Predbežné znenie

ROZSUDOK SÚDNEHO DVORA (štvrtá komora)

z 11. júla 2024 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 12 ods. 1 prvá veta – Transparentnosť informácií – Článok 13 ods. 1 písm. c) a e) – Informačná povinnosť prevádzkovateľa – Článok 80 ods. 2 – Zastúpenie dotknutých osôb združením na ochranu záujmov spotrebiteľov – Žaloba v zastúpení podaná bez poverenia a nezávisle od porušenia konkrétnych práv dotknutej osoby – Žaloba založená na porušení informačnej povinnosti prevádzkovateľa – Pojem ‚porušenie práv dotknutej osoby v dôsledku spracúvania‘“

Vo veci C‑757/22,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Bundesgerichtshof (Spolkový súdny dvor, Nemecko) z 10. novembra 2022 a doručený Súdnemu dvoru 15. decembra 2022, ktorý súvisí s konaním:

Meta Platforms Ireland Ltd, predtým Facebook Ireland Ltd,

proti

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV,

SÚDNY DVOR (štvrtá komora),

v zložení: predseda štvrtej komory C. Lycourgos, sudcovia O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin a L. S. Rossi (spravodajkyňa),

generálny advokát: J. Richard de la Tour,

tajomník: D. Dittert, vedúci oddelenia,

so zreteľom na písomnú časť konania a po pojednávaní z 23. novembra 2023,

so zreteľom na pripomienky, ktoré predložili:

–        Meta Platforms Ireland Ltd, v zastúpení: M. Braun, H.‑G. Kamann a V. Wettner, Rechtsanwälte,

–        Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, v zastúpení: P. Wassermann, Rechtsanwalt,

–        nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,

–        portugalská vláda, v zastúpení: P. Barros da Costa, J. Ramos, a C. Vieira Guerra, splnomocnené zástupkyne,

–        Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní z 25. januára 2024,

vyhlásil tento

Rozsudok

1        Návrh na začatie prejudiciálneho konania sa týka výkladu článku 80 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), v spojení s článkom 12 ods. 1 prvou vetou a článkom 13 ods. 1 písm. c) a e) tohto nariadenia.

2        Tento návrh bol podaný v rámci sporu medzi spoločnosťou Meta Platforms Ireland Ltd, predtým Facebook Ireland Ltd, ktorej sídlo sa nachádza v Írsku, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Spolková únia spotrebiteľských centier a združení, Nemecko, ďalej len „Spolková únia“), vo veci porušenia nemeckých právnych predpisov týkajúcich sa ochrany osobných údajov spoločnosťou Meta Platforms Ireland Limited, čo zároveň predstavuje nekalú obchodnú praktiku, porušenie zákona v oblasti ochrany spotrebiteľov a porušenie zákazu používania neúčinných všeobecných obchodných podmienok.

 Právny rámec

 GDPR

3        Odôvodnenia 10, 13, 39, 58, 60 a 142 GDPR znejú:

„(10)      S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. …

…

(13)      S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov …

…

(39)      Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. …

…

(58)      Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné. Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla. Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely. …

…

(60)      Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. …

…

(142)      Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene na dozornom orgáne, uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo ak je to stanovené v práve členského štátu, uplatnili právo na náhradu škody v mene dotknutých osôb. Členský štát môže stanoviť, aby takýto subjekt, organizácia alebo združenie mali nezávisle od poverenia dotknutej osoby právo podať sťažnosť v tomto členskom štáte a právo na účinný súdny prostriedok nápravy, ak má dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto nariadením. Takémuto subjektu, organizácii alebo združeniu sa nesmie povoliť domáhať sa náhrady škody v mene dotknutej osoby nezávisle od poverenia dotknutej osoby.“

4        Článok 1 tohto nariadenia, nazvaný „Predmet úpravy a ciele“, v odseku 1 stanovuje:

„Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“

5        Podľa článku 4 bodov 1, 2, 9 a 11 uvedeného nariadenia:

„Na účely tohto nariadenia:

1.      ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);…

2.      ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

…

9.      ‚príjemca‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. …

…

11.      ‚súhlas dotknutej osoby‘ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.“

