–

за Meta Platforms Ireland Ltd, от M. Braun, H.‑G. Kamann и V. Wettner, Rechtsanwälte,

–

за Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV, от M. P. Wassermann, Rechtsanwalt,

–

за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,

–

за португалското правителство, от P. Barros da Costa, J. Ramos и C. Vieira Guerra, в качеството на представители,

–

за Европейската комисия, от A. Bouchagiar, F. Erlbacher и H. Kranenborg, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 80, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“) във връзка с член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от този регламент.

2

Запитването е отправено в рамките на спор между Meta Platforms Ireland Ltd, по-рано Facebook Ireland Ltd, със седалище в Ирландия, и Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (Федерация на организациите и сдруженията на потребителите, Германия) (наричана по-нататък „Федерацията“) относно нарушаването от страна на Meta Platforms Ireland на германското законодателство за защита на личните данни, което едновременно съставлява нелоялна търговска практика, нарушение на закон за защита на потребителите и нарушение на забраната за използване на недействителни общи търговски условия.

3

Съображения 10, 13, 39, 58, 60 и 142 от ОРЗД гласят:

[…]

[…]

[…]

[…]

[…]

4

Член 1 от този регламент е озаглавен „Предмет и цели“ и предвижда в параграф 1:

„С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни“.

5

Съгласно член 4, точки 1, 2, 9 и 11 от посочения регламент:

„За целите на настоящия регламент:

[…]

[…]

6

Член 5 от същия регламент е озаглавен „Принципи, свързани с обработването на лични данни“ и гласи:

„1.   Личните данни са:

[…]

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

7

Член 6 от ОРЗД е озаглавен „Законосъобразност на обработването“ и предвижда в параграф 1, буква а):

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

8

Глава III от ОРЗД, в която се съдържат членове 12—23, е озаглавена „Права на субекта на данни“.

9

Член 12 от този регламент е озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“, а параграф 1 от него гласи:

„Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно[]достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства“.

10

Член 13 от посочения регламент е озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“ и предвижда в параграф 1, букви в) и д):

„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

[…]

11

Глава VIII от същия регламент, в която се съдържат членове 77—84, е озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“.

12

Член 77 от ОРЗД е озаглавен „Право на подаване на жалба до надзорен орган“ и предвижда в параграф 1:

„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.

13

Член 78 от Регламента е озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, а параграф 1 от него гласи:

„Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган“.

14

Член 79 от посочения регламент е озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“ и предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

15

Член 80 от същия регламент е озаглавен „Представителство на субектите на данни“ и има следното съдържание:

„1.   Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.

2.   Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.

16

Член 82 от ОРЗД е озаглавен „Право на обезщетение и отговорност за причинени вреди“ и предвижда в параграф 1:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

17

Член 84 от ОРЗД е озаглавен „Санкции“, а параграф 1 от него гласи:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

18

Съгласно член 2 от Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) (Закон за исковете за преустановяване на нарушения във връзка с потребителски и други права) от 26 ноември 2001 г. (BGBl. 2001 I, стр. 3138), в редакцията, приложима към спора в главното производство (наричан по-нататък „Законът за исковете за преустановяване на нарушения“):

„(1)   В интерес на потребителите иск за преустановяване на нарушението и иск за забрана на съответните практики може да се предяви срещу всяко лице, което по начин, различен от прилагането или препоръчването на общи търговски условия, нарушава разпоредби, имащи за цел защитата на потребителите (закони за защита на потребителите). […]

(2)   По смисъла на тази разпоредба „закони за защита на потребителите“ са по-специално:

[…]

11. разпоредбите относно критериите за законосъобразност на:

19

Bundesgerichtshof (Федерален върховен съд, Германия) посочва, че по силата на член 3, параграф 1, първо изречение, точка 1 от Закона за исковете за преустановяване на нарушения структурите, които имат активна процесуална легитимация по смисъла на член 4 от този закон, могат, от една страна, съгласно член 1 от закона да поискат преустановяване на използването на недействителни общи търговски условия на основание член 307 от Bürgerliches Gesetzbuch (Граждански кодекс), а от друга страна, да поискат преустановяване на нарушения на законите за защита на потребителите по смисъла на член 2, параграф 2 от същия закон.

