–

w imieniu Meta Platforms Ireland Ltd – M. Braun, H.-G. Kamann i V. Wettner, Rechtsanwälte,

–

w imieniu Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV – P. Wassermann, Rechtsanwalt,

–

w imieniu rządu niemieckiego – J. Möller i P.-L. Krüger, w charakterze pełnomocników,

–

w imieniu rządu portugalskiego – P. Barros da Costa, J. Ramos i C. Vieira Guerra, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher i H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 80 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”) w związku z art. 12 ust. 1 zdanie pierwsze oraz art. 13 ust. 1 lit. c) i e) tego rozporządzenia.

2

Wniosek ten został złożony w ramach sporu pomiędzy Meta Platforms Ireland Ltd, dawniej Facebook Ireland Ltd, z siedzibą w Irlandii, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (federalnym związkiem stowarzyszeń konsumenckich, Niemcy, zwanym dalej „federalnym związkiem konsumentów”) w przedmiocie naruszenia przez Meta Platforms Ireland niemieckich przepisów o ochronie danych osobowych, stanowiącego jednocześnie nieuczciwą praktykę handlową, naruszenie przepisów ustawy o ochronie konsumentów oraz naruszenie zakazu stosowania nieważnych ogólnych warunków handlowych.

3

Motywy 10, 13, 39, 58, 60 i 142 RODO stanowią:

[…]

[…]

[…]

[…]

[…]

4

Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 1:

„W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych”.

5

Zgodnie z art. 4 pkt 1, 2, 9 i 11 tego rozporządzenia:

„Na użytek niniejszego rozporządzenia:

[…]

[…]

6

Artykuł 5 wspomnianego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

[…]

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

7

Artykuł 6 ust. 1 lit. a) RODO, zatytułowany „Zgodność przetwarzania z prawem”, przewiduje:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

8

Rozdział III RODO, który zawiera art. 12–23, nosi tytuł „Prawa osoby, której dane dotyczą”.

9

Artykuł 12 tego rozporządzenia, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi w ust. 1:

„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”.

10

Artykuł 13 RODO, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje w ust. 1 lit. c) i e):

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:

[…]

[…]

11

Rozdział VIII wspomnianego rozporządzenia, obejmujący art. 77–84, jest zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”.

12

Artykuł 77 RODO, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:

„Bez uszczerbku dla innych administracyjnych [środków ochrony prawnej] lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.

13

Artykuł 78 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1:

„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.

14

Artykuł 79 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, przewiduje w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.

15

Artykuł 80 RODO, zatytułowany „Reprezentowanie osób, których dane dotyczą”, ma następujące brzmienie:

„1.   Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.

2.   Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.

16

Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1:

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

17

Artykuł 84 RODO, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

18

Zgodnie z § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (ustawy o nakazie zaprzestania szkodliwych praktyk) z dnia 26 listopada 2001 r. (BGBl. 2001 I, s. 3138), w brzmieniu mającym zastosowanie w postępowaniu głównym, (zwanej dalej „ustawą o nakazie zaprzestania szkodliwych praktyk):

„1.   Od tego, kto narusza przepisy mające na celu ochronę konsumentów (ustawy o ochronie konsumentów) w inny sposób niż przez stosowanie lub zalecanie stosowania ogólnych warunków umów, można żądać w interesie ochrony konsumentów zaniechania i usunięcia skutków. […]

2.   W rozumieniu niniejszego przepisu »ustawy o ochronie konsumentów« oznaczają w szczególności:

[…]

11) przepisy, które regulują dopuszczalność:

19

Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) wskazuje, że, zgodnie z § 3 ust. 1 zdanie pierwsze pkt 1 ustawy o nakazie zaprzestania szkodliwych praktyk podmioty mające legitymację procesową w rozumieniu § 4 tej ustawy mogą, po pierwsze, zgodnie z jej § 1 żądać zaniechania stosowania ogólnych warunków handlowych nieważnych na podstawie § 307 Bürgerliches Gesetzbuch (kodeksu cywilnego), a po drugie, żądać zaniechania naruszeń przepisów ustawy o ochronie konsumentów w rozumieniu § 2 ust. 2 rzeczonej ustawy.