6        Článok 5 toho istého nariadenia, nazvaný „Zásady spracúvania osobných údajov“, stanovuje:

„1.      Osobné údaje musia byť:

a)      spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);

b)      získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; …

…

2.      Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

7        Článok 6 ods. 1 písm. a) GDPR, nazvaný „Zákonnosť spracúvania“, stanovuje:

„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)      dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely.“

8        Kapitola III GDPR, ktorá obsahuje jeho články 12 až 23, sa nazýva „Práva dotknutej osoby“.

9        Článok 12 tohto nariadenia, nazvaný „Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby“, v odseku 1 znie:

„Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.“

10      Článok 13 uvedeného nariadenia, nazvaný „Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby“, v odseku 1 písm. c) a e) stanovuje:

„V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

…

c)      účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

…

e)      príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.“

11      Kapitola VIII toho istého nariadenia, ktorá obsahuje jeho články 77 až 84, má názov „Prostriedky nápravy, zodpovednosť a sankcie“.

12      Článok 77 GDPR, nazvaný „Právo podať sťažnosť dozornému orgánu“, v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

13      Článok 78 tohto nariadenia s názvom „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“ v odseku 1 uvádza:

„Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.“

14      Článok 79 uvedeného nariadenia, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

15      Článok 80 toho istého nariadenia, nazvaný „Zastupovanie dotknutých osôb“, znie:

„1.      Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2.      Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.“

16      Článok 82 GDPR s názvom „Právo na náhradu škody a zodpovednosť“ v odseku 1 stanovuje:

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“

17      Článok 84 GDPR, nazvaný „Sankcie“, v odseku 1 uvádza:

„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“

 Nemecké právo

 Zákon o žalobách o zdržanie sa konania

18      Podľa § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts ‑ und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (zákon o žalobách o zdržanie sa konania v prípade porušenia práva spotrebiteľov a iných porušení) z 26. novembra 2001 (BGBl. 2001 I, s. 3138), v znení uplatniteľnom na spor vo veci samej (ďalej len „zákon o žalobách na zdržanie sa konania“):

„1.      Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba o zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov. …

2.      V zmysle tohto ustanovenia sa zákonmi na ochranu spotrebiteľov rozumejú najmä:

…

(11)      ustanovenia, ktoré upravujú zákonnosť

a)      zberu osobných údajov spotrebiteľa zo strany podnikateľa alebo

b)      spracovania alebo používania osobných údajov, ktoré boli nazbierané o spotrebiteľovi, zo strany podnikateľa,

ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.“

19      Bundesgerichtshof (Spolkový súdny dvor, Nemecko) uvádza, že podľa § 3 ods. 1 prvej vety bodu 1 zákona o žalobách o zdržanie sa konania môžu subjekty, ktoré majú v zmysle § 4 tohto zákona aktívnu legitimáciu, podať jednak podľa § 1 tohto zákona žalobu o zdržanie sa používania neúčinných všeobecných podmienok podľa § 307 Bürgerliches Gesetzbuch (Občiansky zákonník) a jednak podľa § 2 ods. 2 toho istého zákona žalobu o zdržanie sa porušovaní zákonov na ochranu spotrebiteľov.

 Zákon proti nekalej súťaži

20      Ustanovenie § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalej súťaži) z 3. júla 2004 (BGBl. 2004 I, s. 1414), v znení uplatniteľnom na spor vo veci samej (ďalej len „zákon proti nekalej súťaži“), stanovuje:

„Nekalé obchodné praktiky sú zakázané.“

21      Ustanovenie § 3a zákona proti nekalej súťaži znie:

„Nekalej praktiky sa dopustí ten, kto koná v rozpore s právnym predpisom, ktorý je určený najmä na to, aby v záujme subjektov pôsobiacich na trhu reguloval trhové správanie, ak toto konanie môže citeľne obmedziť záujmy spotrebiteľov, iných subjektov na trhu alebo konkurentov.“

22      Článok 8 tohto zákona uvádza:

„1.      Voči osobe, ktorá sa dopustí nekalej obchodnej praktiky v zmysle § 3 alebo § 7, možno podať žalobu na odstránenie protiprávneho stavu a v prípade rizika opakovania aj žalobu o zdržanie sa nedovoleného konania. …