20

Член 3, параграф 1 от Gesetz gegen den unlauteren Wettbewerb (Закон за мерките срещу нелоялната конкуренция) от 3 юли 2004 г. (BGBl. 2004 г. I, стр. 1414), в приложимата към спора в главното производство редакция (наричан по-нататък „Закон за мерките срещу нелоялната конкуренция“), предвижда:

„Забраняват се нелоялните търговски практики“.

21

Член 3а от Закона за мерките срещу нелоялната конкуренция има следния текст:

„Който нарушава законова разпоредба, предназначена в частност да регулира поведението на пазара в интерес на участниците на пазара, и нарушението може да засегне съществено интересите на потребители, на други участници на пазара или на конкуренти, извършва акт на нелоялна конкуренция“.

22

Съгласно член 8 от същия закон:

„(1)   Всяка незаконна търговска практика по член 3 или член 7 може да доведе до постановяване на разпореждане за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. […]

[…]

(3)   Исканията за постановяване на разпорежданията по параграф 1 могат да се предявят от:

[…]

23

Bundesgerichtshof (Федерален върховен съд) посочва, че член 13, параграф 1 от Telemediengesetz (Закон за електронните медии) от 26 февруари 2007 г. (BGBl. 2007 г. I, стр. 179) е бил приложим до влизането в сила на ОРЗД. Оттогава посочената разпоредба е заменена с членове 12—14 от Регламента.

24

Съгласно член 13, параграф 1, първо изречение от Закона за електронните медии:

„Ако ползвателят все още не е съответно информиран, със започването на процеса на ползване доставчикът на услуги е длъжен по общоразбираем начин да го информира за способа, обхвата и целите на събирането и използването на лични данни, както и за обработването на неговите данни в държави, които не попадат в приложното поле на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)“.

25

Meta Platforms Ireland, което управлява услугите на онлайн социалната мрежа Facebook в Съюза, е администратор на лични данни на потребителите на тази социална мрежа в Съюза. Facebook Germany GmbH, със седалище в Германия, рекламира на интернет адрес www.facebook.de продажбата на рекламно пространство. На интернет платформата Facebook, и по-специално на интернет адрес www.facebook.de, се намира т.нар. „App-Zentrum“ (център за приложения), където Meta Platforms Ireland предлага на потребителите достъп до безплатни приложения за игри, предоставени от трети лица. При достъп до този център потребителят е уведомяван, че като използва някои от тези приложения той позволява на въпросните лица да събират определени лични данни, и ги оправомощава да публикуват от името на потребителя някои от тези данни, като например неговия резултат, а за една от въпросните игри — и неговия статус, и снимките му. Уведомяван е също така, че като използва съответните приложения, той приема техните общите условия и тяхната политика за защита на данните.

26

Според Федерацията, която има активна процесуална легитимация съгласно член 4 от Закона за исковете за преустановяване на нарушения, информацията, предоставяна от съответните приложения за игри в центъра за приложения, е нелоялна по-специално поради неспазването на правните изисквания за получаване на валидно съгласие от потребителя съгласно разпоредбите, регламентиращи защитата на данните. Освен това тя счита, че информацията относно правото на тези приложения да публикуват определени лични данни на потребителите от тяхно име е неоправдано неблагоприятно за потребителите общо търговско условие

27

В този контекст Федерацията предявява пред Landgericht Berlin (Областен съд Берлин, Германия) иск за преустановяване на нарушенията на основание член 3a от Закона за мерките срещу нелоялната конкуренция, член 2, параграф 2, първо изречение, точка 11 от Закона за исковете за преустановяване на нарушения и Гражданския кодекс, за да се забрани по-специално на Meta Platforms Ireland да представя в центъра за приложения приложения за игри като разглежданите. Този иск е предявен без оглед на наличието на конкретно нарушение на права на субект на данни и без да е възложен мандат от такъв субект.

28

Landgericht Berlin (Областен съд Берлин) уважава исканията на Федерацията. Подадената от Meta Platforms Ireland пред Kammergericht Berlin (Висш областен съд Берлин, Германия) въззивна жалба е отхвърлена. Тогава Meta Platforms Ireland подава пред запитващата юрисдикция ревизионна жалба срещу решението на въззивния съд.

