Förslag till avgörande av generaladvokat Jean Richard de la Tour föredraget den 2 december 2021
1 Originalspråk: franska.
2 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
3 Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
4 Se dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629) (nedan kallad domen i målet Fashion ID).
5 Se även skäl 142 i denna förordning.
6 BGBl. 2004 I, s. 1414.
7 BGBI. 2001 I, s. 3138 och 3173.
8 EUT L 110, 2009, s. 30.
9 BGBI. 2007 I, s. 179.
10 Att registrerade kan företrädas anges även i artikel 67 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39) och i artikel 55 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89). I båda dessa fall rör det sig om ett företrädande med fullmakt.
11 Denna tendens, som kom till konkret uttryck bland annat genom direktiv 2009/22, har lett fram till Europaparlamentets och rådets nyligen antagna direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 2020, s. 1). Fristen för införlivande av det sistnämnda direktivet är fastställd till den 25 december 2022. Se Pato, A., Collective Redress Mechanisms in the EU, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London, 2019, s. 45–117. Se även Gsell, B., The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward, Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2021, s. 1365–1400.
12 Se domen i mål Fashion ID (punkt 63 och domslutet).
13 Se domen i mål Fashion ID (punkt 47).
14 Se domen i mål Fashion ID (punkt 48).
15 Se domen i mål Fashion ID (punkt 49).
16 Se domen i mål Fashion ID (punkt 50).
17 Se domen i mål Fashion ID (punkt 51).
18 Se domen i mål Fashion ID (punkt 56 och där angiven rättspraxis).
19 Se domen i mål Fashion ID (punkt 57 och där angiven rättspraxis).
20 Se domen i mål Fashion ID (punkt 59).
21 Min kursivering.
22 Såsom domstolen framhöll i domen av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 44).
23 Det framgår av ingressen till förordning 2016/679 att den antogs med stöd av artikel 16 FEUF, i vilken det i punkt 2 bland annat anges att Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter.
24 För att fastställa räckvidden av den harmonisering som sker genom en sådan bestämmelse som förordning 2016/679 krävs en mikroanalys där man undersöker en specifik bestämmelse eller i bästa fall en specifik och väldefinierad del av unionsrätten; se förslag till avgörande av generaladvokaten Bobek i målet Dzivev m.fl. ( C‑310/16, EU:C:2018:623, punkt 74). Se även Mišćenić, E., och Hoffmann, A.-L., The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR), EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Nr. 4, s. 44–61, där det framhålls att [i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them (s. 49).
25 Se dom av den 6 november 2003, Lindqvist ( C‑101/01, EU:C:2003:596, punkt 96).
26 Se, angående direktiv 95/46, dom av den 6 november 2003, Lindqvist ( C‑101/01, EU:C:2003:596, punkt 97). I motsats till den allmänna uppfattningen behöver unionslagstiftarens val att använda sig av en förordning i stället för ett direktiv inte leda till en fullständig harmonisering på det aktuella området. Se Mišćenić, E., och Hoffmann, A.-L., op. cit., där det anges att an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules (s. 48).
27 Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 110 och där angiven rättspraxis). Se även, beträffande ett område som tidigare varit föremål för ett direktiv, dom av den 21 december 2011, Danske Svineproducenter ( C‑316/10, EU:C:2011:863, punkt 42), i vilken domstolen angav att [d]en omständigheten att unionsbestämmelserna om skydd av djur under transport nu anges i en förordning innebär således inte nödvändigtvis att det hädanefter är förbjudet att anta nationella tillämpningsbestämmelser till denna förordning.
28 Se dom av den 27 oktober 1971, Rheinmühlen Düsseldorf ( 6/71, EU:C:1971:100).
29 Domstolen har således medgett att en medlemsstat som valt att inte använda sig av en möjlighet som ges i en förordning inte åsidosätter artikel 288 FEUF. Se dom av den 17 december 2015, Imtech Marine Belgium ( C‑300/14, EU:C:2015:825, punkterna 27–31). Se även, för en förordning om införande av exportbidrag som medlemsstaterna kan bevilja eller neka, dom av den 27 oktober 1971, Rheinmühlen Düsseldorf ( 6/71, EU:C:1971:100).