20

Paragraf 3 ust. 1 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji) z dnia 3 lipca 2004 r. (BGB1. 2004 I, s. 1414), w brzmieniu mającym zastosowanie w postępowaniu głównym, (zwanej dalej „ustawą o zwalczaniu nieuczciwej konkurencji”), stanowi:

„Nieuczciwe praktyki handlowe są niedozwolone”.

21

Paragraf 3a ustawy o zwalczaniu nieuczciwej konkurencji ma następujące brzmienie:

„W sposób nieuczciwy działa ten, kto narusza przepis ustawowy, który ma również na celu uregulowanie zachowań rynkowych w interesie uczestników rynku, a naruszenie to może znacząco zaszkodzić interesom konsumentów, innych uczestników rynku lub konkurentów”.

22

Paragraf 8 tej ustawy stanowi:

„1.   Od każdego, kto dopuszcza się niedozwolonej praktyki handlowej wskazanej w § 3 lub § 7, można żądać usunięcia jej skutków, a jeżeli zachodzi ryzyko powrotu do tych praktyk, wobec osoby tej może zostać wydany sądowy nakaz zaniechania naruszeń. […]

[…]

3.   Roszczenie o wydanie nakazów, o których mowa w ust. 1, przysługuje:

[…]

23

Bundesgerichtshof (federalny trybunał sprawiedliwości) wskazuje, że § 13 ust. 1 Telemediengesetz (ustawy o mediach elektronicznych) z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179) obowiązywał do czasu wejścia w życie RODO. Z tym dniem przepis ten został zastąpiony poprzez art. 12–14 RODO.

24

Zgodnie z § 13 ust. 1 zdanie pierwsze ustawy o mediach elektronicznych:

„Usługodawca informuje użytkownika na początku procesu użytkowania w ogólnie zrozumiałej formie o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych oraz o przetwarzaniu jego danych w państwach nieobjętych zakresem zastosowania dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), chyba, że taka informacja została już przekazana”.

25

Spółka Meta Platforms Ireland, która zarządza ofertą usług serwisu społecznościowego Facebook w Unii, jest administratorem danych osobowych użytkowników tego serwisu społecznościowego w Unii. Spółka Facebook Germany GmbH, mająca siedzibę w Niemczech, promuje pod adresem www.facebook.de sprzedaż przestrzeni reklamowych. Platforma internetowa Facebook obejmuje, między innymi pod adresem internetowym www.facebook.de, przestrzeń zwaną „App-Zentrum” (centrum aplikacji), na której spółka Meta Platforms Ireland udostępnia użytkownikom bezpłatne gry dostarczane przez osoby trzecie. Podczas korzystania z tej przestrzeni użytkownik był informowany, że, użytkując niektóre z tych aplikacji, zgadza się na gromadzenie przez nie różnych danych osobowych i że zezwala im na opublikowanie niektórych z tych danych w jego imieniu, takich jak uzyskany wynik oraz, w przypadku jednej z omawianych gier, jego statusu i wizerunku. Był on jednocześnie informowany, że, użytkując przedmiotowe aplikacje, akceptuje ogólne warunki tych aplikacji i ich politykę w dziedzinie ochrony danych.

26

Federalny związek konsumentów, podmiot posiadający legitymację procesową na podstawie § 4 ustawy o nakazie zaprzestania szkodliwych praktyk, ocenił że informacje dostarczane przez rozpatrywane aplikacje do gry, dostępne w centrum aplikacji, były nieuczciwe w szczególności dlatego, że nie spełniały wymogów prawnych dotyczących uzyskania ważnej zgody użytkownika zgodnie z przepisami o ochronie danych osobowych. Ponadto zdaniem tego związku informacja, że użytkownik zezwala na publikowanie przez aplikację w jego imieniu niektórych spośród jego danych osobowych, stanowi nadmiernie niekorzystny dla użytkownika ogólny warunek handlowy.

