–

za Meta Platforms Ireland Ltd: M. Braun, H.-G. Kamann a V. Wettner, Rechtsanwälte,

–

za Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV: P. Wassermann, Rechtsanwalt,

–

za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci,

–

za portugalskou vládu: P. Barros da Costa, J. Ramos a C. Vieira Guerra, jako zmocněnkyně,

–

za Evropskou komisi: A. Bouchagiar, F. Erlbacher a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 80 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2, dále jen „GDPR“), ve spojení s čl. 12 odst. 1 první větou a čl. 13 odst. 1 písm. c) a e) tohoto nařízení.

2

Tato žádost byla předložena v rámci sporu mezi společností Meta Platforms Ireland Ltd, dříve Facebook Ireland Ltd, se sídlem v Irsku, a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Spolková unie center a sdružení na ochranu zájmů spotřebitelů, Německo) (dále jen „Spolková unie“), jehož předmětem je porušení německých právních předpisů týkajících se ochrany osobních údajů ze strany společnosti Meta Platforms Ireland, které zároveň představuje nekalou obchodní praktiku, porušení zákona na ochranu spotřebitelů a porušení zákazu používání neúčinných všeobecných obchodních podmínek.

3

Body 10, 13, 39, 58, 60 a 142 odůvodnění nařízení GDPR zní:

[…]

[…]

[…]

[…]

[…]

4

Článek 1 tohoto nařízení, nadepsaný „Předmět a cíle“ v odstavci 1 stanoví:

„Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.“

5

Podle čl. 4 bodů 1, 2, 9 a 11 uvedeného nařízení platí, že:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

6

Článek 5 téhož nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

7

Článek 6 odst. 1 písm. a) GDPR, nadepsaný „Zákonnost zpracování“, stanoví:

„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

8

Kapitola III GDPR, která obsahuje články 12 až 23, je nadepsána „Práva subjektu údajů“.

9

Článek 12 tohoto nařízení, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, v odstavci 1 stanoví:

„Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.“

10

Článek 13 uvedeného nařízení, nadepsaný „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“, v odst. 1 písm. c) a e) stanoví:

„Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

[…]

[…]

11

Kapitola VIII téhož nařízení, která obsahuje články 77 až 84, je nadepsána „Právní ochrana, odpovědnost a sankce“.

12

Článek 77 GDPR, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví:

„Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

13

Článek 78 tohoto nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.“

14

Článek 79 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

15

Článek 80 téhož nařízení, nadepsaný „Zastupování subjektů údajů“, zní:

„1.   Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

2.   Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

16

Článek 82 GDPR, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavci 1 stanoví:

„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

17

Článek 84 GDPR, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

18

Podle § 2 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz) – UKlaG) (zákon o žalobách na zdržení se jednání v případě porušení práv spotřebitelů a jiných porušení) ze dne 26. listopadu 2001 (BGBl. 2001 I, s. 3138), ve znění použitelném na spor v původním řízení (dále jen „zákon o žalobách na zdržení se jednání“), platí:

„(1)   Proti každému, kdo poruší právní předpisy na ochranu spotřebitele (zákony o ochraně spotřebitele) jinak než uplatněním nebo doporučením všeobecných obchodních podmínek, může být podána žaloba na zdržení se jednání do budoucna nebo okamžité zdržení se jednání v zájmu ochrany spotřebitele. […]

(2)   Ve smyslu tohoto ustanovení se zákony o ochraně spotřebitele rozumí zejména:

[…]

11. předpisy upravující zákonnost

19

Bundesgerichtshof (Spolkový soudní dvůr, Německo) uvádí, že podle § 3 odst. 1 první věty bodu 1 zákona o žalobách na zdržení se jednání mohou subjekty, které mají aktivní legitimaci ve smyslu § 4 tohoto zákona, jednak požadovat podle § 1 uvedeného zákona ukončení používání neplatných všeobecných obchodních podmínek podle ustanovení § 307 Bürgerliches Gesetzbuch (občanský zákoník) a jednak požadovat ukončení porušování zákonů o ochraně spotřebitele ve smyslu § 2 odst. 2 téhož zákona.