30 Se, beträffande dessa öppningsklausuler, Wagner, J., och Benecke, A., National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law, European Data Protection Law Review, Lexxion, Berlin, vol. 2, Nr. 3, 2016, s. 353–361.
31 Se, bland annat, artiklarna 51 och 84 i förordning 2016/679.
32 Se, bland annat, artikel 6.2 och 6.3, artikel 8.1 andra stycket och artiklarna 85–89 i förordning 2016/679.
33 Se Mišćenić, E., och Hoffmann, A.-L., op. cit., där det påpekas att [d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, … the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses … open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation (s. 50 och 51).
34 I artikel 28.4 i direktiv 95/46 föreskrevs endast att en sammanslutning kunde företräda en person som gjort gällande att dennes rättigheter kränkts i samband med behandling av personuppgifter och lämna in ett klagomål till en tillsynsmyndighet.
35 Dock med undantag för en grupptalan med fullmakt i syfte att erhålla gottgörelse på de registrerades vägnar, vilket fortfarande är frivilligt för medlemsstaterna.
36 Se, analogt, dom av den 21 december 2011, Danske Svineproducenter ( C‑316/10, EU:C:2011:863, punkt 43).
37 Se Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, s. 98–106. Författaren menar att [t]he number of actors who potentially have standing to sue is broad och att [c]onsumer associations will usually meet those requirements easily (s. 99).
38 Min kursivering. Enligt samma bestämmelse är [e]n identifierbar fysisk person … en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Såsom framhålls i Martial-Braz, N., Le champ d’application du RGPD, i Bensamoun, A., och Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 19–33, ska identifierbar förstås i vid bemärkelse, eftersom kriteriet om identifiering av en person avser samtliga medel som rimligen kan användas för att identifiera en person (s. 24). Se bland annat, beträffande begreppet identifierbar person enligt artikel 2 a i direktiv 95/46, dom av den 19 oktober 2016, Breyer ( C‑582/14, EU:C:2016:779).
39 Se Boehm, F., Artikel 80 Vertretung von betroffenen Personen, i Simitis, S., Hornung, G., och Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, i synnerhet punkt 13.
40 Se Frenzel, E. M., Art. 80 Vertretung von betroffenen Personen, i Paal, B. P., och Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3:e utgåvan, C.H. Beck, Munchen, 2021, i synnerhet punkt 11, samt Kreße, B., Artikel 80 Vertretung von betroffenen Personen, i Sydow, G., Europäische Datenschutzverordnung, 2:a utgåvan, Nomos, Baden-Baden, 2018, i synnerhet punkt 13.
41 Se Moos, F., och Schefzig, J., Art. 80 Vertretung von betroffenen Personen, i Taeger, J., och Gabel, D., Kommentar DSGVO – BDSG, 3:e utgåvan, Deutscher Fachverlag, Frankfurt am Main, 2019, i synnerhet punkt 22.
42 Se, bland annat, angående oskäliga villkor i avtal som sluts mellan näringsidkare och konsumenter, dom av den 14 april 2016, Sales Sinués och Drame Ba ( C‑381/14 och C‑385/14, EU:C:2016:252, punkt 29).
43 Se skäl 33 och artikel 8.3 a i direktiv 2020/1828, där det anges att [d]en godkända inrättningen [inte ska] vara skyldig att bevisa … Faktisk förlust eller skada som åsamkats de enskilda konsumenter som berörs av överträdelsen enligt artikel 2.1. Artikel 7.2 i detta direktiv föreskriver visserligen att den godkända inrättningen ska förse domstolen eller den administrativa myndigheten med tillräckliga uppgifter om de konsumenter som berörs av grupptalan, men det följer av skäl 34 i nämnda direktiv att dessa uppgifter, i vilka detaljnivån kan variera beroende på den åtgärd som den godkända inrättningen ansöker, inte ska avse namngivna enskilda konsumenter som påverkas av den aktuella överträdelsen, utan i stället sådana uppgifter som den plats där den skada som drabbar konsumenterna inträffade eller kan inträffa eller vilken grupp av konsumenter som berörs av grupptalan (se även skäl 65 i direktiv 2020/1828). För övrigt anges det i skäl 49 i direktiv 2020/1828 att den godkända inrättningen, även när syftet med en grupptalan är att utverka gottgörelse, [inte bör] vara skyldig att individuellt identifiera varje konsument som berörs av grupptalan för att inleda grupptalan. Se, i detta avseende, Gsell, B., op. cit., särskilt s. 1370.