…

3.      Návrh na prijatie opatrení uvedených v odseku 1 môžu podať:

…

(3)      oprávneným subjektom, ktoré preukážu, že sú zapísané na zozname oprávnených subjektov podľa § 4 [zákona o žalobách o zdržanie sa konania]…“

 Zákon o elektronických médiách

23      Bundesgerichtshof (Spolkový súdny dvor) uvádza, že § 13 ods. 1 Telemediengesetz (zákon o elektronických médiách) z 26. februára 2007 (BGBl. 2007 I, s. 179) sa uplatňoval až do nadobudnutia účinnosti GDPR. Od tohto dátumu bolo toto ustanovenie nahradené článkami 12 až 14 tohto nariadenia.

24      Podľa § 13 ods. 1 prvej vety zákona o elektronických médiách:

„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje pôsobnosť smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31), vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo.“

 Spor vo veci samej a prejudiciálna otázka

25      Meta Platforms Ireland, ktorá spravuje ponuku služieb internetovej sociálnej siete Facebook v Únii, je prevádzkovateľom spracovávajúcim osobné údaje používateľov tejto sociálnej siete v Únii. Spoločnosť Facebook Germany GmbH, ktorá má sídlo v Nemecku, na internetovej adrese www.facebook.de podporuje predaj reklamného priestoru. Internetová platforma Facebook obsahuje, najmä na internetovej adrese www.facebook.de, priestor nazvaný „App‑Zentrum“ (Centrum aplikácií), v ktorom Meta Platforms Ireland poskytuje používateľom bezplatné hry dodané tretími osobami. Pri nahliadnutí do tohto centra používateľ videl informáciu, že použitie niektorých z týchto aplikácií im umožňuje získať určitý počet osobných údajov a povoľuje im zverejniť v mene tohto používateľa niektoré z týchto údajov, napríklad jeho skóre, ako aj na účely predmetnej hry jeho status a fotografie. Bol tiež informovaný o tom, že používaním dotknutých aplikácií súhlasí so všeobecnými podmienkami týchto aplikácií a s ich politikou v oblasti ochrany údajov.

26      Spolková únia, ktorá má aktívnu legitimáciu podľa § 4 zákona o žalobách o zdržanie sa konania, usúdila, že informácie poskytnuté dotknutými hrami v Centre aplikácií sú nekalé, a to najmä pokiaľ nedodržiavajú zákonné podmienky na získanie platného súhlasu používateľa podľa predpisov upravujúcich ochranu osobných údajov. Okrem toho sa domnieval, že informácie, že aplikácie sú oprávnené zverejniť v mene konkrétnych používateľov niektoré ich osobné údaje, predstavujú všeobecnú podmienku, ktorá používateľov neoprávnene znevýhodňuje.

27      V tomto kontexte Spolková únia podala na Landgericht Berlin (Krajinský súd Berlín, Nemecko) žalobu o zdržanie sa konania podľa § 3a zákona proti nekalej súťaži, § 2 ods. 2 prvej vety bodu 11 zákona o žalobách o zdržanie sa konania, ako aj podľa Občianskeho zákonníka, aby sa najmä spoločnosti Meta Platforms Ireland zakázalo zobrazovať v Centre aplikácií také herné aplikácie, akými sú dotknuté aplikácie. Táto žaloba bola podaná nezávisle od konkrétneho porušenia práva dotknutej osoby na ochranu údajov a bez poverenia takejto osoby.

28      Landgericht Berlin (Krajinský súd Berlín) vyhovel návrhom Spolkovej únie. Odvolanie, ktoré Meta Platforms Ireland podala na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), bolo zamietnuté. Meta Platforms Ireland následne podala na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania, opravný prostriedok „Revision“ proti zamietavému rozhodnutiu odvolacieho súdu.

29      Vnútroštátny súd usúdil, že žaloba Spolkovej únie je dôvodná, keďže Meta Platforms Ireland porušila § 3a zákona proti nekalej súťaži, ako aj § 2 ods. 2 prvú vetu bod 11 zákona o žalobách na zdržanie sa konania a použila neúčinnú všeobecnú podmienku v zmysle § 1 zákona o žalobách o zdržanie sa konania.

