tiesību aizsardzību, un tādējādi, iespējams, esot aizskartas identificētas vai identificējamas personas tiesības, un apvienības tiesības celt prasību nav pakārtotas pārbaudei par to, vai konkrētajā gadījumā ir pārkāptas vienas vai vairāku konkrētu personu tiesības ( 39 ). Īsumā sakot, šādai prasībai ir jābūt balstītai uz tādu tiesību pārkāpumu, kas fiziskai personai no minētās regulas izriet tās personas datu apstrādes dēļ. Šī prasība tiek celta ar mērķi aizsargāt nevis objektīvās tiesības, bet tikai subjektīvās tiesības, kas datu subjektiem ir tieši piešķirtas Regulā 2016/679 ( 40 ). Citiem vārdiem, šīs regulas 80. panta 2. punktā minētās atvērējklauzulas mērķis ir ļaut tiesīgajām struktūrām lūgt uzraudzības iestādi vai tiesu pārbaudīt, vai pārziņi ir ievērojuši minētajā regulā iekļautos datu subjektu tiesības aizsargājošos noteikumus ( 41 ). No šā skatpunkta, lai struktūrai būtu tiesības celt prasību saskaņā ar šo tiesību normu, pietiek ar to, ka tā norāda uz to, ka ir pārkāptas Regulas 2016/679 tiesību normas, kuru mērķis ir aizsargāt datu subjektu subjektīvās tiesības.

64.

Kā būtībā norāda Komisija, ja Regulas 2016/679 80. panta 2. punktu interpretētu tādējādi, ka struktūrai, lai tā varētu celt pārstāvības prasību bez pilnvarojuma, būtu jāpierāda vai jāapgalvo, ka konkrētā situācijā ir aizskartas kādas noteiktas personas tiesības, šīs tiesību normas piemērošanas joma tiktu būtiski sašaurināta. Gluži tāpat kā Portugāles valdība un Komisija, arī es uzskatu, ka šīs regulas 80. panta 2. punktam būtu jāsniedz tāda interpretācija, kurā tiek saglabāta šīs normas lietderīgā iedarbība attiecībā uz šā paša panta 1. punktu. Līdz ar to minētās regulas 80. panta 2. punkts, manuprāt, būtu jāsaprot tādējādi, ka tas ir plašāks par individuālu gadījumu pārstāvību, uz ko attiecas šā panta 1. punkts, un ka ar to tiesīgajām iestādēm ir dota iespēja neatkarīgi un pēc savas ierosmes pārstāvēt to personu kolektīvās intereses, kuru personas dati tiek apstrādāti pretrunā Regulai 2016/679. Šīs regulas 80. panta 2. punkta lietderīgā iedarbība tiktu būtiski mazināta, ja būtu jāuzskata, ka – tāpat kā tas prasīts šā panta 1. punktā – tās rīcībai abos gadījumos ir jāaprobežojas tikai ar vārdā nosauktu un individuāli norādītu personu pārstāvību.

65.

Manis piedāvātā Regulas 2016/679 80. panta 2. punkta interpretācija ir saderīga arī ar prasībām par noteiktu darbību veikšanas aizliegumu piemītošo preventīvo un atturošo raksturu, kā arī to neatkarību no jebkāda individuāla strīda ( 42 ).

66.

Lai izvairītos no tā, ka tiesības vērsties tiesā – ar kurām ir apveltītas struktūras, kas ir tiesīgas celt prasību par noteiktu darbību veikšanas aizliegumu, – būtu atšķirīgas atkarībā no tā, vai šāda prasība ir balstīta uz valsts pasākumu, kas ietilpst Regulas 2016/679 80. panta 2. punkta vai Direktīvas 2020/1828 piemērošanas jomā, manuprāt, būtu jāņem vērā, ka šajā pēdējā minētajā direktīvā, lai arī tā nav piemērojama pamatlietā, ir prasīts, ka šīm struktūrām ir jāatsaucas nevis uz individuāliem vārdā nosauktiem patērētājiem, kurus ir skāris attiecīgais pārkāpums ( 43 ), bet gan uz gadījumiem, kad tirgotāji ir pārkāpuši Savienības tiesību aktus, kas ir norādīti šīs direktīvas I pielikumā ( 44 ), kura 56. punktā turklāt ir minēta Regula 2016/679.