27

W tym kontekście federalny związek konsumentów wniósł przeciwko Meta Platforms Ireland do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy) powództwo o zaniechanie na podstawie § 3a ustawy o zwalczaniu nieuczciwej konkurencji, § 2 ust. 2 zdanie pierwsze pkt 11 ustawy o nakazie zaprzestania szkodliwych praktyk oraz kodeksu cywilnego, w szczególności w celu zakazania Meta Platforms Ireland prezentowania w centrum aplikacji gier takich jak rozpatrywane aplikacje. Powództwo to wniesiono niezależnie od konkretnego naruszenia prawa do ochrony danych osoby, której dane dotyczą, i bez pełnomocnictwa z jej strony.

28

Landgericht Berlin (sąd krajowy w Berlinie) uwzględnił żądania powództwa federalnego związku konsumentów. Spółka Meta Platforms Ireland wniosła apelację od tego wyroku do Kammergericht Berlin (wyższego sądu krajowego w Berlinie, Niemcy), którą sąd ten oddalił. W związku z tym spółka Meta Platforms Ireland wniosła do sądu odsyłającego skargę rewizyjną od wydanego przez sąd apelacyjny orzeczenia oddalającego apelację.

29

Sąd odsyłający uznał, że powództwo federalnego związku konsumentów było zasadne, ponieważ spółka Meta Platforms Ireland naruszyła § 3a ustawy o zwalczaniu nieuczciwej konkurencji oraz § 2 ust. 2 zdanie pierwsze pkt 11 ustawy o nakazie zaprzestania szkodliwych praktyk, jak również zastosowała nieważny ogólny warunek handlowy w rozumieniu § 1 ustawy o nakazie zaprzestania szkodliwych praktyk.

30

Sąd ten powziął jednak wątpliwości co do dopuszczalności powództwa wniesionego przez federalny związek konsumentów. Jest on bowiem zdania, że nie jest wykluczone, iż federalny związek konsumentów, który w chwili wniesienia powództwa miał legitymację procesową czynną na podstawie § 8 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji i § 3 ust. 1 zdanie pierwsze pkt 1 ustawy o nakazie zaprzestania szkodliwych praktyk, utracił tę legitymację w toku postępowania w następstwie wejścia w życie RODO, a w szczególności art. 80 ust. 1 i 2 oraz art. 84 ust. 1 tego rozporządzenia. Gdyby tak było, sąd odsyłający powinien był uwzględnić wniesioną przez spółkę Meta Platforms Ireland skargę rewizyjną i oddalić powództwo o zaniechanie wniesione przez federalny związek konsumentów, ponieważ zgodnie z właściwymi przepisami niemieckiego prawa procesowego legitymacja procesowa powinna przysługiwać aż do zakończenia postępowania w ostatniej instancji.

31

W tych okolicznościach postanowieniem z dnia 28 maja 2020 r. Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z pytaniem prejudycjalnym dotyczącym wykładni art. 80 ust. 1 i 2 oraz art. 84 ust. 1 RODO.

32

W wyroku z dnia 28 kwietnia 2022 r., Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Trybunał odpowiedział na to pytanie, orzekając, że art. 80 ust. 2 RODO należy interpretować w ten sposób, iż nie sprzeciwia się on uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu pełnomocnictwa i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu naruszenia zakazu stosowania nieuczciwych praktyk handlowych, naruszenia przepisów ustawy o ochronie konsumentów lub zakazu stosowania nieważnych ogólnych warunków handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia.