20

Ustanovení § 3 odst. 1 Gesetz gegen den unlauteren Wettbewerb (zákon o zákazu nekalé soutěže), ze dne 3. července 2004 (BGBl. 2004 I, s. 1414), ve znění použitelném na spor v původním řízení (dále jen „zákon o zákazu nekalé soutěže“), stanoví:

„Nekalé obchodní praktiky jsou nezákonné.“

21

Ustanovení § 3a zákona o zákazu nekalé soutěže zní:

„Nekalého jednání se dopustí ten, kdo jedná v rozporu s právním předpisem, který je určen zejména ke stanovení pravidel chování na trhu v zájmu jeho účastníků, jestliže porušení právního předpisu může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

22

V § 8 tohoto zákona se stanoví:

„(1)   Vůči každému, kdo uplatňuje obchodní praktiky, které jsou podle § 3 nebo § 7 nezákonné, se lze domáhat toho, aby těchto praktik okamžitě zanechal a v případě, že hrozí jejich opakování, se jich zdržel do budoucna. […]

[…]

(3)   Nároky podle odstavce 1 mohou být uplatněny:

[…]

23

Bundesgerichtshof (Spolkový soudní dvůr) uvádí, že § 13 odst. 1 Telemediengesetz (zákon o službách elektronických informací a komunikací), ze dne 26. února 2007 (BGBl. 2007 I, s. 179), se použil až do nabytí účinnosti GDPR. Od tohoto data bylo uvedené ustanovení nahrazeno články 12 až 14 GDPR.

24

Podle § 13 odst. 1 první věty zákona o službách elektronických informací a komunikací platí, že:

„Poskytovatel služeb uživatele na začátku využívání těchto služeb obecně srozumitelnou formou poučí o způsobu, rozsahu a účelech shromažďování a používání osobních údajů, jakož i o zpracovávání jeho údajů ve státech, které nespadají do oblasti působnosti směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31[; Zvl. vyd. 13/15, s. 355]), pokud tak neučinil již dříve.“

25

Společnost Meta Platforms Ireland, která spravuje nabídku služeb internetové sociální sítě Facebook v Unii, je správcem osobních údajů uživatelů této sociální sítě v Unii. Společnost Facebook Germany GmbH, která má sídlo v Německu, propaguje na internetové adrese www.facebook.de prodej reklamního prostoru. Internetová platforma Facebook obsahovala zejména na internetové adrese www.facebook.de, prostor nazvaný „App-Zentrum“ (Centrum aplikací), na kterém společnost Meta Platforms Ireland poskytovala uživatelům bezplatné herní aplikace nabízené třetími osobami. Při prohlížení tohoto prostoru byl uživatel informován o tom, že použitím některé z těchto aplikací umožní těmto aplikacím shromažďovat různé osobní údaje a dá jim svolení, aby některé z těchto údajů zveřejnily jeho jménem, například jeho skóre a v případě jedné z dotyčných her jeho status a fotografie. Byl rovněž informován, že použitím příslušných aplikací přijme obecné podmínky těchto aplikací a jejich politiku v oblasti ochrany údajů.

26

Spolková unie, která je aktivně legitimována podle § 4 zákona o žalobách na zdržení se jednání, se domnívala, že informace poskytnuté dotčenými herními aplikacemi v prostoru Centrum aplikací jsou nekalé, zejména proto, že nesplňují zákonné podmínky pro získání platného souhlasu uživatele podle ustanovení upravujících ochranu osobních údajů. Dále se domnívala, že informace, podle kterých mohou tyto aplikace zveřejňovat jménem uživatelů některé z jejich osobních údajů, představují všeobecnou obchodní podmínku, která tyto uživatele nepřiměřeně znevýhodňuje.