67.

Regulas 2016/679 80. panta 2. punkta šauru interpretāciju atbalstošais arguments, manuprāt, patērētāju kolektīvo interešu aizstāvību ( 45 ) kļūdaini pretnostata ikvienas tādas personas tiesību aizsardzībai, kuras dati ir apstrādāti iespējami pretrunā regulai. Proti, patērētāju kolektīvo interešu aizstāvība, manuprāt, neizslēdz tādu subjektīvo tiesību aizsardzību, kas datu subjektiem ir tieši piešķirtas Regulā 2016/679, bet, gluži pretēji, ietver šo aizsardzību.

68.

Arī Direktīvas 2020/1828 15. apsvērumā iekļautajā norādē, ka “izpildes mehānismus, kas paredzēti [Regulā 2016/679] vai kas balstās uz to, attiecīgā gadījumā joprojām varētu izmantot patērētāju kolektīvo interešu aizsardzībai” ( 46 ), es rodu apstiprinājumu tam, ka šīs regulas 80. panta 2. punktā paredzētās pārstāvības prasības mērķis var būt šādu interešu aizsardzība.

69.

No iepriekš minētā secinu, ka ar Regulas 2016/679 80. panta 2. punktu dalībvalstis, manuprāt, drīkst paredzēt iespēju tiesīgajām struktūrām bez datu subjektu pilnvarojuma celt pārstāvības prasības, kuru mērķis ir nodrošināt patērētāju kolektīvo interešu aizsardzību, ja tiek apgalvots, ka ir pārkāptas šīs regulas tiesību normas, ar kurām datu subjektiem ir piešķirtas subjektīvās tiesības.

70.

Tas ir sakāms par prasību par noteiktu darbību veikšanas aizliegumu, ko Federālā apvienība ir cēlusi pret Facebook Ireland.

71.

Proti, jāatgādina, ka – pēc iesniedzējtiesas teiktā un saskaņā ar Federālās apvienības norādīto – Facebook Ireland nav izpildījusi pienākumu, kas tai noteikts Regulas 2016/679 12. panta 1. punkta pirmajā teikumā, proti, kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, sniegt datu subjektam šīs regulas 13. panta 1. punkta c) un e) apakšpunktā minēto informāciju, kas attiecas uz datu apstrādes mērķi un personas datu saņēmēju. Šīs tiesību normas neapšaubāmi ietilpst to normu kategorijā, ar kurām datu subjektiem ir piešķirtas subjektīvās tiesības; un to apstiprina konkrēti apstāklis, ka tās ir iekļautas minētās regulas III nodaļā “Datu subjekta tiesības”. Tādējādi šo tiesību ievērošanu var pieprasīt vai nu datu subjekti tieši, vai arī struktūras, kas to ir tiesīgas darīt saskaņā vai nu ar Regulas 2016/679 80. panta 1. punktu, vai šīs regulas 80. panta 2. punktu transponējošajām valsts tiesību normām.

72.

Uzskatu arī, ka Regulas 2016/679 80. panta 2. punktam nav pretrunā tādas valsts tiesību normas, ar ko patērētāju interešu aizstāvības apvienībai ir piešķirtas tiesības celt prasību par noteiktu darbību veikšanas aizliegumu, lai nodrošinātu šajā regulā piešķirto tiesību ievērošanu, piemērojot noteikumus, kuru mērķis ir aizsargāt patērētāju tiesības vai apkarot negodīgu komercpraksi. Proti, šādos noteikumos var ietilpt tiesību normas, kas līdzinās minētajā regulā iekļautajām, it īpaši attiecībā uz datu subjektu informēšanu par viņu personas datu apstrādi ( 47 ), un tas nozīmē, ka personas datu aizsardzības tiesību normas pārkāpums vienlaikus var būt arī noteikumu par patērētāju aizsardzību vai negodīgas komercprakses apkarošanu pārkāpums. Regulas 2016/679 80. panta 2. punkta formulējumā nekas neliedz daļēji piemērot šo atvērējklauzulu tādējādi, ka pārstāvības prasības mērķis ir aizsargāt tiesības, kas šajā regulā datu subjektiem ir piešķirtas kā patērētājiem ( 48 ).

