Vec C‑319/20

Meta platforms Ireland Limited, predtým Facebook Ireland Limited,

proti

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

(návrh na začatie prejudiciálneho konania, ktorý podal Bundesgerichtshof)

Rozsudok Súdneho dvora (tretia komora) z 28. apríla 2022

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 80 – Zastupovanie dotknutých osôb neziskovým združením – Žaloba alebo iný úkon v zastúpení podané združením na ochranu záujmov spotrebiteľov bez poverenia a nezávisle od porušenia konkrétnych práv dotknutej osoby – Žaloba alebo iný úkon založené na zákaze nekalých obchodných praktík, porušení zákona v oblasti ochrany spotrebiteľov alebo zákaze používania neúčinných všeobecných obchodných podmienok“

Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Zastupovanie dotknutých osôb – Aktívna legitimácia – Združenie na ochranu záujmov spotrebiteľov – Žaloba alebo iný úkon v zastúpení podané týmto združením bez poverenia a nezávisle od porušenia konkrétnych práv dotknutej osoby – Žaloba alebo iný úkon založené na porušení pravidiel týkajúcich sa ochrany spotrebiteľov alebo boja proti nekalým obchodným praktikám – Prípustnosť – Podmienka

(Nariadenie Európskeho parlamentu a Rady 2016/679, článok 80 ods. 2)

(pozri body 57 – 60, 63 – 79, 83 a výrok)

Zhrnutie

Meta platforms Ireland spravuje ponuku služieb internetovej sociálnej siete Facebook a je prevádzkovateľom spracovávajúcim osobné údaje používateľov tejto siete v Únii. Internetová platforma Facebook na internetovej adrese www.facebook.de obsahuje priestor nazvaný „App‑Zentrum“ (Centrum aplikácií), v ktorom Meta platforms Ireland poskytuje používateľom bezplatné hry poskytované tretími osobami. Pri nahliadnutí do niektorých z týchto hier dostane používateľ upozornenie, že použitie danej aplikácie umožňuje spoločnosti poskytujúcej hry získať určitý počet osobných údajov, a povoľuje jej v jeho mene zverejniť určité informácie. Používaním tejto aplikácie prijíma jej všeobecné podmienky a jej politiku v oblasti ochrany údajov. Okrem toho je najmä v prípade jednej hry používateľ informovaný, že aplikácia je oprávnená uverejniť v jeho mene fotografie a iné informácie.

Nemecká spolková únia spotrebiteľských centier a združení ( 1 ) usúdila, že informácie poskytnuté dotknutými hrami v Centre aplikácií sú nekalé. Spolková únia preto ako subjekt, ktorý má aktívnu legitimáciu na podanie žaloby o zdržanie sa porušovania právnych predpisov v oblasti ochrany spotrebiteľov, ( 2 ) podala proti spoločnosti Meta platforms Ireland žalobu o zdržanie sa konania. Táto žaloba bola podaná bez toho, aby došlo ku konkrétnemu porušeniu práva dotknutej osoby na ochranu údajov a bez poverenia takejto osoby. Proti rozhodnutiu, ktorým sa vyhovelo tejto žalobe, podala Meta platforms Ireland odvolanie a po zamietnutí tohto odvolania následne podala opravný prostriedok na Bundesgerichtshof (Spolkový súdny dvor, Nemecko). Keďže tento súd mal pochybnosti o prípustnosti žaloby Spolkovej únie a najmä o jej aktívnej legitimácii na podanie žaloby proti spoločnosti Meta Platforms Ireland, obrátil sa na Súdny dvor.

Súdny dvor vo svojom rozsudku rozhodol, že článok 80 ods. 2 všeobecného nariadenia o ochrane údajov ( 3 ) nebráni tomu, aby združenie na ochranu záujmov spotrebiteľov mohlo podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutých osôb, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov, s poukázaním na porušenie zákazu nekalých obchodných praktík, zákona v oblasti ochrany spotrebiteľov alebo zákazu používania neúčinných všeobecných obchodných podmienok. Takáto žaloba je možná, pokiaľ predmetné spracovanie údajov môže ovplyvniť práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z GDPR.

Posúdenie Súdnym dvorom

Súdny dvor najskôr pripomína, že hoci cieľom GDPR ( 4 ) je zabezpečiť v zásade úplnú harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, článok 80 ods. 2 tohto nariadenia patrí medzi ustanovenia, ktoré členským štátom ponechávajú mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa môžu tieto ustanovenia vykonávať. ( 5 ) Preto na to, aby bolo možné vykonať žalobu alebo iný úkon v zastúpení bez poverenia v oblasti ochrany osobných údajov upravený v tomto ustanovení, musia členské štáty využiť možnosť zaviesť vo svojom vnútroštátnom práve tento spôsob zastúpenia dotknutých osôb, ktorú im ponúka toto ustanovenie. Pri využití tejto možnosti však členské štáty musia používať svoju voľnú úvahu za podmienok a v medziach stanovených v GDPR a prijímať právne predpisy spôsobom, ktorý nezasahuje do obsahu a cieľov tohto nariadenia.