30      Tento súd má však pochybnosti o prípustnosti žaloby Spolkovej únie. Usúdil totiž, že nie je vylúčené, že Spolková únia, ktorá v čase podania svojej žaloby skutočne mala aktívnu legitimáciu, a to podľa § 8 ods. 3 zákona proti nekalej súťaži a § 3 ods. 1 prvej vety bodu 1 zákona o žalobách o zdržanie sa konania, o toto postavenie v priebehu konania prišla v nadväznosti na nadobudnutie účinnosti GDPR, najmä jeho článku 80 ods. 1 a 2, ako aj článku 84 ods. 1. Ak je to tak, vnútroštátny súd by mal vyhovieť opravnému prostriedku „Revision“, ktorý podala Meta Platforms Ireland, a zamietnuť žalobu o zdržanie sa konania Spolkovej únie, keďže podľa relevantných procesných ustanovení nemeckého práva musí aktívna legitimácia ostať zachovaná až do konca posledného stupňa konania.

31      Bundesgerichtshof (Spolkový súdny dvor) rozhodnutím z 28. mája 2020 teda rozhodol prerušiť konanie a položiť Súdnemu dvoru prejudiciálnu otázku týkajúcu sa výkladu článku 80 ods. 1 a 2 a článku 84 ods. 1 GDPR.

32      Súdny dvor v rozsudku z 28. apríla 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), na túto otázku odpovedal, že článok 80 ods. 2 GDPR sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá umožňuje združeniu na ochranu záujmov spotrebiteľov podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutých osôb, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov s poukázaním na porušenie zákazu nekalých obchodných praktík, zákona v oblasti ochrany spotrebiteľov alebo zákazu používania neúčinných všeobecných obchodných podmienok, pokiaľ predmetné spracovanie údajov môže ovplyvniť práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z tohto nariadenia.

33      S prihliadnutím na tento rozsudok sa vnútroštátny súd domnieva, že aktívna legitimácia subjektu v zmysle článku 80 ods. 2 GDPR nepodlieha podmienke, že takýto subjekt vykoná predchádzajúcu individuálnu identifikáciu osoby, ktorá je dotknutá spracovaním údajov, ktoré je údajne v rozpore s ustanoveniami GDPR. Pojem „dotknutá osoba“ v zmysle článku 4 bod 1 GDPR zahŕňa nielen „identifikovanú fyzickú osobu“, ale aj „identifikovateľnú fyzickú osobu“, t. j. fyzickú osobu, „ktorú možno identifikovať“ priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje alebo online identifikátor. Za týchto podmienok môže byť označenie kategórie alebo skupiny osôb dotknutých takýmto spracovaním dostatočné na účely podania žaloby v zastúpení. Spolková únia v prejednávanej veci pristúpila k identifikácii takej skupiny alebo kategórie.

34      Podľa vnútroštátneho súdu však vyššie citovaný rozsudok Súdneho dvora nepreskúmal podmienku uvedenú v článku 80 ods. 2 GDPR, podľa ktorej na výkon prostriedkov nápravy stanovených v tomto nariadení sa združenie na ochranu záujmov spotrebiteľov musí domnievať, že práva dotknutej osoby stanovené v uvedenom nariadení boli porušené „v dôsledku spracúvania“.

35      Na jednej strane sa tento súd domnieva, že z tohto rozsudku jasne nevyplýva, či porušenie povinnosti vyplývajúcej z článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) GDPR oznámiť dotknutej osobe, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu spracovania osobných údajov, ako aj príjemcov týchto údajov, predstavuje porušenie „v dôsledku spracúvania“, a či pojem „spracúvanie“ v zmysle článku 4 bodu 2 tohto nariadenia zahŕňa situácie, ktoré predchádzajú získaniu takých údajov.

