MICHAL BOBEK

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2018. december 19.(1)

C‑40/17. sz. ügy

Fashion ID GmbH & Co.KG

kontra

Verbraucherzentrale NRW eV

a következők részvételével:

Facebook Ireland Limited

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

(az Oberlandesgericht Düsseldorf [düsseldorfi regionális felsőbíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal iránti kérelem – 95/46/EK irányelv – Valamely honlap felhasználói személyes adatainak védelme – Valamely fogyasztóvédelmi szervezet keresetindítási joga – A honlapfenntartó felelőssége – Személyes adatok harmadik személyek részére való továbbítása – Beágyazott kiegészítő modul– A Facebook »Tetszik« gombja – Jogos érdekek – Az érintett személy hozzájárulása – Tájékoztatási kötelezettség”

I.      Bevezetés

1.        A Fashion ID GmbH & Co. KG online kiskereskedő, amely divatcikkeket árul. Honlapján elhelyezett egy kiegészítő modult (plug-in): a Facebook „Tetszik” gombját. Ennek következtében, amikor valamely felhasználó a Fashion ID oldalára érkezik, az érintett felhasználó IP‑címére és böngészőazonosító karakterláncára vonatkozó információt továbbítják a Facebookhoz. Ez a továbbítás automatikusan megtörténik, amikor a Fashion ID honlapja betöltődik, függetlenül attól, hogy a felhasználó rákattintott‑e a „Tetszik” gombra, és hogy van‑e Facebook‑fiókja.

2.        A Verbraucherzentrale NRW e.V, egy német fogyasztóvédelmi szervezet tartózkodásra kötelezésre irányuló eljárást indított a Fashion ID‑val szemben, azon az alapon, hogy az a kiegészítő modul alkalmazásával megsérti az adatvédelmi jogszabályokat.

3.        Az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország), amely előtt az ügy folyamatban van, a 95/46/EK irányelv (a továbbiakban: 95/46 irányelv) több rendelkezésének értelmezését kéri.(2) Előzetes kérdésként a kérdést előterjesztő bíróság arra kíván választ kapni, hogy az említett irányelv lehetővé teszi‑e, hogy a nemzeti jogszabály a jelenlegihez hasonló kereset indítására való jogosultságot biztosítson valamely fogyasztóvédelmi szervezetnek. Rátérve az ügy érdemi részére, a fő kérdés az, hogy a Fashion ID‑t „adatkezelőnek” kell‑e minősíteni az adatkezelés vonatkozásában, és ha igen, ilyen helyzetben pontosan hogyan kell teljesíteni a 95/46 irányelv által előírt egyedi kötelezettségeket. A 95/46 irányelv 7. cikkének f) pontjában előírt mérlegelés során kinek a jogos érdekeit kell figyelembe venni? Köteles‑e a Fashion ID tájékoztatni az érintetteket az adatkezelésről? Továbbá, a Fashion ID‑nak be kell‑e szereznie az érintettek erre vonatkozó tájékozott hozzájárulását?

II.    Jogi háttér

A.      Az uniós jog

95/46 irányelv

4.        A 95/46 irányelv célkitűzését annak első cikke határozza meg. Az említett cikk (1) bekezdése a következőképpen szól: „A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása [helyesen: kezelése] tekintetében. Ugyanezen rendelkezés (2) bekezdése értelmében „A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt”.

5.        A 2. cikk a következő fogalommeghatározásokat tartalmazza:

„a)      »személyes adat« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;

b)      »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)] a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

[…]

d)      »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;

[…]

h)      »az érintett hozzájárulása« az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához [helyesen: kezeléséhez].”

6.        A 7. cikk meghatározza azokat az elveket, amelyeknek teljesülniük kell ahhoz, hogy az adatkezelés jogszerű legyen: „A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:

a)      az érintett ahhoz egyértelmű hozzájárulását adta; vagy

[…]

f)      az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges [helyesen: vagy azon harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, akivel vagy akikkel az adatokat közölték], kivéve ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”

7.        A 10. cikk meghatározza azokat a minimális információkat, amelyeket az érintettel közölni kell:

„A tagállamoknak rendelkezniük kell arról, hogy az adatkezelőnek vagy képviselőjének legalább az alábbiakról tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjtik, kivéve ha az érintett már rendelkezik ezen információkkal:

a)      az adatkezelő, vagy ha van ilyen, képviselőjének személye;

b)      az adatfeldolgozás [helyesen: adatkezelés] célja, amelyre az adatokat szánják;

c)      bármely egyéb információ, mint például:

–        az adatok címzettjei, illetve a címzettek kategóriái,

–        hogy a kérdések megválaszolása kötelező vagy önkéntes, továbbá a válaszadás elmulasztásának lehetséges következményei,

–        betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,

amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás [helyesen: adatkezelés] biztosításához szükségesek.”

8.        A 95/46 irányelv III. fejezete a bírósági jogorvoslattal, a felelősséggel és a szankciókkal foglalkozik. Az ott szereplő 22–24. cikk a következőket írja elő:

„22. cikk

Jogorvoslatok

A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára.

23. cikk

Felelősség

(1)      A tagállamoknak rendelkezniük kell arról, hogy mindenki, aki jogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmében elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedés eredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosult az elszenvedett károkért.

Az adatkezelő részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

24. cikk

Szankciók

A tagállamok elfogadják a megfelelő intézkedéseket ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében, és különösen megállapítják az irányelv értelmében elfogadott rendelkezések megsértése esetén kiszabható szankciókat.”

B.      A német jog

Gesetz gegen den unlauteren Wettbewerb

9.        A Gesetz gegen den unlauteren Wettbewerb (A tisztességtelen verseny tilalmáról szóló törvény; a továbbiakban: UWG) 3. §‑ának (1) bekezdése kimondja, hogy a jogellenes kereskedelmi gyakorlatok alkalmazása tilos.

10.      Az UWG 8. §‑ának (1) bekezdése és 8. §‑a (3) bekezdésének 3. pontja meghatározza, hogy tiltott kereskedelmi tevékenység esetén a tevékenység abbahagyására lehet kötelezni, vagy tartózkodásra kötelezés iránti kérelmet nyújthat be az Unterlassungsklagengesetzben (tartózkodásra kötelezés iránti keresetekről szóló törvény), illetve a Bizottságnak a fogyasztói érdekek védelme érdekében a jogsértés megszüntetésére irányuló eljárásokról szóló 2009/22/EK irányelv(3) 4. cikkének (3) bekezdése szerinti listáján felsorolt „feljogosított egység”.

Unterlassungsklagegesetz

11.      Az Unterlassungsklagegesetz (tartózkodásra kötelezés iránti keresetekről szóló törvény) 2. §‑ának (1) bekezdése és (2) bekezdésének 11. pontja a következőket írja elő:

„(1)      A fogyasztók védelme érdekében tartózkodásra kötelezés iránti kereset indítható azzal szemben, aki a fogyasztók védelmét célzó rendelkezéseket (fogyasztóvédelemről szóló törvények) – az általános szerződési feltételek alkalmazásától vagy az azokra vonatkozó ajánlástól eltérő esetekben – megsérti.

(2)      E rendelkezés alkalmazásában »fogyasztóvédelemről szóló törvények« alatt különösen a következőket kell érteni:

[…]

11.      a jogszerűséget szabályozó rendelkezések az alábbiak tekintetében

a)      a fogyasztó személyes adatainak vállalkozó általi gyűjtése vagy

b)      a fogyasztóról gyűjtött személyes adatok vállalkozó általi kezelése vagy felhasználása,

ha az adatokat marketingcélra, piac‑ és közvéleménykutatás, tudakozó működtetése, személyi és felhasználói profil létrehozása, címforgalmazás, egyéb adatforgalmazás vagy hasonló kereskedelmi cél érdekében gyűjtötték, kezelik vagy használják.”

Telemediengesetz

12.      A Telemediengesetz (Az elektronikus médiáról szóló törvény; a továbbiakban: TMG) 2. §‑ának (1) bekezdése a következőket írja elő:

„E törvény alkalmazásában

1.      szolgáltató az a természetes vagy jogi személy, aki saját vagy nem saját elektronikus médiát tesz hozzáférhetővé, vagy közvetíti a használathoz való hozzáférést; […]”

13.      A TMG 12. §‑ának (1) bekezdése a következőt mondja ki: „A szolgáltató csak akkor gyűjthet és használhat fel személyes adatokat elektronikus média hozzáférhetővé tételével összefüggésben, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.”

14.      A TMG 13. §‑ának (1) bekezdése a következőképpen szól:

„A szolgáltatónak – amennyiben erre a tájékoztatásra korábban nem került sor – a használati művelet kezdetén közérthető formában tájékoztatnia kell a felhasználót a személyes adatok gyűjtésének és kezelésének módjáról, terjedelméről és céljairól, valamint adatainak [a 95/46 irányelv] hatályán kívüli államokban való kezeléséről. A felhasználó későbbi azonosítását lehetővé tevő és a személyes adatok gyűjtését vagy kezelését előkészítő automatizált eljárás esetében a felhasználót tájékoztatni kell ezen eljárás kezdetén. A tájékoztatás tartalmát folyamatosan elérhetővé kell tenni a felhasználó számára.”

15.      A TMG 15. §‑ának (1) bekezdése értelmében:

„A szolgáltató csak akkor gyűjtheti és használhatja fel a felhasználó személyes adatait, ha ez az elektronikus médium igénybevételének lehetővé tételéhez és elszámolásához szükséges (használati adatok). Használati adatok különösen a következők:

1.      a felhasználó azonosítására szolgáló jellemzők,

2.      a konkrét használat kezdetére és végére, valamint terjedelmére vonatkozó adatok és

3.      a felhasználó által igénybe vett elektronikus médiára vonatkozó adatok.”

III. A tényállás, az eljárás és az előzetes döntéshozatalra előterjesztett kérdések

16.      A Fashion ID (a továbbiakban: alperes) online kiskereskedő. Honlapján divatcikkeket árul. Az alperes elhelyezte honlapján a Facebook Ireland Limited (a továbbiakban: Facebook Ireland)(4) által biztosított „Tetszik” kiegészítő modult. Ennek eredményeképpen a Facebook úgynevezett „Tetszik” gombja megjelenik az alperes honlapján.

17.      Az előzetes döntéshozatalra utaló végzés továbbá kifejti, hogy a kiegészítő modul (nem látható) része hogyan működik: amikor valamely látogató megérkezik az alperes honlapjára, amelyen elhelyezték a Facebook „Tetszik” gombját, a böngésző automatikusan a látogató IP‑címére és böngészőazonosító karakterláncára vonatkozó információt küld a Facebook Ireland részére. Ennek az információnak a továbbadására úgy kerül sor, hogy nem szükséges ténylegesen rákattintani a Facebook „Tetszik” gombjára. Az előzetes döntéshozatalra utaló végzésből az is következik, hogy az alperes honlapjának felkeresésekor a Facebook Ireland különféle sütiket (session cookie, datr cookie és fr cookie) helyez el a felhasználó eszközén.

18.      A Verbraucherzentrale NRW (a továbbiakban: felperes), egy fogyasztóvédelmi szervezet, egy Landgerichten (németországi regionális bíróság) bírósági eljárást indított az alperessel szemben. A felperes azt kérte a bíróságtól, hogy végzéssel kötelezze az alperest arra, hogy hagyjon fel a Facebook „Tetszik” közösségi kiegészítő moduljának megjelenítésével, mivel ezt az alperes állítólag a következőképpen tette:

–        „anélkül, hogy a honlap felhasználóit addig az időpontig, amikor a kiegészítő modul tulajdonosa hozzáfért a felhasználó IP‑címéhez és böngészőazonosító karakterláncához, kifejezetten és egyértelműen felvilágosította volna az így továbbított adatok gyűjtésének és kezelésének céljáról, és/vagy

–        anélkül, hogy a hozzáférést megelőzően kérte volna a honlap felhasználóinak hozzájárulását ahhoz, hogy a kiegészítő modul tulajdonosa hozzáférhessen az IP‑címhez és a böngészőazonosító karakterlánchoz, valamint az adatkezeléshez és/vagy

–        anélkül, hogy a kereset 2. pontjában szereplő hozzájárulást megadó felhasználót tájékoztatta volna arról, hogy a jövőre nézve bármikor visszavonhatja azt, és/vagy

–        anélkül, hogy feltüntette volna a következő tájékoztatást: »Amennyiben közösségi oldal felhasználója, és nem szeretné, hogy a közösségi oldal a honlapunkon keresztül adatokat gyűjtsön Önről, és összekösse azokat a közösségi oldalon tárolt felhasználói adataival, honlapunk látogatása előtt ki kell jelentkeznie a közösségi oldalról.«”

19.      A felperes azt állította, hogy a Facebook Inc. vagy a Facebook Ireland tárolja és meghatározott felhasználóhoz (tagokhoz és nem tagokhoz) rendeli a továbbított IP‑címet és böngészőazonosító karakterláncot. Az alperes ezzel szemben azzal érvel, hogy erről nincs tudomása. A Facebook Ireland azt állítja, hogy az IP‑címet általános IP‑címmé alakítják, és csak ilyen formában tárolják, valamint hogy nem rendelik hozzá az IP‑címet és böngészőazonosító karakterláncot felhasználói fiókokhoz.