Súdny dvor ďalej zdôrazňuje, že článok 80 ods. 2 nariadenia GDPR spolu s tým, že otvára členským štátom možnosť upraviť mechanizmus žalôb alebo iných úkonov v zastúpení proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov, stanovuje určité požiadavky, ktoré treba dodržať. Po prvé sa tak aktívna legitimácia priznáva subjektu, organizácii alebo združeniu, ktoré spĺňajú kritériá uvedené v článku 80 ods. 1 GDPR. ( 6 ) Na združenie na ochranu záujmov spotrebiteľov, akým je Spolková únia, ktoré sleduje cieľ verejného záujmu spočívajúci v zabezpečení práv a slobôd dotknutých osôb v ich postavení spotrebiteľov, sa môže tento pojem vzťahovať, keďže uskutočnenie takéhoto cieľa môže súvisieť s ochranou ich osobných údajov. Po druhé výkon uvedenej žaloby alebo iného úkonu v zastúpení predpokladá, že predmetný subjekt sa bez ohľadu na akékoľvek poverenie, ktoré mu bolo udelené, domnieva, že boli porušené práva, ktoré dotknutej osobe vyplývajú z GDPR, v dôsledku spracúvania jej osobných údajov.

Na jednej strane tak výkon žaloby alebo iného úkonu v zastúpení ( 7 ) nevyžaduje, aby predmetný subjekt vopred individuálne identifikoval osobu, ktorá je osobitne dotknutá spracovaním údajov, ktoré je údajne v rozpore s ustanoveniami GDPR. Na tento účel môže byť označenie kategórie alebo skupiny osôb dotknutých takýmto spracovaním tiež dostatočné. ( 8 )

Na druhej strane výkon takejto žaloby alebo iného úkonu v zastúpení nevyžaduje existenciu konkrétneho porušenia práv, ktoré osobe vyplývajú z GDPR. Na to, aby sa určitému subjektu priznala aktívna legitimácia, totiž stačí uviesť, že dotknuté spracovanie údajov môže mať vplyv na práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z uvedeného nariadenia, pričom nie je potrebné preukázať skutočnú ujmu, ktorú dotknutá osoba utrpela v určitej situácii v dôsledku zásahu do jej práv. Preto vzhľadom na cieľ, ktorý sleduje GDPR, skutočnosť, že združenia na ochranu záujmov spotrebiteľov, akým je Spolková únia, sú prostredníctvom mechanizmu žaloby alebo iných úkonov v zastúpení oprávnené podať žaloby na zdržanie sa spracovávania, ktoré je v rozpore s ustanoveniami GDPR, a to nezávisle od porušenia práv osoby individuálne a konkrétne dotknutej týmto porušením, nepochybne prispieva k posilneniu práv dotknutých osôb a k tomu, aby bola týmto osobám zabezpečená vysoká úroveň ochrany.

Súdny dvor napokon spresňuje, že porušenie pravidla týkajúceho sa ochrany osobných údajov môže zároveň viesť k porušeniu pravidiel týkajúcich sa ochrany spotrebiteľov alebo nekalých obchodných praktík. GDPR ( 9 ) totiž umožňuje členským štátom využiť svoju možnosť stanoviť, že združenia na ochranu záujmov spotrebiteľov sú oprávnené konať proti porušeniam práv stanovených v GDPR prostredníctvom pravidiel, ktorých cieľom je chrániť spotrebiteľov alebo bojovať proti nekalým obchodným praktikám.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (ďalej len „Spolková únia“).

( 2 ) Podľa nemeckého práva zákony o ochrane spotrebiteľov zahŕňajú aj pravidlá upravujúce prípustnosť zberu alebo spracovávania alebo používania osobných údajov spotrebiteľa podnikom alebo podnikateľom.

( 3 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“). Podľa článku 80 ods. 2 „členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania [osobných údajov, ktoré sa jej týkajú]“.

( 4 ) Ako vyplýva z článku 1 ods. 1 v spojení s odôvodneniami 9, 10 a 13 tohto nariadenia.

( 5 ) Uplatnením „ustanovení o otvorení“.

( 6 ) Najmä v článku 80 ods. 1 GDPR. Toto ustanovenie odkazuje na „neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov“.

( 7 ) Podľa článku 80 ods. 2 GDPR.

( 8 ) Najmä vzhľadom na dosah pojmu „dotknutá osoba“ upraveného v článku 4 bode 1 GDPR, ktorý sa vzťahuje tak na „identifikovanú“, ako aj „identifikovateľnú fyzickú osobu“.

( 9 ) Najmä článok 80 ods. 2 GDPR.