36      Na druhej strane sa uvedený súd domnieva, že nie je jasné, či v takom prípade, o aký ide vo veci samej, došlo k porušeniu informačnej povinnosti „v dôsledku“ spracúvania osobných údajov v zmysle článku 80 ods. 2 GDPR. V tejto súvislosti zdôrazňuje, že hoci by takáto formulácia mohla naznačovať, že subjekt, ktorý podá žalobu v zastúpení, musí na to, aby bola táto žaloba prípustná, namietať porušenie práv dotknutej osoby, ktoré vyplýva z operácie spracúvania osobných údajov v zmysle článku 4 bodu 2 tohto nariadenia a ktoré teda nasleduje po takejto operácii, cieľ uvedeného nariadenia, ktorým je zabezpečiť najmä vysokú úroveň ochrany osobných údajov, by mohol svedčiť v prospech rozšírenia aktívnej legitimácie tohto subjektu v prípade porušenia informačnej povinnosti, aj keď táto povinnosť musí byť splnená pred akoukoľvek operáciou spracúvania osobných údajov.

37      Za týchto okolností Bundesgerichtshof (Spolkový súdny dvor) rozhodol opätovne prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:

„Ide o uplatnenie porušenia [práv dotknutej osoby] ‚v dôsledku spracúvania‘ v zmysle článku 80 ods. 2 GDPR, ak združenie na ochranu záujmov spotrebiteľov zakladá svoju žalobu na skutočnosti, že práva dotknutej osoby boli porušené, pretože neboli dodržané informačné povinnosti o účeloch spracúvania údajov a príjemcoch osobných údajov podľa článku 12 ods. 1 prvej vety GDPR v spojení s článkom 13 ods. 1 písm. c) a e) GDPR?“

 O prejudiciálnej otázke

38      Svojou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 80 ods. 2 nariadenia GDPR vykladať v tom zmysle, že podmienka, podľa ktorej subjekt oprávnený na to, aby mohol podať žalobu v zastúpení podľa tohto ustanovenia, musí tvrdiť, že sa domnieva, že práva dotknutej osoby stanovené v tomto nariadení boli porušené „v dôsledku spracúvania“ v zmysle uvedeného ustanovenia, je splnená, ak je takáto žaloba založená na porušení povinnosti prislúchajúcej prevádzkovateľovi podľa článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) uvedeného nariadenia poskytnúť osobe, ktorej sa týka toto spracúvanie údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu tohto spracúvania údajov, ako aj príjemcov takýchto údajov, najneskôr pri ich získavaní.

39      Na účely odpovede na túto otázku treba na úvod pripomenúť, že GDPR upravuje najmä prostriedky nápravy umožňujúce ochranu práv dotknutej osoby, pokiaľ sa osobné údaje, ktoré sa jej týkajú, údajne spracúvali v rozpore s ustanoveniami tohto nariadenia. Ochrany týchto práv sa tak môže dožadovať buď priamo dotknutá osoba, ktorá má právo sama podať sťažnosť dozornému orgánu členského štátu v súlade s článkom 77 GDPR alebo žalobu na vnútroštátne súdy podľa článkov 78 a 79 tohto nariadenia, alebo oprávnený subjekt, či už s poverením na tento účel alebo bez neho, podľa článku 80 uvedeného nariadenia.

40      Konkrétne článok 80 ods. 2 GDPR otvára členským štátom možnosť upraviť mechanizmus žalôb v zastúpení v prípade neexistencie poverenia od dotknutej osoby proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov, pričom uvádza určité požiadavky týkajúce sa osobnej a vecnej pôsobnosti, ktoré treba na tento účel dodržať (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 63).

41      V tejto súvislosti, pokiaľ ide v prvom rade o osobnú pôsobnosť tohto mechanizmu, aktívna legitimácia sa priznáva subjektu, organizácii alebo združeniu, ktoré spĺňajú kritériá uvedené v článku 80 ods. 1 GDPR. Konkrétne, ako už Súdny dvor konštatoval, na združenie na ochranu záujmov spotrebiteľov, akým je Spolková únia, sa môže tento pojem vzťahovať, pretože toto združenie sleduje cieľ verejného záujmu spočívajúci v zabezpečení práv a slobôd dotknutých osôb v ich postavení spotrebiteľov, keďže uskutočnenie takéhoto cieľa môže súvisieť s ochranou ich osobných údajov (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 64 a 65).