20.      A Landgericht (regionális bíróság) az első három jogalapot illetően elmarasztalta az alperest. Az alperes fellebbezett. A felperes a negyedik jogalap vonatkozásában csatlakozó fellebbezést nyújtott be.

21.      Az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság) e ténybeli és jogszabályi háttér mellett úgy döntött, hogy a következő kérdéseket terjeszti a Bíróság elé:

„1)      Ellentétes‑e a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 22., 23. és 24. cikkében szereplő szabályozással az olyan nemzeti szabályozás, amely az adatvédelmi hatóságok beavatkozási jogkörei és az érintett jogorvoslati lehetőségei mellett a fogyasztói érdekek védelmének biztosítása érdekében lehetővé teszi nonprofit egyesületek számára, hogy jogsértés esetén fellépjenek a jogsértővel szemben?

Az első kérdésre adandó nemleges válasz esetén:

2)      A jelen ügyben felmerülthöz hasonló helyzetben, amikor valaki olyan programozási kód feltüntetésével jelenít meg hivatkozást a honlapján, amely a felhasználó böngészőjének lehetővé teszi harmadik felek tartalmainak elérését és ehhez személyes adatok harmadik fél részére történő továbbítását, a tartalmat beillesztő személy tekintendő‑e a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában a [95/46] irányelv 2. cikkének d) pontja szerinti »adatkezelőnek«, ha ő maga nem befolyásolhatja ezt az adatkezelési műveletet?

3)      A második kérdésre adandó nemleges válasz esetén: Úgy kell‑e értelmezni a [95/46] irányelv 2. cikkének d) pontját, hogy abban az értelemben kimerítően szabályozza a felelősséget, hogy azzal ellentétes az olyan, adatkezelőnek nem minősülő harmadik fél polgári jogi felelősségre vonása, aki létrehozza az adatkezelési művelet okát anélkül, hogy befolyásolhatná azt?

4)      Az ügyben felmerült körülmények között kinek a »jogos érdekétől« függ a [95/46] irányelv 7. cikkének f) pontja szerint elvégzendő mérlegelés? A harmadik fél tartalmainak beillesztésére irányuló érdektől vagy a harmadik fél érdekétől?

5)      Az ügyben felmerült körülmények között kinek a részére kell megadni a [95/46] irányelv 7. cikkének a) pontja, valamint 2. cikkének h) pontja szerinti hozzájárulást?

6)      Az ügyben felmerült körülmények között a [95/46] irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót is terheli, aki harmadik fél tartalmát beillesztette, és ezzel okot teremt a személyes adatok harmadik fél általi kezelésére?”

22.      A felperes, az alperes, a Facebook Ireland, a Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Észak-Rajna-Vesztfália adatvédelemmel és információszabadsággal foglalkozó regionális biztosa; a továbbiakban: LDI NW), Belgium, a német, az olasz, az osztrák és a lengyel kormány, valamint a Bizottság nyújtott be írásbeli beadványt. A 2018. szeptember 6‑i tárgyaláson a felperes, az alperes, a Facebook Ireland, az LDI NW, Belgium, Németország, Ausztria és a Bizottság adta elő szóban is észrevételeit.

IV.    Értékelés

23.      Jelen indítványban megfogalmazott javaslatom szerint a 95/46 irányelvvel nem ellentétes az a nemzeti jogszabály, amely feljogosít valamely fogyasztóvédelmi feladatokat ellátó szervezetet (mint amilyen a felperes) arra, hogy az adatvédelmi jogszabályok állítólagos megsértője ellen keresetet indítson (A). Emellett úgy vélem, hogy az alperes a Facebook Irelanddel együtt közös adatkezelő, azonban felelőssége az adatkezelés egy konkrét szakaszára korlátozódik (B). Harmadszor azon a véleményen vagyok, hogy a 95/46 irányelv 7. cikkének f) pontjában előírt mérlegeléshez nemcsak az alperes, hanem a Facebook Ireland jogos érdekét is figyelembe kell venni (ahogy természetesen az érintettét is) (C). Negyedszer, az érintett egy adott adatkezelési szakaszra vonatkozó tájékozott hozzájárulását az alperessel kell közölni. Az alperes továbbá köteles tájékoztatni az érintettet (D).

A.      Fogyasztói érdekvédelmet ellátó szervezetnek keresetindítási jogot biztosító nemzeti jogszabály

24.      Az első kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi, hogy a 95/46 irányelvvel ellentétes‑e az a nemzeti szabály, amely lehetővé teszi a fogyasztói érdekvédelmet ellátó szervezetek számára, hogy eljárást indítsanak az adatvédelmi jogszabályokat megsértő személlyel szemben. Erre vonatkozóan a kérdést előterjesztő bíróság konkrétan a 95/46 irányelv 22–24. cikkére hivatkozik. Megjegyzi, hogy a szóban forgó nemzeti jogszabály a 24. cikk alapján „megfelelő intézkedésnek” tekinthető. Emellett hangsúlyozza, hogy a 95/46 irányelv helyébe lépő (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet)(5) 80. cikkének (2) bekezdésében(6) jelenleg kifejezetten biztosít ilyen jogot a szervezeteknek.

25.      Az alperes és a Facebook Ireland azt állítja, hogy a 95/46 irányelv alapján az ilyen szervezetek nem rendelkezhetnek keresetindítási joggal, mivel a 95/46 irányelv nem rendelkezik kifejezetten ilyen keresetindítási jogról, tekintettel arra, hogy az véleményük szerint teljes harmonizáció megvalósítására irányul. Az alperes szerint a keresetindítási jog ily módon való biztosítása veszélyeztetné a felügyelő hatóságok függetlenségét, mivel ki lennének téve a nyilvánosság nyomásgyakorlásának.

26.      A felperes, az LDI NW és a jelen ügyben állást foglaló valamennyi kormány egyetért abban, hogy a 95/46 irányelvvel nem ellentétes a szóban forgó jogszabály.

27.      Én ez utóbbi állásponttal értek egyet.(7)

28.      Fontosnak tartom, hogy már az elején emlékeztessek az EUMSZ 288. cikk harmadik bekezdésében szereplő (alapvető) alkotmányos szabályra, amely szerint „az irányelv az elérendő célokat illetően minden címzett tagállamra kötelező, azonban a forma és az eszközök megválasztását a nemzeti hatóságokra hagyja, ami a leginkább biztosítja az irányelv által elérendő eredményt.(8)

29.      Ebből következik, hogy valamely irányelv szerinti kötelezettségek végrehajtásához a tagállamok szabadon elfogadhatják az általuk megfelelőnek tartott intézkedéseket, feltéve hogy ezeket az intézkedéseket maga az irányelv nem zárja ki kifejezetten, vagy nem ellentétesek az irányelv céljaival.

30.      A 95/46 irányelv szövege nem zárja ki kifejezetten azt a lehetőséget, hogy a nemzeti jog keresetindítási jogot biztosítson a fogyasztóvédelmi feladatokat ellátó szervezetek részére.

31.      A 95/46 irányelv célkitűzéseit tekintve, ezek közé tartozik, hogy „a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelmét kívánja biztosítani”.(9) Ezenfelül a 95/46 irányelv (10) preambulumbekezdése értelmében „az erre vonatkozó jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell hogy biztosítson a Közösségen belül.”(10)

32.      Az előzetes döntéshozatalra utaló végzés alapján úgy lehet értelmezni, hogy az olyan szervezeteknek, mint a felperes, az általuk jogellenes kereskedelmi gyakorlatnak tekintett gyakorlatok vagy a fogyasztóvédelmi jogszabályokat, így az adatvédelmi jogszabályokat sértő gyakorlatok megtámadása érdekében biztosította a keresetindítási jogot.

33.      Ezzel összefüggésben nem látom, hogyan lenne egy ilyen keresetindítási jog ellentétes a 95/46 irányelv céljaival vagy gyengítené az ilyen célkitűzések elérésére tett erőfeszítéseket. Az ilyen szervezeteknek biztosított keresetindítási jog inkább elősegíti a célok elérését és az irányelv végrehajtását, mivel ténylegesen hozzájárul az érintettek jogainak a kollektív jogorvoslati eszközök révén történő erősítéséhez.(11)

34.      Úgy vélem tehát, hogy a tagállamok, ha úgy kívánják, rendelkezhetnek olyan szabályról a szervezetek keresetindítási jogára vonatkozóan, amely lehetővé teszi a felperesnek, hogy az alapeljárásban szóban forgó keresetet benyújtsa.

35.      E válaszra figyelemmel úgy vélem, némileg mellékes az a vita, amely az eljárás során azon kérdés körül bontakozott ki, hogy a szóban forgó nemzeti jogszabály kifejezetten a 95/46 irányelv 24. cikke alá tartozik, mint egy bizonyos típusú „megfelelő intézkedés”, vagy a 22. cikk hatálya alá tartozhat. Ha a tagállamok belátásuk szerint hajthatnak végre valamely irányelvet, és az általuk választott konkrét végrehajtási mód sem az irányelv szövegével, sem annak céljával nem ellentétes, akkor másodlagos jelentőségű az a kérdés, hogy egy konkrét nemzeti intézkedés az irányelvnek pontosan mely cikke alá sorolható be.(12) Ettől függetlenül egyébként a 24. cikkben szereplő „megfelelő intézkedések ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében” fordulat egyértelműen úgy értelmezhető, hogy a jelen ügyben szóban forgóhoz hasonló nemzeti intézkedések is beletartoznak.

36.      Nem hiszem, hogy ezt az általános következtetést bármiképpen aláásnák a következő megfontolások, amelyeket ezen eljárás során megvitattak.

37.      Először is, igaz, hogy a 95/46 irányelv nem szerepel a 2009/22 irányelv I. mellékletében szereplő listán. Ez utóbbi olyan, a jogsértés megszüntetésére irányuló eljárásokra vonatkozó szabályokat ír elő, amelyet az úgynevezett „feljogosított egységek” indíthatnak a fogyasztók kollektív érdekei védelmének erősítése érdekében.(13) Az I. mellékletben szereplő lista felsorol néhány irányelvet, és a 95/46 irányelv nem szerepel köztük.

38.      Ugyanakkor, amint a német kormány is előadja, a 2009/22 irányelv I. mellékletében szereplő lista nem tekinthető kimerítő felsorolásnak abban az értelemben, hogy a 2002/29 irányelv I. mellékletében fel nem sorolt irányelvek szabályait illetően a nemzeti jogszabály ne írhatna elő jogsértés megszüntetésére irányuló eljárásokat. Sőt, igen meglepő lenne, ha egy másodlagos jogszabályban szereplő, példálódzó jellegű felsorolást egyszer csak úgy kellene értelmezni, hogy megfosztja a tagállamokat a Szerződésben biztosított azon döntési joguktól, hogy hogyan hajtanak végre valamely irányelvet.

39.      Másodszor, rátérek az alperes és a Facebook Ireland által előadott azon érvre, amely szerint a 95/46 irányelv teljes harmonizációt hajtott végre, amely szerintük kizárja az abban kifejezetten nem szereplő kereseteket.

40.      Igaz, hogy a Bíróság többször is megállapította, hogy a 95/46 irányelvből eredő harmonizáció nem minimumharmonizáció, hanem „főszabály szerint teljes harmonizációt kell eredményeznie”.(14) Ugyanakkor azt is elismerte, hogy ugyanez az irányelv „bizonyos területeken hagy mérlegelési mozgásteret a tagállamok számára”, feltéve hogy az összeegyeztethető a 95/46 irányelvvel.(15)

41.      Amint azt máshol javasoltam,(16) azt a kérdést, hogy uniós szinten „teljes harmonizációra” került‑e sor (abban az értelemben, hogy jogalkotói prejudikáció miatt a tagállamok már nem fogadhatnak el jogalkotási aktusokat), nem lehet általánosságban, egy teljes jogterületre vagy valamely irányelv tárgyára vonatkozóan megválaszolni. Ezt az értékelést inkább a szóban forgó irányelv egyes konkrét rendelkezéseire (egy bizonyos szabályra vagy konkrét szempontokra) tekintettel kell elvégezni.