27

V této souvislosti podala Spolková unie k Landgericht Berlin (Zemský soud v Berlíně, Německo) žalobu na zdržení se jednání na základě § 3a zákona o zákazu nekalé soutěže, § 2 odst. 2 první věty bodu 11 zákona o žalobách na zdržení se jednání a občanského zákoníku, zejména s cílem společnosti Meta Platforms Ireland zakázat prezentovat v Centru aplikací takové herní aplikace, jako jsou dotčené aplikace. Tato žaloba byla podána nezávisle na konkrétním porušení práva na ochranu osobních údajů určitého subjektu údajů a bez pověření uděleného takovým subjektem.

28

Landgericht Berlin (Zemský soud v Berlíně) návrhovým žádáním Spolkové unie vyhověl. Odvolání, které podala společnost Meta Platforms Ireland ke Kammergericht Berlin (Vrchní zemský soud v Berlíně, Německo), bylo zamítnuto. Společnost Meta Platforms Ireland podala proti zamítavému rozhodnutí odvolacího soudu k předkládajícímu soudu opravný prostředek „Revision“.

29

Předkládající soud měl za to, že žaloba Spolkové unie je důvodná, jelikož společnost Meta Platforms Ireland porušila ustanovení § 3a zákona o zákazu nekalé soutěže, jakož i ustanovení § 2 odst. 2 první věty bodu 11 zákona o žalobách na zdržení se jednání, a použila neplatnou všeobecnou obchodní podmínku ve smyslu ustanovení § 1 zákona o žalobách na zdržení se jednání.

30

Uvedený soud měl však pochybnosti o přípustnosti žaloby Spolkové unie. Měl totiž za to, že není vyloučeno, že Spolková unie, která byla skutečně aktivně legitimována ke dni podání žaloby – na základě ustanovení § 8 odst. 3 zákona o zákazu nekalé soutěže a ustanovení § 3 odst. 1 první věty bodu 1 zákona o žalobách na zdržení se jednání – ztratila aktivní legitimaci v průběhu řízení po vstupu v platnost GDPR, a zejména čl. 80 odst. 1 a 2, jakož i čl. 84 odst. 1 tohoto nařízení. Pokud by tomu tak bylo, musel by předkládající soud vyhovět opravnému prostředku „Revision“ podanému společností Meta Platforms Ireland a zamítnout žalobu na zdržení se jednání Spolkové unie, neboť podle příslušných procesních ustanovení německého práva musí aktivní legitimace trvat až do skončení řízení v posledním stupni.

31

Rozhodnutím ze dne 28. května 2020 se Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru předběžnou otázku týkající se výkladu čl. 80 odst. 1 a 2 a čl. 84 odst. 1 GDPR.

32

Soudní dvůr v rozsudku ze dne 28. dubna 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322) na tuto otázku odpověděl tak, že čl. 80 odst. 2 GDPR musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružení na ochranu zájmů spotřebitelů podat žalobu bez pověření, které by mu bylo uděleno za tím účelem, a bez ohledu na porušení konkrétních práv dotčených osob, proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že byl porušen zákaz nekalých obchodních praktik, zákon na ochranu spotřebitele nebo zákaz používání neplatných všeobecných obchodních podmínek, pokud se dané zpracování údajů může dotknout práv, která identifikovaným nebo identifikovatelným fyzickým osobám vyplývají z tohoto nařízení.

33

S ohledem na tento rozsudek má předkládající soud za to, že aktivní legitimace subjektu ve smyslu čl. 80 odst. 2 GDPR nepodléhá podmínce, aby takový subjekt provedl předchozí individuální identifikaci subjektu dotčeného zpracováním údajů, které je údajně v rozporu s ustanoveními GDPR. Pojem „subjekt údajů“ ve smyslu čl. 4 bodu 1 GDPR zahrnuje nejen „identifikovanou fyzickou osobu“, ale rovněž „identifikovatelnou fyzickou osobu“, tj. fyzickou osobu, „kterou lze přímo či nepřímo identifikovat“ s použitím takového identifikátoru, jako je zejména jméno, identifikační číslo, lokalizační údaje nebo identifikační údaj on-line. Za těchto podmínek může být označení kategorie nebo skupiny osob dotčených takovým zpracováním dostačující pro účely podání zástupné žaloby. V projednávaném případě Spolková unie takovou skupinu nebo kategorii identifikovala.