73.

Šāda piedāvātā Regulas 2016/679 80. panta 2. punkta interpretācija, manuprāt, ir vispiemērotākā, lai sasniegtu šajā regulā izvirzītos mērķus.

74.

Šajā ziņā Tiesa ir norādījusi: “Kā izriet no Regulas 2016/679 1. panta 2. punkta, lasot to kopsakarā ar šīs regulas 10., 11. un 13. apsvērumu, ar šo regulu Savienības iestādēm un struktūrām, kā arī dalībvalstu kompetentajām iestādēm ir uzlikts pienākums nodrošināt augstu LESD 16. pantā un [Eiropas Savienības Pamattiesību hartas] 8. pantā garantēto tiesību aizsardzības līmeni.” ( 49 ) Turklāt minētās regulas mērķis ir “nodrošināt fizisko personu pamattiesību un brīvību efektīvu aizsardzību, it īpaši viņu tiesības uz privātās dzīves aizsardzību un personas datu aizsardzību” ( 50 ).

75.

Ar mērķi nodrošināt personas datu augstu aizsardzības līmeni nebūtu saderīgi, ja dalībvalstīm būtu liegts veikt darbības, kuras, tiecoties sasniegt patērētāju tiesību aizsardzības mērķi, palīdz sasniegt arī personas datu aizsardzības mērķi. Tāpat kā tas bija Direktīvas 95/46 gadījumā, pēc Regulas 2016/679 stāšanās spēkā joprojām var apgalvot, ka pilnvarojums patērētāju interešu aizstāvības apvienībām panākt šīs regulas tiesību normām neatbilstošas apstrādes izbeigšanu palīdz stiprināt datu subjektu tiesības, izmantojot kolektīvās tiesiskās aizsardzības līdzekļus ( 51 ).

76.

Patērētāju kolektīvo interešu aizstāvība, ko veic apvienības, tādējādi ir it īpaši pielāgota mērķim panākt personas datu augsta līmeņa aizsardzību. Šajā skatījumā šo apvienību celto prasību preventīvo funkciju nebūtu iespējams izpildīt, ja, ceļot Regulas 2016/679 80. panta 2. punktā paredzēto pārstāvības prasību, drīkstētu atsaukties tikai uz tādas personas tiesību pārkāpumu, kuru šis pārkāpums ir skāris individuāli un konkrēti.

77.

Tādējādi prasība par noteiktu darbību veikšanas aizliegumu, ko cēlusi tāda patērētāju interešu aizstāvības apvienība kā Federālā apvienība, nenoliedzami palīdz nodrošināt ar Regulu 2016/679 aizsargāto tiesību efektīvu piemērošanu ( 52 ).

78.

Turklāt būtu vismaz paradoksāli, ja līdz ar personas datu aizsardzības noteikumu uzraudzības līdzekļu nostiprināšanu, ko Savienības likumdevējs ir vēlējies panākt, pieņemot Regulu 2016/679, šīs aizsardzības līmenis beigu beigās samazinātos salīdzinājumā ar to, kādu dalībvalstis varēja nodrošināt saskaņā ar Direktīvu 95/46.

79.

Tiesiskais regulējums negodīgas komercprakses un personas datu aizsardzības jomā Savienības tiesībās – atšķirībā no Amerikas Savienotajās Valstīs notiekošā – patiešām ir attīstījies savrupi. Tādējādi abās šajās jomās ir atšķirīgi normatīvie ietvari.

80.

Tomēr starp šīm abām jomām pastāv mijiedarbība tādējādi, ka saskaņā ar tiesisko regulējumu par personas datu aizsardzību celtās prasības vienlaikus un netieši var veicināt negodīgas komercprakses izbeigšanu. Arī pretējais atbilst patiesībai ( 53 ). Turklāt no piekrišanas šo datu apstrādei skatpunkta saikne starp personas datu aizsardzību un patērētāju tiesību aizsardzību rod izpausmi Regulā 2016/679, konkrēti – tās 42. apsvērumā. Komisija ir īpaši norādījusi arī uz Savienības tiesiskā regulējuma personas datu aizsardzības jomā mijiedarbību ar Direktīvu 2005/29/EK ( 54 ).