29

Запитващата юрисдикция счита, че искът на Федерацията е основателен, тъй като Meta Platforms Ireland е нарушило член 3а от Закона за мерките срещу нелоялната конкуренция, както и член 2, параграф 2, първо изречение, точка 11 от Закона за исковете за преустановяване на нарушения и е използвало недействително общо търговско условие по смисъла на член 1 от Закона за исковете за преустановяване на нарушения.

30

Запитващата юрисдикция обаче изпитва съмнения относно допустимостта на иска на Федерацията. Всъщност според нея не е изключено Федерацията, която към момента на предявяване на иска си е била процесуално легитимирана на основание член 8, параграф 3 от Закона за мерките срещу нелоялната конкуренция и член 3, параграф 1, първо изречение, точка 1 от Закона за исковете за преустановяване на нарушения, да е загубила тази легитимация в хода на производството след влизането в сила на ОРЗД, и по-специално на член 80, параграфи 1 и 2, както и член 84, параграф 1 от него. Ако случаят е такъв, запитващата юрисдикция би трябвало да уважи подадената от Meta Platforms Ireland ревизионна жалба и да отхвърли иска на Федерацията за преустановяване на нарушенията, тъй като съгласно релевантните разпоредби на германското процесуално право активната процесуална легитимация трябва да е налице до приключване на делото пред последната инстанция.

31

Ето защо с акт от 28 май 2020 г. Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда преюдициален въпрос относно тълкуването на член 80, параграфи 1 и 2 и на член 84, параграф 1 от ОРЗД.

32

С решение от 28 април 2022 г., Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Съдът отговаря на този въпрос, че член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че допуска национална правна уредба, която позволява на сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субекти на данни — срещу предполагаемия извършител на посегателство срещу защитата на лични данни, като се позове на нарушаване на забраната за нелоялни търговски практики, на закон за защита на потребителите или на забраната за използване на недействителни общи търговски условия, когато съответното обработване на данни може да засегне правата, които идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани, черпят от този регламент.

33

С оглед на това решение запитващата юрисдикция счита, че активната процесуалната легитимация на дадено образувание по смисъла на член 80, параграф 2 от ОРЗД не зависи от условието такова образувание да идентифицира предварително и конкретно субекта, чиито данни са предмет на обработване, за което се презюмира, че противоречи на разпоредбите на ОРЗД. Понятието „субект на данни“ по смисъла на член 4, точка 1 от този регламент обхваща следователно не само „идентифицирано физическо лице“, но и „физическо лице, което може да бъде идентифицирано“, тоест физическо лице, „което може да бъде идентифицирано“, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение или онлайн идентификатор. При тези обстоятелства определянето на категория или група лица, засегнати от такова обработване, можело да е достатъчно за предявяването на такъв представителен иск. В случая Федерацията идентифицирала такава група или категория.

34

Според запитващата юрисдикция обаче в посоченото по-горе решение на Съда не се разглежда условието по член 80, параграф 2 от ОРЗД, съгласно което, за да упражни предвидените в този регламент способи за правна защита, сдружението за защита на интересите на потребителите трябва да счита, че предвидените в посочения регламент права на субект на данни са били нарушени „в резултат на обработването“.

35

От една страна, тази юрисдикция приема, че от посоченото решение не става ясно дали нарушение на задължението, произтичащо от член 12, параграф 1, първо изречение и от член 13, параграф 1, букви в) и д) от ОРЗД, на субекта на данните да се предоставя в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на лични данни, както и за получателите на тези данни, представлява нарушение „в резултат на обработването“ и дали понятието „обработване“ по смисъла на член 4, точка 2 от този регламент обхваща положения, които предшестват събирането на такива данни.

36

От друга страна, запитващата юрисдикция счита, че не е ясно установено дали в случай като настоящия нарушението на задължението за предоставяне на информация е настъпило „в резултат на“ обработване на лични данни по смисъла на член 80, параграф 2 от ОРЗД. В това отношение тя подчертава, че макар този израз може да означава, че за да бъде допустим представителен иск, образуванието, което го предявява трябва да твърди нарушение на права на субект на данни, произтичащо от операция по обработване на лични данни по смисъла на член 4, точка 2 от посочения регламент, и следователно след извършване на такава операция, целта на посочения регламент да се гарантира по-специално високо ниво на защита на личните данни можела да подкрепя тезата за разширяване на обхвата на активната процесуална легитимация на посоченото образувание в случай на нарушение на задължението за предоставяне на информация, при все че това задължение трябва да е изпълнено преди всяка операция по обработване на лични данни.