34

Podle předkládajícího soudu se však výše uvedený rozsudek Soudního dvora nezabýval podmínkou uvedenou v čl. 80 odst. 2 GDPR, podle které se sdružení na ochranu zájmů spotřebitelů musí domnívat, že „v důsledku zpracování“ byla porušena práva subjektu údajů podle tohoto nařízení, aby mohlo podat opravné prostředky stanovené GDPR.

35

Uvedený soud má za to, že z uvedeného rozsudku jasně nevyplývá, zda porušení povinnosti vyplývající z čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) GDPR poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace týkající se účelu zpracování osobních údajů, jakož i příjemců těchto údajů, představuje porušení „v důsledku zpracování“ a zda pojem „zpracování“ ve smyslu čl. 4 bodu 2 tohoto nařízení zahrnuje situace, které předcházejí shromažďování takových údajů.

36

Dále se předkládající soud domnívá, že není jasně prokázáno, zda v takovém případě, jako je projednávaný případ, došlo k porušení informační povinnosti „v důsledku“ zpracování osobních údajů ve smyslu čl. 80 odst. 2 GDPR. V tomto ohledu připomíná, že ačkoli by taková formulace mohla naznačovat, že subjekt, který podává zástupnou žalobu, se musí za účelem její přípustnosti dovolávat porušení práv subjektu údajů, které vyplývá ze zpracování osobních údajů ve smyslu čl. 4 bodu 2 tohoto nařízení, a které tedy následuje po takovém zpracování, cíl uvedeného nařízení spočívající zejména v zajištění vysoké úrovně ochrany osobních údajů by mohl svědčit ve prospěch rozšíření aktivní legitimace tohoto subjektu v případě porušení informační povinnosti, byť tato povinnost musí být splněna před jakýmkoli zpracováním osobních údajů.

37

Za těchto podmínek Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku:

„Jedná se o uplatnění porušení [práv subjektu údajů] ‚v důsledku zpracování‘ ve smyslu čl. 80 odst. 2 GDPR, pokud sdružení na ochranu zájmů spotřebitelů vychází ve své žalobě z toho, že byla porušena práva subjektu údajů, protože nebyly dodrženy informační povinnosti stanovené v čl. 12 odst. 1 první větě GDPR ve spojení s čl. 13 odst. 1 písm. c) a e) GDPR týkající se účelu zpracování údajů a příjemce osobních údajů?“

38

Podstatou otázky předkládajícího soudu je, zda musí být čl. 80 odst. 2 GDPR vykládán v tom smyslu, že podmínka, podle které oprávněný subjekt, aby mohl podat zástupnou žalobu na základě tohoto ustanovení, musí tvrdit, že se domnívá, že práva subjektu dotčeného zpracováním osobních údajů stanovená tímto nařízením byla porušena „v důsledku zpracování“ ve smyslu uvedeného ustanovení, je splněna, pokud je taková žaloba založena na porušení povinnosti správce podle čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) uvedeného nařízení poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace týkající se účelu tohoto zpracování údajů, jakož i příjemců takových údajů, a to nejpozději při jejich shromažďování.

39

Za účelem odpovědi na tuto otázku je třeba úvodem připomenout, že GDPR upravuje zejména opravné prostředky, které umožňují chránit práva subjektu údajů, pokud osobní údaje, které se ho týkají, byly zpracovány údajně v rozporu s ustanoveními tohoto nařízení. Ochrany těchto práv se může domáhat buď přímo subjekt údajů, který má právo podat stížnost u dozorového úřadu členského státu v souladu s článkem 77 GDPR nebo žalobu k vnitrostátním soudům na základě článků 78 a 79 tohoto nařízení, nebo subjekt, který je k tomu oprávněn na základě článku 80 uvedeného nařízení, ať už s pověřením nebo bez něj.

