Language of document : ECLI:EU:C:2017:796

Ideiglenes változat

YVES BOT

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2017. október 24.(1)

C‑210/16. sz. ügy

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

kontra

Wirtschaftsakademie Schleswig‑Holstein GmbH,


a Facebook Ireland Ltd,

a Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

részvételével

(a Bundesverwaltungsgericht [szövetségi közigazgatási bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – 95/46/EK irányelv – 2., 4. és 28. cikk – Az egyének védelme a személyes adatok kezelése és az ilyen adatok szabad áramlásának vonatkozásában – A Facebook közösségi hálózaton található rajongói oldal felfüggesztésére irányuló határozat – Az »adatkezelő« fogalma – A rajongói oldal adminisztrátorának felelőssége – Közös adatkezelés – Alkalmazandó nemzeti jog – A felügyelőhatóságok beavatkozási jogkörének terjedelme”






1.        A jelen előzetes döntéshozatal iránti kérelem a 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel módosított,(2) a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv(3) 2. cikke d) pontjának, 4. cikke (1) bekezdésének, 17. cikke (2) bekezdésének, valamint 28. cikke (3) és (6) bekezdésének értelmezésére vonatkozik.

2.        E kérelmet egy képzéssel foglalkozó magánjogi vállalkozás, a Wirtschaftsakademie Schleswig‑Holstein GmbH (a továbbiakban: Wirtschaftsakademie) és az Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, a Schleswig‑Holstein‑i regionális adatvédelmi hatóság (a továbbiakban: ULD) között folyamatban lévő jogvita keretében terjesztették elő, amelynek tárgya az ULD által a Wirtschaftsakademie‑vel szemben hozott azon határozat jogszerűsége, amely utóbbit a Facebook Ireland Ltd. (a továbbiakban: Facebook Ireland) honlapján fenntartott rajongói oldal (fanpage) felfüggesztésére kötelezi.

3.        E határozatot a 95/46 irányelvet átültető német jogszabályi rendelkezések állítólagos megsértésével indokolták, különösen azzal, hogy a rajongói oldal látogatóinak figyelmét nem hívják fel arra, hogy személyes adataikat a számítógépeik merevlemezére elhelyezett cookiek útján gyűjti a Facebook közösségi hálózat (a továbbiakban: Facebook) abból a célból, hogy az oldal adminisztrátora számára látogatottsági statisztikákat készítsen, valamint azért, hogy lehetővé tegye célzott reklámoknak a Facebook általi terjesztését.

4.        A jelen ügy hátterét a webtracking jelensége adja, amely az internetfelhasználók viselkedésének kereskedelmi és marketing célból történő megfigyelését és elemzését jelenti. E webtracking az internetfelhasználók böngészési viselkedésének megfigyeléséből kiindulva lehetővé teszi többek között érdeklődési köreik azonosítását. A viselkedést nyomon követő webtrackingről van tehát szó. Ez utóbbi általában cookiek használatával történik.

5.        E cookiek olyan információcsomagok, amelyek tárolásra kerülnek az internetfelhasználó számítógépén, amint az megnyit valamely weboldalt.

6.        A webtrackinget többek között a weboldalak optimalizációja és minél hatékonyabb konfigurációja érdekében alkalmazzák. Lehetőséget nyújt továbbá a hirdetők számára arra is, hogy célzottan szólítsák meg a közönség különböző csoportjait.

7.        A 29. cikk szerinti adatvédelmi munkacsoport(4) által a viselkedésalapú online reklámról(5) szóló 2010. június 22‑i 2/2010. sz. véleményben adott meghatározás szerint „[a] viselkedésalapú reklám olyan hirdetés, amely az egyének viselkedésének hosszabb ideig tartó megfigyelésén alapul. A viselkedésalapú reklám célja az, hogy ennek a viselkedésnek a jellemzőit az egyén cselekvésén (honlapok többszöri felkeresése, interakciók, kulcsszavak, online tartalom előállítása stb.) keresztül vizsgálja annak érdekében, hogy egyedi profilt dolgozzon ki, és így az érintettek vélelmezett érdeklődésének megfelelő hirdetéseket küldjön a számukra.”(6) Ezen eredmény eléréséhez a felhasználó böngészőjéből és végberendezéséből származó információk összegyűjtése és felhasználása szükséges. A felhasználók interneten történő nyomon követésének elsődleges módja az úgynevezett „nyomon követő cookiek” alkalmazása.(7) Ily módon „[a] viselkedésalapú reklámozás az egyén webböngészési viselkedésére vonatkozóan gyűjtött adatokat, mint a látogatott oldalak, keresések használja fel annak kiválasztására, hogy melyik reklámot jelenítse meg az adott egyén számára.”(8)

8.        A böngészési viselkedés nyomon követése azt is lehetővé teszi a weboldalak üzemeltetői számára, hogy az oldalakat felkereső személyekről látogatottsági statisztikákat készítsenek.

9.        A személyes adatoknak látogatottsági statisztikák készítése, illetve célzott reklámok közzététele érdekében történő gyűjtése és felhasználása esetén teljesülniük kell bizonyos feltételeknek ahhoz, hogy megfeleljenek a 95/46 irányelvből eredő, a személyes adatok védelmére vonatkozó szabályoknak. Különösen az adatok ilyen kezelése nem valósulhat meg az érintett személyek előzetes tájékoztatása és beleegyezése hiányában.

10.      Az e szabályoknak való megfelelés vizsgálata ugyanakkor több, az adatkezelő fogalmának, az alkalmazandó nemzeti jog, valamint a beavatkozásra jogosult hatóság meghatározásával kapcsolatos kérdés előzetes megválaszolását feltételezi.

11.      Az adatkezelő azonosításának kérdése különösen kényessé válik olyan helyzetben, amikor az adott piaci szereplő úgy dönt, hogy a látogatottsági statisztikák elkészítéséhez, illetve a célzott reklámok közzétételéhez szükséges eszközöket nem telepíti a saját weboldalára, hanem a Facebookhoz hasonló közösségi hálózaton rajongói oldalt hoz létre ilyen eszközök igénybe vétele céljából.

12.      Az alkalmazandó nemzeti jog, illetve a beavatkozási jogkör gyakorlására joghatósággal rendelkező hatóság meghatározására vonatkozó kérdések úgyszintén összetetté válnak olyan esetben, amikor a szóban forgó személyes adatok kezelése több Európai Unión kívüli és azon belüli szervezeten keresztül valósul meg.

13.      Ebben az időszakban, amikor több tagállam felügyelőhatósága is úgy határozott az elmúlt hónapok során, hogy bírságot szab ki a Facebookkal szemben a felhasználói adatainak védelmére vonatkozó szabályok megsértése miatt,(9) a vizsgált ügy lehetővé teszi a Bíróság számára, hogy pontosítsa azon beavatkozási jogkör terjedelmét, amellyel az ULD‑hez hasonló felügyelőhatóság rendelkezik a személyes adatok több szereplő részvételét magában foglaló kezelése tekintetében.

14.      A jelen ügyben felmerülő jogi kérdések kellő megértéséhez először is az alapeljárás tényállását szükséges ismertetni.

I.      Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

15.      A Wirtschaftsakademie képzési szolgáltatásokat ajánl a Facebook közösségi hálózat oldalán fenntartott rajongói oldala útján.

16.      A rajongói oldalak olyan felhasználói fiókok, amelyeket többek között magánszemélyek vagy vállalkozások hozhatnak létre. Ehhez a rajongói oldal adminisztrátorának regisztrálnia kell magát a Facebookon, és így arra használhatja a Facebook által fenntartott felületet, hogy bemutassa magát e közösségi oldal felhasználóinak, és ott – többek között kereskedelmi tevékenységének fejlesztése céljából – mindenféle tartalmat helyezzen el.

17.      A rajongói oldalak adminisztrátorai a Facebook által ingyenesen rendelkezésükre bocsátott „Facebook Insights” eszköz segítségével, nem módosítható felhasználási feltételek mellett látogatottsági statisztikákhoz juthatnak. E statisztikákat a Facebook állítja össze, és az adminisztrátor az általa választható különböző kritériumok – mint például kor vagy nem – szerint személyre szabja azokat. Az említett statisztikák anonim információkat is tartalmaznak a rajongói oldalt látogató személyek jellemzőiről és szokásairól, és célzottabb kommunikációt tesznek lehetővé az oldal adminisztrátorai számára.

18.      Az ilyen látogatottsági statisztikák összeállítása érdekében a Facebook legalább egy, egyedi azonosítót tartalmazó, két éven keresztül működőképes cookiet helyez a rajongói oldalt látogató személy számítógépének merevlemezére. Az egyedi azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a Facebook‑oldalak megnyitásának pillanatában gyűjtik be és kezelik.

19.      2011. november 3‑i határozatával az ULD a Bundesdatenschutzgesetz (az adatvédelemről szóló szövetségi törvény, a továbbiakban: BDSG) 38. cikke (5) bekezdésének első mondatának(10) megfelelően a Facebookon www.facebook.com/wirtschaftsakademie internetes címen létrehozott rajongói oldalának felfüggesztésére kötelezte a Wirtschaftsakademie‑t, azzal, hogy bírság kiszabását helyezte kilátásba annak az előírt határidőn belüli végre nem hajtása esetére, azon indoknál fogva, hogy sem a Wirtschaftsakademie, sem a Facebook nem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookiek segítségével gyűjtötte személyes adataikat, valamint, hogy ezt követően kezelte azokat. A Wirtschaftsakademie panaszt nyújtott be e határozat ellen, amelyben lényegében előadta, hogy az alkalmazandó adatvédelmi jogra tekintettel sem a Facebook által végzett adatkezelésért, sem a cookiek elhelyezéséért nem volt felelős.

20.      2011. december 16‑i határozatával az ULD elutasította ezt a panaszt, és megállapította, hogy a Wirtschaftsakademie mint szolgáltató felelőssége a Telemediengesetz (az elektronikus médiáról szóló törvény) 3. cikke (3) bekezdésének 4. pontja, valamint 12. cikkének (1) bekezdése(11) alapján fennáll. A rajongói oldal létrehozásával a Wirtschaftsakademie tevékenyen és szándékosan járult hozzá a személyes adatok Facebook általi gyűjtéséhez, amelyből a közösségi oldal által a rendelkezésére bocsátott felhasználói statisztikáknak köszönhetően előnye származott.

21.      A Wirtschaftsakademie keresetet nyújtott be e határozattal szemben a Verwaltungsgerichthez (közigazgatási bíróság, Németország) arra hivatkozva, hogy a Facebook általi adatkezelés nem tudható be neki, és a BDSG 11. cikke(12) értelmében vett, általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg a Facebookot. A Wirtschaftsakademie ezért úgy véli, hogy az ULD tévedett, amikor vele, nem pedig közvetlenül a Facebookkal szemben lépett fel.

22.      A Verwaltungsgericht (közigazgatási bíróság) 2013. október 9‑i ítéletével megsemmisítette a megtámadott határozatot lényegében arra való hivatkozással, hogy a Facebook‑rajongói oldal adminisztrátora nem minősül a BDSG 3. cikkének (7) bekezdése(13) értelmében vett „felelős szervnek”, ily módon a Wirtschaftsakademie nem lehet a BDSG 38. cikkének (5) bekezdése alapján hozott intézkedés címzettje.

23.      Az Oberverwaltungsgericht (legfelsőbb közigazgatási bíróság, Németország) ezt követően megalapozatlanként elutasította az ULD ezen ítélettel szemben benyújtott fellebbezését, és lényegében azt állapította meg, hogy a megtámadott határozat jogellenesen tiltotta meg az adatkezelést, mivel a BDSG 38. cikke (5) bekezdésének második mondata lépcsőzetes eljárásmódot ír elő, amelynek első lépcsője kizárólag az adatkezelés során megállapított jogsértések orvoslását szolgáló intézkedések elfogadására biztosít lehetőséget. Az adatkezelés azonnali megtiltására csak abban az esetben nyílik mód, ha az adatkezelési eljárás egésze jogellenesnek minősül, amit csupán az eljárás felfüggesztésével lehet orvosolni. Márpedig az Oberverwaltungsgericht (legfelsőbb közigazgatási bíróság) szerint a jelen esetben nem ez a helyzet, mivel az ULD által kifogásolt jogsértéseket a Facebook minden további nélkül meg tudja szüntetni.

24.      A határozat azon indoknál fogva is jogellenes, hogy a felperes nem minősül a BDSG 3. cikke (7) bekezdésének értelmében vett felelős szervnek a Facebook által a rajongói oldal fenntartása körében gyűjtött adatok szempontjából, és a BDSG 38. cikkének (5) bekezdése alapján határozat csupán ilyen szervezettel szemben hozható. Jelen esetben egyedül a Facebook dönthet a „Facebook Insights” funkcióhoz felhasznált személyes adatok gyűjtésének és kezelésének céljáról és eszközeiről. A felperes csak anonim statisztikai információkhoz jut hozzá.

25.      A BDSG 38. cikkének (5) bekezdése nem teszi lehetővé a harmadik személyekkel szembeni határozathozatalt. A polgári bíróságok ítélkezési gyakorlatában az internettel kapcsolatban kialakított úgynevezett „közvetett” felelősség („Störerhaftung”) nem alkalmazható a közhatalmi jogosítványokra. Még ha a BDSG 38. cikkének (5) bekezdése nem is nevesíti kifejezetten a tiltó határozat címzettjét, a szabályozás rendszeréből, tárgyából, szelleméből és keletkezéséből következően a határozat címzettje csak a felelős szerv lehet.