42.      A 95/46 irányelv konkrét, jelen ügyben szóban forgó „eljárási” rendelkezései, vagyis a 22–24. cikk igen általánosan van megfogalmazva.(17) Figyelembe véve e rendelkezések általánosságának és elvontságának szintjét, valóban igencsak meglepő lenne azt mondani, hogy ezek a rendelkezések jogalkotói prejudikáció joghatásával bírnak, és kizárnak minden olyan intézkedést, amelyet ugyan a tagállamok meghozhatnak, de amelyeket az említett cikkek nem sorolnak fel kifejezetten.(18)

43.      Harmadszor, az alperes által felvetett másik érv a felügyelő hatóságok(19) függetlenségét fenyegető veszélyre vonatkozott. Lényegében azt állította, hogy ha a fogyasztóvédelmi szervezet rendelkezhet keresetindítási joggal, akkor ezek a szervezetek a felügyelő hatóságok mellett és/vagy helyett fognak eljárást indítani, ami a felügyelő hatóságokra gyakorolt társadalmi nyomást és e hatóságok részrehajlását eredményezné, és végső soron ellentétes lenne a felügyelő hatóságoknak az irányelv. 28. cikkének (1) bekezdésében meghatározott függetlenségével.

44.      Ez súlytalan érv. Amennyiben egy ilyen felügyelő hatóság valóban teljesen független,(20) a német kormányhoz hasonlóan nem értem, hogy az alapeljárásban szóban forgó intézkedés hogyan veszélyeztethetné a függetlenségét. Valamely szervezet nem érvényesítheti a jogot úgy, hogy véleményét kötelezővé teszi a felügyelő hatóságok számára. Ez a bíróságok kizárólagos hatáskörébe tartozik. Valamely fogyasztóvédelmi szervezet, bármely egyéni fogyasztóhoz hasonlóan, csupán keresetet indíthat. Következésképpen annak állítása, hogy valamely magánszemély vagy fogyasztóvédelmi szervezet által indított minden egyes (magán)kereset nyomást gyakorol azokra a szervezetekre, amelyek feladata az (állami) jogérvényesítés, és így az állami jogérvényesítés rendszere mellett párhuzamosan nem létezhet, olyan különös állítás, hogy ezzel az érvvel nem is kell tovább foglalkozni.(21)

45.      Végül negyedszer, rátérek arra az érvre, amely szerint az általános adatvédelmi rendelet 80. cikkének (2) bekezdését úgy kell értelmezni, mint amely módosítja (és ellenkezőjére fordítja) a korábbi helyzetet azzal, hogy megenged olyan valamit (a szervezetek keresetindítási jogát), ami korábban nem volt megengedett.

46.      Ez az érvelés nem meggyőző.

47.      Fontos emlékeztetnünk arra, hogy azzal, hogy az általános adatvédelmi rendelet a 95/46 irányelv helyébe lép, a szabályoknak helyt adó jogszabály jellege irányelvről rendeletre változik. Ez a változás azt is jelentette, hogy szemben egy irányelvvel, ahol a tagállamok szabadon választhatják meg, hogyan hajtják végre az adott jogszabály tartalmát, valamely rendeletet végrehajtó szabályok elfogadására főszabály szerint csak kifejezett felhatalmazás esetén kerülhet sor.

48.      Ebből a szempontból nézve megkérdőjelezhető az az érv, hogy a szervezetek keresetindítási jogára vonatkozóan az általános adatvédelmi rendeletben most szereplő kifejezett rendelkezés azt jelenti, hogy az említett keresetindítási jog a 95/46 irányelv alapján ki volt zárva. Ha e párhuzamból levezethető bármely érv,(22) akkor az épp ennek az ellenkezője: ha az utóbbi irányelvben az ilyen keresetindítási jog nem volt kizárva (az imént bemutatott érvek alapján), a jogi forma irányelvről rendeletre való váltása az ilyen rendelkezés jogszabályba foglalásának igazolását jelentené annak egyértelművé tétele érdekében, továbbra is fennáll ez a lehetőség.

49.      Ezért a fentiek tükrében az első köztes következtetésem az, hogy a 95/46 irányelvvel nem ellentétes az a nemzeti jogszabály, amely a közhasznú szervezeteknek keresetindítási jogot biztosít annak érdekében, hogy az adatvédelmi jogszabály állítólagos megsértőjével szemben jogi eljárást indíthasson a fogyasztói érdekek érdekében.

B.      Adatkezelő‑e a Fashion ID?

50.      A második kérdéssel a kérdést előterjesztő bíróság azt kérdezi, hogy az alperes amiatt, hogy egy olyan kiegészítő modult helyezett el a honlapján, amely miatt a felhasználó böngészője valamely harmadik személytől tartalmat kér le, és személyes adatokat továbbít az említett harmadik személynek, a 95/46 irányelv 2. cikkének d) pontja értelmében vett „adatkezelőnek” minősül‑e, annak ellenére, hogy az alperes nem tudja befolyásolni az adatkezelési műveletet.

51.      Az alatt, hogy nem tudja befolyásolni az adatkezelési műveletet, amint azt a kérdést előterjesztő bíróság kérdésében állítja, én azt értem, hogy a jelen ügy összefüggésében ez nem az említett adat továbbítási folyamatának előidézésére vonatkozik (és ha tényszerűen nézzük, az alperes egyértelműen tudja befolyásolni, hiszen elhelyezte az adott kiegészítő modult az oldalon). Inkább úgy tűnik, hogy Facebook Ireland általi esetleges további adatkezelésre vonatkozik.

52.      Amint azt a kérdést előterjesztő bíróság megjegyzi, a második kérdésére adott válasz olyan következményekkel jár, amelyek bőven túlmutatnak a jelen ügyön és a Facebook Ireland által üzemeltetett közösségi hálózaton. Számos honlap helyez el harmadik személyektől származó különböző tartalmakat. Ha egy olyan személy, mint az alperes, „adatkezelőnek” minősül, és (részben) felelős minden (későbbi) adatkezelésért, amelyre a gyűjtött adattal összefüggésben sor kerül, amiatt, hogy a honlapfenntartó ilyen adatok továbbítását engedélyező harmadik személytől származó tartalmat helyezett el, akkor ez a kijelentés valóban tágabb következményekkel jár arra nézve, hogy a harmadik személytől származó tartalmat hogyan kezelik.

53.      A jelen ügy keretében a második kérdés egyben olyan fő kérdés, amely a probléma lényegét ragadja meg: harmadik személy tartalmának a honlapon való elhelyezése esetén ki viseli a felelősséget, és pontosan miért? E kérdés pontossága vagy pontatlansága is befolyásolja a jogos érdekekre, hozzájárulásra és a tájékoztatáshoz való jogra vonatkozó következő kérdésekre adandó válaszokat.

54.      Ebben a szakaszban először is néhány bevezető észrevételt teszek a jelen ügyben releváns személyes adatok fogalmára vonatkozóan (1). Ezután bemutatom a Bíróság közelmúltbeli ítélkezési gyakorlatát, utalva arra, milyen választ lehetne adni a második kérdésre, ha a Bíróság korábbi határozatait elfogadnánk, és nem tennénk fel további kérdéseket. Majd pedig kifejtem, hogy miért kellene további kérdéseket feltenni, és a jelen ügy összefüggésében némileg finomítani az elemzést (3). Végül a (közös) adatkezelés fogalmának meghatározása szempontjából hangsúlyozni fogom annak fontosságát, hogy a (közös) adatkezelőknek egységes „célokkal és módokkal” kell rendelkezniük a szóban forgó személyes adatok kezelésének (a továbbiakban: adatkezelési művelet) adott szakaszában.

1.      Személyes adatok a jelen ügyben

55.      Érdemes emlékeztetni arra, hogy a 95/46 irányelv 2. cikkének a) pontja úgy határozza meg a „személyes adat” fogalmát, mint „bármely azonosított vagy azonosítható természetes személyhez (a továbbiakban: érintett) kapcsolódó információ”. Ugyanezen irányelv (26) preambulumbekezdése kimondja, hogy „annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő vagy más személy valószínűleg felhasználna az említett személy azonosítására”.

56.      A Bíróság korábban már egyértelművé tette, hogy az IP‑cím adott körülmények között személyes adatnak minősül.(23) A Bíróság ezenfelül megállapította, hogy ahhoz, hogy a 95/46 irányelv 2. cikkének a) pontja értelmében vett „azonosítható személyről” lehessen beszélni, „nem szükséges, hogy ezen adat önmagában lehetővé tegye az érintett személy azonosítását”, és hogy további adatra lehet szükség. Emellett kimondta, hogy „nem követelmény, hogy az érintett személy azonosítását lehetővé tevő minden adat egy személy kezében legyen”, ha az adott adatok közös felhasználásának lehetősége „olyan módszer, amelyet valószínűleg felhasználnak az érintett személy azonosítására”.(24)

57.      A kérdést előterjesztő bíróság nem tér ki arra, hogy az IP‑cím, önmagában vagy a szintén továbbított böngészőazonosító karakterlánccal együtt az említett kritérium alapján személyes adatnak minősül‑e. Úgy tűnik, a Facebook Ireland vitatja, hogy annak minősül.(25)

58.      Egyértelmű, hogy ezt az értékelést a nemzeti bíróság feladata elvégezni. Minden kiegészítő modulra, amelyet elhelyezhetnek, vagy minden más harmadik személytől származó tartalomra vonatkozóan általánosságban elmondható, hogy ahhoz, hogy valamely információ személyesnek minősüljön, elengedhetetlen, hogy az adat lehetővé tegye az érintett (akár közvetlenül, akár közvetett módon történő) azonosítását. A jelen ügyben abból indulok ki, mivel úgy tűnik, a kérdést előterjesztő bíróság kérdéseiből ez következik, hogy az alapeljárásban szereplő körülmények között az IP‑cím és a böngészőazonosító karakterlánc valóban személyes adatnak minősül, és teljesíti a 95/46 irányelv 2. cikkének a) pontjában szereplő, a Bíróság által pontosított kritériumokat.

2.      Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59.      A második kérdésre adandó választ illetően az alperes és a Facebook Ireland azt állítja, hogy az alperes nem tekinthető adatkezelőnek, mivel nem befolyásolja a kezelendő személyes adatot. Így tehát csak a Facebook Ireland lehet adatkezelő. Másodlagos érvként a Facebook Ireland előadja, hogy az alperes vele együtt, mint közös adatkezelő jár el, ugyanakkor az alperes helyzetében lévő személy felelőssége a tényleges befolyásolás területére korlátozódik.

60.      A felperes, az LDI NW, valamint a jelen ügyben beavatkozó összes kormány, továbbá a Bizottság lényegében egyetért abban, hogy az „adatkezelő” fogalma tág jelentéssel bír, és magában foglalja az alperest is. Ugyanakkor az alperes felelősségének tényleges terjedelmét illetően az említett beadványokban szereplő álláspontjuk jelentősen eltér. A különbségek arra a kérdésre irányulnak, hogy az alperes együttesen viseli‑e a felelősséget a Facebook Irelanddel, korlátozódik‑e ez az együttes felelősség a személyes adatok kezelésének azon szakaszára, amelyben az alperes ténylegesen részt vesz, valamint hogy különbséget kell‑e tenni ebben az összefüggésben az alperes honlapjának látogatói között aszerint, hogy rendelkeznek‑e Facebook‑fiókkal.