33

W świetle tego wyroku sąd odsyłający jest zdania, że legitymacja procesowa podmiotu w rozumieniu art. 80 ust. 2 RODO nie jest uzależniona od uprzedniego ustalenia przez ten podmiot tożsamości osoby, której dane dotyczą, poprzez domniemane naruszenie przepisów RODO. Pojęcie „osoby, której dane dotyczą”, w rozumieniu art. 4 pkt 1 RODO, obejmuje nie tylko „zidentyfikowaną osobę fizyczną”, ale również „możliwą do zidentyfikowania osobę fizyczną”, czyli osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie identyfikatora takiego jak w szczególności nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy. W tych okolicznościach wskazanie kategorii lub grupy osób, których dotyczy takie przetwarzanie, może być również wystarczające dla celów wniesienia takiego powództwa przedstawicielskiego. W niniejszym przypadku federalny związek konsumentów dokonał identyfikacji takiej grupy lub takiej kategorii.

34

Jednakże zdaniem sądu odsyłającego we wspomnianym wyżej wyroku Trybunału nie zbadano przesłanki określonej w art. 80 ust. 2 RODO, zgodnie z którą, w celu skorzystania ze środków ochrony prawnej przewidzianych w tym rozporządzeniu, stowarzyszenie ochrony interesów konsumentów powinno uznać, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania”.

35

Po pierwsze, sąd ten uważa, że z wyroku tego nie wynika jasno, czy naruszenie ustanowionego w art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) RODO obowiązku udzielenia osobie, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane oraz o odbiorcy tych danych, stanowi naruszenie „w wyniku przetwarzania” oraz czy pojęcie „przetwarzania” w rozumieniu art. 4 pkt 2 tego rozporządzenia obejmuje sytuacje poprzedzające gromadzenie takich danych.

36

Po drugie, sąd ten uważa, że nie jest jasne, czy w przypadku takim jak rozpatrywany w postępowaniu głównym naruszenie obowiązku informacyjnego nastąpiło „w wyniku” przetwarzania danych osobowych w rozumieniu art. 80 ust. 2 RODO. W tym względzie sąd ten podkreśla, że o ile takie sformułowanie może sugerować, iż podmiot, który wnosi powództwo przedstawicielskie, musi – aby powództwo to było dopuszczalne – powołać się na naruszenie praw osoby, której dane dotyczą, które wynika z operacji przetwarzania danych w rozumieniu art. 4 pkt 2 tego rozporządzenia, wobec czego następuje po dokonaniu takiej operacji, o tyle cel wspomnianego rozporządzenia, polegający na zapewnieniu w szczególności wysokiego poziomu ochrony danych osobowych, zdawałby się przemawiać za rozszerzeniem zakresu legitymacji czynnej tego podmiotu ma wypadek naruszenia obowiązku informacyjnego, mimo że obowiązek ten musi zostać spełniony przed każdą operacją przetwarzania danych osobowych.

37

W tych okolicznościach Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy mamy do czynienia z dochodzeniem praw [osoby, której dane dotyczą] naruszonych »w wyniku przetwarzania« w rozumieniu art. 80 ust. 2 RODO, jeżeli stowarzyszenie ochrony interesów konsumentów opiera swoje powództwo na tym, że prawa osoby, której dane dotyczą, zostały naruszone, ponieważ nie zostały spełnione obowiązki informacyjne, o których mowa w art. 12 ust. 1 zdanie pierwsze RODO w związku z art. 13 ust. 1 lit. c) i e) RODO, dotyczące celu przetwarzania danych i odbiorcy danych osobowych?”.

38

Poprzez pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy art. 80 ust. 2 RODO należy interpretować w ten sposób, że przesłanka – zgodnie z którą podmiot uprawniony na podstawie tego przepisu do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, iż do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) tego rozporządzenia polegającemu na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.

39

W celu udzielenia odpowiedzi na to pytanie należy na wstępie przypomnieć, że RODO reguluje między innymi środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe miały zostać przetworzone w sposób sprzeczny z przepisami rzeczonego rozporządzenia. Ochrony tych praw może zatem dochodzić bezpośrednio osoba, której dane dotyczą, która ma prawo wnieść skargę do organu nadzorczego państwa członkowskiego, zgodnie z art. 77 RODO lub skorzystać z prawa do skutecznego środka ochrony prawnej przed sądem krajowym, zgodnie z art. 78 i 79 tego rozporządzenia, lub podmiot uprawniony, posiadający lub nieposiadający umocowania w tym zakresie, zgodnie z art. 80 rozporządzenia.