26.      A Bundesverwaltungsgerichthez (szövetségi közigazgatási bíróság, Németország) benyújtott felülvizsgálati kérelmében az ULD többek között a BDSG 38. cikke (5) bekezdésének megsértésére és a fellebbviteli bíróság által elkövetett eljárási szabálysértésekre hivatkozik. Úgy véli, hogy a Wirtschaftsakademie által elkövetett jogsértés ahhoz kötődik, hogy internetes oldalának létrehozására, tárolására és fenntartására nem megfelelő szolgáltatót választott – a jelen esetben a Facebook Irelandet –, mivel az nem tartja tiszteletben az adatok védelmére irányadó jogszabályokat. A felfüggesztési határozat tehát a Wirtschaftsakademie jogsértésének orvoslását szolgálja, amennyiben megtiltja számára, hogy internetes oldalának technikai alapjaként továbbra is a Facebook infrastruktúráját használja.

27.      A kérdést előterjesztő bíróság a rajongóioldal‑látogatók adatainak az alapeljárás beavatkozója, a Facebook Ireland általi gyűjtésével és kezelésével kapcsolatban úgy véli, hogy a Wirtschaftsakademie nem a BDSG 3. cikkének (7) bekezdése értelmében vett olyan „szerv, amely személyes adatokat saját maga számára gyűjt, kezel vagy használ fel, vagy ezt megbízás alapján mással végezteti”, illetve nem a 95/46 irányelv 2. cikke d) pontjának értelmében vett olyan „szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját.” Kétségtelen, hogy a Wirtschaftsakademie azon döntésével, hogy rajongói oldalt hoz létre az alapeljárás beavatkozója, illetve annak anyavállalata (a jelen esetben a Facebook Inc., USA) által működtetett felületen, az alapeljárás beavatkozója számára objektíven lehetőséget teremt arra, hogy e rajongói oldal megnyitásakor ott cookiekat helyezzen el, és ezek révén adatokat gyűjtsön. E döntés mindazonáltal nem tenné lehetővé a Wirtschaftsakademie számára, hogy befolyásolja, irányítsa, alakítsa vagy egyébként ellenőrizze a rajongóioldal‑felhasználók adatainak az alapeljárás beavatkozója általi kezelésének módját és terjedelmét. A rajongói oldal használatának feltételei sem biztosítanak a Wirtschaftsakademie számára befolyásolási vagy ellenőrzési jogokat. Az alapeljárás beavatkozója által egyoldalúan rögzített használati feltételek nem tárgyalási folyamat eredményei, és a Wirtschaftsakademie számára nem biztosítanak arra sem jogot, hogy megtiltsa az alapeljárás beavatkozójának a rajongói oldal felhasználói adatainak gyűjtését és kezelését.

28.      A kérdést előterjesztő bíróság elismeri, hogy az „adatkezelő”‑nek a 95/46 irányelv 2. cikkének d) pontjában meghatározott jogi fogalmát főszabály szerint tágan kell értelmezni a magánélethez való jog hatékony védelme érdekében. Mindazonáltal a Wirtschaftsakademie nem felel meg ennek a meghatározásnak, mivel semmilyen jogi vagy tényleges befolyással nem bír a személyes adatok kezelésének módjára, amelyet az alapeljárásba beavatkozó fél saját felelősségére és teljesen függetlenül végez. E tekintetben nem elegendő azon körülmény fennállása, hogy a Wirtschaftsakademie‑nek objektíven haszna származik az alapeljárásba beavatkozó fél által működtetett „Facebook Insights” funkcióból, mivel az anonimmé tett adatokat a rajongói oldalának használata érdekében bocsátják rendelkezésére.

29.      A kérdést előterjesztő bíróság szerint a Wirtschaftsakademie a BDSG 11. cikkének, valamint a 95/46 irányelv 2. cikk e) pontjának és 17. cikke (2) és (3) bekezdésének értelmében vett megbízás alapján történő adatkezelés megbízójának sem minősül.

30.      E bíróság úgy véli, hogy tisztázni szükséges, hogy az adatvédelmi felügyelőhatóságok ellenőrzési és beavatkozási jogkörüket vajon kizárólag a 95/46 irányelv 2. cikke d) pontjának értelmében vett „adatkezelővel” szemben gyakorolhatják‑e, és ha igen, milyen feltételek mellett, vagy lehetőség van az ugyanezen rendelkezésben foglalt meghatározás értelmében az adatkezelőnek nem minősülő szerv felelősségének megállapítására is, azon választása miatt, hogy saját adatszolgáltatásához a Facebookot vette igénybe.

31.      Ez utóbbi esetben a kérdést előterjesztő bíróság arra kíván választ kapni, hogy e felelősség alapítható‑e az adatfeldolgozás keretében a 95/46 irányelv 17. cikkének (2) bekezdéséből eredő választási és ellenőrzési kötelezettség analógia útján történő alkalmazására.

32.      A kérdést előterjesztő bíróság úgy véli, hogy annak érdekében, hogy a jelen ügyben hozott határozat jogszerűségét meg tudja ítélni, a felügyelőhatóságok joghatóságával és beavatkozási jogkörük terjedelmével kapcsolatos egyes kérdéseket is tisztázni szükséges.

33.      A kérdést előterjesztő bíróság különösen azt kérdezi, hogy hogyan alakul a felügyelőhatóságok joghatóságának megosztása olyan esetben, amikor az olyan anyavállalat, mint a Facebook több szervezetet is fenntart az Unió területén, és ezek a vállalatcsoporton belül különböző feladatokat látnak el.

34.      A kérdést előterjesztő bíróság e tekintetben emlékeztet arra, hogy a Bíróság a 2014. május 13‑i Google Spain és Google ítéletében(14) kimondta, hogy „a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy a személyes adatok kezelését e rendelkezés értelmében a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik, ha a keresőmotor működtetője az egyik tagállamban olyan irodát nyit vagy leányvállalatot hoz létre a keresőmotor által kínált reklámhelyek értékesítésére és reklámozására, amelynek tevékenysége az adott állam lakosai felé irányul.”(15) A kérdést előterjesztő bíróság arra kíván választ kapni, hogy az olyan szervezettel, mint a Facebook Germany GmbH fennálló e kapcsolat, amely szervezet az előzetes döntéshozatalra utaló határozatban foglalt információk alapján a reklámozásért, a reklámhelyek értékesítéséért és a Németország lakosságát célzó egyéb marketingtevékenységekért felel, a 95/46 irányelv alkalmazhatósága és a joghatósággal rendelkező felügyelőhatóság meghatározása érdekében olyan helyzetre is vonatkoztatható‑e, amelyben egy másik tagállamban (a jelen esetben Írországban) létesített leányvállalat jár el adatkezelőként az Unió egész területén.

35.      A 95/46 irányelv 28. cikkének (3) bekezdése alapján hozott intézkedés címzettjét illetően a kérdést előterjesztő bíróság rámutat arra, hogy a Wirtschaftsakademie‑vel szemben hozott határozat már akkor is téves mérlegelésen alapul, és ezért jogellenes, ha az ULD által feltételezett adatvédelmi jogsértés közvetlenül a Németországban lévő Facebook Germany leányvállalattal szembeni eljárás útján orvosolható.

36.       A kérdést előterjesztő bíróság arra is kitér, hogy az ULD álláspontja szerint nincsen kötve a Data Protection Commissioner (adatvédelmi felügyelőhatóság, Írország) megállapításaihoz és értékeléséhez, amely hatóság a Wirtschaftsakademie és az alapeljárásba beavatkozó fél tájékoztatása alapján nem vitatta a személyes adatok alapügyben szóban forgó kezelését. Ez a bíróság következésképpen egyrészt arra kíván választ kapni, hogy az ULD ezen önálló értékelése elfogadható‑e, másrészt pedig arra, hogy a 95/46 irányelv 28. cikke (6) bekezdésének második mondata alapján az ULD köteles‑e felhívni az adatvédelmi felügyelőhatóságot jogkörének a Facebook Irelanddel szembeni gyakorlására arra figyelemmel, hogy e két felügyelőhatóság eltérő álláspontot képvisel az alapügyben szóban forgó adatkezelésnek a 95/46 irányelv szabályainak való megfelelését illetően.

37.      Ilyen körülmények között a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni a 95/46 irányelv 2. cikkének d) pontját, hogy az kimerítően szabályozza az adatvédelemmel kapcsolatos jogsértésekért való felelősséget, vagy [az ezen] irányelv 24. cikke szerinti »megfelelő intézkedések« és […] 28. cikke (3) bekezdésének második francia bekezdése szerinti »tényleges beavatkozási jogosultságok« keretében többszintű adatszolgáltatói jogviszonyokban lehetőség van valamely, a[z] [említett] irányelv 2. cikkének d) pontja szerinti adatkezelőnek nem minősülő szerv felelősségének megállapítására a saját adatszolgáltatásához való szolgáltatóválasztás körében?

2)      Az következik‑e a contrario a tagállamoknak a 95/46 irányelv 17. cikkének (2) bekezdése szerinti azon kötelezettségéből, hogy a megbízás alapján történő adatkezelés körében rendelkezniük kell arról, hogy az adatkezelő »köteles olyan adatfeldolgozót [helyesen: megbízott adatkezelőt] választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések [helyesen: aki az adatkezelésre vonatkozó technikai biztonsági intézkedések és szervezési intézkedések] tekintetében megfelelő garanciákat nyújt«, hogy ezen irányelv 2. cikkének e) pontja szerinti, megbízás alapján történő adatkezeléssel nem párosuló egyéb használati jogviszonyok esetében nem áll fenn, és a nemzeti jog alapján sem írható elő a gondos kiválasztásra vonatkozó kötelezettség?

3)      Azokban az esetekben, amelyekben az Európai Unión kívül székhellyel rendelkező anyavállalat különböző tagállamokban jogilag önálló szervezeteket (leányvállalatokat) tart fenn, a 95/46 irányelv 4. cikke és 28. cikkének (6) bekezdése alapján akkor is lehetősége van‑e valamely tagállam (a jelen ügyben: Németország) felügyelőhatóságának a[z] […] irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságok gyakorlására az említett tagállam saját területén lévő szervezettel szemben, ha e szervezet kizárólag a hirdetések értékesítésének előmozdításáért és az e tagállam lakosságát célzó egyéb marketingintézkedésekért felel, míg a vállalatcsoporton belüli feladatmegosztás alapján a valamely más tagállamban (a jelen ügyben: Írországban) lévő önálló szervezet (leányvállalat) felel kizárólagosan az Unió teljes területén, tehát a másik tagállamban (a jelen ügyben: Németországban) is a személyes adatok gyűjtéséért és kezeléséért, ha az adatkezelésre vonatkozó döntést ténylegesen az anyavállalat hozza meg?

4)      Úgy kell‑e értelmezni a 95/46/EK irányelv 4. cikkének (1) bekezdését és 28. cikkének (3) bekezdését, hogy azokban az esetekben, amelyekben az adatkezelő egy szervezettel rendelkezik valamely tagállam (a jelen ügyben: Írország) területén, és egy további, jogilag önálló szervezet működik valamely más tagállam (a jelen ügyben: Németország) területén, mely utóbbi többek között a hirdetési felületek értékesítéséért felel, és tevékenysége ezen állam lakosságát célozza, e másik tagállam (a jelen ügyben: Németország) felügyelőhatósága a vállalatcsoporton belüli feladat‑ és felelősségmegosztás alapján az adatkezelésért nem felelős további (a jelen ügyben: németországi) szervezettel szemben is hozhat az adatvédelmi jog végrehajtására irányuló intézkedéseket és határozatokat, vagy az intézkedéseket és határozatokat ebben az esetben csak azon tagállam (a jelen ügyben: Írország) felügyelőhatósága hozhatja meg, amelynek a területén a vállalatcsoporton belüli felelős szerv székhelye van?

5)      Úgy kell‑e értelmezni a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését, hogy azokban az esetekben, amelyekben valamely tagállam (a jelen ügyben: Németország) felügyelőhatósága eljár az e tagállam területén működő személlyel vagy szervvel szemben [ezen] irányelv 28. cikkének (3) bekezdése alapján az adatkezelési műveletbe bevont harmadik személy (a jelen ügyben: a Facebook) gondatlan kiválasztása miatt, mert e harmadik személy adatvédelmi jogot sért, az eljáró (a jelen ügyben: németországi) felügyelőhatóság kötve van az adatkezelő harmadik személy szervezetének helye szerinti másik tagállam (a jelen ügyben: Írország) felügyelőhatóságának adatvédelmi jogi értékeléséhez olyan értelemben, hogy nem alakíthat ki ettől eltérő jogi értékelést, vagy az eljáró (a jelen ügyben: németországi) felügyelőhatóság saját eljárásának előzetes kérdéseként önállóan megvizsgálhatja a valamely más tagállamban (a jelen ügyben: Írországban) letelepedett harmadik személy által végzett adatkezelés jogszerűségét?