81.

Tiesību uz personas datu aizsardzību, patērētāju tiesību un konkurences tiesību mijiedarbība ir vērojama bieži, un tā ir plaša, jo uz vienu un to pašu rīcību vienlaikus var attiecināt šajās dažādajās jomās piemērojamās tiesību normas. Šāda mijiedarbība palīdz padarīt personas datu aizsardzību efektīvāku ( 55 ).

82.

Regulā 2016/679 paredzēto tiesību subjektu loks neaprobežojas ar patērētājiem, jo šī regula ir balstīta nevis uz fizisko personu aizsardzības attiecībā uz personas datu apstrādi kā patērētāju aizsardzības koncepciju ( 56 ), bet uz koncepciju, saskaņā ar kuru atbilstoši Pamattiesību hartas 8. pantam – un kā it īpaši norādīts minētās regulas 1. apsvērumā, kā arī 1. panta 2. punktā – šī aizsardzība ir pamattiesības ( 57 ).

83.

Tomēr digitālās ekonomikas laikmetā datu subjekti bieži vien ir patērētāji. Šā iemesla dēļ noteikumi par patērētāju tiesību aizsardzību bieži vien tiek likti lietā, lai tiem nodrošinātu aizsardzību pret viņu personas datu apstrādi pretēji Regulas 2016/679 tiesību normām.

84.

Šīs analīzes rezultātā ir jākonstatē, ka var pastāvēt pārklāšanās starp Regulas 2016/679 80. panta 2. punktā paredzēto pārstāvības prasību un Direktīvā 2020/1828 minēto prasību, kuru ceļ, lai noteiktu aizlieguma pasākumus, ja “datu subjekti” šīs regulas izpratnē ir arī “patērētāji” šīs direktīvas 3. panta 1. punkta izpratnē ( 58 ). Uzskatu, ka tas liecina par tiesību uz personas datu aizsardzību un citu tādu tiesību jomu kā patērētāju tiesības un konkurences tiesības papildināmību un konverģenci. Pieņemot šo direktīvu, Savienības likumdevējs ir gājis vēl tālāk, skaidri sasaistīdams patērētāju kolektīvo interešu aizsardzību ar Regulas 2016/679 ievērošanu. Šajā regulā iekļauto tiesību normu efektīva piemērošana šādi var tikt tikai pastiprināta.

V. Secinājumi

85.

Ņemot vērā visus iepriekš minētos apsvērumus, ierosinu Tiesai uz Bundesgerichtshof (Federālā augstākā tiesa, Vācija) uzdoto prejudiciālo jautājumu atbildēt šādi:

Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 80. panta 2. punkts ir jāinterpretē tādējādi, ka tam nav pretrunā tāds valsts tiesiskais regulējums, ar ko patērētāju interešu aizstāvības apvienībām ir atļauts celt prasību pret datu aizsardzības tiesību aktu iespējamo pārkāpēju, atsaucoties uz negodīgas komercprakses aizliegumu, tiesību aktu par patērētāju tiesību aizsardzību pārkāpumu vai spēkā neesošu vispārīgu nosacījumu izmantošanas aizlieguma neievērošanu, ja attiecīgās pārstāvības prasības mērķis ir nodrošināt tādu tiesību ievērošanu, kas personām, uz kuru personas datiem attiecas strīdīgā apstrāde, izriet tieši no šīs regulas.


( 1 ) Oriģinālvaloda – franču.

( 2 ) Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.).

( 3 ) Eiropas Parlamenta un Padomes Direktīva (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.).

( 4 ) Skat. spriedumu, 2019. gada 29. jūlijs, Fashion ID (C‑40/17, turpmāk tekstā – “spriedums Fashion ID, EU:C:2019:629).

( 5 ) Skat. arī šīs regulas 142. apsvērumu.

( 6 ) BGBl. 2004 I, 1414. lpp.; turpmāk tekstā – “UWG”.

( 7 ) BGBl. 2001 I, 3138., 3173. lpp.; turpmāk tekstā – “UKlaG”.

( 8 ) OV 2009, L 110, 30. lpp.

( 9 ) BGBl. 2007 I, 179. lpp.; turpmāk tekstā – “TMG”.