40

W szczególności art. 80 ust. 2 RODO zapewnia państwom członkowskim możliwość ustanowienia mechanizmu powództwa przedstawicielskiego przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych, określając jednocześnie szereg wymogów w kwestii podmiotowego i przedmiotowego zakresu stosowania, których należy w tym celu przestrzegać (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 63).

41

W pierwszej kolejności, co się tyczy podmiotowego zakresu stosowania takiego mechanizmu, legitymacja procesowa przysługuje podmiotowi, organizacji lub zrzeszeniu spełniającym kryteria wymienione w art. 80 ust. 1 RODO. W szczególności, jak już stwierdził Trybunał, stowarzyszenie ochrony interesów konsumentów, takie jak związek organizacji konsumenckich, może wchodzić w zakres tego pojęcia, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw i wolności osób, których dane dotyczą, a które występują w charakterze konsumentów, jeżeli realizacja takiego celu może być związana z ochroną danych osobowych tych osób (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 64, 65).

42

W drugiej kolejności, co się tyczy przedmiotowego zakresu stosowania wspomnianego mechanizmu, wniesienie przewidzianego w art. 80 ust. 2 RODO powództwa przedstawicielskiego przez podmiot spełniający przesłanki wymienione w art. 80 ust. 1 RODO zakłada, że ów podmiot niezależnie od jakiegokolwiek udzielonego mu pełnomocnictwa „uznaj[e], że w wyniku przetwarzania [danych osobowych] naruszone zostały prawa osoby, której dane dotyczą, wynikające z [tego] rozporządzenia” (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 67).

43

W tym względzie Trybunał wyjaśnił, że wniesienie powództwa przedstawicielskiego nie jest w szczególności uzależnione od istnienia „konkretnego naruszenia” praw przysługujących danej osobie na podstawie przepisów o ochronie danych osobowych, z takim skutkiem, że w celu uznania służącej takiemu podmiotowi legitymacji procesowej, wystarczy podnieść, że rozpatrywane przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia, bez konieczności udowadniania rzeczywistej szkody poniesionej w określonej sytuacji wskutek naruszenia jej praw przez konkretną osobę, której dane dotyczą (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 70, 72).

44

Jednakże, jak już orzekł Trybunał, wniesienie powództwa przedstawicielskiego zakłada jedynie, że podmiot, o którym mowa w tym przepisie, „uznaje”, iż przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania jej danych osobowych, a zatem twierdzi on, że doszło do przetwarzania danych sprzecznego z przepisami wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 71), ponieważ takie przetwarzanie nie może mieć charakteru czysto hipotetycznego, jak zauważył rzecznik generalny w pkt 48 opinii.

45

Konkretnie, jak wynika z brzmienia art. 80 ust. 2 RODO, wytoczenie powództwa przedstawicielskiego na podstawie tego przepisu oznacza, że naruszenie praw, jakie osoba, której dane dotyczą, wywodzi z tego rozporządzenia, ma miejsce w związku z przetwarzaniem danych osobowych.

46

Wykładnię tę potwierdza porównanie różnych wersji językowych art. 80 ust. 2 RODO oraz jego motyw 142, który stanowi, że podmioty spełniające przesłanki, o których mowa w art. 80 ust. 1 tego rozporządzenia, muszą mieć powody, by sądzić, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone, ponieważ „przetwarzanie danych osobowych nastąpiło z naruszeniem [tego] rozporządzenia”.