40

Konkrétně čl. 80 odst. 2 GDPR umožňuje členským státům stanovit mechanismus zástupných žalob vůči údajnému původci porušení ochrany osobních údajů v případě, že subjekt údajů v tomto ohledu nikoho nepověřil, přičemž stanoví řadu požadavků na úrovni osobní a věcné působnosti, které musí být za tímto účelem dodrženy (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 63).

41

Pokud jde zaprvé o osobní působnost tohoto mechanismu, aktivní legitimace je přiznána subjektu, organizaci nebo sdružení, které splňují kritéria uvedená v čl. 80 odst. 1 GDPR. Konkrétně, jak již Soudní dvůr konstatoval, takové sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie, může pod tento pojem spadat, jelikož sleduje cíl veřejného zájmu spočívající v zajištění práv a svobod subjektů údajů jakožto spotřebitelů, jelikož dosažení takového cíle může souviset s ochranou osobních údajů těchto spotřebitelů (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 64 a 65).

42

Pokud jde zadruhé o věcnou působnost uvedeného mechanismu, předpokladem pro použití zástupné žaloby podle čl. 80 odst. 2 GDPR subjektem, který splňuje podmínky uvedené v odstavci 1 tohoto článku, je, že tento subjekt bez ohledu na jakékoli pověření, které mu bylo uděleno, „se domnívá, že v důsledku zpracování [osobních údajů] [subjektu údajů] byla porušena práva [tohoto subjektu] podle tohoto nařízení“ (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 67).

43

V tomto ohledu Soudní dvůr objasnil, že možnost podání zástupné žaloby není zejména podmíněna existencí „konkrétního porušení“ práv, která osobě vyplývají z pravidel v oblasti ochrany osobních údajů, takže k tomu, aby byla takovému subjektu přiznána aktivní legitimace, stačí uvést, že dotčené zpracování údajů může ovlivnit práva, která pro identifikované nebo identifikovatelné fyzické osoby vyplývají z uvedeného nařízení, aniž by bylo nezbytné prokazovat skutečnou újmu způsobenou subjektu údajů v určité situaci zásahem do jeho práv (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 70 a 72).

44

Jak však již Soudní dvůr rozhodl, podání zástupné žaloby předpokládá, že uvedený subjekt „se domnívá“, že práva subjektu údajů stanovená v GDPR byla porušena v důsledku zpracování osobních údajů tohoto subjektu, a poukazuje tedy na „existenci zpracování údajů“, které je podle něj v rozporu s ustanoveními tohoto nařízení (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 71), neboť takové zpracování nesmí být pouze hypotetické, jak uvedl generální advokát v bodě 48 svého stanoviska.

45

Konkrétně, jak vyplývá ze znění čl. 80 odst. 2 GDPR, podání zástupné žaloby na základě tohoto ustanovení znamená, že k porušení práv, která subjektu údajů vyplývají z tohoto nařízení, dochází v souvislosti se zpracováním osobních údajů.

46

Tento výklad je podpořen srovnáním různých jazykových verzí čl. 80 odst. 2 GDPR, jakož i jeho bodem 142 odůvodnění, který uvádí, že subjekty splňující podmínky uvedené v čl. 80 odst. 1 tohoto nařízení musí mít důvod se domnívat, že došlo k porušení práv subjektu údajů stanovených v uvedeném nařízení v důsledku „zpracování osobních údajů, které je porušením [téhož] nařízení“.

47

Po tomto objasnění je třeba pro zodpovězení předběžné otázky ještě ověřit, zda porušení povinnosti, kterou má správce podle čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) GDPR, poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o účelu zpracování osobních údajů, jakož i o příjemcích takových údajů, a to nejpozději při shromažďování těchto údajů, představuje porušení práv tohoto subjektu „v důsledku zpracování“ ve smyslu čl. 80 odst. 2 GDPR.

48

Na úvod je nutné připomenout, že cíl sledovaný GDPR, jak vyplývá z článku 1 a bodu 10 odůvodnění tohoto nařízení, spočívá zejména v zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí v souvislosti se zpracováním osobních údajů (v tomto smyslu viz rozsudek ze dne 7. března 2024, IAB Europe, C‑604/22, EU:C:2024:214, bod 53).