42      Pokiaľ ide v druhom rade o vecnú pôsobnosť uvedeného mechanizmu, výkon žaloby v zastúpení upravenej v článku 80 ods. 2 GDPR subjektom, ktorý spĺňa podmienky uvedené v odseku 1 tohto článku, predpokladá, že tento subjekt bez ohľadu na akékoľvek poverenie, ktoré mu bolo udelené, „sa domnieva, že boli porušené práva dotknutej osoby uvedené v [tomto] nariadení v dôsledku spracúvania“ jej osobných údajov (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 67).

43      V tejto súvislosti Súdny dvor spresnil, že výkon žaloby v zastúpení nie je podmienený existenciou konkrétneho porušenia práv, ktoré osobe vyplývajú z pravidiel v oblasti ochrany údajov, takže na to, aby sa určitému subjektu priznala aktívna legitimácia, stačí uviesť, že dotknuté spracovanie údajov môže mať vplyv na práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z uvedeného nariadenia, pričom nie je potrebné preukázať skutočnú ujmu, ktorú dotknutá osoba utrpela v určitej situácii v dôsledku zásahu do jej práv (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 70 a 72).

44      Ako však už Súdny dvor rozhodol, podanie žaloby v zastúpení predpokladá, že uvedený subjekt „sa domnieva“, že práva dotknutej osoby stanovené v GDPR boli porušené spracovaním jej osobných údajov, a teda tvrdí, že došlo k „spracovaniu údajov“, ktoré považuje za v rozpore s ustanoveniami tohto nariadenia (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 71), pričom také spracovanie nemôže byť čisto hypotetické, ako to uviedol generálny advokát v bode 48 svojich návrhov.

45      Konkrétne, ako vyplýva zo znenia článku 80 ods. 2 nariadenia GDPR, podanie žaloby v zastúpení na základe tohto ustanovenia znamená, že k porušeniu práv, ktoré dotknutej osobe vyplývajú z tohto nariadenia, dochádza v dôsledku spracúvania osobných údajov.

46      Tento výklad je podporený porovnaním rôznych jazykových verzií článku 80 ods. 2 GDPR, ako aj jeho odôvodnením 142, v ktorom sa uvádza, že subjekty, ktoré spĺňajú podmienky uvedené v článku 80 ods. 1 tohto nariadenia, musia mať dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby stanovených v uvedenom nariadení „v dôsledku spracúvania osobných údajov, ktoré je v rozpore s [tým istým] nariadením“.

47      Po tomto objasnení treba na účely odpovede na prejudiciálnu otázku ešte overiť, či porušenie povinnosti prevádzkovateľa podľa článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) GDPR oznámiť dotknutej osobe v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu spracovania osobných údajov, ako aj príjemcov takých údajov najneskôr pri získavaní týchto údajov predstavuje porušenie práv tejto osoby „v dôsledku spracúvania“ v zmysle článku 80 ods. 2 GDPR.

48      Na úvod treba pripomenúť, že cieľ sledovaný nariadením GDPR, ktorý vyplýva z jeho článku 1, ako aj z jeho odôvodnenia 10, spočíva najmä v zabezpečení vysokej úrovne ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním osobných údajov (pozri v tomto zmysle rozsudok zo 7. marca 2024, IAB Europe, C‑604/22, EU:C:2024:214, bod 53).

49      Na tento účel kapitoly II a III tohto nariadenia uvádzajú zásady, ktorými sa riadi spracúvanie osobných údajov, resp. aké práva dotknutej osoby musí dodržiavať každé spracúvanie osobných údajov. Konkrétne, s výhradou výnimiek stanovených v článku 23 uvedeného nariadenia musí byť každé spracovanie osobných údajov na jednej strane v súlade so zásadami týkajúcimi sa spracúvania takýchto údajov uvedenými v článku 5 toho istého nariadenia a spĺňať podmienky zákonnosti vymenované v jeho článku 6 a na druhej strane musí rešpektovať práva dotknutej osoby uvedené v článkoch 12 až 22 GDPR [pozri v tomto zmysle rozsudky zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208, ako aj z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, body 50 a 61, ako aj citovanú judikatúru].