47

Wyjaśniwszy powyższe, w celu udzielenia odpowiedzi na pytanie prejudycjalne należy jeszcze sprawdzić, czy naruszenie spoczywającego na administratorze na mocy art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) RODO obowiązku przekazania osobie, której dane dotyczą, w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem, informacji o celu przetwarzania danych osobowych oraz o odbiorcach takich danych, najpóźniej w chwili gromadzenia tych danych, stanowi naruszenie praw tej osoby „w wyniku przetwarzania” w rozumieniu art. 80 ust. 2 RODO.

48

Na wstępie należy przypomnieć, że cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywu 1, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych (zob. podobnie wyrok z dnia 7 marca 2024 r., IAB Europe, C‑604/22, EU:C:2024:214, pkt 53).

49

W tym kontekście rozdziały II i III tego rozporządzenia określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności, z zastrzeżeniem odstępstw przewidzianych w art. 23 wspomnianego rozporządzenia, wszelkie przetwarzanie danych osobowych musi, po pierwsze, być zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 tego rozporządzenia i spełniać warunki zgodności przetwarzania z prawem, wymienione w jego art. 6, a po drugie, szanować prawa osoby, której dane dotyczą, określone w art. 12–22 RODO [zob. podobnie wyroki: z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 208; a także z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych do celów podatkowych),C‑175/20, EU:C:2022:124, pkt 50, 61 i przytoczone tam orzecznictwo].

50

W tym względzie należy podkreślić, że zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Ponadto, zgodnie z art. 5 ust. 1 lit. b), dane te muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

51

Co się tyczy wykładni art. 5 ust. 1 lit. b) RODO, Trybunał orzekł, że przepis ten wymaga w szczególności, aby cele przetwarzania zostały jasno określone w treści żądania, najpóźniej w momencie zgromadzenia danych osobowych [wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych) (C‑175/20, EU:C:2022:124, pkt 64, 65).

52

Ponadto zgodnie z art. 5 ust. 2 RODO na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

53

Z art. 5 RODO wynika zatem, że przetwarzanie danych osobowych musi w szczególności spełniać konkretne wymogi w zakresie przejrzystości względem osoby, której przetwarzanie dotyczy. W tym celu w rozdziale III RODO, po pierwsze, przewiduje konkretne obowiązki administratora danych, a po drugie, przyznaje szereg praw osobie, której przetwarzane dane osobowe dotyczą, wśród których znajduje się w szczególności prawo do uzyskania od administratora informacji o celach tego przetwarzania i o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe (wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 48).

54

W szczególności art. 13 ust. 1 lit. c) i e) RODO nakłada na administratora, w przypadku gromadzenia danych osobowych od osoby, której dane dotyczą, obowiązek poinformowania jej, odpowiednio, o celach przetwarzania, do których dane te są przeznaczone, oraz o podstawie prawnej tego przetwarzania, a także o odbiorcach lub kategoriach odbiorców tych danych.

55

Ponadto art. 12 ust. 1 tego rozporządzenia wymaga, aby administrator podjął odpowiednie środki, aby w szczególności informacje, o których mowa w poprzednim punkcie i które są przekazywane osobie, której dane dotyczą, były zwięzłe, przejrzyste, zrozumiałe, łatwo dostępne i sformułowane jasnym i prostym językiem.

56

Jak orzekł Trybunał, celem art. 12 ust. 1 RODO, który jest wyrazem zasady przejrzystości, jest zapewnienie, by osoba, której dane dotyczą, była w stanie zrozumieć w pełni przekazywane jej informacje (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 38).

57

Znaczenie przestrzegania tego rodzaju obowiązku informacyjnego potwierdza również motyw 60 RODO, który przewiduje, że zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Co istotne, administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 36).

58

Z powyższego wynika w pierwszej kolejności, że obowiązek informacyjny ciążący na administratorze danych w odniesieniu do osób, których dotyczy przetwarzanie danych osobowych, jest ściśle związany z prawem do informacji, które zostało przyznane tym osobom przez art. 12 i 13 RODO i wchodzi zatem w skład zbioru praw, który ma chronić przewidziane w art. 80 ust. 2 tego rozporządzenia powództwo przedstawicielskie. Ponadto, jak wynika z pkt 56 i 57 niniejszego wyroku, przestrzeganie tego obowiązku gwarantuje w sposób bardziej ogólny poszanowanie zasad przejrzystości i rzetelności przetwarzania przewidzianych w art. 5 ust. 1 tego rozporządzenia.