6)      Amennyiben az eljáró (a jelen ügyben: németországi) felügyelőhatóság önálló ellenőrzést végezhet: úgy kell‑e értelmezni a 95/46 irányelv 28. cikke (6) bekezdésének második mondatát, hogy e felügyelőhatóság csak és kizárólag akkor gyakorolhatja [az ezen] irányelv 28. cikkének (3) bekezdése értelmében ráruházott tényleges beavatkozási jogosultságokat az illetékességi területén letelepedett személlyel vagy szervvel szemben a más tagállamban letelepedett harmadik személy adatvédelemmel kapcsolatos jogsértéseiért való közös felelősség miatt, ha előtte felkérte e másik tagállam (a jelen ügyben: Írország) felügyelőhatóságát hatáskörének gyakorlására?”

II.    Elemzés

38.      Pontosítani kell, hogy a kérdést előterjesztő bíróság által előzetes döntéshozatalra előterjesztett kérdések nem vonatkoznak arra, hogy a személyes adatok ULD által kifogásolt kezelése, vagyis a rajongói oldalakra látogató személyek adatainak e személyek előzetes tájékoztatása nélküli gyűjtése és felhasználása ellentétes‑e, vagy sem a 95/46 irányelvben rögzített szabályokkal.

39.      A kérdést előterjesztő bíróság által adott magyarázat szerint az értékelésére bízott határozat jogszerűsége az alábbi tényezőktől függ. Álláspontja szerint legelőször azt szükséges meghatározni, hogy az ULD megalapozottan gyakorolta‑e beavatkozási jogkörét egy olyan személlyel szemben, aki a 95/46 irányelv 2. cikkének d) pontja értelmében nem minősül adatkezelőnek. A kérdést előterjesztő bíróság úgy véli továbbá, hogy a határozat jogszerűsége azon kérdések eldöntésétől is függ, hogy az ULD rendelkezett‑e joghatósággal a személyes adatok alapügyben szóban forgó kezelésével kapcsolatban, hogy az a tény, hogy határozatát nem a Facebook Germanynek, hanem a Wirtschaftsakademie‑nek címezte, nem minősül‑e téves értékelésnek, végül pedig, hogy az ULD nem követett‑e el további értékelési hibát azzal, hogy a Wirtschaftsakademie‑t rajongói oldalának megszüntetésére kötelezte, holott előzetesen fel kellett volna hívnia az adatvédelmi felügyelőhatóságot jogkörének a Facebook Irelanddel szembeni gyakorlására.

A.      Az előzetes döntéshozatalra előterjesztett első és második kérdésről

40.      Első és második kérdésével, amelyeket véleményem szerint együtt szükséges vizsgálni, a kérdést előterjesztő bíróság lényegében annak eldöntésére kéri a Bíróságot, hogy a 95/46 irányelv 17. cikkének (2) bekezdését, 24. cikkét és 28. cikke (3) bekezdésének második francia bekezdését úgy kell‑e értelmezni, mint amelyek lehetőséget nyújtanak a felügyelőhatóságoknak beavatkozási jogkörük olyan szervezettel szembeni gyakorlására, amelyet nem lehet ugyanezen irányelv 2. cikkének d) pontja értelmében „adatkezelőnek” tekinteni, viszont ennek ellenére felelős lehet a személyes adatok védelmére vonatkozó szabályok megsértése esetén azon választásából adódóan, hogy saját hirdetésének terjesztéséhez olyan közösségi hálózatot vett igénybe, mint a Facebook.

41.      E kérdések azon az előfeltevésen alapulnak, amely szerint a Wirtschaftsakademie nem minősül a 95/46 irányelv 2. cikkének d) pontja értelmében vett „adatkezelőnek”. E bíróság ezért kívánja azt megtudni, hogy az alapeljárásban szóban forgóhoz hasonló intézkedés irányulhat‑e egy olyan személy ellen, aki nem felel meg az e rendelkezésben rögzített feltételeknek.

42.      Úgy vélem ugyanakkor, hogy ez az előfeltevés téves. A Wirtschaftsakademie‑t véleményem szerint közös adatkezelőnek kell tekinteni a személyes adatok Facebook általi gyűjtésének szakaszában.

43.      A 95/46 irányelv 2. cikke d) pontjának alkalmazásában „adatkezelő” „az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját.(16)

44.      Az adatkezelő kulcsfontosságú szerepet tölt be a 95/46 irányelvvel bevezetett rendszer keretében, ennélfogva azonosítása alapvető jelentőségű. Ezen irányelv előírja ugyanis, hogy a személyes adatok védelmének biztosítását szolgáló egyes kötelezettségek az adatkezelőt terhelik.(17) E kulcsfontosságú szerepet a Bíróság 2014. május 13‑i Google Spain és Google ítéletében(18) hangsúlyozta. A Bíróság ugyanis megállapította, hogy az adatkezelőnek felelősségi körén, hatáskörén és lehetőségein belül biztosítania kell, hogy tevékenysége megfeleljen a 95/46 irányelvben foglalt követelményeknek, azért hogy az irányelv szerinti garanciák valamennyi joghatásukat kifejthessék, és hogy az érintettek – illetve nevezetesen magánélethez való joguk – hatékony és teljes védelme ténylegesen megvalósulhasson.(19)

45.      A Bíróság ítélkezési gyakorlatából az is kitűnik, hogy e fogalmat tágan kell értelmezni az érintett személyek hatékony és teljes körű védelme érdekében.(20)

46.      A személyes adatok adatkezelője az a személy, aki eldönti, hogy miért és hogyan kezelik ezeket az adatokat. Amint azt a 29. cikk szerinti munkacsoport megjegyzi, „[a]z adatkezelő fogalma funkcionális fogalom, amelynek a célja az, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található, és így inkább ténybeli, mint formális elemzésen alapul.”(21)

47.      Véleményem szerint ezen adatkezelés létrehozói a Facebook Inc., illetve az Unió esetében a Facebook Ireland, amely szervezetek elsődlegesen meghatározták a célokat és a módokat.

48.      Pontosabban, a Facebook Inc. vezette be azt az általános gazdasági modellt, amely ahhoz vezetett, hogy a személyes adatoknak a rajongói oldalak felkeresése során történő összegyűjtése, majd ezen adatok felhasználása lehetővé teheti egyrészt személyre szabott reklámok terjesztését, másrészt pedig azt, hogy látogatottsági statisztikákat állítsanak össze ezen oldalak adminisztrátorai számára.

49.      Ezenkívül az ügy irataiból kitűnik, hogy a Facebook Inc. a Facebook Irelandet bízta meg a személyes adatok kezelésével az Unión belül. A Facebook Ireland tájékoztatása szerint a közösségi hálózat működése bizonyos kiigazításokkal történhet az Unión belül.(22)

50.      Egyébiránt, bár nem vitatott, hogy az Unió területén tartózkodó, a Facebookot használni kívánó valamennyi személynek regisztrációja során szerződést kell kötnie a Facebook Irelanddel, rá kell mutatni, hogy ezzel egyidejűleg az Unió területén tartózkodó valamennyi Facebook‑felhasználó személyes adatait részben vagy egészben az Egyesült Államok területén található Facebook Inc.‑hez tartozó szerverekre továbbítják, ahol azokat kezelik.(23)

51.      Tekintettel arra, hogy a személyes adatok alapeljárásban szóban forgó kezelésének céljait és módjait a Facebook Inc. és – különösen az Unió vonatkozásában – a Facebook Ireland határozza meg, a rendelkezésemre álló bizonyítékok alapján e két szervezetet közös adatkezelőnek kell tekinteni. E tekintetben rá kell mutatni, hogy a 95/46 irányelv 2. cikkének d) pontja kifejezetten rendelkezik az ilyen közös adatkezelés lehetőségéről. Amint azt maga a kérdést előterjesztő bíróság is megállapítja, végső soron az ő feladata lesz a Facebook‑csoporton belüli döntéshozatali és adatkezelési struktúra tisztázása a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelő szervezet vagy szervezetek meghatározása érdekében.(24)

52.      Véleményem szerint a Facebook Inc. és a Facebook Ireland mellett az adatkezelésnek a személyes adatok Facebook általi gyűjtésének szakaszában(25) a Wirtschaftsakademiéhez hasonló rajongóioldal‑adminisztrátort is közös adatkezelőnek kell tekinteni.

53.      Kétségtelen, hogy egy rajongói oldal adminisztrátora mindenekelőtt a Facebook felhasználója, amelyhez annak érdekében fordul, hogy részesüljön az eszközei által nyújtott előnyökből, és azok által nagyobb nyilvánosságot érjen el. E megállapítás ugyanakkor nem zárja ki, hogy őt egyúttal a személyes adatoknak az alapeljárás tárgyát képező kezeléséért, vagyis az ilyen adatok Facebook általi gyűjtéséért adatkezelőnek lehessen tekinteni.

54.      Azzal a kérdéssel kapcsolatban, hogy a rajongói oldal adminisztrátora „meghatározza‑e” az adatkezelés céljait és módjait, azt szükséges megvizsgálni, hogy ez az adminisztrátor gyakorol‑e jogi vagy tényleges befolyást ezekre a célokra és módokra. A fogalommeghatározás ezen eleme lehetővé teszi annak megállapítását, hogy az adatkezelő nem az, aki a személyes adatok kezelését végzi, hanem az, aki annak módjait és céljait meghatározza.

55.      A rajongói oldal adminisztrátora azzal, hogy hirdetéseinek terjesztéséhez a Facebookot veszi igénybe, főszabály szerint hozzájárul ahhoz, hogy az oldalára látogatók személyes adatait látogatottsági statisztikák összeállítása céljából kezeljék.(26) Még ha természetesen nem is minősül a „Facebook Insights” eszköz létrehozójának, ez az adminisztrátor annak igénybevételével részt vesz az oldalára látogatók személyes adatai kezelése céljainak és módjainak meghatározásában.

56.      Egyrészt ugyanis ez az adatkezelés nem valósulhatna meg az adminisztrátor arra vonatkozó előzetes döntésének hiányában, hogy rajongói oldalt hoz létre és tart fenn a Facebook közösségi hálózaton. Azzal, hogy lehetővé teszi a rajongói oldal felhasználói személyes adatainak kezelését, ezen oldal működtetője csatlakozik a Facebook által bevezetett rendszerhez. Ily módon nagyobb rálátást szerez rajongói oldala felhasználóinak profiljára, és egyúttal lehetőséget nyújt a Facebook számára, hogy az e közösségi hálózaton belül közzétett reklámokat célzottabbá tegye. Azzal, hogy elfogadja a személyes adatok kezelésének módjait és céljait, úgy, ahogyan azokat a Facebook előzetesen meghatározta, a rajongói oldal működtetőjét is úgy kell tekinteni, mint aki részt vesz ezek meghatározásában. Egyébiránt, ahogyan a rajongói oldal adminisztrátora meghatározó befolyást gyakorol az oldalra látogató személyek személyes adatai kezelésének megkezdésére, ugyanígy megilleti őt a jogosultság arra, hogy rajongói oldalának megszüntetésével véget vessen ezen adatkezelésnek.

57.      Másrészt, jóllehet a „Facebook Insights” eszköz használatának céljait és módjait általánosságban a Facebook Inc. a Facebook Irelanddel együttesen határozza meg, a rajongói oldal adminisztrátorának lehetősége van arra, hogy az eszköz konkrét használatát befolyásolja azon kritériumok meghatározásával, amelyek alapján a látogatottsági statisztikákat összeállítják. Amikor a Facebook a rajongói oldal adminisztrátorának javaslatot tesz oldala látogatói körének meghatározására vagy módosítására, jelzi neki, hogyan teheti a legtöbbet annak érdekében, hogy oldalát a számára legfontosabb személyeknek mutassa meg. A rajongói oldal adminisztrátora szűrők segítségével egyéni célközönséget határozhat meg, amely nem csupán azt teszi lehetővé számára, hogy szűkítse azon személyek körét, akik felé a kereskedelmi ajánlatával kapcsolatos információkat közvetítik, hanem elsősorban azon személyek csoportjának meghatározását is, akiknek a személyes adatait a Facebook összegyűjti. Ily módon, az általa elérni kívánt közönség meghatározásával a rajongói oldal adminisztrátora egyúttal azt a célközönséget is azonosítja, amelynek személyes adatait a Facebook összegyűjtheti és felhasználhatja. A rajongói oldal adminisztrátora tehát azonkívül, hogy oldalának létrehozásával ő indítja el az adatkezelést, a Facebook által végzett adatkezelés teljesítésében is vezető szerepet játszik. Ily módon részt vesz az említett adatkezelés céljainak és módjainak meghatározásában azzal, hogy tényleges befolyást gyakorol azokra.

58.      A fentiekből arra következtetek, hogy az alapügybeli jogvita körülményei között a Facebookhoz hasonló közösségi hálózaton található rajongói oldal adminisztrátora adatkezelőnek tekintendő a személyes adatok kezelésének azon szakaszában, amely során e közösségi hálózat az oldalra látogató személyek személyes adatait gyűjti.

59.      E következtetést az a megállapítás is alátámasztja, amely szerint egyrészt valamely rajongói oldal olyan adminisztrátora, mint a Wirtschaftsakademie, másrészt pedig az olyan szolgáltatók, mint a Facebook Inc. és a Facebook Ireland célkitűzései szorosan kapcsolódnak egymáshoz. A Wirtschaftsakademie a tevékenysége reklámozásának irányításához látogatottsági statisztikákat kíván szerezni, amelyek megszerzéséhez személyes adatok kezelésére van szükség. Ugyanez az adatkezelés egyúttal lehetővé teszi a Facebook számára, hogy a hálózatában terjesztett reklámokat célzottabbá tegye.