50      V tejto súvislosti treba zdôrazniť, že podľa článku 5 ods. 1 písm. a) GDPR musia byť osobné údaje spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Okrem toho v súlade s písmenom b) tohto článku 5 ods. 1 musia byť tieto údaje získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

51      Pokiaľ ide o výklad článku 5 ods. 1 písm. b) GDPR, Súdny dvor rozhodol, že toto ustanovenie najmä vyžaduje, aby boli účely spracúvania jasné a identifikované najneskôr v čase získavania osobných údajov [rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, body 64 a 65].

52      Okrem toho v súlade s článkom 5 ods. 2 GDPR je na prevádzkovateľovi, aby preukázal, že tieto údaje sa získavajú najmä na konkrétne určené, výslovne uvedené a legitímne účely a že sa vo vzťahu k dotknutej osobe spracúvajú zákonným, spravodlivým a transparentným spôsobom.

53      Z článku 5 nariadenia GDPR teda vyplýva, že spracúvanie osobných údajov musí najmä spĺňať konkrétne požiadavky v oblasti transparentnosti vo vzťahu k osobe, ktorej sa takéto spracúvanie týka. Na tento účel GDPR vo svojej kapitole III jednak stanovuje presné povinnosti pre prevádzkovateľa a jednak priznáva osobe dotknutej spracovaním osobných údajov celý rad práv, medzi ktoré patrí najmä právo získať od prevádzkovateľa informácie o účeloch tohto spracúvania a konkrétnych príjemcoch, ktorým boli alebo budú oznámené osobné údaje, ktoré sa jej týkajú (rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 48).

54      Konkrétne článok 13 ods. 1 písm. c) a e) GDPR stanovuje povinnosť prevádzkovateľa pri získavaní osobných údajov od dotknutej osoby informovať ju o účeloch spracúvania, na ktoré sú tieto údaje určené, a o právnom základe tohto spracúvania, ako aj o príjemcoch alebo kategóriách príjemcov uvedených údajov.

55      Okrem toho článok 12 ods. 1 tohto nariadenia vyžaduje, aby prevádzkovateľ prijal vhodné opatrenia najmä s cieľom zabezpečiť, aby informácie uvedené v predchádzajúcom bode, ktoré sa poskytujú dotknutej osobe, boli v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme.

56      Ako už Súdny dvor rozhodol, cieľom článku 12 ods. 1 GDPR, ktorý je vyjadrením zásady transparentnosti, je zaručiť, aby dotknutá osoba mohla plne porozumieť informáciám, ktoré sú jej zaslané (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 38).

57      Dôležitosť splnenia takej informačnej povinnosti je tiež potvrdená v odôvodnení 60 GDPR, v ktorom sa uvádza, že zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch, pričom treba zdôrazniť, že prevádzkovateľ by mal poskytnúť všetky ďalšie informácie potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia osobitné okolnosti a kontext, v ktorom sa osobné údaje spracúvajú (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 36).

58      Z vyššie uvedeného v prvom rade vyplýva, že informačná povinnosť, ktorá prináleží prevádzkovateľovi vo vzťahu k osobám dotknutým spracovaním osobných údajov, predstavuje dôsledok práva na informácie, ktoré týmto osobám priznávajú články 12 a 13 nariadenia GDPR, a ktoré tak patrí medzi práva, ktoré má chrániť žaloba v zastúpení stanovená v článku 80 ods. 2 tohto nariadenia. Okrem toho, ako vyplýva z bodov 56 a 57 tohto rozsudku, dodržanie tejto povinnosti všeobecnejšie zaručuje dodržiavanie zásad transparentnosti a spravodlivosti spracúvania stanovených v článku 5 ods. 1 uvedeného nariadenia.

59      V druhom rade, ako uviedol generálny advokát v bode 47 svojich návrhov, údajné porušenie práva dotknutých osôb byť dostatočne informované o všetkých okolnostiach spracúvania osobných údajov, najmä o jeho účele a o príjemcovi týchto údajov, je pravdepodobne prekážkou toho, aby poskytli „informovaný“ súhlas v zmysle článku 4 bodu 11 GDPR, čo môže spôsobiť nezákonnosť tohto spracúvania v zmysle článku 5 ods. 1 tohto nariadenia.