37

При тези обстоятелства Bundesgerichtshof (Федерален върховен съд) решава отново да спре производството и да постави на Съда следния преюдициален въпрос:

„Предявява[т] ли се нарушен[и] [права на субект на данни] „в резултат на обработването на лични данни“ по смисъла на член 80, параграф 2 от ОРЗД, ако сдружение за защита на интересите на потребителите основава иска си на факта, че правата на субект на данни са били нарушени поради неизпълнение на задълженията за предоставяне на информация за целта на обработването на данните и за получателя на личните данни съгласно член 12, параграф 1, първо изречение от ОРЗД във връзка с член 13, параграф 1, букви в) и д) от същия регламент?“.

38

С въпроса си запитващата юрисдикция по същество иска да се установи дали член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че условието, съгласно което, за да може оправомощено образувание да предяви представителен иск по тази разпоредба, то трябва да изтъкне, че според него предвидените в този регламент права на субект, чиито лични данни се обработват, са били нарушени „в резултат на обработването“ по смисъла на посочената разпоредба, е изпълнено, когато този иск се основава на нарушение на задължението на администратора по член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от посочения регламент най-късно при събирането на данните да предостави на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на данните, както и за получателите на тези данни.

39

За да се отговори на този въпрос, е важно в самото начало да се припомни, че ОРЗД урежда по-специално способите за защита на правата на субекта на данни, когато негови лични данни са били подложени на обработване, за което се твърди, че противоречи на разпоредбите на посочения регламент. Така защитата на тези права може да се иска или пряко от субекта на данни, който има право сам да подаде жалба до надзорен орган на държава членка съгласно член 77 от ОРЗД или да предяви иск пред националните съдилища съгласно членове 78 и 79 от този регламент, или съгласно член 80 от ОРЗД — от оправомощено образувание, със или без мандат за тази цел.

40

По-специално член 80, параграф 2 от ОРЗД предоставя възможност на държавите членки да предвидят механизъм за представителни искове срещу предполагаемия извършител на посегателство срещу защитата на лични данни, без да е възложен мандат от субекта на данни, като същевременно определя редица изисквания за персоналния и материалния обхват, които трябва да бъдат спазвани за тази цел (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 63).

41

В това отношение, що се отнася, на първо място, до персоналния обхват на такъв механизъм, активната процесуална легитимация е призната на структура, организация или сдружение, които отговарят на критериите по член 80, параграф 1 от ОРЗД. По-специално, както Съдът вече е констатирал, сдружение за защита на интересите на потребителите, каквото е Федерацията, може да попадне в обхвата на това понятие, тъй като то преследва цел от обществен интерес, а именно да се гарантират правата и свободите на субектите на данни в качеството им на потребители, тогава когато постигането на тази цел може да бъде свързано със защитата на техните лични данни (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 64 и 65).

42

На второ място, що се отнася до материалния обхват на посочения механизъм, за предявяването на представителния иск по член 80, параграф 2 от ОРЗД от образувание, което отговаря на условията по параграф 1 от този член, е необходимо това образувание, независимо дали има възложен мандат, да „счита, че правата на субект на данни съгласно [този] регламент са били нарушени в резултат на обработването“ на лични данни (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 67).

43

В това отношение Съдът пояснява, че за предявяването на представителен иск не е необходимо да е налице „конкретно нарушение“ на правата, които дадено лице черпи от правните норми за защита на данни, така че, за да се признае активна процесуална легитимация на такова образувание, е достатъчно да се твърди, че съответното обработване на данни може да засегне правата, които идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, черпи от посочения регламент, без да е необходимо да се доказва, че субектът на данни е претърпял действителна и конкретна вреда в резултат на нарушаването на правата му (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 70 и 72).