60.      Ennélfogva el kell vetni az olyan értelmezést, amely kizárólag a Wirtschaftsakademie és a Facebook Ireland között kötött szerződés kikötésein és feltételein alapul. A szerződésben foglalt feladatmegosztás ugyanis csupán jelzésértékű a szerződő feleknek a személyes adatok kezelésének megvalósításában betöltött valódi szerepét illetően. Egyéb esetben e felek az adatkezelési felelősséget mesterségesen egyikükre ruházhatnák. Különösen igaz ez egy olyan helyzetben, ahol az általános feltételeket a közösségi hálózat előre meghatározza, és azok nem tárgyalhatóak. Nem tekinthető tehát úgy, hogy az a fél, aki csupán megköthet vagy elutasíthat valamely szerződést, nem lehet adatkezelő. Attól a pillanattól kezdve, hogy ugyanez a szerződő fél szabad akaratából megállapodást köt, az adatkezelés módjaira és céljaira gyakorolt konkrét befolyására tekintettel adatkezelő is lehet.

61.      Ennélfogva az a tény, hogy a szerződést és annak általános feltételeit valamely szolgáltató állítja össze, és az általa nyújtott szolgáltatásokat igénybe vevő fél nem rendelkezik az adatokhoz való hozzáféréssel, nem zárja ki, hogy őt adatkezelőnek lehessen tekinteni, mivel szabad akaratából fogadta el a szerződési feltételeket, ebből következően pedig azokért teljes felelősséggel tartozik.(27) A 29. cikk szerinti munkacsoporttal egyetértve azt is el kell ismerni, hogy a szolgáltató és a szolgáltatást igénybe vevő viszonyában fennálló esetleges egyenlőtlenség nem akadálya annak, hogy az utóbbit „adatkezelőnek” lehessen minősíteni.(28)

62.      Egyébként ahhoz, hogy valakit a 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőnek lehessen tekinteni, nem szükséges, hogy ez a személy az adatkezelés valamennyi szempontjára kiterjedő teljes körű ellenőrzési jogkörrel rendelkezzen. Amint azt a belga kormány a tárgyaláson jogosan megjegyezte, az ilyen ellenőrzés egyre kevésbé van jelen a gyakorlatban. Az adatkezelések egyre inkább összetettek abban az értelemben, hogy több olyan elkülönült adatkezelésről van szó, amelyek több, különböző fokú ellenőrzési jogosultsággal bíró felet foglalnak magukban. Következésképpen az az értelmezés, amely az adatkezelés valamennyi szempontja feletti teljes ellenőrzés fennállását helyezi előtérbe, súlyos hiányosságokhoz vezethet a személyes adatok védelme területén.

63.      A 2014. május 13‑i Google Spain és Google ítélet(29) alapjául szolgáló tényállás jól illusztrálja ezt. Ebben az ügyben ugyanis egy olyan, több adatszolgáltatót magában foglaló helyzetről volt szó, amelyen belül a különböző felek mindegyike külön befolyást gyakorolt az adatkezelésre. Ebben az ügyben a Bíróság elutasította az „adatkezelő” fogalmának megszorító értelmezését. Úgy értékelte, hogy a keresőmotor működtetőjének „úgy is mint […] tevékenység[ének] céljait és módját meghatározó személynek [kell] – felelősségi körén, hatáskörén és lehetőségein belül – biztosítania […], hogy tevékenysége megfeleljen a 95/46 irányelvben foglalt követelményeknek.”(30) A Bíróság egyébként felvetette a keresőmotor működtetője és a honlapszerkesztők együttes felelősségének lehetőségét is.(31)

64.      A belga kormányhoz hasonlóan úgy vélem, hogy az adatkezelő 95/46 irányelv 2. cikkének d) pontja értelmében vett fogalmának tág értelmezése, amelynek véleményem szerint a jelen ügy keretében is érvényesülnie kell, alkalmas a visszaélések megakadályozására. Máskülönben ugyanis ahhoz, hogy egy vállalkozás ki tudjon bújni a személyes adatok védelméhez kapcsolódó kötelezettségei alól, elegendő lenne, ha harmadik személy szolgáltatásait venné igénybe. Másként fogalmazva, véleményem szerint nem kell különbséget tenni az olyan vállalkozás között, amely internetes oldalát a Facebook által ajánlotthoz hasonló eszközökkel látja el, és az olyan vállalkozás között, amely csatlakozik a Facebook közösségi hálózatához annak érdekében, hogy az utóbbi által ajánlott eszközöket igénybe vegye. Biztosítani kell tehát, hogy azok a piaci szereplők, amelyek internetes oldaluk fenntartásához tárhelyszolgáltatást vesznek igénybe, a szolgáltató általános szerződési feltételeinek alávetve magukat ne bújhassanak ki a felelősség alól. Ezenkívül, amint azt a tárgyaláson ugyanez a kormány előadta, nem észszerűtlen elvárni a vállalkozásoktól, hogy szolgáltatójuk kiválasztásánál körültekintően járjanak el.

65.      Véleményem szerint tehát az a tény, hogy egy rajongói oldal adminisztrátora a Facebook által felkínált felületet használja, és az ahhoz kapcsolódó szolgáltatásokat veszi igénybe, nem mentesíti őt a személyes adatok védelme terén fennálló kötelezettségei alól. E tekintetben megjegyzem, hogy ha a Wirtschaftsakademie a Facebookon kívül hozna létre egy honlapot, és a látogatottsági statisztikák összeállítása érdekében a „Facebook Insights‑hoz” hasonló eszközt működtetne, az ilyen statisztikák összeállításához szükséges adatok tekintetében őt adatkezelőnek kellene tekinteni. Véleményem szerint, egy ilyen gazdasági szereplő nem mentesülhet a 95/46 irányelvből származó, a személyes adatok védelmét szolgáló szabályok tiszteletben tartása alól pusztán amiatt, hogy tevékenységének előmozdítása céljából a Facebook közösségi hálózat felületét használja. Amint azt maga a kérdést előterjesztő bíróság is helyesen megjegyzi, az adatszolgáltató nem vonhatja ki magát az adatszolgáltatásának igénybevevőivel szemben fennálló adatvédelmi jogi kötelezettségek alól egy bizonyos infrastruktúra‑szolgáltató kiválasztása útján, amely kötelezettségeknek eleget kellene tennie, amennyiben egyszerű tartalomszolgáltató lenne.(32) Az ezzel ellentétes értelmezés a személyes adatok védelmére vonatkozó szabályok megkerülésének veszélyével járna.

66.      Véleményem szerint továbbá nem szabad mesterségesen különbséget tenni a jelen ügy tárgyát képező és a C‑40/17. sz. Fashion ID ügyben(33) szóban forgó helyzet között.

67.      Ez utóbbi ügy egy olyan helyzetre vonatkozik, amelyben egy honlap üzemeltetője az oldalán egy külső szolgáltató (a Facebook) úgynevezett „közösségi beépülő modulját” ágyazza be (ez esetben a Facebook „tetszik” gombját), amely a weboldal felhasználójának számítógépéről személyes adatok külső szolgáltató felé történő továbbítását eredményezi.

68.      A fent említett ügy alapjául szolgáló jogvitában egy fogyasztóvédelmi egyesület azt rója fel a Fashion ID társaságnak, hogy a Facebook közösségi hálózat „tetszik” moduljának a weboldalára történő beillesztésével az oldal felhasználóinak hozzájárulása nélkül és a személyes adatok védelmére vonatkozó rendelkezések által előírt tájékoztatási kötelezettség megsértésével lehetővé tette a Facebook számára, hogy hozzáférjen ezen oldal felhasználóinak személyes adataihoz. Felmerül tehát a probléma, hogy tekintettel arra, hogy a Fashion ID lehetővé teszi a Facebook számára, hogy hozzáférjen honlapja felhasználóinak személyes adataihoz, ez a társaság a 95/46 irányelv 2. cikkének d) pontja értelmében vett „adatkezelőnek” minősülhet‑e, vagy sem.

69.      E tekintetben nem látok alapvető különbséget egy rajongói oldal adminisztrátorának és egy olyan honlap üzemeltetőjének helyzete között, aki a weboldalára valamely webtrackingszolgáltató kódját építi be, és így a webtrackingszolgáltató javára adatokat továbbít, gyűjt és cookiekat telepít a felhasználó tudta nélkül.

70.      A közösségi beépülő modulok segítségével a honlapüzemeltetők a saját weboldalukon igénybe vehetik a közösségi hálózatok egyes szolgáltatásait annak érdekében, hogy látogatottságukat növeljék, például a Facebook „tetszik” gombjának az oldalukra történő beépítésével. A rajongói oldalak adminisztrátoraihoz hasonlóan a közösségi beépülő modult alkalmazó honlap‑üzemeltetők is igénybe vehetik a „Facebook Insights” szolgáltatást annak érdekében, hogy pontos statisztikai információkhoz jussanak oldaluk felhasználóiról.

71.      Ahogyan egy rajongói oldal felkeresése, úgy egy beépülő közösségi modult tartalmazó honlap megnyitása is személyes adatoknak az érintett szolgáltató felé történő továbbítását indítja el.

72.      Véleményem szerint ebben az összefüggésben, illetve a rajongói oldal adminisztrátoraként a beépülő közösségi modult tartalmazó honlap üzemeltetőjét is – amennyiben tényleges befolyást gyakorol az adatkezelés azon szakaszára, amelynek során személyes adatokat továbbítanak a Facebook részére – a 95/46 irányelv 2. cikkének d) pontja értelmében vett „adatkezelőnek” kell minősíteni.(34)

73.      Hozzáteszem, amint azt a belga kormány helyesen előadja, hogy azon megállapítás, amely szerint a Wirtschaftsakademie közös adatkezelőnek minősül, amikor úgy dönt, hogy hirdetéséhez a Facebook szolgáltatásait veszi igénybe, egyáltalán nem érinti a Facebook Inc.‑t és a Facebook Irelandet adatkezelőként terhelő kötelezettségeket. Világos ugyanis, hogy e két szervezet meghatározó befolyást gyakorol azon személyes adatok kezelésének céljaira és módjaira, amelyekre egy rajongói oldal megtekintése esetén kerül sor, és amelyeket saját céljaikra és érdekükben is felhasználnak.

74.      Ugyanakkor a rajongói oldalak adminisztrátorai közös felelősségének elismerése az adatkezelés azon szakaszának vonatkozásában, amely során a Facebook személyes adatokat gyűjt, hozzájárul az ilyen oldalakra látogatók jogai teljesebb védelmének biztosításához. Az a tény egyébként, hogy a rajongói oldalak adminisztrátorait azzal, hogy őket adatkezelőnek minősítik, aktívan kapcsolatba hozzák a személyes adatok védelmére vonatkozó szabályok betartásával, annak ösztönzését is kiválthatja, hogy maga a közösségi hálózat platformja is megfeleljen e szabályoknak.

75.      Azt is szükséges tisztázni, hogy a közös adatkezelés nem jelenti a felelősség egyenlő megoszlását. Ellenkezőleg, az egyes adatkezelők a személyes adatok kezelésének eltérő szakaszaiban és az adatkezelésben különböző mértékben vehetnek részt.(35)

76.      A 29. cikk szerinti munkacsoport szerint „[a] többes adatkezelés lehetősége az olyan, egyre növekvő számú helyzetekre vonatkozik, ahol különböző felek járnak el adatkezelőként. Ennek az együttes adatkezelésnek az értékelése az egyedüli adatkezelés értékelését kell, hogy tükrözze, tartalmi és funkcionális megközelítést alkalmazva, és arra összpontosítva, hogy a célokat és a módok alapvető elemeit egynél több fél határozza‑e meg. A feleknek a feldolgozás céljainak és módjának meghatározásában való részvétele különböző formákat ölthet, és nem szükséges, hogy egyenlő arányban történjen.”(36) Ugyanis „[t]öbb szereplő esetén a szereplők lehetnek egymással nagyon szoros viszonyban (pl. közös lehet egy feldolgozás minden célja és módja) vagy állhatnak lazább kapcsolatban (pl. csak a célok vagy módok, vagy azok egy része közös). Az együttes adatkezelés tipológiájának széles palettáját kell tehát figyelembe venni, és annak a jogi következményeit kell értékelni, bizonyos rugalmasságot engedve, hogy az adatfeldolgozás jelenének egyre növekvő bonyolultsága is kezelhető legyen.”(37)

77.      A fentiekből véleményem szerint az következik, hogy a Facebook Inc. és a Facebook Ireland mellett a Facebook közösségi hálózaton található rajongói oldal adminisztrátorát is adatkezelőnek kell tekinteni a személyes adatoknak az ezen oldalra vonatkozó látogatottsági statisztikák összeállítása érdekében végzett kezelése vonatkozásában.