( 10 ) Datu subjektu pārstāvība ir paredzēta arī Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV 2018, L 295, 39. lpp.) 67. pantā, kā arī Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.), 55. pantā. Abos šajos gadījumos tā ir pārstāvība ar pilnvarojumu.

( 11 ) Šīs tendences, kas ir konkretizēta tostarp Direktīvā 2009/22, rezultātā nesen tika pieņemta Eiropas Parlamenta un Padomes Direktīva (ES) 2020/1828 (2020. gada 25. novembris) par pārstāvības prasībām patērētāju kolektīvo interešu aizsardzībai un ar ko atceļ Direktīvu 2009/22/EK (OV 2020, L 409, 1. lpp.). Šīs nupat minētās direktīvas transponēšanas termiņš ir 2022. gada 25. decembris. Šajā ziņā skat. Pato, A., “Collective Redress Mechanisms in the EU”, Jurisdiction and Cross‑Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londona, 2019, 45.–117. lpp. Skat. arī Gsell, B., “The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, 58. sēj., Nr. 5, Kluwer Law International, Alfena pie Reinas, 2021, 1365.–1400. lpp.

( 12 ) Skat. spriedumu Fashion ID (63. punkts un rezolutīvā daļa).

( 13 ) Skat. spriedumu Fashion ID (47. punkts).

( 14 ) Skat. spriedumu Fashion ID (48. punkts).

( 15 ) Skat. spriedumu Fashion ID (49. punkts).

( 16 ) Skat. spriedumu Fashion ID (50. punkts).

( 17 ) Skat. spriedumu Fashion ID (51. punkts).

( 18 ) Skat. spriedumu Fashion ID (56. punkts un tajā minētā judikatūra).

( 19 ) Skat. spriedumu Fashion ID (57. punkts un tajā minētā judikatūra).

( 20 ) Skat. spriedumu Fashion ID (59. punkts).

( 21 ) Mans izcēlums.

( 22 ) Kā Tiesa to ir uzsvērusi 2021. gada 15. jūnija spriedumā Facebook Ireland u.c. (C‑645/19, EU:C:2021:483, 44. punkts).

( 23 ) No Regulas 2016/679 preambulas izriet, ka tā tika pieņemta, pamatojoties uz LESD 16. pantu, kura 2. punktā konkrēti ir paredzēts, ka Eiropas Parlaments un Padome saskaņā ar parasto likumdošanas procedūru paredz gan noteikumus par fizisko personu aizsardzību attiecībā uz Savienības iestāžu un struktūru veikto personas datu apstrādi, kā arī personas datu apstrādi, ko veic dalībvalstis saistībā ar Savienības tiesību aktu darbības jomu, gan noteikumus par šādu datu brīvu apriti.

( 24 ) Lai noskaidrotu ar tādu tiesību aktu kā Regula 2016/679 veiktās saskaņošanas apjomu, ir jāveic “mikroanalīze, aplūkojot konkrētu noteikumu vai, labākajā gadījumā, precīzi definētu Savienības tiesību aspektu”: skat. ģenerāladvokāta M. Bobeka [M. Bobek] secinājumus lietā Dzivev u.c. (C‑310/16, EU:C:2018:623, 74. punkts). Skat. arī Mišćenić, E., un Hoffmann, A.‑L., “The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijeka, 2020, Nr. 4, 44.–61. lpp., kurā norādīts, ka “it is [..] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (49. lpp.).

( 25 ) Skat. spriedumu, 2003. gada 6. novembris, Lindqvist (C‑101/01, EU:C:2003:596, 96. punkts).

( 26 ) Attiecībā uz Direktīvu 95/46 skat. spriedumu, 2003. gada 6. novembris, Lindqvist (C‑101/01, EU:C:2003:596, 97. punkts). Pretēji dažiem plaši izplatītiem uzskatiem Savienības likumdevēja izvēle izmantot nevis direktīvu, bet regulu ne vienmēr nozīmē attiecīgās jomas pilnīgu saskaņošanu. Skat. Mišćenić, E., un Hoffmann, A.‑L., minēts iepriekš, kurā ir norādīts, ka “an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, [..] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (48. lpp.).