61.      Kiindulási pontként, egyértelmű, hogy a 95/46 irányelv 2. cikkének d) pontja szerint az „adatkezelő” fogalma arra a természetes vagy jogi személyre vonatkozik, aki „önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját.”(26) Az adatkezelő fogalma tehát a személyesadat‑kezelésben részt vevő több szereplőre is vonatkozhat(27), és azt tágan kell értelmezni.(28)

62.      A közös adatkezelés kérdésével a közelmúltban a Bíróság a Wirtschaftsakademie Schleswig‑Holstein ítéletben foglalkozott.(29)Valamely Facebook rajongói oldal adminisztrátorának szerepét illetően a Bíróság arra a következtetésre jutott, hogy az adminisztrátor a Facebook Irelanddel együtt a 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőként járt el. Ennek oka, hogy az adminisztrátor a Facebook Irelanddel együtt hozzájárult a rajongói oldal látogatói személyes adatainak feldolgozására vonatkozó célok és módok meghatározásához.(30)

63.      Konkrétabban, a Bíróság megjegyezte, hogy a szóban forgó rajongói oldal létrehozásával az adminisztrátor „lehetőséget [adott] a Facebook [Ireland] számára, hogy sütiket helyezzen el a rajongói oldalát meglátogató személy számítógépén vagy más eszközén”, és így személyes adatokat kezeljen.(31) A Bíróság hangsúlyozta, hogy „valamely rajongói oldal Facebookon való létrehozása az adminisztrátorától – különösen az oldal célközönsége, valamint tevékenységeinek irányítási vagy reklámozási céljai alapján történő – beállítási tevékenységet követel meg, amely befolyásolja a rajongói oldal látogatási statisztikáinak készítése céljából történő személyesadat‑kezelést”.(32) A szóban forgó adatkezelés lehetővé tette a Facebook Ireland számára „a hirdetési rendszerének javítását”, miközben az adminisztrátor számára biztosította azokat a módokat, amelyekkel anonimizált statisztikai adatok révén saját tevékenységének népszerűsítését jobban tudja kezelni.(33)

64.      A Bíróság arra a következtetésre jutott, hogy a „beállítási tevékenysége” révén a szóban forgó adminisztrátor részt vett a rajongói oldalára látogatók személyes adatai kezelésére vonatkozó célok és módok meghatározásában. Ezért úgy kell tekinteni, hogy adatkezelőként az említett adatkezelésért a Facebook Irelanddel együttesen felel („még nagyobb” felelősséggel az olyan felhasználók személyes adatai esetén, akik nem Facebook Ireland‑felhasználók).(34)

65.      A Jehovan todistajat ítéletben a Bíróság egy másik fontos pontosítást tett a közös adatkezelő fogalmát illetően: ahhoz, hogy közös adatkezelésről és együttes felelősségről lehessen beszélni, nem szükséges, hogy mindegyik adatkezelő hozzáférjen az adott (összes) személyes adathoz. Így tehát valamely vallási közösség is lehet közös adatkezelő abban az esetben, ha maga a közösség nyilvánvalóan nem fért hozzá a szóban forgó, gyűjtött adathoz. Ebben az esetben a Jehova tanúi közösségének egyes tagjai birtokolták fizikai formában a személyes adatokat. Elegendő volt, hogy a hitszónoki tevékenységet, amelynek során a személyes adatokat gyűjtötték, az említett közösség szervezte, hangolta össze és ösztönözte.(35)

66.      Ha elvontabban vizsgáljuk, és ha kizárólag a közös adatkezelés fogalmára koncentrálunk, kénytelen vagyok egyetérteni azzal, hogy a közelmúltban hozott fenti bírói ítéletekben szereplő megállapítások alapján arra a következtetésre kell jutni, hogy az alperes adatkezelőként jár el, és a Facebook Irelanddel együttesen felel az adatkezelésért.(36)

67.      Először is úgy tűnik, hogy az alperes lehetővé tette, hogy a Facebook Ireland a szóban forgó kiegészítő modul használatával az alperes honlapját látogató felhasználók személyes adatait megszerezze.

68.      Másodszor igaz, hogy a Wirtschaftsakademie Schleswig‑Holstein ügyben szóban forgó adminisztrátorral szemben az alperes nem végez beállítási tevékenységet a honlapja felhasználóira vonatkozó információkat illetően, amelyek azután anonimizált vagy más formában visszakerülnének hozzá. A kívánt „előny” a termék ingyenes reklámozása, amelyre állítólag sor kerül, amikor a honlapjára látogató felhasználó úgy dönt, hogy rákattint a Facebook „Tetszik”‑gombra annak érdekében” gombjára, hogy Facebook‑fiókján keresztül megossza gondolatait például egy fekete koktélruháról. Így tehát, és ennek tényszerűségét a kérdést előterjesztő bíróságnak kell ellenőriznie, a kiegészítő modulhasználata lehetővé teszi az alperes számára, hogy optimalizálja termékeinek hirdetését azzal, hogy a Facebookon láthatóvá teszi őket.

69.      Másodlagosan, egy más szempontból nézve, elmondható, hogy az alperes (részben) beállítási tevékenységet végez a gyűjtött adatok vonatkozásában, azon egyszerű ténynél fogva, hogy a szóban forgó kiegészítő modult elhelyezi a honlapján. Maga a kiegészítő modul állítja be a gyűjtendő személyes adatok paramétereit. Így az alperes azzal, hogy önkéntesen elhelyezi az említett eszközt a honlapján, a honlapja minden látogatójára beállítja ezeket a paramétereket.

70.      Harmadszor, mindenesetre a Jehovan todistajat ítélet tükrében valaki akkor is minősülhet közös adatkezelőnek, ha nincs hozzáférése a „közös munka gyümölcséhez”. Így az, hogy az alperes nem fér hozzá a Facebook részére továbbított adatokhoz, vagy hogy nyilvánvalóan nem kap cserébe személyre szabott vagy összesített statisztikát, nem tűnik döntő tényezőnek.

3.      A problémák: ki nem minősül tehát közös adatkezelőnek?

71.      Hatékonyabbá válik‑e a védelem, ha annak biztosításáért mindenki felelős?

72.      Röviden ezt a mélyebb erkölcsi és gyakorlati dilemmát veti fel a jelen ügy, és ezt fejezi ki jogi megfogalmazással a (közös) adatkezelő fogalmának meghatározása is. A Bíróság közelmúltbeli ítélkezési gyakorlatában, azzal az érthető törekvéssel, hogy a személyes adatok hatékony védelmét biztosítsa, igen inkluzív megközelítést fogadott el, amikor arra kérték, hogy valamiképpen határozza meg a (közös) adatkezelő fogalmát. Eddig azonban a Bíróság nem szembesült azzal, hogy a fogalommeghatározás ilyen, mindent magában foglaló megközelítése milyen gyakorlati következményekkel jár az azon felek pontos kötelességeinek és konkrét felelősségének meghatározását jelentő következő lépésre vonatkozóan, akik közös adatkezelőknek minősülnek. Mivel a jelen ügy pontosan erre ad alkalmat, javaslom, hogy ragadjuk meg az alkalmat, hogy pontosítsuk a (közös) adatkezelő fogalmának meghatározását.

a)      Kötelességről és felelősségről

73.      Ha kritikus szemmel vizsgáljuk a „közös adatkezelő” meghatározására alkalmazandó tesztet, úgy tűnik, hogy a Wirtschaftsakademie Schleswig‑Holstein és a Jehovan todistajat ítéletet követően a döntő kritérium az, hogy a szóban forgó személy „lehetővé tette” a személyes adatok gyűjtését és továbbítását, és esetleg a közös adatkezelő még befolyásolta is a paramétereket (vagy legalábbis hallgatólagosan elfogadta azokat).(37) Ha ez valóban így van, akkor annak ellenére, hogy a Wirtschaftsakademie Schleswig‑Holstein ítélet ezt kifejezetten ki kívánta zárni,(38) nehéz megérteni, hogy valamely online (alapú) alkalmazás – legyen az közösségi hálózat vagy más együttműködésen alapuló platform, illetve egyéb programok –(39) rendes felhasználói miért ne lennének szintén közös adatkezelők. Amikor valamely felhasználó beállítja felhasználói fiókját, jellemzően megadja az adminisztrátornak azokat a paramétereket, hogy milyen legyen a felhasználói fiókja felépítése, milyen információkat kíván kapni, milyen tárgyban és kitől. Meghívja továbbá a barátait, munkatársait és másokat, hogy (gyakran igen érzékeny) személyes adatok formájában információt osszanak meg az alkalmazáson keresztül, és ezzel nemcsak az említett személyekre vonatkozóan ad meg információt, hanem egyúttal meghívja ezeket a személyeket a részvételre, ezzel egyértelműen hozzájárulva az említett személyek személyes adatainak megszerzéséhez és kezeléséhez.

74.      Továbbá, mi a helyzet a „személyes adatok” láncolatának többi résztvevőjével? Hogy szélsőséges példával éljek, ha a közös adatkezelés egyetlen releváns kritériuma az, hogy az illető az adatkezelést lehetővé tette, és ezzel gyakorlatilag valamely szakaszban hozzájárult az adatkezeléshez, akkor az internetszolgáltató, amely az adatkezelést lehetővé teszi, hiszen internetelérési lehetőséget biztosít, vagy akár a villamosenergia‑szolgáltató, nem lesz‑e a személyes adatok kezeléséért együttesen felelős közös adatkezelő?

75.      Az ösztönös válaszunk erre természetesen az, hogy nem. A probléma az, hogy a felelősség eddigi körülhatárolása nem az adatkezelő tág meghatározásából ered. Az, hogy a fogalommeghatározás túl tág, azzal a veszéllyel jár, hogy számos személy lesz együttesen felelős a személyes adatok kezeléséért.

76.      Ugyanakkor szemben a korábbi szakaszban bemutatott ügyekkel, a kérdést előterjesztő bíróság által feltett kérdések nem állnak meg annál a pontnál, hogy hogyan kell meghatározni az „adatkezelőt”. Továbbmennek, és körüljárják a 95/46 irányelv által előírt tényleges kötelezettségek megoszlásával kapcsolatos kérdéseket is. Ezek a kérdések maguk mutatnak rá arra a problémára, amit az adatkezelő túlságosan tág megfogalmazása jelent, különösen, ha nincsenek pontos szabályok arra vonatkozóan, hogy a 95/46 irányelv értelmében milyen konkrét kötelességük és felelősségük van az adatkezelőknek. Ezt jól mutatja az érdekelt feleknek az irányelv szerinti felelősség pontos megoszlására vonatkozó 5. és a 6. kérdésre válaszul benyújtott beadványa.

77.      Az 5. kérdés lényegében arra irányul, hogy kinek és milyen célra kell beszereznie az érintett felek hozzájárulását. Az e kérdésre javasolt válaszok igen eltérőek.

78.      A felperes és az LDI NRW azon a véleményen van, hogy a szóban forgó kiegészítő modult elhelyező alperes kötelessége beszerezni az érintett tájékozott hozzájárulását. A felperes véleménye szerint ez különösen a Facebook‑fiókkal nem rendelkező felhasználók esetében fontos, akik nem fogadták el a Facebook általános szerződési feltételeit. Az alperes azon az állásponton van, hogy a beillesztett tartalmat szolgáltató harmadik személy, vagyis a Facebook Ireland részére kell hozzájárulást adni. A Facebook Ireland úgy véli, hogy a hozzájárulást nem egy adott címzettnek kell megadni, mivel a 95/46 irányelv csak azt írja elő, hogy a hozzájárulásnak önkéntesnek, kifejezettnek és tájékozottnak kell lennie.

79.      Ausztria, Németország és Lengyelország szerint a hozzájárulást az adatkezelés megtörténte előtt meg kell adni, és Ausztria szerint annak az adatgyűjtésre és az adatok továbbítására is ki kell terjednie. Lengyelország hangsúlyozza, hogy a hozzájárulást az alperes részére kell megadni. Németország úgy véli, hogy a hozzájárulást az alperesnek vagy a beillesztett tartalmat szolgáltató harmadik személy (vagyis a Facebook Ireland) részére kell megadni, mivel ők az adatkezelésért együttesen felelnek. Az alperesnek csak a harmadik félhez történő adattovábbítás vonatkozásában kell hozzájárulást kapnia, mivel az összegyűjtött adatok további kezelése és felhasználása vonatkozásában már nem minősül adatkezelőnek. Ez azonban nem zárja ki azt a lehetőséget, hogy a honlapfenntartó hozzájárulást kapjon a harmadik fél által végzett adatkezeléshez, amelyre egy közöttük fennálló megállapodás alapján kerülhet sor. Olaszország szerint mindazok számára hozzájárulást kell adni, akik részt vesznek a személyes adatok kezelésében, vagyis az alperesnek és a Facebook Irelandnek is. Belgium és a Bizottság hangsúlyozza, hogy a 95/46 irányelv nem határozza meg, hogy kinek kell adni a hozzájárulást.

80.      Hasonlóan változatosak a vélemények azzal a kérdéssel kapcsolatban, hogy kinek a kötelessége a 95/46 irányelv 10. cikke szerinti tájékoztatás, és pontosan mire vonatkozóan kell ilyen tájékoztatást adni, amely problémával a kérdést előterjesztő bíróság hatodik kérdése foglalkozik.

81.      A felperes szerint a honlapfenntartó köteles tájékoztatni az érintettet a szükséges információkról. Az alperes ezzel ellentétes állásponton van, hangsúlyozva, hogy a Facebook Ireland feladata a tájékoztatás, mivel az alperes nem rendelkezik pontos ismeretekkel. Hasonlóképpen, a Facebook Ireland hangsúlyozza, hogy ő köteles tájékoztatást adni, mivel ez a kötelezettség kizárólag az adatkezelőre (vagy képviselőjére) vonatkozik. Megjegyzi, hogy a 6) kérdésre adandó válasz szorosan összefügg azzal a kérdéssel, hogy a honlapfenntartó adatkezelőnek minősül‑e. A 10. cikkből kiderül, hogy nem helyes a honlapfenntartót adatkezelőnek tekinteni, mivel ez utóbbi nincs abban a helyzetben, hogy tájékoztatást adjon. Az LDI NW úgy véli, hogy a honlapfenntartó feladata a tájékoztatás, azonban elismeri, hogy nehéz meghatározni, hogy milyen információt kell közölni, mivel az alperes nem tudja befolyásolni a Facebook Ireland által végzett adatkezelést. Az adatkezelési célkitűzések egymásba fonódása miatt a honlapfenntartónak együttesen kell felelnie az általa lehetővé tett adatkezelésért.