B.      Az előzetes döntéshozatalra előterjesztett harmadik és negyedik kérdésről

78.      Előzetes döntéshozatalra előterjesztett harmadik és negyedik kérdésével, amelyeket véleményem szerint együttesen kell vizsgálni, a kérdést előterjesztő bíróság a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának, valamint 28. cikke (1), (3) és (6) bekezdésének értelmezésének pontosítását kéri a Bíróságtól egy olyan helyzetre vonatkozóan, amelyben a Facebook Inc.‑hez hasonló, az Európai Unión kívül székhellyel rendelkező anyavállalat több szervezet közreműködésével nyújt valamely közösségi hálózathoz kötődő szolgáltatásokat az Unió területén. E szervezetek közül az egyik az, amelyet az anyavállalat jelölt ki a személyes adatok Unió területén történő kezelésének adatkezelőjeként (Facebook Ireland), a másik pedig reklámozást, reklámhelyek értékesítését és Németország lakosságát célzó egyéb marketingtevékenységeket biztosít (Facebook Germany). Ebben az alaphelyzetben a kérdést előterjesztő bíróság egyrészt azt kívánja megtudni, hogy a német felügyeletihatóság gyakorolhatja‑e beavatkozási jogkörét annak érdekében, hogy véget vessen a személyes adatok vitatott kezelésének, másrészt pedig azt, hogy mely szervezettel szemben gyakorolható ilyen jogkör.

79.      Az ULD és az olasz kormány által az előzetes döntéshozatalra előterjesztett harmadik és negyedik kérdés elfogadhatóságával kapcsolatban megfogalmazott aggályokra válaszul rámutatok, hogy a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) előzetes döntéshozatalra utaló határozatában kifejti, hogy az alapeljárásban vitatott határozat jogszerűségének megítéléséhez szüksége van az e kérdésekkel kapcsolatos felvilágosításra. E bíróság különösen arra hivatkozik, hogy a Wirtschaftsakademie‑vel szemben hozott határozat egy értékelési hibán alapulhat, következésképpen jogellenes lehet, amennyiben az ULD által állított adatvédelmi jogsértések a közvetlenül a németországi székhelyű Facebook Germany leányvállalattal szemben hozott intézkedés útján orvosolhatóak.(38) A kérdést előterjesztő bíróság e gondolatmenete véleményem szerint lehetővé teszi azon okok feltárását, amelyek miatt az előzetes döntéshozatalra előterjesztett harmadik és negyedik kérdést felteszi a Bíróságnak. Az előzetes döntéshozatal iránti kérelmek relevanciájának vélelmére tekintettel(39) következésképpen azt javasolom, hogy a Bíróság válaszolja meg e kérdéseket.

80.      A 95/46 irányelvnek „Az alkalmazandó nemzeti jog” című 4. cikke értelmében:

„(1)      A személyes adatok feldolgozására [helyesen: kezelésére] minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:

a)      az adatfeldolgozást [helyesen: adatkezelést] a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek;

[…].”

81.      Az alkalmazandó jogról szóló, 2010. december 16‑i 8/2010. sz. véleményében(40) a 29. cikk szerinti munkacsoport a 95/46 irányelv 4. cikk (1) bekezdése a) pontjának alkalmazásával kapcsolatban a következő példát említi: „Közösségi hálózat, amelynek központja harmadik országban található, azonban az [Unióban] is rendelkezik szervezettel. Egy közösségi hálózat központja harmadik országban található, de egy [uniós] tagállamban is rendelkezik szervezettel. A szervezet határozza meg és hajtja végre az [Unióban] lakóhellyel rendelkezők személyes adatainak feldolgozására vonatkozó politikákat. A közösségi hálózat tevékenységével aktívan megcélozza az [uniós] tagállamokban lakóhellyel rendelkező személyeket, akik ügyfelei és bevételei jelentős részét adják. Ezenkívül cookiekat telepít az uniós felhasználók számítógépére. Ebben az esetben az alkalmazandó jog a [95/46 irányelv] 4. cikk (1) bekezdése a) pontja értelmében azon tagállam adatvédelmi joga lesz, ahol a cég az [Unión] belül letelepedett. Nem releváns az a kérdés, hogy a közösségi hálózat igénybe vesz‑e más uniós tagállam területén található eszközt, mivel minden feldolgozásra egyetlen szervezet tevékenységei keretében kerül sor, és az irányelv kizárja [ezen irányelv] 4. cikk (1) bekezdése a) és c) pontjának kumulatív alkalmazását.(41) A 29. cikk szerinti munkacsoport arra is kitér, hogy [a]zon uniós tagállam felügyelőhatóságát azonban, ahol a közösségi hálózat az [Unión] belül letelepedett, a[z] [említett irányelv] 28. cikk (6) bekezdése alapján a más felügyelőhatóságokkal való együttműködés kötelezettsége terheli, például a más [uniós] tagállamokban lakó felektől származó kérelmek vagy panaszok elbírálása érdekében.”(42)

82.      Az előző pontban ismertetett példában nem okoz nehézséget az alkalmazandó nemzeti jog meghatározása. Ebben az esetben ugyanis, mivel az anyavállalat csupán egy szervezettel rendelkezik az Unión belül, annak a tagállamnak a joga alkalmazandó a személyes adatok szóban forgó kezelésére, amelynek területén ez a szervezet letelepedett.

83.      A helyzet akkor válik bonyolultabbá, amikor – akárcsak a jelen ügy esetében – egy harmadik államban székhellyel rendelkező anyavállalat, mint a Facebook Inc., Unión belüli tevékenységét egyrészt egy olyan szervezet közreműködésével végzi, amelyet ez a társaság kizárólagos felelősséggel ruház fel az Unió egész területének vonatkozásában a személyes adatok Facebook‑csoporton belüli gyűjtéséért és kezeléséért (Facebook Ireland), másrészt pedig más szervezetek közreműködésével, amelyek közül az egyik Németországban található (Facebook Germany), és az előzetes döntéshozatalra utaló határozatban szereplő utalások alapján a reklámozással, a reklámhelyek értékesítésével, és egyéb, e tagállam lakosságát célzó marketingtevékenységekkel bízták meg.(43)

84.      Ilyen helyzetben a német felügyelőhatóság rendelkezik‑e joghatósággal arra, hogy beavatkozási jogkörét gyakorolja arra vonatkozóan, hogy véget vessen a személyes adatok olyan kezelésének, amelyért a Facebook Inc. és a Facebook Ireland közös felelősséggel tartozik?

85.      E kérdés megválaszolásához meg kell állapítani, hogy a német felügyelőhatóság megalapozottan alkalmazza‑e nemzeti jogát az ilyen adatkezelésre.

86.      E tekintetben a 95/46 irányelv 4. cikke (1) bekezdésének a) pontjából az következik, hogy a valamely szervezet által a tevékenysége körében végzett adatkezelésre azon tagállam joga irányadó, amelynek területén ez a szervezet letelepedett.

87.      A Bíróság már korábban megállapította, hogy tekintettel az említett irányelv által követett azon célra, amely a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelmét kívánja biztosítani, az említett irányelv 4. cikke (1) bekezdésének a) pontjában szereplő „egy szervezete tevékenységeinek keretében” kifejezést nem lehet megszorítóan értelmezni.(44)

88.      Egy tagállami átültető jogszabály személyesadat‑kezelésre való alkalmazása két feltétel teljesülését igényli. Először is, az adatkezelőnek „szervezettel” kell rendelkeznie e tagállamban. Másodszor, az adatkezelésnek e szervezet „tevékenységeinek keretében” kell történnie.

89.      Először, ami a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett „szervezet” fogalmát illeti, a Bíróság e fogalmat tágan és rugalmasan értelmezve már pontosította, hogy az kiterjed minden, akár csekély mértékű valós és tényleges tevékenységre, amelyet tartós jelleggel folytatnak,(45) ily módon kizárta a formális megközelítés lehetőségét.(46)

90.      Ebből a szempontból mind a létesítmény állandóságának mértékét, mind pedig a szóban forgó tagállamban folytatott tevékenységek tényleges gyakorlását(47) a szóban forgó gazdasági tevékenységek és szolgáltatásnyújtások sajátos jellegére figyelemmel kell értékelni.(48) E tekintetben nem vitatott, hogy a Facebook Germany, amelynek székhelye Hamburgban (Németország) található, valós, tényleges és tartós jellegű tevékenységet folytat Németországban. Ennélfogva a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett „szervezetnek” minősül.

91.      Másodszor azon kérdést illetően, hogy a személyes adatok szóban forgó kezelését e szervezet a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának értelmében vett „tevékenységeinek keretében” végzik‑e, a Bíróság már emlékeztetett arra, hogy ez a rendelkezés nem azt követeli meg, hogy a személyes adatokat érintő szóban forgó adatkezelést az érintett szervezet „maga” valósítsa meg, hanem csupán azt, hogy „tevékenységeinek keretében” végezze.(49)

92.      Amint a 8/2010. sz. véleményből kitűnik, „[a] „tevékenységeinek keretében” fogalma és nem az adatok helye döntő tényező az alkalmazandó jog […] meghatározása szempontjából. [E fogalom] azt jelenti, hogy az alkalmazandó jog nem annak a tagállamnak joga, ahol az adatkezelő letelepedett, hanem ahol az adatkezelő egy szervezete [személyes adatok kezelésével vagy azok feldolgozásával járó] tevékenységekben vesz részt. Ebben az összefüggésben alapvető jelentőségű a szervezet(ek) részvételének mértéke azon tevékenységekben, amelyek keretében a személyes adatokat feldolgozzák. Ezenkívül figyelembe kell még venni a szervezetek tevékenységeinek jellegét és az egyének részére hatékony jogvédelem biztosításának szükségességét. E szempontok elemzése során funkcionális megközelítést célszerű követni: a felek alkalmazandó jogra vonatkozó elméleti értékelése helyett gyakorlati magatartásukat és interakcióikat kell meghatározónak tekinteni.”(50)

93.      A 2014. május 13‑i Google Spain és Google ítéletben(51) a Bíróságnak e feltétel tiszteletben tartását kellett vizsgálnia. Tág értelmezést fogadott el, és megállapította, hogy a Google Search‑höz hasonló, harmadik államban letelepedett, azonban a tagállamok egyikében szervezettel rendelkező vállalkozás által működtetett keresőmotort kiszolgáló személyesadat‑kezelés e szervezet „tevékenységeinek keretében” végzett adatkezelésnek minősül, ha a szervezetet arra hozták létre, hogy ebben a tagállamban biztosítsa az e keresőmotor által kínált reklámhelyek értékesítését és reklámozását, amelyek a keresőmotor által nyújtott szolgáltatás nyereségességét szolgálják.(52) A Bíróság ugyanis rámutatott, hogy „ilyen körülmények között […] a keresőmotor működtetőjének, illetve az érintett tagállamban található szervezetének tevékenységei elválaszthatatlanul összekapcsolódnak, mivel a reklámhelyekkel kapcsolatos tevékenységek jelentik azt az eszközt, amely a szóban forgó keresőmotort nyereségessé teszi, és ugyanakkor ez a keresőmotor teszi lehetővé e tevékenységek végzését.(53) A Bíróság válaszának alátámasztására hozzáfűzte, hogy a személyes adatok találati listán való megjelenítése „mellett ugyanezen az oldalon a keresőszavakhoz kapcsolódó reklámok is megjelennek, meg kell állapítani, hogy a szóban forgó személyes adatok kezelését az adatkezelő szervezete által az egyik tagállam, a jelen esetben Spanyolország területén végzett kereskedelmi és reklámtevékenység keretében végzik.”(54)

94.      Márpedig az előzetes döntéshozatalra utaló határozatban foglaltak szerint a Facebook Germany feladata a reklámozás, a reklámhelyek értékesítése és a Németország lakosságát célzó egyéb marketingtevékenységek. Mivel az alapeljárásban szóban forgó személyesadat‑kezelésnek – amely abból áll, hogy ezen adatokat a rajongói oldalra látogatók számítógépeire telepített cookiek segítségével gyűjtik – többek között az a célja, hogy lehetővé tegye a Facebook számára az általa terjesztett reklámok célzottabbá tételét, az ilyen adatkezelést úgy kell tekinteni, mint amelyet a Facebook Germany tevékenységeinek keretében végez Németországban. E tekintetben, figyelemmel arra, hogy a Facebookhoz hasonló közösségi hálózat bevételei nagyrészt azokból a reklámokból származnak, amelyeket a felhasználói által létrehozott és látogatott weboldalakon tesznek közzé,(55) meg kell állapítani, hogy a Facebook Inc. és a Facebook Ireland mint közös adatkezelők tevékenysége elválaszthatatlanul kötődik az olyan szervezet tevékenységéhez, mint a Facebook Germany. Egyébiránt a személyes adatoknak a Facebook.com domainnévhez tartozó oldal látogatójának számítógépére telepített cookie segítségével történő kezelése következtében a Facebook‑oldal megnyitása együtt jár azzal, hogy ugyanezen a weboldalon a látogató érdeklődési körével kapcsolatos reklámok jelennek meg. Ebből arra kell következtetni, hogy a személyes adatok kérdéses kezelését az adatkezelő szervezete reklám‑ és kereskedelmi tevékenységének keretén belül egy tagállam – a jelen ügyben Németország – területén végzik.