44

Както обаче Съдът вече е постановил, за предявяването на представителен иск е необходимо посоченото образувание да „счита“, че предвидените в ОРЗД права на субект на данни са били нарушени в резултат на обработването на неговите лични данни, и следователно да твърди, че е „налице обработване на данни“, което според него е в нарушение на разпоредбите на този регламент (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 71), тъй като такова обработване не може да има чисто хипотетичен характер, както отбелязва генералният адвокат в точка 48 от заключението си.

45

По-конкретно, както следва от текста на член 80, параграф 2 от ОРЗД, предявяването на представителен иск на основание на тази разпоредба предполага нарушаването на правата, които субектът на данни черпи от този регламент, да се извършва във връзка с обработването на лични данни.

46

Това тълкуване се потвърждава от сравнението на текстовете на различните езици на член 80, параграф 2 от ОРЗД, както и от съображение 142 от него, което гласи, че субектите, които отговарят на условията, посочени в член 80, параграф 1 от този регламент, трябва да имат основания да смятат, че предвидените в посочения регламент права на субект на данни са били нарушени, тъй като „обработване[то] на лични данни […] нарушава [същия] регламент“.

47

След това уточнение, за да се отговори на преюдициалния въпрос, следва да се провери и дали нарушението на задължението на администратора по член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от ОРЗД най-късно при събирането на данните да предостави на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на лични данни, както и за получателите на тези данни, представлява нарушение на правата на това лице „в резултат на обработването“ по смисъла на член 80, параграф 2 от ОРЗД.

48

В самото начало е важно да се припомни, че преследваната с ОРЗД цел, както следва от член 1 и от съображение 10 от него, се състои по-специално в това да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот при обработването на лични данни (вж. в този смисъл решение от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 53).

49

За тази цел глави II и III от Регламента закрепват съответно принципите, уреждащи обработването на лични данни, както и правата на субекта на данни, които трябва да се зачитат при всяко обработване на лични данни. По-конкретно освен в случаите на предвидените в член 23 от Регламента дерогации всяко обработване на лични данни, от една страна, трябва да е в съответствие с принципите за обработване на тези данни, прогласени в член 5 от посочения регламент, и да отговаря на изискванията за законосъобразност, изброени в член 6 от същия, и от друга страна, да зачита правата на съответното лице, установени в членове 12—22 от ОРЗД (вж. в този смисъл решения от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 208, и от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработване на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 50 и 61 и цитираната съдебна практика).

50

В това отношение следва да се подчертае, че съгласно член 5, параграф 1, буква а) от ОРЗД личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните. Освен това съгласно член 5, параграф 1, буква б) данните трябва да се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.

51

Що се отнася до тълкуването на член 5, параграф 1, буква б) от ОРЗД, Съдът е постановил, че тази разпоредба изисква целите на обработването да бъдат ясно посочени и установени най-късно при събирането на личните данни (решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработване на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 64 и 65).

52

Освен това съгласно член 5, параграф 2 от ОРЗД администраторът носи тежестта да докаже, че тези данни се събират по-специално за конкретни, изрично указани и легитимни цели и че се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

53

Така от член 5 от ОРЗД следва, че обработването на лични данни трябва по-специално да отговаря на конкретни изисквания за прозрачност по отношение на субекта, чиито данни се обработват. За тази цел в глава III от ОРЗД, от една страна, се предвиждат конкретни задължения за администратора, а от друга страна, се признават редица права на субекта, чиито лични данни се обработват, сред които по-специално е правото да получи от администратора информация за целите на това обработване и за конкретните получатели, пред които са или ще бъдат разкрити свързаните с него лични данни (решение от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 48).

54

По-специално член 13, параграф 1, букви в) и д) от ОРЗД предвижда задължение за администратора, когато личните данни се събират от субекта на данните, да го информира съответно за целите на обработването, за което личните данни са предназначени, както и правното основание за обработването, а също и за получателите или категориите получатели на тези данни.

55

Освен това член 12, параграф 1 от този регламент изисква администраторът да предприеме необходимите мерки, за да гарантира по-специално, че посочената в предходната точка информация, която е предоставена на субекта на данните, е предоставена в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език.

56

Както Съдът е постановил, член 12, параграф 1 от ОРЗД, който е израз на принципа на прозрачност, има за цел да гарантира, че субектът на данните е в състояние напълно да разбере изпратената му информация (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIFC‑487/21, EU:C:2023:369, т. 38).