82.      Belgium, Olaszország és Lengyelország szerint a tájékoztatási kötelezettség kiterjed az olyan honlapfenntartóra is, mint akiről jelen esetben szó van, mivel az adatkezelőnek minősül. Belgium hozzáteszi, hogy a honlapfenntartó továbbá köteles lehet a későbbi adatkezelés céljának ellenőrzésére, és meg kell tennie a megfelelő intézkedéseket a természetes személyek védelme érdekében. A német kormány úgy véli, hogy a tájékoztatási kötelezettség annyiban terheli a honlapfenntartót, hogy felelős az adatkezelésért, vagyis az adatoknak az elhelyezett tartalom külső szolgáltatójához való továbbításáért, azonban nem felel az ezt követő adatkezelési szakaszokért, amely a külső szolgáltató felelősségi körébe tartozik. Ausztria és a Bizottság szerint a honlapfenntartót és a külső szolgáltatót is terheli a 95/46 irányelv 10. cikke szerinti tájékoztatási kötelezettség.

83.      Az 5. és a 6. kérdés által felvetett problémákon túl hozzátehetjük, hogy valószínűleg hasonló fogalmi nehézségek merülnek fel a 95/46 irányelvben meghatározott más kötelezettségek, például a 12. cikk szerinti adathozzáféréshez való jog vonatkozásában is. Igaz, hogy a Bíróság a Wirtschaftsakademie Schleswig‑Holstein ítéletben megállapította, hogy „[a]bban az esetben, amikor több szereplő együttesen felelős ugyanazon adatkezelésért, a 95/46 irányelv […] nem követeli meg, hogy mindegyik adatkezelőnek hozzáférése legyen az érintett személyes adatokhoz”.(40) Ugyanakkor az az adatkezelő, akinek nincs hozzáférése azon adatokhoz, amelyek vonatkozásában (közös) adatkezelőnek minősül, logikusan hozzáférést sem tud biztosítani az érintetteknek (nem beszélve bármely további műveletről, mint például a helyesbítés vagy a törlés).

84.      Így tehát ebben a szakaszban az, hogy a folyamat elején a fogalmak nem egyértelműek (ki minősül adatkezelőnek és pontosan mire vonatkozóan), ami bizonyos esetekben a folyamat további szakaszában is az egyértelműség hiányához vezethet (kinek mi a kötelessége), átfordul egy olyan helyzetbe, amikor a potenciális közös adatkezelő ténylegesen nem tud megfelelni a hatályos jogszabályoknak.

85.      Természetesen javasolhatjuk, hogy a – potenciálisan meglehetősen sok közös – adatkezelő közötti felelősség pontos megosztása érdekében szerződést kell kötni. Egy ilyen szerződés nem csak a felelősség megoszlásáról rendelkezne, hanem megjelölné, hogy az irányelvben előírt egyes kötelezettségeket melyik félnek kell betartania, ideértve azokat a kötelezettségeket is, amelyeket fizikailag csak egyetlen fél tud teljesíteni.

86.      Ezt a javaslatot igen problémásnak tartom. Először is, teljesen életszerűtlen, figyelembe véve azon hivatalos szabványszerződések sűrű szövevényét, amelyeket bármelyik félnek, köztük nagy valószínűséggel számos rendes felhasználónak alá kellene írnia.(41) Másodszor a hatályos jogszabály alkalmazása és az abban előírt felelősségmegoszlás olyan magánjogi megállapodásoktól függne, amelyekhez a jogaikat érvényesíteni kívánó harmadik felek esetleg nem férhetnek hozzá.

87.      Harmadszor, talán részben előre eldöntve ezeket a kérdéseket, az általános adatvédelmi rendelet, úgy tűnik, hogy az együttes felelősség egy új rendszerét vezeti be a 26. cikkében. Természetesen igaz, hogy az általános adatvédelmi rendelet időbeli hatályánál fogva az e szakaszban tárgyalt ügyekben vagy a jelen ügyben nem volt alkalmazható. Ugyanakkor, hacsak nem tér el konkrétan vagy szisztematikusan az új jogszabály a releváns fogalommeghatározásoktól, márpedig nem, mivel az általános adatvédelmi rendelet 4. cikke nagyrészt megőrzi a 95/46 irányelv 2. cikkében szereplő kulcskifejezéseket (miközben számos újat ad hozzájuk), igen meglepő lenne, ha az ilyen kulcsfogalmak, mint az adatkezelő, adatkezelés vagy a személyes adatok értelmezése (alapos ok nélkül) jelentősen eltérnének a meglévő ítélkezési gyakorlattól.

88.      Ha így lenne, akkor a közös adatkezelőkre vonatkozóan az általános adatvédelmi rendelet 26. cikkének (3) bekezdésében bevezetett együttes felelősségi rendszer igen problémássá válna. Egyfelől az általános adatvédelmi rendelet 26. cikkének (1) bekezdése lehetővé teszi, hogy a közös adatkezelők együtt „határozzák meg [a] kötelezettségek teljesítéséért fennálló felelősségük megoszlását”. Másfelől azonban az általános adatvédelmi rendelet 26. cikkének (3) bekezdése egyértelművé teszi, hogy az „érintett […] mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja […] jogait, az említett megállapodástól függetlenül”. Vagyis a közös adatkezelők bármelyike felelősségre vonható a szóban forgó adatkezelés vonatkozásában.

b)      A szélesebb összefüggések

89.      Régen (egy bizonyos tudományos‑fantasztikus franchise rajongói hozzátennék, hogy „réges‑régen, egy messzi‑messzi galaxisban”) „menőnek” számított, ha valaki fenn volt egy közösségi hálózaton. Majd fokozatosan az imponált, ha valaki nem volt fenn egy közösségi hálózaton. Manapság mintha bűncselekmény lenne, ha valaki valamelyiken fent van (és a más által okozott kárért való felelősség új formáit kell rá bevezetni).

90.      Senki nem tagadja, hogy a bírósági döntéshozatalra egy folyamatosan alakuló szociális környezetben kerül sor. Nyilvánvaló, hogy erre a környezetre reagálnia kell, azonban nem állhat annak irányítása alatt. A közösségi hálózat, a többi alkalmazáshoz vagy programhoz hasonlóan, eszköz. Akárcsak a kés vagy az autó, sokféleképpen használható. Ahhoz sem férhet kétség, hogy a rossz célra való használatot büntetni kell. De talán nem az a legjobb ötlet, hogy bárkit és mindenkit megbüntetünk, aki valaha kést használt. Általában azt a személyt (vagy azokat a személyeket) büntetjük, aki a károkozás során a kést használta.

91.      A hatalom, az irányítás és a felelősség között tehát, még ha nem is mindig esnek pontosan egybe, legalább egy észszerű kölcsönviszonynak kell lennie. A modern jog természetesen tartalmaz különböző objektív felelősségi formákat, amelyek megállapításához elegendő bizonyos eredmények bekövetkezése. Azonban ezek inkább az igazolt kivételek. Ha a felelősséget minden indokolás nélkül olyan személyre hárítjuk, aki nem tudja befolyásolni az eredményt, a felelősség ilyen megállapítása jellemzően észszerűtlennek és igazságtalannak fog tűnni.(42)

92.      Ezenfelül, a jelen szakasz elején (71. pont) feltett kérdésre válaszolva, az Európai Unió keletibb részéből származó szkeptikus személy történelmi tapasztalatai alapján azt állíthatja, hogy valaminek a hatékony védelme drámaian csökken, ha mindenki felelős érte. Ha mindenki felelős, akkor senki sem lesz valójában felelős. Vagy még inkább, az a fél, akit egy bizonyos intézkedés miatt felelősségre kellett volna vonni, aki a irányítást ténylegesen gyakorolja, valószínűleg elbújik a többiek mögött, akik névlegesen együttesen felelnek, és így a hatékony védelem valószínűleg jelentősen felhígul.

93.      Végezetül, a jó jogszabály (‑értelmezés) nem vezethet olyan eredményre, hogy az ott előírt kötelezettséget a címzettjei ténylegesen ne tudják teljesíteni. Így tehát, hacsak a (közös) adatkezelés erőteljes meghatározása nem arra irányul, hogy bírói támogatással felhívjon arra, hogy felhagyjanak az internet használatával, ami minden szereplőre alkalmazandó, és hogy tartózkodjanak mindenféle közösségi hálózat, kiegészítő modul és tulajdonképpen minden harmadik személy által szolgáltatott tartalomtól, akkor a kötelezettségek és felelősségek meghatározásakor a valóságnak is szerepet kell kapnia, ismét csak a tájékozottság, a tárgyalási lehetőségek, valamint a vitatott gyakorlatok befolyásolására való képesség kérdését is ideértve.(43)

4.      Vissza a (jogszabályi) gyökerekhez: célok és módok egysége egy adott adatkezelési művelet vonatkozásában

94.      Bár a Bíróság a Wirtschaftsakademie Schleswig‑Holstein ítéletében igen erőteljes megközelítést alkalmazott a közös adatkezelő fogalmának meghatározására, emellett utalt arra is, hogy korlátozni kell a „közös” adatkezelők felelősségét. Konkrétabban, a Bíróság megjegyezte, hogy „az együttes felelősség fennállása nem feltétlenül jelenti a személyesadat‑kezeléssel érintett különböző szereplők azonos felelősségét. […] [E] szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét a jelen ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni”.(44)

95.      A Wirtschaftsakademie Schleswig‑Holstein ügyben ezt a konkrét kérdést nem kellett vizsgálni, kell azonban a jelen ügyben, ahol is a kérdést előterjesztő bíróság közvetlenül arra kéri a Bíróságot, hogy állapítsa meg az alperest terhelő azon lehetséges kötelezettségeket, amelyek adatkezelői jogállásából erednek.

96.      Az általános adatvédelmi rendelet 26. cikke által bevezetett új együttes felelősségi rendszert tekintve nehéz elképzelni, hogy az együttes felelősség hogyan jelenthetne nem azonos felelősséget a személyes adatok potenciálisan jogszerű (vagy jogellenes) kezelése szempontjából azonos eredményt tekintve. Különösen az általános adatvédelmi rendelet 26. cikkének (3) bekezdésére tekintettel, amely az egyetemleges felelősség irányába mozdul el.(45)

97.      Úgy vélem azonban, hogy a Bíróság fő kijelentése a második mondat, vagyis hogy „e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt”. Ezt támasztja alá a 95/46 irányelvben szereplő fogalommeghatározás is, különösen i. a 2. cikkének b) pontjában az adatkezelés, és ii. 2. cikkének d) pontjában az adatkezelő fogalmának meghatározása.

98.      Először is, a „személyes adatok kezelésének” fogalmába beletartozik „a személyes adatokon gépi vagy nem gépi eszközökkel végzett bármely művelet vagy műveletek összessége, mint például a gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, lekérdezés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés”.

99.      Még ha az adatkezelés fogalma az adatkezelő fogalmához hasonlóan igen tág is,(46) egyértelműen az adatkezelés egy adott szakaszát emeli ki, és arra irányul: valamely műveletre vagy műveletek összességére utal, példálódzó jelleggel felsorolva, hogy mik lehetnek ezek az egyes műveletek. Azonban logikusan végiggondolva, az irányítás kérdését inkább a szóban forgó külön műveletre, nem pedig egy adatkezelésnek nevezett, mindent és bármit magában foglaló meghatározatlan csomagra tekintettel kell értékelni.(47)

100. Másodszor a közös adatkezelést a 95/46 irányelv határozza meg kifejezetten. Ez a fogalom azonban logikusan a 2. cikk d) pontjában szereplő adatkezelő fogalmára épül: közös adatkezelésre akkor kerül sor, ha két vagy több személy a személyes adatok kezelésének módját és céljait együtt határozza meg.(48) Más szavakkal, ahhoz, hogy két (vagy több) személy közös adatkezelő legyen, a személyes adatok kezelésére vonatkozó célnak és módnak mindegyikőjüknél azonosnak kell lennie.

101. Véleményem szerint e két fogalommeghatározás együttesének kell meghatároznia a közös adatkezelők kötelezettségeit és potenciális felelősségét. Valamely (közös) adatkezelő azért a műveletért vagy műveletek összességéért felelős, amelynek céljait és módjait osztja, vagy amely céljainak és módjainak meghatározásában részt vesz egy adott adatkezelési művelet vonatkozásában. Ezzel szemben az említett személy nem vonható felelősségre az adatkezelés teljes láncolatának azon korábbi vagy későbbi szakaszáért, amelyre vonatkozóan nem volt abban a helyzetben, hogy az adatfeldolgozás adott szakaszának céljait vagy módjait meghatározza.

102. A jelen ügyben az adatkezelés releváns szakasza (műveletei) a személyes adatok gyűjtése és továbbítása, ami a Facebook „Tetszik” gombja révén valósul meg.