95.      Az a körülmény, hogy a 2014. május 13‑i Google Spain és Google ítélet(56) alapjául szolgáló ügy tényállásától eltérően a Facebook‑csoport rendelkezik európai székhellyel, a jelen ügyben Írországban, nem zárja ki azt, hogy a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának a Bíróság ezen ítéletben kialakított értelmezését a jelen ügy keretében alkalmazzuk. Az említett ítéletben a Bíróság kifejezte az annak elkerülésére irányuló szándékot, hogy a személyes adatok kezelését kivonják a 95/46 irányelvben szabályozott kötelezettségek és garanciák hatálya alól. A jelen eljárásban felvetődött, hogy itt az ilyen kijátszás problémája nem merül fel, mivel az adatkezelő székhelye az egyik tagállamban, a jelen ügyben Írországban található. E logikát követve tehát úgy kellene értelmezni a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, hogy az arra kötelezi az adatkezelőt, hogy csak egyetlen tagállami szabályozást, vagyis az ír szabályozást vegye figyelembe, és csak egyetlen felügyelőhatóságnak, vagyis az írnek legyen alárendelve.

96.      Az ilyen értelmezés ugyanakkor ellentétes a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának szövegével, és e rendelkezés keletkezési körülményeinek is ellentmond. Ugyanis, amint arra a belga kormány a tárgyalás során helyesen rámutatott, a 95/46 irányelv sem az egységességi mechanizmust, sem a származási ország elvét nem vezeti be.(57) E tekintetben nem szabad összetéveszteni az Európai Bizottság által az irányelvjavaslatában elérni kívánt politikai célkitűzést az Európai Unió Tanácsa által végül jóváhagyott megoldással. Az említett irányelvben ez a jogalkotó úgy döntött, hogy nem részesíti előnyben azon tagállam nemzeti jogának alkalmazását, amelynek területén az elsődleges adatkezelő szervezet letelepedett. Ennek eredményeként a 95/46 irányelv a tagállamok azon szándékát tükrözi, hogy a nemzeti végrehajtásra vonatkozóan fenntartsák saját hatáskörüket. Az uniós jogalkotó azzal, hogy nem fogadta el a származási ország elvét, valamennyi tagállam számára engedélyezte saját nemzeti jogának alkalmazását, és ennélfogva lehetővé tette az alkalmazandó nemzeti jogok kumulációját.(58)

97.      Az említett irányelv 4. cikke (1) bekezdésének a) pontjával az uniós jogalkotó szándékosan annak lehetővé tétele mellett döntött, hogy abban az esetben, ha egy adatkezelő több szervezettel is rendelkezik az Unión belül, több, a személyes adatok védelmére vonatkozó nemzeti jogszabályt lehessen alkalmazni az érintett tagállamok lakosai személyes adatainak kezelésére annak érdekében, hogy biztosítsák az utóbbiak jogainak hatékony védelmét e tagállamokon belül.

98.      Ezt a 95/46 irányelv (19) preambulumbekezdése is megerősíti, amely kimondja, hogy „mivel ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek.”

99.      A 95/46 irányelv 4. cikke (1) bekezdésének a) pontjából, amelynek második mondata az irányelv (19) preambulumbekezdésével összhangban pontosítja, hogy amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek, arra következtetek tehát, hogy egy olyan vállalatcsoporti struktúra, amelyet az jellemez, hogy adatkezelő szervezetei több tagállamban is jelen vannak, nem teheti lehetővé ez utóbbi számára, hogy kijátssza azon tagállamok jogát, amelyek területén egyes szervezetei letelepedtek.

100. Hozzáteszem, hogy véleményem szerint a 2016. július 28‑i Verein für Konsumenteninformation ítélet(59) óta többé nem védhető az az értelmezés, amely egy nemzetközi vállalatcsoport európai székhelye szerinti tagállam jogának kizárólagos alkalmazását támogatja. Ebben az ítéletben a Bíróság úgy határozott, hogy a személyes adatok elektronikus kereskedelmi vállalkozás általi kezelésére azon tagállam joga az irányadó, amelyre e vállalkozás tevékenységei irányulnak, amennyiben bebizonyosodik, hogy ez a vállalkozás a szóban forgó adatok kezelését az e tagállamban található valamely szervezet tevékenységeinek keretében végzi. A Bíróság annak ellenére döntött így, hogy az Amazon, éppúgy, mint a Facebook, egy olyan vállalkozás, amely nem csupán egy tagállamban rendelkezik európai székhellyel, hanem több uniós tagállamban is fizikailag jelen van. Ilyen esetben is meg kell vizsgálni, hogy az adatkezelésre olyan szervezet tevékenységeinek keretén belül kerül‑e sor, amely az adatkezelő európai székhelyétől eltérő tagállamban telepedett le.

101. Amint arra a belga kormány rámutat, teljes mértékben lehetséges tehát, hogy a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának alkalmazása szempontjából valamely vállalkozásnak az európai székhelyétől eltérő szervezete legyen releváns.

102. Az irányelvvel bevezetett rendszer keretében tehát abban az esetben, ha egy adatkezelő több szervezettel rendelkezik az Unión belül, sem az adatkezelés végzésének helye, sem pedig az adatkezelő Unión belül létesített székhelyének helye nem döntő jelentőségű az adatkezelésre alkalmazandó nemzeti jog meghatározása, valamint a beavatkozási jogkör gyakorlására joghatósággal rendelkező felügyeletihatóság kijelölése szempontjából.

103. E tekintetben véleményem szerint a Bíróságnak nem kell a 2018. május 25‑én hatályba lépő általános adatvédelmi rendelettel(60) bevezetett rendszert előzetesen alkalmaznia. E rendszer egy egységességi mechanizmust hoz létre. Ez azt jelenti, hogy az olyan, határokon átnyúló adatkezelést végző adatkezelő, mint a Facebook vonatkozásában kapcsolattartóként csupán egyetlen felügyelőhatóság, azaz a fő felügyelőhatóság rendelkezik hatáskörrel, amelyet az adatkezelő fő szervezetének székhelye határoz meg. Mindazonáltal ez a rendszer, valamint az általa bevezetett kifinomult együttműködési mechanizmus még nem alkalmazandó.

104. Nem vitatott, hogy mivel a Facebook úgy döntött, hogy Írországban létesít székhelyet az Unión belül, e tagállam felügyelőhatósága fontos szerepet tölt be annak ellenőrzésében, hogy a Facebook betartja‑e a 95/46 irányelvben rögzített szabályokat. Noha – amint azt e hatóság maga is elismeri – ez nem jelenti azt, hogy az ezen az irányelven alapuló jelenlegi rendszer keretében kizárólagos hatáskörrel rendelkezik a Facebook Unión belül folytatott valamennyi tevékenységét illetően.(61)

105. A fenti körülmények összessége alapján a belga és a holland kormányhoz, valamint az ULD‑hez hasonlóan úgy vélem, hogy a 95/46 irányelv 4. cikke (1) bekezdése a) pontjának a Bíróság által a 2014. május 13‑i Google Spain és Google ítéletében(62) elfogadott értelmezése szintén alkalmazandó az alapeljárásban szóban forgó esethez hasonló olyan esetben is, amelyben az adatkezelő valamely uniós tagállamban rendelkezik székhellyel, és az unión belül több szervezete van.

106. Ennélfogva, a kérdést előterjesztő bíróság által a Facebook Germany tevékenységeinek jellegével kapcsolatban szolgáltatott információkat illetően úgy kell tekinteni, hogy a vitatott személyesadat‑kezelés e szervezet tevékenységeinek keretén belül valósul meg, és hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja az alapeljárásban szóban forgó helyzethez hasonló helyzetben lehetővé teszi a személyes adatok védelmére vonatkozó német jog alkalmazását.(63)

107. A német felügyelőhatóság tehát joghatósággal rendelkezik nemzeti jogának az alapeljárásban szóban forgó személyesadat‑kezelésre történő alkalmazására.

108. Ezen irányelv 28. cikkének (1) bekezdéséből az következik, hogy a tagállamok által létrehozott felügyelőhatóságok felügyelik az adott tagállam területén a tagállamok által az említett irányelv értelmében elfogadott nemzeti rendelkezések tiszteletben tartását.

109. A 95/46 irányelv 28. cikkének (3) bekezdése értelmében e felügyelőhatóságok különösen vizsgálati jogkörrel – mint például a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének jogával –, valamint olyan tényleges beavatkozási jogosultságokkal rendelkeznek, mint például az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatkezelés átmeneti vagy végleges tilalmának megállapítása, továbbá az adatkezelő figyelmeztetése vagy megrovása. E beavatkozási jogkörök magukban foglalhatják az adatkezelő szankcionálására vonatkozó jogköröket, adott esetben bírság kiszabása révén.(64)

110. A 95/46 irányelv 28. cikkének (6) bekezdése a következőképpen rendelkezik:

„A felügyelőhatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam [helyesen: tagállam] hatóságát hatáskörének gyakorlására.

A felügyelőhatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.”

111. Tekintettel arra, hogy saját tagállamának joga alkalmazandó a személyes adatok alapügyben szóban forgó kezelésére, a német felügyelőhatóság teljeskörűen gyakorolhatja beavatkozási jogkörét annak biztosítása érdekében, hogy a Facebook német területen alkalmazza és tartsa tiszteletben a német jogot. Ez következik a 2015. október 1‑jei Weltimmo ítéletből,(65) amely lehetőséget nyújtott a 95/46 irányelv 28. cikke (1), (3) és (6) bekezdése hatályának pontosítására.

112. Ezen ügy legfontosabb kérdése annak meghatározása volt, hogy a magyar felügyelőhatóság rendelkezik‑e joghatósággal arra, hogy egy másik tagállamban, vagyis Szlovákiában székhellyel rendelkező szolgáltatóval szemben bírságot szabjon ki. E joghatóság meghatározásához előzetesen azt kellett megvizsgálni, hogy a 95/46 irányelv 4. cikke (1) bekezdése a) pontjában előírt feltétel alkalmazásával a magyar jog alkalmazandó‑e, vagy sem.

113. A Bíróság a válaszának első részében néhány iránymutatással szolgált a kérdést előterjesztő bíróság számára, amelyek alapján ez utóbbi megállapíthatta, hogy az adatkezelőnek van magyarországi szervezete. Egyébiránt megállapította, hogy az adatkezelést e szervezet tevékenységeinek keretében végezték, és hogy egy olyan helyzetben, mint amelyről ebben az ügyben szó volt, a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja lehetővé teszi a személyes adatok védelmére vonatkozó magyar jog alkalmazását.

114. A Bíróság válaszának első része tehát megerősítette, hogy a magyar felügyelőhatóság joghatósággal rendelkezik arra, hogy a magyar jog alkalmazásával bírságot szabjon ki egy másik tagállamban székhellyel rendelkező szolgáltatóval, a jelen ügyben a Weltimmóval szemben.

115. Másként fogalmazva, onnantól kezdve, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontjában szereplő feltétel alkalmazásával a magyar jogot el lehet ismerni alkalmazandó nemzeti jogként, a magyar felügyelőhatóság joghatósággal rendelkezik e jog tiszteletben tartásának biztosítására annak valamely adatkezelő általi megsértése esetén, jóllehet ez utóbbi Szlovákiában van bejegyezve. A 95/46 irányelv e rendelkezése alapján úgy lehet tekinteni, hogy a Weltimmo, bár Szlovákiában van bejegyezve, Magyarországon is letelepedett. Az, hogy Magyarországon jelen van az adatkezelőnek egy olyan tevékenységeket gyakorló szervezete, amelynek keretében ez az adatkezelés megvalósul, a magyar jog alkalmazhatóságának és ennek következtében a magyar felügyelőhatóság arra vonatkozó joghatóságának elismeréséhez szükséges kapcsolódási pontot jelenti, hogy biztosítsa e jog tiszteletben tartását Magyarország területén.

116. A Bíróság válaszának második felét, amelyben az egyes felügyelőhatóságok jogkörei területi alkalmazhatóságának elvét hangsúlyozta, másodlagos jelleggel állapította meg arra az esetre vonatkozóan, „amennyiben a magyar adatvédelmi hatóság úgy ítélné meg, hogy a Weltimmo nem Magyarországon, hanem egy másik tagállamban rendelkezik a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett olyan szervezettel, amelynek tevékenységei keretében végzik az érintett személyes adatok kezelését.(66) Arra a kérdésre adott válaszról van tehát szó, amely szerint „amennyiben a magyar adatvédelmi hatóság arra a következetésre jutna, hogy a személyes adatok kezelésére alkalmazandó jog nem a magyar jog, hanem valamely más tagállam joga, a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell‑e értelmezni, hogy e hatóság csak az ezen irányelv 28. cikkének (3) bekezdésében foglalt jogosultságokat gyakorolhatja e másik tagállam jogában foglaltak szerint, és nem jogosult bírság kiszabására.(67)

117. Következésképpen, a Bíróság a válaszának e második részében pontosította a felügyelőhatóság által különleges, azaz olyan helyzetben gyakorolható jogkörök tárgyi és területi hatályát, amikor e hatóság saját tagállamának joga nem alkalmazandó.