59

Po drugie, jak wskazał rzecznik generalny w pkt 47 opinii, domniemane naruszenie prawa osób, których dane dotyczą, do bycia wystarczająco poinformowanym o wszystkich okolicznościach związanych z przetwarzaniem danych osobowych, w szczególności co do celu przetwarzania oraz odbiorcy tych danych, może uniemożliwić wyrażenie „świadomej” zgody w rozumieniu art. 4 pkt 11 RODO, co może sprawić, że owo przetwarzanie danych będzie niezgodne z prawem w rozumieniu art. 5 ust. 1 tego rozporządzenia.

60

Ważność zgody udzielonej przez osobę, której dane dotyczą, zależy bowiem między innymi od tego, czy osoba ta wcześniej uzyskała informacje w świetle wszystkich okoliczności związanych z przetwarzaniem danych, do których miała prawo na podstawie art. 12 i 13 RODO i które umożliwiają jej wyrażenie zgody z pełną znajomością rzeczy.

61

Ponieważ przetwarzanie danych osobowych dokonane z naruszeniem prawa do informacji, które osoba, której dane dotyczą, wywodzi z art. 12 i 13 RODO, narusza wymogi określone w art. 5 tego rozporządzenia, naruszenie tego prawa do informacji należy uznać za naruszenie praw osoby, której dane dotyczą, „w wyniku przetwarzania” w rozumieniu art. 80 ust. 2 RODO.

62

W związku z powyższym wynikające z art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) RODO prawo osoby, której dane dotyczą, do uzyskania od administratora danych, w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem, informacji o celu takiego przetwarzania oraz o odbiorcach takich danych, stanowi prawo, którego naruszenie pozwala na skorzystanie z mechanizmu powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 tego rozporządzenia.

63

Wykładnię tę potwierdza, po pierwsze, przypomniany w pkt 48 niniejszego wyroku cel RODO polegający na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a w szczególności wysoki poziom ochrony prawa każdej osoby do prywatności w odniesieniu do przetwarzania dotyczących jej danych osobowych.

64

Po drugie, taka wykładnia jest również zgodna z funkcją prewencyjną powództwa przedstawicielskiego przewidzianego w art. 80 ust. 2 RODO, wykonywanego przez stowarzyszenie ochrony interesów konsumentów, takie jak w niniejszym przypadku federalny związek konsumentów (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 76).

65

W świetle powyższych rozważań na pytanie prejudycjalne należy odpowiedzieć, iż art. 80 ust. 2 RODO należy interpretować w ten sposób, że przesłanka – zgodnie z którą podmiot uprawniony na podstawie tego przepisu do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, iż do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) tego rozporządzenia, polegającemu na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.

66

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje:

Artykuł 80 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych),

należy interpretować w ten sposób, że:

przesłanka – zgodnie z którą podmiot uprawniony na podstawie tego przepisu do wytoczenia powództwa przedstawicielskiego musi powołać się na swoje przekonanie, że przewidziane w tym rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone „w wyniku przetwarzania” w rozumieniu tego przepisu – jest spełniona, jeżeli podmiot ten podnosi, iż do naruszenia praw tej osoby doszło przy przetwarzaniu danych osobowych w wyniku uchybienia obowiązkowi spoczywającemu na administratorze danych, na podstawie art. 12 ust. 1 zdanie pierwsze i art. 13 ust. 1 lit. c) i e) tego rozporządzenia, polegającemu na udzieleniu osobie, której dane dotyczą, najpóźniej w momencie ich gromadzenia, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem informacji o celu, w jakim dane osobowe są przetwarzane, oraz o odbiorcy tych danych.