103. Először is, az említett adatkezelési műveletek módjait illetően, a felperes, az LDI NW és a német kormány állításának megfelelően bizonyítottnak tűnik, hogy az alperes dönt a szóban forgó kiegészítő modul használatáról, amely a személyes adatok gyűjtésének és továbbításának eszközéül szolgál. A gyűjtést és a továbbítást az alperes honlapjának meglátogatása idézi elő. Ezt a kiegészítő modult a Facebook Ireland szolgáltatta az alperes részére. Ezért úgy tűnik, hogy mind a Facebook Ireland, mind pedig az alperes önkéntesen idézte elő a személyes adatkezelés gyűjtésének és továbbításának szakaszát. Természetesen ezt a tényszerűség szintjén a nemzeti bíróságnak ellenőriznie kell.

104. Másodszor, az adatkezelés célját tekintve, az előzetes döntéshozatalra utaló végzés nem határozza meg, hogy az alperes milyen okból döntött úgy, hogy a Facebook „Tetszik” gombját elhelyezi a honlapján. Ugyanakkor úgy tűnik, és ezt a kérdést előterjesztő bíróságnak kell ellenőriznie, hogy ezt a döntést az ösztönözte, hogy az alperes a közösségi hálózat révén szerette volna növelni termékének láthatóságát. Ugyanakkor úgy tűnik, hogy a Facebook Irelandhez továbbított adatokat ez utóbbi saját kereskedelmi céljaira is felhasználták.

105. Annak ellenére, hogy az adatok konkrét kereskedelmi felhasználása esetleg nem azonos, általában az alperes és a Facebook Ireland is látszólag kereskedelmi célokra törekedett, egymást kölcsönösen kiegészítő módon. Ily módon, habár céljaik nem azonosak, de egységesek: kereskedelmi és reklámcélokra törekedtek.

106. A jelen ügy tényállása alapján ezért úgy tűnik, hogy az alperes és a Facebook Ireland együtt dönt az adatkezelés módjairól és céljairól a szóban forgó személyes adatok gyűjtésének és továbbításának szakaszában. Ennyiben az alperes adatkezelőként jár el, és felelőssége, megint csak ennyiben, a Facebook Irelanddel együttes felelősség.

107. Ugyanakkor úgy vélem, hogy az alperes felelősségét az adatkezelés azon szakaszára kell korlátozni, amelyben részt vett, és az nem terjedhet át az adatkezelés bármely potenciális későbbi szakaszára, amennyiben az ilyen adatkezelés az irányításán, és úgy tűnik, a tudtán kívül történik.

108. A fentiek tükrében ezért a második közbenső következtetésem az, hogy a 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőnek kell tekinteni azt a személyt, mint amilyen az alperes, aki valamely harmadik személy olyan kiegészítő modulját, amely felhasználó személyes adatait gyűjti és továbbítja, elhelyezte a honlapján a(és az említett harmadik személy szolgáltatta a kiegészítő modult). Ugyanakkor az adatkezelő (együttes) felelőssége azokra a műveletekre korlátozódik, amelyek vonatkozásában ténylegesen részt vesz a személyes adatok kezelésének módjairól és céljairól való döntésben.

109. Hozzá kell tenni, hogy ez a következtetés az előterjesztett harmadik kérdésre is választ ad. Az említett kérdéssel a kérdést előterjesztő bíróság lényegében arról kíván meggyőződni, hogy a 95/46 irányelvvel ellentétes‑e a Störer (akadályozó) nemzeti jogi fogalmának az alperesre való alkalmazása, amennyiben megállapításra kerül, hogy az alperes nem tekinthető adatkezelőnek. Az előzetes döntéshozatalra utaló végzés értelmében a Störer fogalmának értelmében az a személy, aki maga nem sért jogot, de kialakítja vagy növeli a harmadik felek általi jogsértés lehetőségének kockázatát, kötelezhető arra, hogy megtegyen minden tőle telhetőt a jogsértés megelőzésére. Amennyiben az alperes nem tekinthető adatkezelőnek, a kérdést előterjesztő bíróság szerint fennállnak a Störer fogalmának alkalmazási feltételei, mivel az alperes a Facebook „Tetszik”‑gombja kiegészítő moduljának elhelyezésével legalábbis megteremtette annak kockázatát, hogy a Facebook jogsértést kövessen el.

110. A kérdést előterjesztő bíróság második kérdésére adott válaszra tekintettel a harmadik kérdésre nem szükséges válaszolni. Amennyiben bizonyítást nyer, hogy egy adott személyt a 95/46 irányelv hatálya alá tartozó adatkezelőnek kell tekinteni, adatkezelői kötelezettségét az említett irányelvben meghatározott kötelezettségek tükrében kell értékelni. Az ezzel ellentétes következtetés azt eredményezné, hogy egy adott jogsértés esetén az adatkezelőket különböző felelősség terhelné a különböző tagállamokban. Ebben az értelemben, és az adatkezelő fogalmának meghatározását tekintve a 95/46 irányelv valóban teljes harmonizációt valósít meg a meghatározott kötelezettségek címzettjeit illetően.(49)

C.      A 95/46 irányelv 7. cikkének f) pontja alapján figyelembe veendő jogos érdekek

111. A jelen ügyben feltett negyedik kérdés a személyes adatok kezelésének jogszerűségére vonatkozik, abban az esetben, ha hiányzik az érintettnek a 95/46 irányelv 7. cikkének a) pontja értelmében vett hozzájárulása.

112. E vonatkozásban a kérdést előterjesztő bíróság a 95/46 irányelv 7. cikkének f) pontjára hivatkozik, amely értelmében a személyes adatok kezelése akkor jogszerű, ha „az adatkezelés, az adatkezelő, vagy azon harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, akivel vagy akikkel az adatokat közölték, kivéve ha ezeknél az érdekeknél magasabb rendűek az érintett[…] érdekei az alapvető jogok és szabadságok tekintetében.”. Konkrétabban, a kérdést előterjesztő bíróság arról kíván meggyőződni, hogy kinek a jogos érdekét kell figyelembe venni a jelen ügyben: a harmadik személy tartalmát elhelyező alperesét vagy a harmadik személyét (vagyis a Facebook Irelandét).(50)

113. Előzetes észrevételként meg kell jegyezni, hogy a Bizottság úgy véli, hogy a negyedik kérdés irreleváns, mivel a jelen esetben a felhasználónak mindenképpen meg kell adnia a hozzájárulását, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló 2002/58/EK irányelvet (a továbbiakban: elektronikus hírközlési adatvédelmi irányelv)(51) végrehajtó jogszabály alkalmazásával.

114. Egyetértek a Bizottsággal abban, hogy az elektronikus hírközlési adatvédelmi irányelv (amely 1. cikkének (2) bekezdése értelmében az elektronikus hírközlési ágazatban pontosítja és kiegészíti a 95/46 irányelvet)(52) alkalmazandónak tűnik az itt tárgyalt helyzetre, amennyiben a felhasználó eszközein sütik elhelyezésére kerül sor.(53) Ezenfelül az elektronikus hírközlési adatvédelmi irányelv 2. cikkének f) pontja és (17) preambulumbekezdése a hozzájárulást a 95/46 irányelvben szereplő hozzájárulás fogalmára hivatkozva határozza meg.

115. Arról, hogy az alapeljárásban szereplő esetben a sütik elhelyezésére sor került‑e, a tárgyaláson részletes vita folyt. A nemzeti bíróság feladata a tényállás pontosítása. Ugyanakkor, amint az az előzetes döntéshozatalra utaló végzésben szerepel, a kérdést előterjesztő bíróság mindenesetre úgy véli, hogy a továbbított adat személyes adatnak minősül.(54) A sütik kérdése ezért nem ad választ minden kérdésre, amely az adatkezeléssel kapcsolatban a jelen ügyben nyilvánvalóan felmerült.(55)

116. Ezért úgy vélem, hogy a 4. kérdés további vizsgálatot igényel.

117. A felperes előadja, hogy az alperes jogos érdekét kell figyelembe venni. Hozzáteszi, hogy jelen ügyben sem az alperes, sem a Facebook Ireland nem hivatkozhat jogos érdekre.

118. Az alperes és a Facebook Ireland lényegében azzal érvel, hogy a harmadik személy tartalmát elhelyező személy, valamint a harmadik személy jogos érdekét kell figyelembe venni, figyelembe véve azon honlaplátogatók érdekeit, akiknek az alapvető jogai érintve lehetnek.

119. Az LDI NW, Lengyelország, Németország és Olaszország úgy véli, hogy az alperes és a Facebook Ireland jogos érdekeit is figyelembe kell venni, mivel mindkettő lehetővé tett a szóban forgó adatkezelést. Ausztria hasonló véleményen van. Belgium hasonlóképpen, és a Bíróság Google Spain ítéletére hivatkozva hangsúlyozza, hogy az adatkezelő, és azon harmadik személy jogos érdekét kell figyelembe venni, akihez az érintett személyes adatokat továbbították.

120. Már az elején emlékeztetni kell arra, hogy a személyes adatok bármilyen kezelésének meg kell felelnie – egyéb feltételek mellett – az adatkezelés jogszerűségére vonatkozó, a 95/46 irányelv 7. cikkében felsorolt kritériumok egyikének.(56)

121. A Bíróság kifejezetten a 7. cikk f) pontját illetően a Bíróság emlékeztetett arra, hogy az említett rendelkezés „három együttes feltételhez rendeli a személyes adatok kezelésének jogszerűségét: először is, az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítése, másodszor, a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, és harmadszor, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek”.(57)

122. A 95/46 irányelv nem határozza meg vagy sorolja fel a „jogos érdekeket”. Úgy tűnik, ez a fogalom meglehetősen rugalmas és nyitott.(58) Nincs olyan fajta érdek, amely eleve ki lenne zárva, feltéve természetesen, hogy maguk jogszerűek. Amint azt a tárgyaláson lényegében megvitatták, és amint azt fent kifejtettem,(59) úgy tűnik, hogy a jelen ügyben a személyes adatok hirdetésoptimalizálás céljával történő gyűjtéséről és továbbításáról van szó, annak ellenére, hogy az alperes és a Facebook Ireland konkrét kereskedelmi végső célja esetleg nem teljesen ugyanaz.

123. E megfontolásokat szem előtt tartva egyetértek azzal, hogy a marketing vagy a hirdetés önmagában ilyen jogos érdeknek minősülhet.(60) Elég nehéz a jelen ügy összefüggésében túllépni ezen az állításon, mivel a fenti általános kijelentéseken túl tényszerűen nincs konkrét információnk arról, hogy a továbbított és megszerzett adatokat pontosan hogyan használták fel.

124. Mindemellett a kérdést előterjesztő bíróság az alapeljárásban előterjesztett konkrét jogos érdekek alapján végzendő értékelést nem tárgyalja, és arra vonatkozóan nem is kér iránymutatást. A 4. kérdésében a kérdést előterjesztő bíróság csupán arról szeretne meggyőződni, hogy kinek a jogos érdekét kell figyelembe venni annak érdekében, hogy el lehessen végezni a 95/46 irányelv 7. cikkének f) pontja szerinti mérlegelést.

125. A fenti 2. kérdésre javasolt válaszom tükrében úgy vélem, hogy mind az alperes, mind pedig a Facebook Ireland jogos érdekét figyelembe kell venni, mivel mindketten közös adatkezelőként járnak el a vonatkozó személyesadat‑kezelési művelet tekintetében.

126. Mivel közös adatkezelői jogállásuk azzal jár, hogy személyesadat‑kezelési céljuk is közös, valamely jogos érdek fennállását mindkettőjük viszonylatában, legalább a fent kifejtett általános szinten bizonyítani kell. Ezt az érdeket azután súlyozni kell az érintettnek a 95/46 irányelv 7. cikke f) pontjának utolsó részében meghatározott jogaival szemben,(61) és ez a súlyozás „főszabály szerint az adott eset sajátos körülményeitől függ”.(62) Emlékeztetek arra, hogy ilyen körülmények között az adatkezelésnek szükségesnek is kell lennie.(63)

127. A fentiek alapján a harmadik közbenső következtetésem az, hogy a személyesadat‑kezelés lehetőségének a 95/46 irányelv 7. cikkének f) pontjában meghatározott feltételek alapján történő értékeléséhez a szóban forgó mindkét közös adatkezelő jogos érdekét figyelembe kell venni, és súlyozni kell az érintettek jogaival szemben.

D.      Az alperesnek az érintettől beszerzendő hozzájárulással és az érintett számára nyújtandó tájékoztatással kapcsolatos kötelességei

128. A kérdést előterjesztő bíróság az 5. kérdésével azt szeretné megtudni, hogy az ügyben felmerült körülmények között kinek a részére kell megadni a 95/46 irányelv 7. cikkének a) pontja, valamint 2. cikkének h) pontja szerinti hozzájárulást.

129. A kérdést előterjesztő bíróság a 6. kérdésével azt szeretné megtudni, hogy az ügyben felmerült körülmények között a 95/46 irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót (mint amilyen az alperes) is terheli‑e, aki harmadik fél tartalmára hivatkozik, és ezzel okot ad a személyes adatok harmadik fél általi kezelésére.