118. Ebben az esetben a Bíróság úgy vélte, hogy „[az említett] hatóság jogköreibe nem feltétlenül tartozik bele az összes olyan jogkör, amelyet a saját tagállama jogának megfelelően ruháztak rá.”(68) Így „e hatóság a nemzeti jogtól függetlenül gyakorolhatja a vizsgálati jogköreit akár még azelőtt, hogy tudná, hogy melyik a szóban forgó adatkezelésre alkalmazandó nemzeti jog. Ha azonban arra a következtetésre jut, hogy valamely másik tagállam joga alkalmazandó, nem szabhat ki szankciókat a saját tagállamának területén kívül. Ebben a helyzetben a 95/46 irányelv 28. cikkének (6) bekezdésében előírt együttműködési kötelezettség teljesítése mellett az ő feladata e másik tagállam felügyelőhatóságát felkérni, hogy állapítsa meg e jog esetleges megsértését, és – amennyiben e jog lehetővé teszi – szabjon ki szankciókat adott esetben az általa átadott információk alapján”.(69)

119. A 2015. október 1‑jei Weltimmo ítéletből(70) az alábbi következtetéseket vonom le a jelen ügyre nézve.

120. Attól az esettől eltérően, amelyre a Bíróság a 2015. október 1‑jei Weltimmo ítélet(71) e második részében felépítette a felügyelőhatóságok jogköreivel kapcsolatos érvelését, a jelen ügyben egy olyan, ezen ítélet első részében tárgyalt helyzettel analóg helyzettel foglalkozom, amelyben – amint arra korábban már utaltam – az alkalmazandó nemzeti jog annak a tagállamnak a joga, amelyhez a beavatkozási jogkört gyakorló felügyelőhatóság tartozik, azon oknál fogva, hogy e tagállam területén jelen van az adatkezelő egy olyan szervezete, amelynek tevékenysége elválaszthatatlanul kötődik ezen adatkezeléshez. E szervezet németországi jelenléte a német jognak a vitatott személyesadat‑kezelésre történő alkalmazásához szükséges kapcsolódási pont.

121. Amint ez az előzetes feltétel teljesül, el kell ismerni a német felügyelőhatóság arra vonatkozó joghatóságát, hogy biztosítsa a személyes adatok védelmére vonatkozó szabályok német területen történő tiszteletben tartását azzal, hogy a 95/46 irányelv 28. cikkének (3) bekezdését átültető német jogszabályok alapján rendelkezésére álló valamennyi jogkörét gyakorolja. E jogkörök az adatkezelés ideiglenes vagy végleges megtiltását elrendelő határozat meghozatalára is kiterjedhetnek.

122. Azzal a kérdéssel kapcsolatban, hogy melyik szervezet lehet egy ilyen intézkedés címzettje, két lehetséges megoldás tűnik elképzelhetőnek.

123. Az első, a felügyelőhatóságok beavatkozási jogkörének területi hatályát szigorúan értelmező megoldás az, hogy e hatóságok jogköreiket kizárólag az adatkezelő azon szervezetével szemben gyakorolhatják, amely saját tagállamukban telepedett le. Amennyiben, mint a jelen ügyben is, e szervezet, jelen esetben a Facebook Germany nem azonos az adatkezelővel, és ily módon nem tud eleget tenni az adatkezelés megszüntetésére irányuló hatósági felszólításnak, azt továbbítania kell az adatkezelőnek annak érdekében, hogy utóbbi végrehajthassa azt.

124. A második megoldás ezzel szemben az, hogy mivel egyedül az adatkezelő gyakorol meghatározó befolyást a vitatott adatkezelésre, az ennek befejezésére kötelező határozatot közvetlenül neki kell címezni.

125. Véleményem szerint a második megoldást kell alkalmazni, mivel az összhangban áll azzal az alapvető szereppel, amelyet az adatkezelő a 95/46 irányelvvel bevezetett rendszerben betölt.(72) E megoldás azzal, hogy elkerüli az azon közvetítő általi kötelező továbbítást, amelynek az olyan tevékenységeket gyakorló szervezet minősül, amelynek keretében az adatkezelés megvalósul, alkalmas arra, hogy a személyes adatok védelmére vonatkozó nemzeti jogszabályok azonnali és hatékony alkalmazását biztosítsa. Egyébiránt az a felügyelőhatóság, amely közvetlenül egy olyan adatkezelővel szemben hoz az adatkezelés megszüntetésére vonatkozó intézkedést, amely a hatóság tagállamának területén nem rendelkezik székhellyel, például a Facebook Inc.‑vel vagy a Facebook Irelanddel szemben, joghatósága keretein belül jár el, amely annak biztosítására terjed ki, hogy az adatkezelés megfeleljen e tagállam jogának annak területén. E tekintetben kevéssé jelentős, hogy az adatkezelő vagy adatkezelők valamely tagállamban vagy valamely harmadik államban telepedtek le.

126. Az előzetes döntéshozatalra előterjesztett első és második kérdésre javasolt válasszal kapcsolatban arra is rámutatok, hogy a rajongói oldalakat látogató személyek jogai lehető legteljesebb védelme biztosításának céljára tekintettel az ULD azon lehetősége, hogy beavatkozási jogköreit a Facebook Inc.‑vel vagy a Facebook Irelanddel szemben gyakorolja, álláspontom szerint egyáltalán nem zárja ki intézkedéseknek a Wirtschaftsakademie‑vel szemben történő meghozatalát, és ezért önmagában nem lehet hatással azok jogszerűségére.(73)

127. A fent kifejtettekből az következik, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy a személyes adatok olyan kezelése, mint amely az alapeljárás tárgyát képezi, e rendelkezés értelmében a tagállam területén az adatkezelő valamely szervezete tevékenységeinek keretében végzett adatkezelésnek minősül, ha valamely közösségi hálózatot működtető vállalkozás e tagállamban olyan leányvállalatot hoz létre reklámozás és az e vállalkozás által kínált reklámhelyek értékesítése céljából, amelynek tevékenysége e tagállam lakosai felé irányul.

128. Egyébiránt olyan helyzetben, mint amely az alapeljárás tárgyát képezi, ahol a személyes adatok kezelésére alkalmazandó nemzeti jog annak a tagállamnak a joga, amelyhez a felügyelőhatóság tartozik, a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy e felügyelőhatóság az irányelv 28. cikke (3) bekezdésének megfelelően ráruházott tényleges beavatkozási jogkört teljes egészében gyakorolhatja az adatkezelővel szemben, beleértve azt is, ha ennek az adatkezelőnek a székhelye másik tagállamban vagy akár valamely harmadik államban található.

C.      Az előzetes döntéshozatalra előterjesztett ötödik és hatodik kérdésről

129. Az előzetes döntéshozatalra előterjesztett ötödik és hatodik kérdésével, amelyeket véleményem szerint együtt kell vizsgálni, a kérdést előterjesztő bíróság lényegében annak megállapítását kéri a Bíróságtól, hogy a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell‑e értelmezni, hogy az alapeljárás körülményei között azon tagállam felügyelőhatósága, amelynek területén az adatkezelő szervezete (Facebook Germany) található, beavatkozási jogkörét önállóan és anélkül gyakorolhatja, hogy előzetesen fel kellene hívnia jogkörének gyakorlására annak a tagállamnak a felügyelőhatóságát, amelynek területén az adatkezelő (Facebook Ireland) letelepedett.

130. Előzetes döntéshozatalra utaló határozatában a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) megmagyarázza az e két előzetes döntéshozatalra előterjesztett kérdés és a határozat jogszerűségének – az alapeljárás keretében általa elvégzendő – vizsgálata közötti kapcsolatot. E bíróság így lényegében arra utal, hogy a Wirtschaftsakademie‑vel szembeni határozat meghozatalát úgy lehet tekinteni, hogy az ULD által elkövetett értékelési hibán alapul, amennyiben a 95/46 irányelv 28. cikkének (6) bekezdését úgy kell értelmezni, hogy az alapeljárás körülményeihez hasonló körülmények mellett arra kötelezi az ULD‑hez hasonló felügyelőhatóságot, hogy egy másik tagállam felügyelőhatóságát, a jelen ügyben az adatvédelmi felügyelőhatóságot hívja fel jogkörének gyakorlására abban az esetben, ha e két hatóság azzal kapcsolatos értékelése, hogy a Facebook Ireland által végzett adatkezelés megfelel‑e a 95/46 irányelvben foglalt szabályoknak, eltér.

131. Amint azt a Bíróság a 2015. október 1‑jei Weltimmo ítéletében(74) megállapította, abban az esetben, ha az érintett személyes adatok kezelésére alkalmazandó jog nem annak a tagállamnak a joga, amelyhez a beavatkozási jogkörét gyakorolni kívánó felügyelőhatóság tartozik, hanem valamely más tagállamé, a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy e hatóság nem szabhat ki szankciókat tagállamának joga alapján ezen adatok azon kezelőjére, aki nincs letelepedve e területen, hanem ezen irányelv 28. cikkének (6) bekezdése alapján kérnie kell az alkalmazandó jog szerinti tagállam felügyelőhatóságától a beavatkozást.(75)

132. Ebben a helyzetben az első tagállam felügyelőhatósága elveszti arra vonatkozó joghatóságát, hogy szankció kiszabására irányuló jogkörét gyakorolja egy másik tagállamban letelepedett adatkezelővel szemben. A 95/46 irányelv 28. cikkének (6) bekezdésében előírt együttműködési kötelezettség teljesítése mellett tehát az ő feladata e másik tagállam felügyelőhatóságát felkérni, hogy állapítsa meg e jog esetleges megsértését, és – amennyiben e jog lehetővé teszi – szabjon ki szankciókat adott esetben az általa átadott információk alapján.(76)

133. Amint arra korábban már utaltam, a jelen ügyben szóban forgó helyzet teljesen más, mivel az alkalmazandó jog annak a tagállamnak a joga, amelyhez a beavatkozási jogkörét gyakorolni kívánó felügyelőhatóság tartozik. Ebben a helyzetben a 95/46 irányelv 28. cikkének (6) bekezdését úgy kell értelmezni, hogy az nem kötelezi e felügyelőhatóságot arra, hogy az adatkezelő székhelye szerinti tagállam felügyelőhatóságát felhívja beavatkozási jogkörének ez utóbbival szembeni gyakorlására.

134. Hozzáteszem, hogy a 95/46 irányelv 28. cikke (1) bekezdése második mondatának megfelelően az a felügyelőhatóság, amely a saját tagállamától különböző tagállamban letelepedett adatkezelővel szembeni beavatkozási jogkörének gyakorlására joghatósággal rendelkezik, a rá ruházott feladatok gyakorlása során teljes függetlenségben jár el.

135. Amint az a korábban kifejtettekből következik, a 95/46 irányelv sem a származási ország elvét, sem a 2016/679 rendeletben foglalt egységességi mechanizmushoz hasonló mechanizmus alkalmazását nem írja elő. Az az adatkezelő, amely több tagállamban rendelkezik szervezettel, következésképpen teljes mértékben több felügyelőhatóság ellenőrzése alatt áll, ha azon tagállamok joga, amelyekhez e hatóságok tartoznak, alkalmazandó. Bár az e felügyelőhatóságok közötti összehangoltság és együttműködés nyilvánvalóan kívánatos, semmi nem kötelezi az elismert joghatósággal rendelkező felügyelőhatóságot arra, hogy álláspontját egy másik felügyelőhatóság által elfogadott állásponthoz igazítsa.

136. A fentiekből azt a következtetést vonom le, hogy a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy az alapeljárás körülményei között azon tagállam felügyelőhatósága, amelynek területén az adatkezelő szervezete található, beavatkozási jogkörét önállóan és anélkül gyakorolhatja, hogy előzetesen fel kellene hívnia jogkörének gyakorlására annak a tagállamnak a felügyelőhatóságát, amelynek területén az adatkezelő letelepedett.

III. Végkövetkeztetések

137. A fenti megállapításokra tekintettel azt javaslom, hogy a Bíróság a következő választ adja a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre:

1)      A 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel módosított, a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének d) pontját úgy kell értelmezni, hogy a Facebookhoz hasonló közösségi hálózat rajongói oldalának adminisztrátora az e rendelkezés értelmében vett adatkezelőnek minősül a személyes adatok kezelésének azon szakaszában, amelynek során ez a közösségi hálózat az ezen oldalra látogató személyek adatait gyűjti az ezen oldalra vonatkozó látogatottsági statisztikák összeállítása érdekében.

2)      Az 1882/2003 rendelettel módosított 95/46 irányelv 4. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy a személyes adatok olyan kezelése, mint amely az alapeljárás tárgyát képezi, e rendelkezés értelmében a tagállam területén az adatkezelő valamely szervezete tevékenységeinek keretében végzett adatkezelésnek minősül, ha valamely közösségi hálózatot működtető vállalkozás e tagállamban olyan leányvállalatot hoz létre reklámozás és az e vállalkozás által kínált reklámhelyek értékesítése céljából, amelynek tevékenysége e tagállam lakosai felé irányul.

3)      Olyan helyzetben, mint amely az alapeljárás tárgyát képezi, ahol a személyes adatok kezelésére alkalmazandó nemzeti jog annak a tagállamnak a joga, amelyhez a felügyelőhatóság tartozik, az 1882/2003 rendelettel módosított 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy e felügyelőhatóság az irányelv 28. cikke (3) bekezdésének megfelelően ráruházott tényleges beavatkozási jogkört teljes egészében gyakorolhatja az adatkezelővel szemben, beleértve azt is, ha ennek az adatkezelőnek a székhelye másik tagállamban vagy akár valamely harmadik államban található.

4)      Az 1882/2003 rendelettel módosított 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy az alapeljárás körülményei között azon tagállam felügyelőhatósága, amelynek területén az adatkezelő szervezete található, beavatkozási jogkörét önállóan és anélkül gyakorolhatja, hogy előzetesen fel kellene hívnia jogkörének gyakorlására annak a tagállamnak a felügyelőhatóságát, amelynek területén az adatkezelő letelepedett.