44 Se artikel 2.1 i direktiv 2020/1828.
45 Se skäl 3 i direktiv 2009/22, där det anges att en förbudstalan som omfattas av dess tillämpningsområde är avsedd att skydda konsumenternas kollektiva intressen, vilka definieras som sådana intressen som inte innefattar kumulering av enskildas intressen, vilka enskilda har skadats genom en överträdelse. I artikel 3.3 i direktiv 2020/1828 definieras begreppet konsumenternas kollektiva intressen som konsumenternas allmänna intresse och, i synnerhet vad gäller åtgärder för gottgörelse, en grupp konsumenters intressen.
46 Min kursivering.
47 Se Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law, Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2017, s. 1427–1465, där det framhålls att [o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual (s. 1437).
48 Se Neun, A., och Lubitzsch, K., Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, s. 2563–2569, särskilt s. 2567.
49 Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 45).
50 Se, bland annat, dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 91).
51 Se förslag till avgörande av generaladvokaten Bobek i målet Fashion ID ( C‑40/17, EU:C:2018:1039, punkt 33).
52 Se, som exempel på mål där talan väckts av konsumentskyddsorganisationer, Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., op. cit., särskilt s. 1452 och 1453.
53 Se, beträffande komplementariteten mellan åtgärder för skydd av personuppgifter och åtgärder som syftar till att få otillbörliga affärsmetoder att upphöra, van Eijk, N., Hoofnagle, C.J., och Kannekens, E., Unfair Commercial Practices: A Complementary Approach to Privacy Protection, European Data Protection Law Review, Lexxion, Berlin, vol. 3, nr. 3, 2017, s. 325–337, där det framhålls att [t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective (s. 336).
54 Europaparlamentets och rådets direktiv av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT L 149, 2005, s. 22). Se arbetsdokument från kommissionens avdelningar – Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder ‐ Följedokument till meddelandet från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt regionkommittén ‐ Ett helhetsgrepp på gränsöverskridande e-handel till nytta för enskilda och företag i EU [SWD(2016) 163 final], särskilt punkt 1.4.10, s. 26–31. Där betonar kommissionen behovet av en korrekt behandling av uppgifter, vilket innebär att den registrerade ska tillhandahållas relevant information, bland annat om syftet med den aktuella behandlingen av personuppgifter (s. 28). Kommissionen anger även att [o]m en näringsidkare bryter mot [direktiv 95/46] eller [Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37)] innebär det i sig inte alltid att affärsmetoden även utgör en överträdelse av [direktiv 2005/29]. Kommissionen menar emellertid att överträdelser av dataskyddsbestämmelserna [dock bör] övervägas vid bedömningar av om affärsmetoden i fråga är otillbörlig i allmänhet enligt [direktiv 2005/29], särskilt i situationer där näringsidkaren behandlar konsumentuppgifter i strid mot dataskyddskraven, dvs. för direkt marknadsföring eller andra kommersiella ändamål som profilering, personlig prissättning eller stora dataapplikationer (s. 30).
55 Se, bland annat, Helberger, N., Zuiderveen Borgesius, F., och Reyna, A., op. cit., där följande framhålls: data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets (s. 1429). Se även van Eijk, N., Hoofnagle, C.J., och Kannekens, E., op. cit., särskilt s. 336. Komplementariteten mellan reglerna om skydd av personuppgifter inom sektorn för elektronisk kommunikation och reglerna om förbud mot företags otillbörliga affärsmetoder gentemot konsumenter illustreras vidare i mitt förslag till avgörande i målet StWL Städtische Werke Lauf a.d. Pegnitz ( C‑102/20, EU:C:2021:518).
56 Se Martial-Braz, N., op. cit., särskilt s. 23.
57 Se dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 44).
58 Se skäl 14 i direktiv 2020/1828, där det anges att [direktivet endast bör] skydda intressena för fysiska personer som har skadats eller som kan skadas av [överträdelser av de unionsrättsliga bestämmelser som avses i bilaga I] om dessa personer är konsumenter enligt detta direktiv.