130. Amint azt fent láthattuk,(64) ezekre a kérdésekre számos választ javasoltak. Ugyanakkor, miután a kötelezettség pontos jellegét a 2. kérdésnél meghatároztam, mind a kötelezettet (ki), mind pedig a kötelezettség jellegét (mire vonatkozik) illetően, és ennek folytán ez a kérdés a folyamat elején egyértelművé vált, a folyamat további szakaszán felmerülő bizonyos kötelezettségekkel foglalkozó 5. és a 6. kérdésre adandó válaszok is világosabbak.

131. Először is, úgy vélem, hogy a hozzájárulásnak és a tájékoztatásnak is le kell fednie azon adatkezelési művelet(ek), nevezetesen az adatgyűjtés és ‑továbbítás minden vonatkozását, amely(ek)ért a közös adatkezelők együttesen felelősek. Ezzel szemben a hozzájárulással és a tájékoztatással kapcsolatos ilyen kötelezettségek nem terjednek ki az adatkezelés azon későbbi szakaszára, amelyben az alperes nem vesz részt, és amelynek módjait vagy céljait logikusan nem határozza meg.

132. Másodszor, a fenti feltételek alapján azt lehet mondani, hogy a hozzájárulás a közös adatkezelők bármelyikének megadható. Ugyanakkor figyelembe véve az itt tárgyalt konkrét helyzetet, az említett hozzájárulást az alperesnek kell megadni, mivel az adatkezelési műveletre ténylegesen a honlapja meglátogatásakor kerül sor. Nyilvánvalóan nem lenne összhangban az érintett jogainak hatékony és időszerű védelmével, ha a hozzájárulást annak a közös adatkezelőnek kellene adni, aki csak egy későbbi szakaszban játszik szerepet (ha egyáltalán), azt követően, hogy az adatgyűjtés és ‑továbbítás már megtörtént.

133. Hasonló választ kell adni az alperesnek a 95/46 irányelv 10. cikke alapján fennálló tájékoztatási kötelezettségét illetően is. Ez a rendelkezés egy minimum listát tartalmaz azokról az információkról, amelyekről az adatkezelőnek az érintettet (vagy képviselőjét) tájékoztatnia kell. A következőket tartalmazza: az adatkezelőnek (vagy képviselőjének) a személye; az adatkezelés célja, amelyre az adatokat szánják; minden további adat, „amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatkezelés biztosításához szükségesek.” A 10. cikk példákat ad az ilyen további információkra, amelyek közé tartozik, ami a jelen ügyben releváns lehet, az adatok címzettjeire vagy betekintési jogra és az érintettre vonatkozó adatok helyesbítéséhez való jogra vonatkozó információ.

134. A listát figyelembe véve az alperes egyértelműen olyan helyzetben van, hogy tájékoztatást tud nyújtani a közös adatkezelők személyéről, az adatkezelés vonatkozó szakaszának céljáról (az[okról] a művelet[ekről], amely tekintetében közös adatkezelést végez); valamint arról, hogy ezek az adatok továbbításra kerülnek.

135. Ezzel szemben a betekintési jogot és a helyesbítéshez való jogot illetően, ha jól értem, az alperes maga sem fér hozzá a Facebook Irelandhez továbbítandó adatokhoz, mivel semmiképpen nem vesz részt az adatok tárolásában. Ezért lehet azt javasolni, hogy erre a kérdésre vonatkozóan megállapodást kössön a Facebook Irelanddel.

136. Azonban egy ilyen javaslat a fent megfogalmazott érveken túl(65) megint csak kiterjesztené a (közös) adatkezelő(k) kötelezettségét és felelősségét olyan műveletekre, amelyekért nem felelősek. Amennyiben a közös adatkezelés az olyan művelet(ek)ért vállalt felelősséget jelenti, amely(ek)re vonatkozóan az adatkezelők céljai és módjai egységesek, akkor logikusan az irányelv alapján felmerülő más kötelezettségeknek, így a hozzájárulásra, a tájékoztatásra, a betekintésre vagy a helyesbítésre vonatkozó kötelezettségeknek is meg kell felelniük az eredeti kötelezettség hatályának.(66)

137. A Bizottság a tárgyaláson azt is megjegyezte, hogy azok a látogatók, akik rendelkeznek Facebook‑fiókkal, esetleg már korábban hozzájárultak az ilyen adattovábbításhoz. Ez az alperes differenciált felelősségét eredményezheti, és a Bizottság nyilvánvalóan azt állítja, hogy az alperesnek a tájékoztatásra és a hozzájárulás kérésére vonatkozó kötelezettsége csak az alperes honlapját meglátogató nem‑Facebook‑felhasználókra vonatkozzon.

138. A fentiekkel nem értek egyet. Nehezen tudom elfogadni azt a gondolatot, hogy differenciált (kevesebb védelmet nyújtó) bánásmódban részesüljenek a „Facebook‑felhasználók” a jelen ügy körülményei között, azért, mert már elfogadták, hogy a Facebook (bármelyik) személyes adatukat kezelheti. Valójában egy ilyen érv azt sugallja, hogy ha az ember egy Facebook‑fiókot nyit, előre elfogadja, hogy a Facebookkal bármilyen kapcsolatban álló harmadik személy az ilyen „Facebook‑felhasználók” online tevékenységére vonatkozóan bármiféle adatkezelést végezzen. Ez olyan esetben is így van, amikor nincs látható jele annak, hogy ilyen adatkezelésre sor kerül (mint ahogyan az történik akkor, amikor az ember egyszerűen ellátogat az alperes honlapjára). Más szóval, ha elfogadnánk a Bizottság javaslatát, az valójában azt jelentené, hogy ha valamely felhasználó Facebook‑fiókot nyit, azzal ténylegesen lemond személyes adatainak a Facebookkal szembeni mindennemű online védelméről.

139. Ezért úgy vélem, hogy az alperes felelősségének, valamint az ebből eredő, a hozzájárulással és a tájékoztatással eredő kötelezettségeinek minden érintettel szemben azonosnak kell lenniük, függetlenül attól, hogy rendelkeznek‑e Facebook‑fiókkal.

140. Ezenfelül, megint csak egyértelmű, hogy még azelőtt meg kell szerezni az említett hozzájárulást és meg kell adni a tájékoztatást, hogy az adatgyűjtésre és ‑továbbításra sor kerülne.(67)

141. Így a fentiek tükrében az 5. és a 6. kérdésre adott válaszul a végső közbenső következtetésem az, hogy a jelen ügyhöz hasonló helyzetben az érintettnek a 95/46 irányelv 7. cikkének a) pontja alapján megszerzett hozzájárulását a honlapfenntartónak, mint amilyen az alperes, kell megadni, aki a harmadik személy tartalmát elhelyezte. A 95/46 irányelv 10. cikkét úgy kell értelmezni, hogy az említett rendelkezés szerinti tájékoztatási kötelezettség az ilyen honlapfenntartóra is vonatkozik. Az érintettnek a 95/46 irányelv 7. cikkének a) bekezdése szerinti hozzájárulást meg kell adnia és az ugyanazon irányelv 10. cikke szerinti tájékoztatásának meg kell történnie, mielőtt az adatgyűjtésre és ‑továbbításra sor kerülne. Ugyanakkor az említett kötelezettségek tartalmának meg kell felelnie az említett honlapfenntartó személyes adatok gyűjtésére és továbbítására vonatkozó együttes felelősségének.

V.      Végkövetkeztetés

142. A fenti megfontolások tükrében azt javaslom a Bíróságnak, hogy az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) által feltett kérdésekre a következőképpen válaszoljon:

– A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelvvel nem ellentétes az a nemzeti jogszabály, amely a közhasznú szervezeteknek jogot biztosít arra, hogy az adatvédelmi jogszabály állítólagos megsértőjével szemben jogi eljárást indítson a fogyasztói érdekek védelme érdekében.

– A 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőnek kell tekinteni azt a személyt, aki valamely harmadik személy olyan kiegészítő modulját, amely a felhasználó személyes adatait gyűjti és továbbítja, elhelyezte a honlapján (és az említett harmadik személy szolgáltatta a kiegészítő modult). Ugyanakkor az adatkezelő (együttes) felelőssége azokra a műveletekre korlátozódik, amelyek vonatkozásában ténylegesen részt vesz a személyes adatok kezelésének módjairól és céljairól való döntésben.

– A személyesadat‑kezelés lehetőségének a 95/46 irányelv 7. cikkének f) pontjában meghatározott feltételek alapján történő értékeléséhez a szóban forgó mindkét közös adatkezelő jogos érdekét figyelembe kell venni, és azt súlyozni kell az érintettek jogaival szemben.

– Az érintettnek a 95/46 irányelv 7. cikkének a) pontja alapján megszerzett hozzájárulását azon honlapfenntartó részére kell megadni, aki a harmadik személy tartalmát elhelyezte. A 95/46 irányelv 10. cikkét úgy kell értelmezni, hogy az említett rendelkezés szerinti tájékoztatási kötelezettség az ilyen honlapfenntartóra is vonatkozik. Az érintettnek a 95/46 irányelv 7. cikkének a) bekezdése szerinti hozzájárulást azt megelőzően kell megadnia, és az ugyanazon irányelv 10. cikke szerinti tájékoztatásának azt megelőzően kell megtörténnie, mielőtt az adatgyűjtésre és ‑továbbításra sor kerülne. Ugyanakkor az említett kötelezettségek tartalmának meg kell felelnie az említett honlapfenntartó személyes adatok gyűjtésére és továbbítására vonatkozó együttes felelősségének.

1      Eredeti nyelv: angol.

2      A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).

3      A 2009. április 23‑i európai parlamenti és tanácsi irányelv (HL 2009. L 110., 30. o.).

4      Megjegyzem, hogy az előzetes döntéshozatalra utaló végzésben az szerepel, hogy a kiegészítő modult a Facebook Ireland vagy az utóbbinak az Amerikai Egyesült Államokban bejegyzett anyavállalata, a Facebook Inc. bocsátotta az alperes rendelkezésére. Ugyanakkor úgy tűnik, hogy jelen eljárás összefüggésében a kérdést előterjesztő bíróság előtt és a jelen Bíróság előtt folyó eljárásban is a Facebook Ireland vállalja a 95/46 irányelv szerinti esetleges felelősséget. Ezért nem látom indokoltnak, hogy megvitassam a 95/46 irányelv lehetséges alkalmazását a Facebook Ireland anyavállalata vonatkozásában.

5      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46 irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.).

6      „A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyelő hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”

7      Ugyanakkor a teljesség kedvéért hozzáteszem, hogy bár a 2016. július 28‑i Verein für Konsumenteninformation ítélet (C‑191/15, EU:C:2016:612) a 95/46 irányelv értelmezéséről szóló olyan kérdésre vonatkozott, amely egy szervezet által indított nemzeti eljárásban merült fel, a Bíróság abban az ügyben nem vizsgálta a keresetindítási jog kérdését, egyszerűen azért, mert ezt a konkrét kérdést nem tették fel.

8      Amint azt megismétli például: 1985. május 23‑i Bizottság kontra Németország ítélet (C‑29/84, EU:C:1985:229, 22. pont); 2012. február 14‑i Flachglas Torgau ítélet (C‑204/09, EU:C:2012:71, 60. pont); 2018. április 19‑i CMR‑ítélet (C‑645/16, EU:C:2018:262, 19. pont).

9      2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 53. pont).

10      Lásd még: 2008. december 16‑i Huber ítélet (C‑524/06, EU:C:2008:724, 50. pont).

11      Így, szemben a 2018. január 25‑i Schrems ítélettel (C‑498/16, EU:C:2018:37), nem jár a követelések egy konkrét személy részére történő átruházásával, és a nemzeti jogban nyilvánvalóan egyértelmű jogalappal rendelkezik a fogyasztói érdekek egyfajta közös képviselete érdekében.

12      Vagy más szóval, a tagállamoknak különösen az intézményi szerkezetet vagy eljárást illetően számos olyan kérdésről kell gondoskodniuk, amelyet az irányelv szintén nem említ kifejezetten (így például valamely jog bírói úton való érvényesítését illetően, nemcsak a keresetindítási jog kérdéséről, hanem például az eljárás megindításának határidejéről; (adott esetben) az eljárási illetékekről; a bíróságok hatásköréről stb.). Mondhatjuk‑e ekkor is, hogy mivel a 95/46 irányelvnek sem a 22. cikke, sem a 24. cikke nem említette ezeket a kérdéseket, a tagállamok nem rendelkezhetnek a nemzeti jogban ezekről a kérdésekről?

13      A 2009/22/EK irányelv 3. cikkének fogalommeghatározása szerint.

14      Lásd például: 2003. november 6‑i Lindqvist ítélet (C‑101/01, EU:C:2003:596, 96. pont); 2008. december 16‑i Huber ítélet (C‑524/06, EU:C:2008:724, 51. pont); 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet (C‑468/10 és C‑469/10, EU:C:2011:777, 29. pont); 2013. november 7‑i IPI ítélet (C‑473/12, EU:C:2013:715, 31. pont).