1      Eredeti nyelv: francia.


2      HL 2003. L 284., 1. o.; magyar nyelvű különkiadás 1. fejezet, 4. kötet, 447. o.; a továbbiakban: 95/46 irányelv.


3      HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.


4      A továbbiakban: 29. cikk szerinti munkacsoport.


5      A továbbiakban: 2/2010. sz. vélemény.


6      2/2010. sz. vélemény, 5. o.


7      2/2010. sz. vélemény, 7. o. A 29. cikk szerinti munkacsoport által e véleményben kifejtettek szerint: „[e]z általában a következőképpen működik: a reklámhálózat‑szolgáltató elhelyez egy nyomon követő cookiet az érintett végberendezésén [...], amikor az első alkalommal belép arra a honlapra, amely a hálózatának az egyik reklámját szolgáltatja. A cookie rövid alfanumerikus szöveg, amelyet a reklámhálózat‑szolgáltató az érintett végberendezésén tárol (és később olvasni tud) [...]. A viselkedésalapú reklámozás során a cookie lehetővé teszi a hálózati szolgáltató számára, hogy felismerjen egy korábbi látogatót, aki visszatér a honlapra, vagy meglátogat egy másik olyan honlapot, amely a reklámhálózat‑szolgáltató partnere. Az ilyen ismételt látogatások teszik lehetővé, hogy a reklámhálózat‑szolgáltató felépítse a látogató profilját, és felhasználja a személyre szabott reklámozáshoz.”


8      A 29. cikk szerinti munkacsoport 2010. február 16‑i 1/2010. sz. véleménye az „adatkezelő” és az „adatfeldolgozó” fogalmáról, a továbbiakban: 1/2010. sz. vélemény, 25. o.


9      Ennélfogva az Agencia española de protección de datos (spanyol adatvédelmi ügynökség) 2017. szeptember 11‑én bejelentette, hogy 1,2 millió euró összegű bírságot szabott ki a Facebook Inc.‑vel szemben. Korábban a Commission nationale de l’informatique et des libertés (országos informatikai és szabadságjogi bizottság, CNIL, Franciaország) döntött úgy 2017. április 27‑i határozatában, hogy a Facebook Inc.‑vel és a Facebook Irelanddel szemben egyetemlegesen 150 000 euró összegű pénzbírságot szab ki.


10      A BDSG 38. cikkének (5) bekezdése a következőképp rendelkezik:


      „A jelen törvény, valamint az adatvédelemre vonatkozó további rendelkezések tiszteletben tartásának biztosítása érdekében a felügyeleti hatóság a személyes adatok gyűjtése, kezelése vagy felhasználása során megállapított jogsértés, illetve technikai vagy szervezeti mulasztás orvoslása céljából intézkedéseket hozhat. Súlyos jogsértések vagy mulasztások esetén, különösen, ha fennáll a magánélethez való jog megsértésének fokozott veszélye, megtilthatja az adatok gyűjtését, kezelését vagy felhasználását bizonyos eljárások megindítása útján, amennyiben a jogsértés vagy mulasztás orvoslására megfelelő időn belül, az első szakaszban kiszabott intézkedés sérelmével és kényszerítő bírság kiszabása ellenére sem került sor. Kérheti az adatvédelmi megbízott visszahívását, ha az nem rendelkezik a feladatainak ellátásához szükséges megbízhatósággal és szakmai tapasztalattal.”


11      Az elektronikus médiáról szóló törvény 12. cikke az alábbiak szerint rendelkezik:


„(1)      A szolgáltató csak akkor gyűjthet és használhat fel személyes adatokat elektronikus média rendelkezésre bocsátása céljából, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.


[…]


(3)      Eltérő rendelkezés hiányában a személyes adatok védelmére vonatkozó hatályos rendelkezéseket kell alkalmazni akkor is, ha az adatok feldolgozására nem automatizált módon kerül sor.”


12      E rendelkezés a személyes adatok megbízás alapján történő kezelésére vonatkozik.


13      E rendelkezés alkalmazásában: „adatkezelő minden olyan személy vagy szerv, amely személyes adatokat saját maga számára gyűjt, kezel vagy használ fel, vagy ezt megbízás alapján mással végezteti.”


14      C‑131/12, EU:C:2014:317.


15      Az említett ítélet 60. pontja.


16      Az 1/2010. sz. véleményében szereplő meghatározások szerint a „cél” „egy szándékolt vagy a tervezett cselekményeinket irányító elvárt végeredmény”, a „mód” pedig „ahogyan egy eredményt elérünk vagy egy célkitűzést megvalósítunk” (13. o.).


17      Így például, ezen irányelv 6. cikke (2) bekezdésének megfelelően, az adatkezelő feladata gondoskodni arról, hogy az említett irányelv 6. cikk (1) bekezdésében felsorolt, az adatok minőségével kapcsolatos elvek teljesüljenek. A 95/46 irányelv 10. és 11. cikke értelmében az adatkezelőt a személyes adatok kezelésével érintettekkel szemben tájékoztatási kötelezettség terheli. Ezen irányelv 12. cikkének alkalmazásában az érintettek adathozzáféréshez való jogukat az adatkezelő előtt érvényesíthetik. Ugyanez a helyzet az említett irányelv 14. cikkében foglalt tiltakozási jog esetében. A 95/46 irányelv 23. cikkének (1) bekezdése értelmében a tagállamoknak rendelkezniük kell arról, hogy „mindenki, aki jogellenes adatfeldolgozási művelet vagy az [ezen] irányelv értelmében elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedés eredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosult az elszenvedett károkért. Végül, a felügyeleti hatóságok az ezen irányelv 28. cikkének (3) bekezdése alapján fennálló tényleges beavatkozási jogkörüket az adatkezelővel szemben gyakorolják.


18      C‑131/12, EU:C:2014:317.


19      Lásd ebben az értelemben: 2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 38. és 83. pont).


20      Lásd többek között: 2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 34. pont).


21      Az 1/2010. sz. vélemény, 10. o.


22      A Facebook Ireland így magyarázza, hogy rendszeresen vezet be olyan funkciókat, amelyek kizárólag az Unióban tartózkodó érintettek számára elérhetőek, és hozzájuk igazodnak. Más esetekben a Facebook Ireland nem ajánl egyes olyan termékeket az Unióban, amelyeket a Facebook Inc. rendelkezésre bocsát az Egyesült Államok területén.


23      Lásd: 2015. október 6‑i Schrems ítélet (C‑362/14, EU:C:2015:650, 27. pont).


24      Lásd az előzetes döntéshozatalra utaló határozat 39. pontját.


25      A jelen ügyben nem a rajongói oldalra látogató személyek személyes adatainak a Facebookhoz való továbbítását követő adatkezelés céljainak és módjának meghatározása bír jelentőséggel. Az adatkezelés jelen ügyben szóban forgó szakaszára kell összpontosítani, azaz a rajongói oldalra látogató személyek személyes adatai összegyűjtésének szakaszára, amelyet erről való tájékoztatásuk, illetve megfelelő jóváhagyásuk beszerzésének mellőzésével végeznek.


26      A Facebook felhasználási feltételeiből kitűnik, hogy a látogatottsági statisztikák lehetővé teszik a rajongói oldal adminisztrátora számára, hogy célközönségéről tájékozódjon annak érdekében, hogy nagyobb figyelemre számot tartó tartalmat hozhasson létre. A látogatottsági statisztikák információt nyújtanak a rajongói oldal adminisztrátora számára a látogatóira vonatkozó demográfiai adatokról, többek között célközönségének kor, nem, családi állapot és szakmai helyzet szerinti összetételről, életmódjáról és érdeklődési köréről, valamint célközönségének – különösen online – vásárlási szokásairól, az őket leginkább érdeklő termékek vagy szolgáltatások kategóriáiról, továbbá olyan földrajzi adatokról, amelyek alapján a rajongói oldal adminisztrátora különleges kedvezményeket nyújthat, illetve eseményeket szervezhet.


27      Lásd ebben az értelemben: 1/2010. sz. vélemény, 28. o.


28      Ugyanitt, 27. o.: „egy kis adatkezelő és a nagy szolgáltatók alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak.”


29      C‑131/12, EU:C:2014:317.


30      2014. május 13‑i Google Spain és Google (C‑131/12, EU:C:2014:317, 38. pont, valamint ebben az értelemben 83. pont).


31      2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 40. pont).


32      Lásd: az előzetes döntéshozatalra utaló határozat 35. pontját.


33      A Bíróság előtt folyamatban lévő ügy.


34      Amint arra a svájci adatvédelmi hatóság rámutat: „jóllehet a szorosan vett adatrögzítést és ‑elemzést az esetek túlnyomó többségében a webtracking‑szolgáltató végzi titokban, mindazonáltal a honlap üzemeltetője ugyanúgy felelősséggel tartozik. Honlapjára ugyanis a webtracking‑szolgáltató kódját építi be, és így annak érdekét szolgálva adatok továbbítását, gyűjtését és cookie‑k telepítését segíti elő a felhasználó tudta nélkül”. Lásd: „A webtrackinghez fűzött magyarázatok”, Préposé fédéral à la protection des données et à la transparence (szövetségi adatvédelmi és átláthatósági biztos, PFPDT), amely az alábbi internetes címen érhető el: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr


35      Lásd ebben az értelemben: 1/2010. sz. vélemény, 24. o.


36      1/2010. sz. vélemény, 35. o.


37      1/2010. sz. vélemény, 20. és 21. o.


38      Lásd: előzetes döntéshozatalra utaló határozat, 40. pont.


39      Lásd különösen: 2017. január 31‑i Lounani ítélet (C‑573/14, EU:C:2017:71, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


40      A továbbiakban: 8/2010. sz. vélemény.


41      A fenti vélemény, 30. o.


42      A fent említett vélemény, 30. o.


43      Az olyan vállalatcsoportok, mint a Google vagy a Facebook által tevékenységeik világszinten való fejlesztése érdekében kialakított szervezeti felépítés összetetté teszi az alkalmazandó nemzeti jog meghatározását, valamint azon szervezet azonosítását, amellyel szemben a jogsérelmet szenvedett magánszemélyek és a felügyeleti hatóságok felléphetnek. E kérdésekkel kapcsolatban lásd: Svantesson D., „Enforcing Privacy Across Different Jurisdiction”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, 195–222. o., különösen 216–218. o.


44      Lásd különösen: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


45      Lásd különösen: 2016. július 28‑i Verein für Konsumenteninformation ítélet (C‑191/15, EU:C:2016:612, 75. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


46      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 29. pont).


47      Lásd különösen: 2016. július 28‑i Verein für Konsumenteninformation ítélet (C‑191/15, EU:C:2016:612, 77. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


48      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 29. pont).


49      Lásd különösen: 2016. július 28‑i Verein für Konsumenteninformation ítélet (C‑191/15, EU:C:2016:612, 78. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


50      A 8/2010. sz. vélemény, 33. o. Lásd még ebben az értelemben: e vélemény 15. o.


51      C‑131/12, EU:C:2014:317.


52      Ezen ítélet 55. pontja.


53      A fenti ítélet 56. pontja.


54      Ugyanazon ítélet 57. pontja.


55      Lásd ebben az értelemben: a 29. cikk szerinti munkacsoport online közösségi hálózatokról szóló, 2009. június 12‑i 5/2009. sz. véleményét, 5. o.


56      C‑131/12, EU:C:2014:317.


57      Lásd különösen: a 29. cikk szerinti munkacsoport 2015. december 16‑i „Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain” dokumentumát, 6. és 7. o.


58      Az esetlegesen több nemzeti jog alkalmazásával kapcsolatban lásd a 8/2010. sz. véleményt: „az egy szervezetre való utalás azt jelenti, hogy a tagállam jogának alkalmazandóságát az adatkezelő egy szervezetének adott tagállamban való elhelyezkedése váltja ki, míg az adatkezelő más szervezeteinek más tagállamokban való elhelyezkedése e tagállamok jogának alkalmazandóságához vezethet.” (32. o.).


59      C‑191/15, EU:C:2016:612.


60      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46 rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i 2016/679/EU európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.).


61      Lásd e tekintetben: „Hawkes B., The Irish DPA and its Approach to Data Protection”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, 441–454. o., különösen 450. o., 11. lábjegyzet. A szerző így fogalmaz: „[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook‑Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase »the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State«. The DPC, in its audit report, stated that: »it ha(d) jurisdiction over the personal data processing activities of [Facebook‑Ireland] based on it being established in Ireland« but that this »should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU«.”


62      C‑131/12, EU:C:2014:317.


63      Lásd hasonló logika mentén: Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, amelyben e hatóságok kimondták: „[…] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non‑users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non‑users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are »inextricably linked« to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC.”


64      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 49. pont).


65      C‑230/14, EU:C:2015:639.


66      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 42. pont).


67      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 43. pont).


68      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 55. pont).


69      Lásd: 2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 57. pont).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Lásd e tekintetben a jelen indítvány 44. pontját.


73      Lásd még a jelen indítvány 73–77. pontját.


74      C‑230/14, EU:C:2015:639.


75      2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 60. pont)


76      2015. október 1‑jei Weltimmo ítélet (C‑230/14, EU:C:2015:639, 57. pont)