( 27 ) Skat. it īpaši spriedumu, 2021. gada 15. jūnijs, Facebook Ireland u.c. (C‑645/19, EU:C:2021:483, 110. punkts un tajā minētā judikatūra). Par jomu, uz kuru agrāk bija attiekusies direktīva, skat. arī spriedumu, 2011. gada 21. decembris, Danske Svineproducenter (C‑316/10, EU:C:2011:863, 42. punkts), kurā Tiesa precizēja: “Apstāklis, ka Savienības tiesiskais regulējums par dzīvnieku aizsardzību pārvadāšanas laikā turpmāk ir ietverts regulā, obligāti nenozīmē, ka šobrīd ir aizliegti jebkādi šī regulējuma piemērošanas valsts pasākumi.”

( 28 ) Skat. spriedumu, 1971. gada 27. oktobris, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

( 29 ) Tādējādi Tiesa atzina, ka dalībvalsts, kas izvēlējusies neizmantot regulā doto iespēju, nepārkāpj LESD 288. pantu: skat. spriedumu, 2015. gada 17. decembris, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, 27.31. punkts). Par regulu, ar ko nosaka eksporta kompensāciju, kuru dalībvalstis var piešķirt vai nepiešķirt, skat. arī spriedumu, 1971. gada 27. oktobris, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

( 30 ) Par šīm atvērējklauzulām skat. Wagner, J., un Benecke, A., “National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlīne, 2. sēj., Nr. 3, 2016, 353.–361. lpp.

( 31 ) Skat. tostarp Regulas 2016/679 51. un 84. pantu.

( 32 ) Skat. tostarp Regulas 2016/679 6. panta 2. un 3. punktu, 8. panta 1. punkta otro daļu, kā arī 85.–89. pantu.

( 33 ) Šajā ziņā skat. Mišćenić, E., un Hoffmann, A.‑L., minēts iepriekš, kurā norādīts, ka “despite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, [..] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses [..] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (50. un 51. lpp.).

( 34 ) Direktīvas 95/46 28. panta 4. punktā bija paredzēts tikai, ka apvienība var uzņemties iesniegt sūdzību uzraudzības iestādē tās personas vārdā, kura apgalvo, ka personas datu apstrādes dēļ ir pārkāptas tās tiesības.

( 35 ) Izņēmums tomēr ir pārstāvības prasība ar pilnvarojumu saņemt atlīdzinājumu datu subjektu vārdā, kas dalībvalstīm ir fakultatīva.

( 36 ) Pēc analoģijas skat. spriedumu, 2011. gada 21. decembris, Danske Svineproducenter (C‑316/10, EU:C:2011:863, 43. punkts).

( 37 ) Skat. Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, blogdroiteuropeen, Collection Open Access Book, Luksemburga, 2019, 98.–106. lpp. Šī autore norāda, ka “the number of actors who potentially have standing to sue is broad” un “consumer associations will usually meet those requirements easily” (99. lpp.).

( 38 ) Mans izcēlums. Saskaņā ar šo tiesību normu “identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Kā norāda Martial‑Braz, N., “Le champ d’application du RGPD”, no: Bensamoun, A., un Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Parīze, 2020, 19.–33. lpp., “identificējamība ir jāsaprot ļoti plaši, jo personas identifikācijas kritēriji attiecas uz visiem līdzekļiem, kurus pamatoti var izmantot personas identificēšanai” (24. lpp.). Par jēdzienu “identificējama persona” Direktīvas 95/46 2. panta a) punkta izpratnē skat. it īpaši spriedumu, 2016. gada 19. oktobris, Breyer (C‑582/14, EU:C:2016:779).

( 39 ) Skat. Boehm, F., “Artikel 80 Vertretung von betroffenen Personen”, no: Simitis, S., Hornung, G., un Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Bādenbādene, 2019, it īpaši 13. punkts.

( 40 ) Skat. Frenzel, E. M., “Art. 80 Vertretung von betroffenen Personen”, no: Paal, B. P., un Pauly, D. A., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, 3. izd., C. H. Beck, Minhene, 2021, it īpaši 11. punkts, kā arī Kreße, B., “Artikel 80 Vertretung von betroffenen Personen”, no: Sydow, G., Europäische Datenschutzverordnung, 2. izd., Nomos, Bādenbādene, 2018, it īpaši 13. punkts.