49

Za tímto účelem stanoví kapitoly II a III tohoto nařízení zásady, jimiž se řídí zpracování osobních údajů, jakož i práva subjektu údajů, která musí být dodržována při každém zpracování osobních údajů. S výhradou výjimek stanovených v článku 23 GDPR nařízení musí být konkrétně každé zpracování osobních údajů v souladu se zásadami zpracování takových údajů stanovenými v článku 5 tohoto nařízení a splňovat podmínky zákonnosti uvedené v článku 6, jakož i dodržovat práva subjektu údajů uvedená v článcích 12 až 22 GDPR [v tomto smyslu viz rozsudky ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208, jakož i ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, body 50 a 61, jakož i citovaná judikatura].

50

V tomto ohledu je třeba zdůraznit, že podle čl. 5 odst. 1 písm. a) GDPR musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem. Kromě toho podle čl. 5 odst. 1 písm. b) tohoto nařízení musí být tyto údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

51

Pokud jde o výklad čl. 5 odst. 1 písm. b) GDPR, Soudní dvůr rozhodl, že toto ustanovení zejména vyžaduje, aby účely zpracování byly jasně vyjádřeny a identifikovány nejpozději v okamžiku shromažďování osobních údajů [rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, body 64 a 65].

52

Kromě toho podle čl. 5 odst. 2 GDPR je na správci, aby prokázal, že tyto údaje jsou shromažďovány zejména pro určité, výslovně vyjádřené a legitimní účely a že jsou ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.

53

Z článku 5 GDPR tedy vyplývá, že zpracování osobních údajů musí splňovat zejména konkrétní požadavky v oblasti transparentnosti ve vztahu k subjektu údajů, jehož se takové zpracování týká. Za tímto účelem GDPR v kapitole III stanoví pro správce konkrétní povinnosti a přiznává subjektu dotčenému zpracováním osobních údajů celou řadu práv, mezi něž patří zejména právo získat od správce informace o účelech tohoto zpracování a o konkrétních příjemcích, kterým byly nebo budou sděleny osobní údaje, které se ho týkají (rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 48).

54

Konkrétně čl. 13 odst. 1 písm. c) a e) GDPR stanoví povinnost správce, pokud se osobní údaje získávají od subjektu údajů, informovat subjekt údajů o účelech zpracování, pro které jsou tyto údaje určeny, a o právním základu tohoto zpracování, jakož i o příjemcích nebo kategoriích příjemců těchto údajů.

55

Dále čl. 12 odst. 1 tohoto nařízení vyžaduje, aby správce přijal vhodná opatření zejména s cílem zajistit, aby informace uvedené v předchozím bodě, které jsou poskytnuty subjektu údajů, byly stručné, transparentní, srozumitelné, snadno přístupné a byly formulovány jasným a jednoduchým jazykem.

56

Jak Soudní dvůr rozhodl, účelem čl. 12 odst. 1 GDPR, který je výrazem zásady transparentnosti, je zajistit, aby subjekt údajů mohl plně porozumět informacím, které jsou mu určeny (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 38).

57

Důležitost splnění takové informační povinnosti je rovněž potvrzena bodem 60 odůvodnění GDPR, který uvádí, že zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech, přičemž je třeba zdůraznit, že správce by měl poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 36).

58

Z výše uvedeného zaprvé vyplývá, že informační povinnost, kterou má správce ve vztahu k subjektům dotčeným zpracováním osobních údajů, je logickým důsledkem práva na informace, jež těmto subjektům přiznávají články 12 a 13 GDPR a které je součástí práv, která má zástupná žaloba stanovená v čl. 80 odst. 2 tohoto nařízení chránit. Kromě toho, jak vyplývá z bodů 56 a 57 tohoto rozsudku, dodržování této povinnosti obecně zaručuje dodržování zásad transparentnosti a loajality zpracování stanovených v čl. 5 odst. 1 uvedeného nařízení.