57

Значението на спазването на такова задължение за предоставяне на информация се потвърждава и от съображение 60 от ОРЗД, което гласи, че принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели, като се подчертава, че администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекстът, в които се обработват личните данни (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 36).

58

От гореизложеното следва, на първо място, че задължението на администратора за предоставяне на информация по отношение на субектите, чиито лични данни се обработват, е следствие от правото на информация, което е признато на тези физически лица в членове 12 и 13 от ОРЗД и което следователно е част от правата, които представителният иск по член 80, параграф 2 от посочения регламент цели да защити. Освен това, както следва от точки 56 и 57 от настоящото решение, спазването на това задължение гарантира по-общо спазването на принципите на прозрачност и добросъвестност на обработването, предвидени в член 5, параграф 1 от посочения регламент.

59

На второ място, както отбелязва генералният адвокат в точка 47 от заключението си, твърдяното нарушение на правото на субектите на данни да бъдат в достатъчна степен информирани относно всички обстоятелства, свързани с обработването на лични данни, и по-специално относно целта на обработването и получателя на тези данни, може да възпрепятства изразяването на „информирано“ съгласие по смисъла на член 4, точка 11 от ОРЗД, което може да направи незаконосъобразно това обработване по смисъла на член 5, параграф 1 от Регламента.

60

Всъщност валидността на даденото от субекта на данни съгласие зависи по-специално от това дали този субект е получил предварително информацията относно всички обстоятелства, свързани с обработването на въпросните данни, която е имал право да получи съгласно членове 12 и 13 от ОРЗД и която му дава възможност да даде напълно информирано съгласие.

61

Доколкото обработването на лични данни, извършвано в нарушение на правото на информация, което субектът на данните черпи от членове 12 и 13 от ОРЗД, не отговаря на изискванията по член 5 от този регламент, нарушението на това право на информация следва да се счита за нарушение на правата на субекта на данни „в резултат на обработването“ по смисъла на член 80, параграф 2 от посочения регламент.

62

От това следва, че произтичащото от член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от ОРЗД право на субекта, чиито лични данни се обработват, да получи от администратора в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на лични данни, както и за получателите на тези данни, е право, чието нарушение позволява да се прибегне до механизма на представителния иск, предвиден в член 80, параграф 2 от Регламента.

63

Това тълкуване се потвърждава, от една страна, от целта на ОРЗД, припомнена в точка 48 от настоящото решение, да се осигури ефективна защита на основните права и свободи на физическите лица, и по-специално висока степен на защита на правото на всяко лице на личен живот при обработването на отнасящи се до него лични данни.

64

От друга страна, това тълкуване съответства и на превантивната функция на предвидения в член 80, параграф 2 от ОРЗД представителен иск, предявяван от сдружения за защита на интересите на потребителите, каквото е в случая Федерацията (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 76).

65

С оглед на гореизложеното на преюдициалния въпрос следва да се отговори, че член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че условието, съгласно което, за да може оправомощено образувание да предяви представителен иск по тази разпоредба, то трябва да изтъкне, че според него предвидените в този регламент права на субект на данни са били нарушени „в резултат на обработването“ по смисъла на посочената разпоредба, е изпълнено, когато това образувание твърди, че нарушението на правата на посочения субект е извършено по повод на обработване на лични данни и че то произтича от неспазване на задължението на администратора по член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от посочения регламент най-късно при събирането на данните да предостави на субекта, чиито данни се обработват, в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на данните, както и за получателите на тези данни.

66

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (четвърти състав) реши:

Член 80, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

условието, съгласно което, за да може оправомощено образувание да предяви представителен иск по тази разпоредба, то трябва да изтъкне, че според него предвидените в този регламент права на субект на данни са били нарушени „в резултат на обработването“ по смисъла на посочената разпоредба, е изпълнено, когато това образувание твърди, че нарушението на правата на посочения субект е извършено по повод на обработване на лични данни и че то произтича от неспазване на задължението на администратора по член 12, параграф 1, първо изречение и член 13, параграф 1, букви в) и д) от посочения регламент най-късно при събирането на данните да предостави на субекта, чиито данни се обработват, в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език информация за целта на обработването на данните, както и за получателите на тези данни.