( 41 ) Skat. Moos, F., un Schefzig, J., “Art. 80 Vertretung von betroffenen Personen”, no: Taeger, J., un Gabel, D., Kommentar DSGVO – BDSG, 3. izd., Deutscher Fachverlag, Frankfurte pie Mainas, 2019, it īpaši 22. punkts.

( 42 ) Par negodīgiem noteikumiem līgumos, kas tiek slēgti starp pārdevēju vai piegādātāju un patērētāju, skat. spriedumu, 2016. gada 14. aprīlis, Sales Sinués un Drame Ba (C‑381/14 un C‑385/14, EU:C:2016:252, 29. punkts).

( 43 ) Skat. Direktīvas 2020/1828 33. apsvērumu, kā arī 8. panta 3. punkta a) apakšpunktu, saskaņā ar kuru “tiesīgajai iestādei nav pienākuma pierādīt [..] faktiskus zaudējumus vai kaitējumu individuāliem patērētājiem, kurus skāris pārkāpums, kā minēts 2. panta 1. punktā”. Turklāt, lai arī ar šīs direktīvas 7. panta 2. punktu tiesīgajai iestādei ir noteikts pienākums sniegt tiesai vai administratīvajai iestādei “pietiekamu informāciju par patērētājiem, uz kuriem attiecas pārstāvības prasība”, no minētās direktīvas 34. apsvēruma izriet, ka šī informācija, kuras detalizētības pakāpe var mainīties atkarībā no tiesīgās iestādes pieprasītā pasākuma, neattiecas uz attiecīgā pārkāpuma skarto patērētāju individuālu identificēšanu, bet drīzāk tā ir informācija par kaitējumu radošā notikuma vietu vai patērētāju grupu, uz kuriem attiecas pārstāvības prasība (skat. arī Direktīvas 2020/1828 65. apsvērumu). Turklāt jāteic – pat ja pārstāvības prasības mērķis ir panākt atlīdzināšanas pasākumu noteikšanu, Direktīvas 2020/1828 49. apsvērumā ir teikts, ka, “lai iesniegtu pārstāvības prasību, tiesīgajai iestādei nevajadzētu būt pienākumam atsevišķi identificēt katru patērētāju, uz kuru attiecas pārstāvības prasība”. Šajā ziņā skat. Gsell, B., minēts iepriekš, it īpaši 1370. lpp.

( 44 ) Skat. Direktīvas 2020/1828 2. panta 1. punktu.

( 45 ) Skat. Direktīvas 2009/22 3. apsvērumu, kurā ir precizēts, ka prasību par noteiktu darbību veikšanas aizliegumu, kas ietilpst tās piemērošanas jomā, mērķis ir aizsargāt “kopējās intereses”, kas ir definētas kā “intereses, kas neietver to indivīdu interešu uzkrāšanu, kuriem pārkāpums ir radījis kaitējumu”. Direktīvas 2020/1828 3. panta 3. punktā “patērētāju kolektīvās intereses” ir definētas kā “patērētāju vispārējās intereses un, jo īpaši tiesiskās aizsardzības pasākumu nolūkos, patērētāju grupas intereses”.

( 46 ) Mans izcēlums.

( 47 ) Skat. Helberger, N., Zuiderveen Borgesius, F., un Reyna, A., “The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, 54. sēj., Nr. 5, Kluwer Law International, Alfena pie Reinas, 2017, 1427.–1465. lpp., kurā ir norādīts, ka “one feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (1437. lpp.).

( 48 ) Skat. Neun, A., un Lubitzsch, K., “Die neue EU‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs‑Berater, Deutscher Fachverlag, Frankfurte pie Mainas, 2017, 2563.–2569. lpp., it īpaši 2567. lpp.

( 49 ) Skat. spriedumu, 2021. gada 15. jūnijs, Facebook Ireland u.c. (C‑645/19, EU:C:2021:483, 45. punkts).

( 50 ) Skat. spriedumu, 2021. gada 15. jūnijs, Facebook Ireland u.c. (C‑645/19, EU:C:2021:483, 91. punkts).

