Združenja za varstvo potrošnikov lahko vložijo tožbo zaradi kršitve varstva osebnih podatkov
Dne 28. 4. 2022 je Sodišče EU v zadevi C‑319/20 na podlagi predloga za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija) v postopku Meta Platforms Ireland Limited, nekdanja Facebook Ireland Limited, proti Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., izdalo sodbo, s katero je razsodilo, da je 80/II člen Splošne uredbe o varstvu podatkov treba razlagati tako, da ne nasprotuje nacionalni ureditvi, ki združenju za varstvo interesov potrošnikov omogoča, da ob neobstoju pooblastila, ki mu je bilo podeljeno za to, in ne glede na kršitev konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, proti domnevnemu kršitelju varstva osebnih podatkov sproži postopek pred sodiščem. Zatrjevati je potrebno kršitve prepovedi nepoštenih poslovnih praks, zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev, če zadevna obdelava podatkov lahko vpliva na pravice, ki jih imajo določeni ali določljivi posamezniki na podlagi te uredbe.
Sodišče se je torej odločilo, da se lahko takšen postopek vloži neodvisno od konkretne kršitve pravice do varstva osebnih podatkov posameznika in četudi za to združenja nimajo pooblastila posameznika.
Meta Platforms Ireland, prej Facebook Ireland Limited je upravljavec osebnih podatkov uporabnikov spletnega družbenega omrežja Facebook v Evropski uniji.
Federalna zveza potrošniških organizacij in združenj v Nemčiji je vložila tožbo proti Meta Platforms Ireland, ker naj bi v okviru ponujanja brezplačnih iger uporabnikom, ki jih zagotavljajo tretje osebe, kršila pravila o varstvu osebnih podatkov, o prepovedi nepoštenih poslovnih praks in o varstvu potrošnikov.
Ali je takšna sodba dopustna?
Zvezno sodišče v Nemčiji je sicer ugotovilo, da je tožba federalne zveze sklepčna, vendar je dvomilo o njeni dopustnosti.
Nemško sodišče se je spraševalo, ali je po začetku veljavnosti Splošne uredbe o varstvu podatkov (GDPR) združenje za varstvo potrošnikov še vedno aktivno legitimirano, da sproži postopek na civilnih sodiščih zaradi kršitev te uredbe, neodvisno od konkretne kršitve pravic posameznih posameznikov, na katere se osebni podatki nanašajo, in ne da bi jih ti posamezniki, na katere se nanašajo osebni podatki, za to pooblastili. Poleg tega je ugotovilo, da je iz GDPR mogoče sklepati, da so predvsem nadzorni organi dolžni preverjati uporabo določb te uredbe.
Z zgoraj omenjeno sodbo Sodišče EU ugotavlja, da GDPR ne izključuje uporabe nacionalne zakonodaje, ki združenju za varstvo potrošnikov omogoča, da tudi brez pooblastila posameznika in neodvisno od kršitve konkretnih pravic posameznikov, na katere se nanašajo osebni podatki, sproži sodni postopek zoper osebo, ki naj bi bila odgovorna za kršitev zakonov, ki varujejo osebne podatke, na podlagi kršitve prepovedi nepoštenih poslovnih praks, kršitve zakona o varstvu potrošnikov ali prepovedi uporabe neveljavnih splošnih pogojev, če bi zadevna obdelava podatkov lahko vplivala na pravice, ki jih imajo določene ali določljive fizične osebe.
Uvodoma Sodišče EU navaja, da GDPR načeloma zahteva popolno uskladitev nacionalnih zakonodaj o varstvu osebnih podatkov. Kljub temu pa nekatere določbe GDPR omogočajo državam članicam, da določijo dodatna pravila, ki jim puščajo diskrecijsko pravico glede načina izvajanja teh določb, pod pogojem, da sprejeta nacionalna pravila ne spodkopavajo vsebine in ciljev te uredbe. V zvezi s tem imajo države članice tudi možnost, da predvidijo mehanizem ukrepanja po zastopniku proti osebi, ki je domnevno odgovorna za kršitev zakonodaje o varstvu osebnih podatkov, pri čemer lahko za to določijo številne zahteve, ki jih je treba izpolniti.
Vložitev reprezentativne tožbe
Sodišče EU tako oceni, da združenje za varstvo potrošnikov spada v okvir koncepta »telesa, organizacije ali združenja«, ki ima aktivno legitimacijo za sprožitev postopka, iz 80. člena GDPR, saj zasleduje javni interes, ki sestoji iz varovanja pravic potrošnikov. Kršitev pravil o varstvu potrošnikov in nepoštene poslovne prakse so lahko povezane s kršitvijo pravil o varstvu osebnih podatkov.
Sodišče tudi zapiše, da vložitev reprezentativne tožbe predpostavlja, da tako združenje, neodvisno od kakršnega koli pooblastila, ki mu je bilo podeljeno, »meni«, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, določene v GDPR, kršene zaradi njihove obdelave osebnih podatkov, ne da bi bilo treba posameznika, ki ga ta obdelava posebej zadeva, vnaprej identificirati in ne da bi bilo treba zatrjevati obstoj konkretne kršitve pravic, ki izhajajo iz pravil o varstvu podatkov.
Takšna razlaga naj bi bila skladna s ciljem, ki ga zasleduje GDPR, in sicer zlasti zagotavljanjem visoke ravni varstva osebnih podatkov.
Po mnenju Sodišča EU GDPR ne izključuje nacionalnih določb, ki predvidevajo vložitev reprezentativnih tožb zaradi kršitev pravic, ki jih zagotavlja ta uredba, prek pravil, namenjenih zaščiti potrošnikov ali boju proti nepoštenim poslovnim praksam.
Pripravila: Katarina Emeršič Polić
Vir: Sodišče EU, CURIA