Σημαντική απόφαση του Δικαστηρίου της ΕΕ σε υπόθεση κατά της Meta (πρώην Facebook): Οι ενώσεις προστασίας καταναλωτών μπορούν να προσφύγουν στη δικαιοσύνη για παραβιάσεις της προστασίας προσωπικών δεδομένων.
Με μία πολύ σημαντική απόφασή του σε υπόθεση που αφορά την Μeta Platforms (πρώην Facebook), το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε ότι οι ενώσεις προστασίας των καταναλωτών μπορούν να ασκούν αντιπροσωπευτικές αγωγές κατά παραβιάσεων της προστασίας των δεδομένων προσωπικού χαρακτήρα.
Σύμφωνα με το ΔΕΕ, μια τέτοια αγωγή δύναται να ασκηθεί ανεξαρτήτως συγκεκριμένης προσβολής του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων καθώς και χωρίς σχετική εντολή.
Ιστορικό υπόθεσης
Η Meta Platforms Ireland, πρώην Facebook Ireland, είναι ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών του μέσου κοινωνικής δικτύωσης Facebook στην Ένωση.
Η Ομοσπονδία των οργανώσεων και των ενώσεων καταναλωτών (Γερμανία) (στο εξής: Ομοσπονδιακή ένωση) άσκησε αγωγή παραλείψεως κατά της Meta Platforms Ireland, προσάπτοντάς της ότι, στο πλαίσιο της παροχής στους χρήστες δωρεάν παιχνιδιών από τρίτους παρόχους υπηρεσιών, παρέβη τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα, την καταπολέμηση του αθέμιτου ανταγωνισμού και την προστασία των καταναλωτών.
Το Ανώτατο Ομοσπονδιακό Δικαστήριο (Γερμανία) εκτιμά ότι η αγωγή της Ομοσπονδιακής ένωσης είναι βάσιμη, αλλά διατηρεί αμφιβολίες όσον αφορά το παραδεκτό της.
Συγκεκριμένα, το εθνικό δικαστήριο διερωτάται κατά πόσον μια ένωση για την προστασία των καταναλωτών, όπως η Ομοσπονδιακή ένωση, εξακολουθεί, μετά την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), να νομιμοποιείται ενεργητικώς για την άσκηση αγωγής ενώπιον των πολιτικών δικαστηρίων κατά παραβάσεων του εν λόγω κανονισμού, τούτο δε ανεξαρτήτως συγκεκριμένης προσβολής δικαιωμάτων μεμονωμένων υποκειμένων των δεδομένων και χωρίς σχετική εντολή από αυτά. Επιπροσθέτως, το εθνικό δικαστήριο παρατηρεί ότι από τον ΓΚΠΔ είναι δυνατό να συναχθεί ότι ο έλεγχος της εφαρμογής του εν λόγω κανονισμού απόκειται κυρίως στις εποπτικές αρχές.
Η απόφαση του Δικαστηρίου
Με τη σημερινή απόφασή του, το Δικαστήριο διαπιστώνει ότι ο ΓΚΠΔ δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε ένωση για την προστασία των καταναλωτών να κινηθεί δικαστικώς, χωρίς σχετική εντολή και ανεξαρτήτως της υπάρξεως προσβολής συγκεκριμένων δικαιωμάτων ενός υποκειμένου των δεδομένων, κατά του φερόμενου παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, προβάλλοντας παραβίαση της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, παράβαση της νομοθεσίας περί προστασίας των καταναλωτών ή παραβίαση της απαγορεύσεως χρήσεως ανίσχυρων γενικών όρων συναλλαγών, εφόσον η επίμαχη επεξεργασία δεδομένων είναι ικανή να θίξει τα δικαιώματα που αντλούν από τον εν λόγω κανονισμό ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα.
Καταρχάς, το Δικαστήριο επισημαίνει ότι ο ΓΚΠΔ προβαίνει σε μια καταρχήν πλήρη εναρμόνιση των εθνικών νομοθεσιών περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Εντούτοις, ορισμένες διατάξεις του παρέχουν στα κράτη μέλη τη δυνατότητα να θεσπίζουν πρόσθετους εθνικούς κανόνες, οι οποίοι καταλείπουν σε αυτά περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οι εν λόγω διατάξεις μπορούν να τεθούν σε εφαρμογή, υπό την προϋπόθεση ότι οι θεσπιζόμενοι εθνικοί κανόνες δεν θίγουν το περιεχόμενο και τους στόχους του ΓΚΠΔ.
Συναφώς, τα κράτη μέλη έχουν, μεταξύ άλλων, τη δυνατότητα να προβλέπουν έναν μηχανισμό αντιπροσωπευτικής αγωγής κατά του φερόμενου παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ενώ συγχρόνως προβλέπεται μια σειρά απαιτήσεων οι οποίες πρέπει να τηρούνται.
Το Δικαστήριο υπογραμμίζει, καταρχάς, ότι μια ένωση για την προστασία των καταναλωτών, όπως η Ομοσπονδιακή ένωση, εμπίπτει στην έννοια του φορέα στον οποίο αναγνωρίζεται ενεργητική νομιμοποίηση κατά τον ΓΚΠΔ καθόσον επιδιώκει σκοπό δημοσίου συμφέροντος ο οποίος συνίσταται στη διασφάλιση των δικαιωμάτων των καταναλωτών.
Πράγματι, η παράβαση των κανόνων που έχουν ως αντικείμενο την προστασία των καταναλωτών ή την καταπολέμηση αθέμιτων εμπορικών πρακτικών ενδέχεται να συνδέεται με την παράβαση κανόνα περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Εν συνεχεία, το Δικαστήριο επισημαίνει ότι η άσκηση της αντιπροσωπευτικής αγωγής προϋποθέτει ότι μια τέτοια οργάνωση, ανεξάρτητα από τυχόν εντολή που της έχει ανατεθεί, «θεωρεί» ότι τα δικαιώματα του υποκειμένου των δεδομένων που προβλέπονται από τον ΓΚΠΔ παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, χωρίς να απαιτείται από την οργάνωση αυτή να προβεί προηγουμένως στην ατομική ταυτοποίηση του υποκειμένου το οποίο αφορά ειδικώς η επεξεργασία δεδομένων και να προβάλει την ύπαρξη συγκεκριμένης προσβολής των δικαιωμάτων που απορρέουν από τους κανόνες για την προστασία των δεδομένων.
Μια τέτοια ερμηνεία είναι σύμφωνη προς τον σκοπό που επιδιώκει ο ΓΚΠΔ και ο οποίος συνίσταται, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα.
Τέλος, κατά το Δικαστήριο, ο ΓΚΠΔ δεν αντιτίθεται σε εθνικές διατάξεις οι οποίες προβλέπουν τη δυνατότητα άσκησης αντιπροσωπευτικών αγωγών κατά των προσβολών των δικαιωμάτων που παρέχει ο εν λόγω κανονισμός, μέσω, κατά περίπτωση, κανόνων που αποσκοπούν στην προστασία των καταναλωτών ή στην καταπολέμηση αθέμιτων εμπορικών πρακτικών.
Το πλήρες κείμενο και η σύνοψη της αποφάσεως είναι διαθέσιμα στην ιστοσελίδα CURIA.