59

Zadruhé, jak uvedl generální advokát v bodě 47 svého stanoviska, údajné porušení práva subjektů údajů být dostatečně informován o všech okolnostech zpracování osobních údajů, zejména o účelu zpracování a příjemci těchto údajů, pravděpodobně brání vyjádření „informovaného“ souhlasu ve smyslu čl. 4 bodu 11 GDPR, což může mít za následek nezákonnost tohoto zpracování ve smyslu čl. 5 odst. 1 tohoto nařízení.

60

Platnost souhlasu subjektu údajů totiž závisí mimo jiné na tom, zda tento subjekt předtím získal informace o všech okolnostech souvisejících se zpracováním dotčených údajů, na které měl nárok podle článků 12 a 13 GDPR a které mu umožňují udělit souhlas s plnou znalostí věci.

61

Vzhledem k tomu, že zpracování osobních údajů prováděné v rozporu s právem subjektu údajů na informace podle článků 12 a 13 GDPR porušuje požadavky stanovené v článku 5 tohoto nařízení, je třeba považovat porušení tohoto práva na informace za porušení práv subjektu údajů „v důsledku zpracování“ ve smyslu čl. 80 odst. 2 uvedeného nařízení.

62

Z toho vyplývá, že právo subjektu dotčeného zpracováním osobních údajů, jež vyplývá z čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) GDPR, získat od správce stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků informace týkající se účelu takového zpracování, jakož i příjemců takových údajů, představuje právo, jehož porušení umožňuje použít mechanismus zástupné žaloby stanovený v čl. 80 odst. 2 tohoto nařízení.

63

Tento výklad je potvrzen cílem GDPR připomenutým v bodě 48 tohoto rozsudku, kterým je zajistit účinnou ochranu základních práv a svobod fyzických osob, a zejména vysokou úroveň ochrany práva každého na soukromí v souvislosti se zpracováním osobních údajů, které se ho týkají.

64

Takový výklad je rovněž v souladu s preventivní funkcí zástupné žaloby stanovené v čl. 80 odst. 2 GDPR, kterou podávají taková sdružení na ochranu zájmů spotřebitelů, jako je Spolková unie v projednávané věci (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 76).

65

S ohledem na výše uvedené je třeba na předběžnou otázku odpovědět tak, že čl. 80 odst. 2 GDPR musí být vykládán v tom smyslu, že podmínka, podle které aby oprávněný subjekt mohl podat zástupnou žalobu na základě tohoto ustanovení, musí tvrdit, že se domnívá, že práva subjektu údajů podle tohoto nařízení byla porušena „v důsledku zpracování“ ve smyslu uvedeného ustanovení, je splněna, pokud tento subjekt tvrdí, že k porušení práv tohoto subjektu údajů dochází v souvislosti se zpracováním osobních údajů a že toto porušení vyplývá z porušení povinnosti, kterou má správce podle čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) uvedeného nařízení, poskytnout subjektu údajů, jehož se toto zpracování údajů týká, stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o účelu uvedeného zpracování údajů, jakož i o příjemcích takových údajů, a to nejpozději při jejich shromažďování.

66

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (čtvrtý senát) rozhodl takto:

Článek 80 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

podmínka, podle které aby oprávněný subjekt mohl podat zástupnou žalobu na základě tohoto ustanovení, musí tvrdit, že se domnívá, že práva subjektu údajů podle tohoto nařízení byla porušena „v důsledku zpracování“ ve smyslu uvedeného ustanovení, je splněna, pokud tento subjekt tvrdí, že k porušení práv tohoto subjektu údajů dochází v souvislosti se zpracováním osobních údajů a že toto porušení vyplývá z porušení povinnosti, kterou má správce podle čl. 12 odst. 1 první věty a čl. 13 odst. 1 písm. c) a e) uvedeného nařízení, poskytnout subjektu údajů, jehož se toto zpracování údajů týká, stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace o účelu uvedeného zpracování údajů, jakož i o příjemcích takových údajů, a to nejpozději při jejich shromažďování.