( 51 ) Skat. ģenerāladvokāta M. Bobeka secinājumus lietā Fashion ID (C‑40/17, EU:C:2018:1039, 33. punkts).

( 52 ) Piemērus prasībām, kuras cēlušas patērētāju interešu aizstāvības apvienības, skat. Helberger, N., Zuiderveen Borgesius, F., un Reyna, A., minēts iepriekš, it īpaši 1452. un 1453. lpp.

( 53 ) Attiecībā uz prasību par personas datu aizsardzību un prasību pārtraukt negodīgu komercpraksi komplementaritāti skat. van Eijk, N., Hoofnagle, C. J., un Kannekens, E., “Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlīne, 3. sēj., Nr. 3, 2017, 325.–337. lpp., kurā norādīts, ka “through applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (336. lpp.).

( 54 ) Eiropas Parlamenta un Padomes Direktīva (2005. gada 11. maijs), kas attiecas uz uzņēmēju negodīgu komercpraksi iekšējā tirgū attiecībā pret patērētājiem un ar ko groza Padomes Direktīvu 84/450/EEK un Eiropas Parlamenta un Padomes Direktīvas 97/7/EK, 98/27/EK un 2002/65/EK un Eiropas Parlamenta un Padomes Regulu (EK) Nr. 2006/2004 (“Negodīgas komercprakses direktīva”) (OV 2005, L 149, 22. lpp.). Skat. Komisijas dienestu darba dokumentu – Vadlīnijas par to, kā īstenot/piemērot Direktīvu 2005/29/EK par negodīgu komercpraksi, pavaddokuments dokumentam: Komisijas Paziņojums Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un Sociālo lietu komitejai un Reģionu komitejai (SWD(2016) 163 final), it īpaši 1.4.10. punktu, 26.–31. lpp. Komisija tajā uzsver nepieciešamību veikt godprātīgu apstrādi, kas ietver attiecīgās informācijas sniegšanu datu subjektam, it īpaši par attiecīgās informācijas par personas datu apstrādes nolūkiem sniegšanu (28. lpp.). Komisija arī norāda, ka tad, “ja tirgotājs pārkāpj Direktīvu [95/46] vai [Eiropas Parlamenta un Padomes] Direktīvu [2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju (OV 2002, L 201, 37. lpp.)], tas ne vienmēr nozīmē, ka attiecīgā prakse ir pretrunā arī [Direktīvai 2005/29]”. Tomēr, pēc Komisijas domām, “šādi datu aizsardzības pārkāpumi būtu jāņem vērā, izvērtējot vispārējo komercprakses negodīgumu saskaņā ar [Direktīvu 2005/29], jo īpaši tad, ja tirgotājs apstrādā patērētāju datus, pārkāpjot datu aizsardzības prasības, t.i., tiešas tirdzniecības vai citos komerciālos nolūkos, piemēram, profilēšanas, personīga cenas piedāvājuma sagatavošanas vai lielo datu lietotņu vajadzībām” (25. un 26. lpp.).

( 55 ) Šajā ziņā skat. it īpaši Helberger, N., Zuiderveen Borgesius, F., un Reyna, A., minēts iepriekš, kurā norādīts, ka “data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (1429. lpp.). Skat. arī van Eijk, N., Hoofnagle, C. J., un Kannekens, E., minēts iepriekš, it īpaši 336. lpp. Piemēru komplementaritātei starp noteikumiem par personas datu aizsardzību elektronisko komunikāciju nozarē un noteikumiem, ar ko aizliegta uzņēmēju negodīga komercprakse pret patērētājiem, skat. manos secinājumos lietā StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

( 56 ) Skat. Martial‑Braz, N., minēts iepriekš, it īpaši 23. lpp.

( 57 ) Skat. spriedumu, 2021. gada 15. jūnijs, Facebook Ireland u.c. (C‑645/19, EU:C:2021:483, 44. punkts).

( 58 ) Skat. Direktīvas 2020/1828 14. apsvērumu, saskaņā ar kuru “tādu fizisku personu intereses, kurām nodarīts kaitējums vai varētu būt nodarīts kaitējums ar [I pielikumā minēto Savienības tiesību normu] pārkāpumiem, būtu jāaizsargā tikai tad, ja minētās personas ir patērētāji saskaņā ar šo direktīvu”.