15      2003. november 6‑i Lindqvist ítélet (C‑101/01, EU:C:2003:596, 97. pont).

16      Lásd: Dzivev ügyre vonatkozó indítványom (C‑310/16, EU:C:2018:623, 72. és 74. pont).

17      A fenti 8. pontban megismételve.

18      Lásd ismét a fenti 12. lábjegyzetben szereplő példákat.

19      Akika A 95/46 irányelv 28. cikkének rendelkezése szerint felügyelik az utóbbi irányelv alapján elfogadott rendelkezések alkalmazását.

20      A 95/46 irányelv 28. cikkének (1) bekezdése alapján előírt szintet illetően lásd: 2010. március 9‑i Bizottság kontra Németország ítélet (C‑518/07, EU:C:2010:125, 18–30. pont); 2012. október 16‑i Bizottság kontra Ausztria ítélet (C‑614/10, EU:C:2012:631, 41–66. pont).

21      Más jogterülettel való analógiával élve, ezek alapján a versenyjog magánjogi érvényesítése is veszélyeztetné a (nemzeti) versenyhatóságok függetlenségét? Lásd: 2001. szeptember 20‑i Courage és Crehan ítélet (C‑453/99, EU:C:2001:465, 26–27. és 29. pont); 2006. július 13‑i Manfredi és társai ítélet (C‑295/04–C‑298/04, EU:C:2006:461, 59–60. pont). Lásd még a tagállamok és az Európai Unió versenyjogi rendelkezéseinek megsértésén alapuló, nemzeti jog szerinti kártérítési keresetekre irányadó egyes szabályokról szóló, 2014. november 26‑i 2014/104/EU európai parlamenti és tanácsi irányelv (HL 2014. L 349,., 1. o.), (5) preambulumbekezdését.

22      Általánosságban (függetlenül a megváltozott jogi forma konkrét kérdésétől) mit jelent a korábbi jogszabály értelmezésére nézve az, hogy a jogalkotó egy új jogszabályba beillesztett valamit, ami korábban nem volt jelen? Könnyen előfordulhat, hogy az említett elv a korábbi jogszabályban is „bennefoglaltatott”, és most csak egyértelművé lett téve. Azonban azt is jelentheti, hogy éppen azért, mert ez a rendelkezés nem volt korábban jelen, az új rendelkezés módosítás. Tekintettel arra, hogy gyakran és megkérdőjelezhetetlen módon (vissza)élnek azzal az érvvel, hogy „mindig is ott volt, most csak egyértelművé lett téve”, amely a gyakorlatban azt jelenti, hogy az új szabályt bőven az időbeli hatályát megelőző időszakra kiterjesztik, az ilyen érveket óvatosan kell használni, ha egyáltalán használjuk őket.

23      A dinamikus IP‑címek vonatkozásában lásd: 2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779, 33. és az azt követő pontok). Lásd még: 2011. november 24‑i Scarlet Extended ítélet (C‑70/10, EU:C:2011:771, 51. pont).

24      2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779, 41–45. pont).

25      Fenti 19. pont.

26      Kiemelés tőlem.

27      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 29. pont); 2018. július 10‑i Jehovan todistajat ítélet (C‑25/17, EU:C:2018:551, 65. pont).

28      Lásd: 2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 34.. pont); 2018. július 10‑i Jehovan todistajat ítélet (C‑25/17, EU:C:2018:551, 66. pont).

29      2018. június 5‑i ítélet (C‑210/16, EU:C:2018:388).

30      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 39. pont).

31      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 35. pont).

32      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 36. pont).

33      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 34–38. pont).

34      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, 39. és 41. pont).

35      2018. július 10‑i ítélet (C‑25/17, EU:C:2018:551, 68–72. pont).

36      Amint azt Bot főtanácsnok a Wirtschaftsakademie Schleswig‑Holstein ügyre vonatkozó indítványában (C‑210/16, EU:C:2017:796, 66–72. pont) javasolta.

37      Ebben az összefüggésben nyilvánvalóan nem alkalmazható a fogyasztóvédelemmel való analógia, vagyis hogy a tárgyalás során a „nem hivatásos” félnek ugyanakkora súlya kell hogy legyen a feltételek megállapítása során. Vagyis meg kell vitatni, hogy valamely rajongói oldal adminisztrátora milyen mértékű „beállítási tevékenységet” végez (és ebből mennyi egyszerű mechanikus kattintgatás és választás az előre megadott lehetőségek közül, mint minden más „fogyasztó” esetében).

38      2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388, a 35. pont).

39      Manapság számos program és alkalmazás továbbít a fejlesztő vagy a szoftverértékesítő felé a felhasználó – néha kifejezett, máskor talán kevésbé kifejezett – beleegyezésével analitikai információkat, amelyek közé személyes adatok is tartozhatnak.

40      2018. június 5‑i ítélet (C‑210/16, EU:C:2018:388, 38. pont).

41      Megint csak vitatható, hogy pontosan milyen feltételek és milyen tárgyalási lehetőségek mellett kerülhet erre sor (lásd a fenti 37. pontot).

42      Vagy Sir Humphrey Appleby kevésbé tárgyilagos megfogalmazásával élve (ő maga nyilvánvalóan egy régebbi, ismeretlen eredetű idézetre hivatkozik): „Felelősség hatalom nélkül – az idők során a háremőrök előjoga” (In: „Igenis, miniszter úr”, 2. évad, 7. epizód, „Az oktatás szolgálatában”, első vetítés időpontja: 1988. január 21.).

43      A fenti 73. pontban és a 38. és 42. lábjegyzetben foglaltak értelmében is.

44      2018. június 5‑i ítélet (C‑210/16, EU:C:2018:388, 43. pont).

45      Lásd a fenti 87–88. pontot.

46      Lásd még: a 29. cikk alapján létrehozott adatvédelmi munkacsoport (a 95/46 irányelv 29. cikke alapján létrehozott tanácsadó szerv, amelynek helyébe mára az általános adatvédelmi rendelet 68. cikke alapján létrehozott Európai Adatvédelmi Testület lépett) személyes adat fogalmáról szóló, 2007. június 20‑i 4/2007. sz. véleménye, 01248/07/EN WP 136, 4. o.

47      Emellett figyelembe véve azt az egyszerű tényt, hogy az adatkezelés aligha történik valaha is lineárisan, úgy, hogy a 2. cikk b) pontjában felsorolt műveleteken egyetlen személy, egymás után végighalad. A személyes adatok élete inkább ciklikus, hurkokat ír le, itt‑ott különválnak, az adathalmazokat különböző végpontokon gyűjtik össze, majd különböző személyek férnek hozzá, ezután összevonják és megtekintik, majd talán újra összevonják és ismét továbbítják különböző személyeknek és így tovább.

48      A 29. cikk alapján létrehozott adatvédelmi munkacsoport szerint „együttes adatkezelésre akkor kerül sor, ha konkrét [adatkezelési] műveletek vonatkozásában különböző felek határozzák meg vagy a célt vagy a mód […] alapvető elemeit”. Lásd: a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak az adatkezelő és az adatfeldolgozó fogalmáról szóló, 2010. február 16‑i 1/2010. sz. véleménye, 00264/10/EN WP 169, 19. o.

49      Az első kérdés vonatkozásában a fenti 39–42. pontban tárgyalt helyzettel szemben.

50      A negyedik kérdés német változatát olvasva én úgy értelmezem, hogy a kérdést előterjesztő bíróság által feltett negyedik kérdés hatálya a figyelembe veendő érdekek meghatározására korlátozódik, nem pedig az érdekek mérlegelése során döntő (vagyis esetleg nagyobb súllyal latba eső) érdekek meghatározására, amint a német kérdés angol fordítása sugallja. Vagyis a kérdés inkább a mérlegelés bemenetére, nem pedig kimenetére irányul.

51      A Az2002. július 12‑i európai parlamenti és tanácsi irányelv (Elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.).

52      Lásd még: 2011. május 5‑i Deutsche Telekom ítélet (C‑543/09, EU:C:2011:279, 50. pont). Az elektronikus hírközlési adatvédelmi irányelv (10) preambulumbekezdése értelmében: „az elektronikus hírközlési ágazatban a [95/46] irányelv alkalmazandó az alapvető jogok és szabadságok védelmével kapcsolatos területekre, amelyet a jelen irányelv rendelkezései nem kifejezetten szabályoznak, beleértve az adatkezelők kötelezettségeit és az egyének jogait. A [95/46] irányelv alkalmazandó a nem nyilvános hírközlési szolgáltatásokra”.

53      Ebben az összefüggésben lásd az elektronikus hírközlési adatvédelmi irányelv 5. cikkének (3) bekezdését, amely kimondja, hogy „A tagállamok gondoskodnak arról, hogy az elektronikus hírközlő hálózatoknak egy előfizető vagy felhasználó végberendezésében történő adattárolásra való felhasználása, illetve az ott tárolt adatokhoz való hozzáférésre való felhasználása csak azzal a feltétellel legyen megengedett, ha az érintett előfizetőt vagy felhasználót a [95/46] irányelvvel összhangban egyértelműen és teljes körűen tájékoztatják – többek között – az adatkezelés céljairól […]”.

54      Ezzel összefüggésben, megint csak a B.1. bevezető szakaszra (fenti 55–58. pont) hivatkozom, valamint arra, hogy tényszerűen ellenőrizni kell, hogy pontosan mi kerül továbbításra, és hogy az az információ valóban személyes adat‑e.

55      Lásd még: a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak a sütikhez való hozzájárulás megszerzésével kapcsolatos iránymutatásról szóló, 2013. október 2‑i 02/2013. sz. dokumentum, 5–6. o., amely szerint „mivel a felhasználók eszközein történő adattárolás vagy a már ott tárolt adatok megszerzése sütik révén személyes adatok kezelésével járhat, ebben az esetben egyértelműen alkalmazandók az adatvédelmi szabályok”.

56      E tekintetben lásd: 2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 71. pont, valamint az ott hivatkozott ítélkezési gyakorlat); 2017. május 4‑i Rīgas satiksme ítélet, C‑13/16, EU:C:2017:336, 25. pont).

57      2017. május 3‑i Color Drack ítélet, C‑386/05, EU:C:2007:262, 28. pont. Lásd még: 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet (C‑468/10 és C‑469/10, EU:C:2011:777, 38. pont).

58      Lásd: Rīgas satiksme ügyre vonatkozó indítványom (C‑13/16, EU:C:2017:43, 64. és 65. pont). Amint arra ott emlékeztettem, a Bíróság ilyennek ismerte el az átláthatóságot (2010. november 9‑i Volker und Markus Schecke és Eifert ítélet [C‑92/09 és C‑93/09, EU:C:2010:662, 77. pont]), valamint a tulajdon, testi épség és a családi élet védelmét (2014. december 11‑i Ryneš ítélet [C‑202/13, EU:C:2014:2428, 34. pont]). Lásd még: 2008. január 29‑i Promusicae ítélet (C‑275/06, EU:C:2008:54, 53. pont); 2017. május 4‑i Rīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 29. pont).

59      Lásd a jelen indítvány fenti 104–105. pontját.

60      Lásd még: a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról szóló 06/2014. sz. véleménye (844/14/EN WP 217), 25. o.

61      Amint arra máshol utaltam, „a jogszerű versengő érdekeknek nem pusztán a fennállását kell megállapítani, hanem azoknak az érintett” a Charta 7. és 8. cikkéből eredő „érdekeivel vagy jogaival és szabadságaival szembeni elsőbbségét is”. Lásd: Rīgas satiksme ügyre vonatkozó indítványom (C‑13/16, EU:C:2017:43, 56. és 66–69. pont).

62      2017. május 4‑i Rīgas satiksme ítélet, C‑13/16, EU:C:2017:336, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

63      Tehát megfelelő kapcsolatnak kell lennie a célok (az állítólagos jogos érdek) és a választott eszközök (kezelt személyes adatok) között. E tekintetben lásd: 2017. május 4‑i Rīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 30. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

64      A jelen indítvány fenti 76–82. pontja.

65      Fenti 84–88. pont.

66      Ami természetesen nem zárja ki, hogy esetleg más potenciális (és /későbbi) adatkezelők a vonatkozó adatkezelési műveleteik tekintetében ilyen kötelezettséggel rendelkezzenek.

67      Fenti 132. pont. Lásd még: a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak a sütikhez való hozzájárulás megszerzésével kapcsolatos iránymutatásról szóló, 2013. október 2‑i 02/2013. sz. dokumentum, 4. o. Lásd még: a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak a hozzájárulás fogalommeghatározásáról szóló, 2011. július 13‑i 15/2011. sz. véleménye, 1197/11/EN WP187, 9. o.