60      Platnosť súhlasu udeleného dotknutou osobou totiž závisí okrem iného od toho, či táto osoba predtým získala informácie vzhľadom na všetky okolnosti súvisiace so spracúvaním predmetných údajov, na ktoré mala nárok podľa článku 12 a 13 GDPR a ktoré jej umožňujú udeliť informovaný súhlas.

61      Keďže spracúvanie osobných údajov vykonané v rozpore s právom na informácie, ktoré dotknutej osobe vyplýva z článkov 12 a 13 GDPR, nespĺňa požiadavky stanovené v článku 5 tohto nariadenia, porušenie tohto práva na informácie treba považovať za porušenie práv dotknutej osoby „v dôsledku spracúvania“ v zmysle článku 80 ods. 2 uvedeného nariadenia.

62      Z toho vyplýva, že právo osoby dotknutej spracúvaním osobných údajov, vyplývajúce z článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) GDPR, získať od prevádzkovateľa v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu takéhoto spracúvania, ako aj príjemcov takýchto údajov, predstavuje právo, ktorého porušenie umožňuje využiť mechanizmus žaloby v zastúpení stanovený v článku 80 ods. 2 tohto nariadenia.

63      Tento výklad potvrdzuje na jednej strane cieľ GDPR pripomenutý v bode 48 tohto rozsudku, ktorým je zabezpečiť účinnú ochranu základných práv a slobôd fyzických osôb, a najmä vysokú úroveň ochrany práva každej osoby na súkromie v súvislosti so spracúvaním osobných údajov, ktoré sa jej týkajú.

64      Na druhej strane je takýto výklad tiež v súlade s preventívnou funkciou žaloby v zastúpení stanovenej v článku 80 ods. 2 GDPR, ktorú vykonávajú združenia na ochranu záujmov spotrebiteľov, akým je v prejednávanej veci Spolková únia (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 76).

65      Vzhľadom na predchádzajúce úvahy treba na prejudiciálnu otázku odpovedať tak, že článok 80 ods. 2 GDPR sa má vykladať v tom zmysle, že podmienka, podľa ktorej subjekt oprávnený na to, aby mohol podať žalobu v zastúpení podľa tohto ustanovenia, musí tvrdiť, že sa domnieva, že práva dotknutej osoby stanovené v tomto nariadení boli porušené „v dôsledku spracúvania“ v zmysle uvedeného ustanovenia, je splnená, ak tento subjekt tvrdí, že k porušeniu práv tejto osoby došlo v súvislosti so spracúvaním osobných údajov a toto porušenie vyplýva z nesplnenia povinnosti, ktorá prislúcha prevádzkovateľovi podľa článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) uvedeného nariadenia poskytnúť osobe, ktorej sa týka toto spracúvanie údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu uvedeného spracúvania údajov, ako aj príjemcov takýchto údajov, najneskôr pri ich získavaní.

 O trovách

66      Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (štvrtá komora) rozhodol takto:

Článok 80 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

podmienka, podľa ktorej subjekt oprávnený na to, aby mohol podať žalobu v zastúpení podľa tohto ustanovenia, musí tvrdiť, že sa domnieva, že práva dotknutej osoby stanovené v tomto nariadení boli porušené „v dôsledku spracúvania“ v zmysle uvedeného ustanovenia, je splnená, ak tento subjekt tvrdí, že k porušeniu práv tejto osoby došlo v súvislosti so spracúvaním osobných údajov a toto porušenie vyplýva z nesplnenia povinnosti, ktorá prislúcha prevádzkovateľovi podľa článku 12 ods. 1 prvej vety a článku 13 ods. 1 písm. c) a e) uvedeného nariadenia poskytnúť osobe, ktorej sa týka toto spracúvanie údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme jasne a jednoducho formulované informácie týkajúce sa účelu uvedeného spracúvania údajov, ako aj príjemcov takýchto údajov, najneskôr pri ich získavaní.

Podpisy

*      Jazyk konania: nemčina.